Windows 10 更新引入了一项安全增强功能,其中 Windows 10 客户端无法浏览 syslog 和 netlogon 共享,以防止意外访问这些位置。
症状是,任何尝试从 Windows 10 计算机访问这些共享时,系统都会提示用户输入登录凭据,甚至域管理员帐户都不会被授予访问权限。
可以通过将 DC 的 UNC 路径 (<\\DC_name>) 添加到每个 Windows 10 客户端的本地 GPO 编辑器中的强化 UNC 路径来解决此问题,该路径位于
Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths
现在这是一个可行的解决方案,但它并不理想,因为我们有 120 多个客户端(其中一些位于地理位置偏远的站点),并且手动执行它们并不方便,更不用说这违背了选择域控制器进行中央客户端管理的整个目的。
尝试从 GPO 推送此类设置时,存在 2 个问题:
- 服务器 2012(DC)上的 GP 管理控制台中没有相同的 GPO。
- 由于 GPO 是通过 sysvol 文件夹推送的,而该文件夹无法访问(除非您手动修复),因此推送到客户端几乎是不可能的。
期望的结果是通过 DC 而不是单独从每个 Windows 客户端解决此问题。
我期待提供帮助。
谢谢,
J
答案1
经过进一步研究,我们确定可以通过手动强化客户端上的 UNC 路径来解决此问题。我们使用以下脚本来更轻松地实现此目标:
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ
这只是使用命令行应用强化的 UNC 路径,而不是通过本地 GPO 进行点击。据了解,微软正在为此事制定解决方案。
答案2
您说您将 DC_NAME 作为强化 UNC 放入 GPO 中。KB 中的示例为\\*\Netlogon和\\*\Sysvol。使用 DC 名称可能不是一个好主意,因为这些名称会发生变化,并且客户端也可能使用\\DOMAIN_NAME\Sysvol。如果您仍在 UNCH GPO 设置中使用特定的 DC 名称,则这可能是问题所在。
您的原始帖子从未提到您有 2012 和 2003 DC 的混合版本。听起来您只有 2012 DC。UNCH 从未适用于 2003 OS。
阅读 KBhttps://support.microsoft.com/en-us/kb/3000483
我们认为,在 Windows Server 2003 SP2 中实施这些更改需要进行全面的架构更改,这将破坏系统的稳定性并导致应用程序兼容性问题。我们继续建议有安全意识的客户升级到我们最新的操作系统,以跟上安全威胁的步伐,并从强大的现代操作系统保护中受益。