背景
我们从之前的一家支持公司接管了一个 Windows 域。该公司实施了专有桌面锁定系统(即非组策略),以实现某些目标,例如
- 阻止访问注册表
- 阻止访问命令行
- 将 UserShellFolders(用户桌面、用户开始菜单等)重定向到共享网络位置
作为其封锁系统的一部分,所有登录电脑的用户都被添加到本地机器(内置)管理员组,我们认为这是一种不好的做法,特别是对于防止病毒传播和网络的总体安全而言。
我删除了他们的锁定系统,并使用组策略复制了此专有系统所做的许多配置。包括从域用户中删除本地管理员权限。(这是使用组策略限制组完成的。)
问题
自从这样做以来,发生了以下情况。
虽然用户是能够访问其映射驱动器...
- 如果用户在 Windows 资源管理器中输入此类映射驱动器的 UNC 路径,则会收到一条错误消息
- 同样,重定向桌面上指向网络位置的图标不起作用。双击图标时,什么也没有发生
这是在资源管理器中输入 UNC 路径时出现的错误:
果然,如果我让用户成为本地管理员组的成员,就不会出现错误。
作为测试的一部分,我启用了组策略(用户)设置:“从开始菜单中删除运行菜单”,因为根据以前的经验,我知道这也会阻止浏览 UNC 路径。(是的,这似乎是此设置的一个奇怪的副作用,但它已在 GPO 中记录。)当我输入 UNC 路径时,执行上述操作会给我一个略有不同的错误:
我还注意到,即使您输入不存在的网络路径,也会发生这两个错误。
由于上述观点,并且由于本地计算机(内置)管理员组与应用于相关共享的域 SID 完全无关,因此我得出结论,它与 NTFS 权限或服务器共享本身的共享权限无关。
鉴于这似乎是本地机器策略问题,我检查了本地安全策略,那里没有设置相关项目。同样,我运行了一组结果策略,以确保没有我不知道的其他域 GPO 适用。
这可能与 UAC 有关吗?
编辑:我查看了这篇有关取消隐藏网络图标的 SE 帖子。没有找到: