Vista以降は管理共有への接続が制限されている

2011-03-01

■[メモ][セキュリティ] Vista以降は管理共有への接続が制限されている

最近、Vistaや7の管理共有（C$やADMIN$など）にAdministratorsグループに所属しているユーザで接続しようとして失敗している人を見かけたので、接続方法をメモ。

Vista以降は管理共有への接続が制限されていて、ビルトインアカウントのAdministrator（RID: 500）のみが管理共有に接続できる。*1

C:\>net use * \\192.168.0.1\c$ /user:admin password

システムエラー 5 が発生しました。

アクセスが拒否されました。

C:\>net use * \\192.168.0.1\c$ /user:administrator password

ドライブ Z: は現在 \\192.168.0.1\c$ に接続されています。

コマンドは正常に終了しました。

C:\>

Administratorsグループに所属しているユーザでも接続できるようにする方法は2つある。

UAC（ユーザーアカウント制御）を無効にする
レジストリエディタでLocalAccountTokenFilterPolicyを1にする

キー名	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
名前	LocalAccountTokenFilterPolicy
種類	REG_DWORD
データ	1

UACを無効にすると再起動を求められるが、LocalAccountTokenFilterPolicyは設定後に再起動をしなくても私の環境では反映されていることを確認した。

このようにUACを無効にしたりLocalAccountTokenFilterPolicyを1にしたりすることで制限を解除できるが、ここまでするなら制限を解除せずに新しい共有の作成をお勧めする。

追記（2011/3/3）

Description of User Account Control and remote restrictions in Windows Vista（support.microsoft.com）
You Encounter Unexpected Behavior When You Log on to a Remote Computer and UAC Is Enabled（technet.microsoft.com）

Permalink | コメント(2) | トラックバック(9) | 01:23

*1：ドメイン環境では異なるらしいが、手元に環境が無いためわからない

コメントを書く

hebikuzure 2011/05/01 23:52 http://support.microsoft.com/kb/947232/en-us
には Fix it もありますね。またドメイン環境なら domain administrator の資格情報でアクセスすれば接続できるとも明記されてます。