Авторизация



Голосование

Помогла ли представленная на сайте информация решению Вашей IT-задачи?
 
Главная страница IT MICROSOFT Отключение/включение административных ресурсов C$, Admin$
Отключение/включение административных ресурсов C$, Admin$ Печать

Как быстро управлять административными общими ресурсами (шАрами) Windows, такими как Admin$, C$, D$ и т.п. применительно к локальному компьютеру, а также с помощью групповых политик Active Directory

 

ЛОКАЛЬНО

Включить и отключить административные общие ресурсы можно с помощью скрипта - ссылка (672 б) [скачано:1941 раз(а)].
(в Windows Vista, Windows 7 и Windows Server 2008, при включенном UAC, скрипт необходимо запускать с повышением администратора).

@echo off

:START

set sharestate=unexpected
set /P sharestate="Изменить состояние административных ресурсов Admin$, C$...  [on, off]: "
if %sharestate% == unexpected exit


if %sharestate% == on  (reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 1) else (
      if %sharestate% == off (reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0) else (
            echo .
            echo "Указан неверный параметр ("on" - для включения административных ресурсов, "off" - для отключения административных ресурсов, пустая строка - для отмены и выхода)"
            echo .
            echo .
            set sharestate=unexpected
            GOTO START
            )
   )


echo .
set rebootservice=no	
set /P rebootservice="Перезагрузить компьютер?  [yes, no]: "

if %rebootservice% == yes (shutdown -r -t 0 && exit) else (
echo .
echo "Для вступления изменений в силу перезагрузите компьютер вручную"
echo .
)

pause
exit

 

ВКЛЮЧАЕМ АДМИНИСТРАТИВНЫЕ РЕСУРСЫ И ЗАЩИЩАЕМ ЭТИ НАСТРОЙКИ С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК ACTIVE DIRECTORY

Для домена на базе 2003-х домен-контроллеров понадобится скрипт в автозагрузку, который можно быстро составить с помощью информации представленной выше. Что же касается 2008-го домена - тут можно все сделать более правильно:

  • С помощью доменной оснастки Group Policy Management создаем новую групповую политику и открываем ее на редактирование
  • Переходим Computer Configuration -> Preferences -> Windows Settings -> Registry
  • Жмем правой кнопкой мыши на рабочую область или категорию Registry и выбираем пункт "New -> Registry Item". (Для наглядности можно поместить параметр в заранее созданное дерево с помощью Collection Item, или используем Registry Wizard).
  • Заполняем поля
    Action: Replace
    Hive: HKEY_LOCAL_MACHINE
    Key Path: "SYSTEM\CurrentControlSet\services\LanmanServer\Parameters"
    Value name: AutoShareWks
    Value type: REG_DWORD
    Value data: 1
    Base: Decimal

В принципе для решения нашей задачи проделанных действий достаточно. Однако я предлагаю также изменить разрешения на ключ реестра ...LanmanServer\Parameters, для того чтобы только доменные администраторы могли менять значения внутри ключа:

  • Переходим Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Registry
  • Добавляем новый параметр с помощью пункта контекстного меню "Add Key..."
  • В поле Selected key вставляем "MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" и жмем ОК
  • Редактируем разрешения:
    CREATOR OWNER: оставляем разрешения как есть (Special permissions)
    SYSTEM: также оставляем все как есть (Full Control, Read)
    Administrators: снимаем галочку Full Control, оставляем (Read)
    Users: ничего не делаем (Read)
    Добавляем локальную группу Power Users: также даем ей разрешения только на чтение (Read)
    И, наконец, добавляем доменную группу Domain Admins: и даем ей полный доступ (Full Controll, Read)
  • В следующем диалоговом окне выбираем радиокнопку "Replace existing permissions on all subkeys with inheritable permissions" и нажимаем ОК

Все. Теперь все компьютеры, под действием нашей групповой политики, будут доступны для удаленного администрирования, а также всякого рода тулы для локального отключения удаленного доступа будут вываливать ошибку доступа.

 

Почему не получается достучаться до административных ресурсов с помощью учетной записи локального администратора и как это побороть читать здесь (ссылка).


Комментарии:

 

КОММЕНТАРИИ 

 
#6 Sputnik 05.11.2016 16:43
Спасибо. Восстановил скриптом возможность отображения прошлых версий файлов в Win 7. Оказалось Auslogics Boost Speed отключил "административны е общие ресурсы". Сам твикер давно удалил.
 
 
#5 Vadim 24.06.2014 08:36
При изменении разрешений на раздел реестра ...LanmanServer\Pa rameters - член группы Bultin\Админист раторы может поменять разрешения и далее менять значения параметров
 
 
#4 Станислав 29.06.2012 06:58
а если я его хочу раздать через групповые политики - сценарии входа - вход в систему как он отработает? мне надо что бы включить админ шары без лишних вопросов пользователю через скрипт
 
 
#3 Dev_LC 28.06.2012 20:57
Цитирую Станислав:
он на win xp prof отработает?

да

Цитирую Станислав:
извините за тупость, а что в скрипте нужно изменить, что бы ВКЛЮЧИТЬ админ шары?

ничего менять не нужно. Запусти скрипт с административны ми правами и он тебе предложит:
Изменить состояние административны х ресурсов Admin$, C$... [on, off]:
просто набери на английской раскладке on и нажми Enter 8)
 
 
#2 Станислав 28.06.2012 15:01
он на win xp prof отработает?
 
 
#1 Станислав 28.06.2012 14:59
извините за тупость, а что в скрипте нужно изменить, что бы ВКЛЮЧИТЬ админ шары?
 
Главная страница IT MICROSOFT Отключение/включение административных ресурсов C$, Admin$