Как быстро управлять административными общими ресурсами (шАрами) Windows, такими как Admin$, C$, D$ и т.п. применительно к локальному компьютеру, а также с помощью групповых политик Active Directory

ЛОКАЛЬНО

Включить и отключить административные общие ресурсы можно с помощью скрипта - ссылка (672 б) [скачано:2470 раз(а)].
(в Windows Vista, Windows 7 и Windows Server 2008, при включенном UAC, скрипт необходимо запускать с повышением администратора).

@echo off

:START

set sharestate=unexpected
set /P sharestate="Изменить состояние административных ресурсов Admin$, C$...  [on, off]: "
if %sharestate% == unexpected exit


if %sharestate% == on  (reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 1) else (
      if %sharestate% == off (reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0) else (
            echo .
            echo "Указан неверный параметр ("on" - для включения административных ресурсов, "off" - для отключения административных ресурсов, пустая строка - для отмены и выхода)"
            echo .
            echo .
            set sharestate=unexpected
            GOTO START
            )
   )


echo .
set rebootservice=no	
set /P rebootservice="Перезагрузить компьютер?  [yes, no]: "

if %rebootservice% == yes (shutdown -r -t 0 && exit) else (
echo .
echo "Для вступления изменений в силу перезагрузите компьютер вручную"
echo .
)

pause
exit

ВКЛЮЧАЕМ АДМИНИСТРАТИВНЫЕ РЕСУРСЫ И ЗАЩИЩАЕМ ЭТИ НАСТРОЙКИ С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК ACTIVE DIRECTORY

Для домена на базе 2003-х домен-контроллеров понадобится скрипт в автозагрузку, который можно быстро составить с помощью информации представленной выше. Что же касается 2008-го домена - тут можно все сделать более правильно:

• С помощью доменной оснастки Group Policy Management создаем новую групповую политику и открываем ее на редактирование
• Переходим Computer Configuration -> Preferences -> Windows Settings -> Registry
• Жмем правой кнопкой мыши на рабочую область или категорию Registry и выбираем пункт "New -> Registry Item". (Для наглядности можно поместить параметр в заранее созданное дерево с помощью Collection Item, или используем Registry Wizard).
• Заполняем поля
  Action: Replace
  Hive: HKEY_LOCAL_MACHINE
  Key Path: "SYSTEM\CurrentControlSet\services\LanmanServer\Parameters"
  Value name: AutoShareWks
  Value type: REG_DWORD
  Value data: 1
  Base: Decimal

В принципе для решения нашей задачи проделанных действий достаточно. Однако я предлагаю также изменить разрешения на ключ реестра ...LanmanServer\Parameters, для того чтобы только доменные администраторы могли менять значения внутри ключа:

• Переходим Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Registry
• Добавляем новый параметр с помощью пункта контекстного меню "Add Key..."
• В поле Selected key вставляем "MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" и жмем ОК
• Редактируем разрешения:
  CREATOR OWNER: оставляем разрешения как есть (Special permissions)
  SYSTEM: также оставляем все как есть (Full Control, Read)
  Administrators: снимаем галочку Full Control, оставляем (Read)
  Users: ничего не делаем (Read)
  Добавляем локальную группу Power Users: также даем ей разрешения только на чтение (Read)
  И, наконец, добавляем доменную группу Domain Admins: и даем ей полный доступ (Full Controll, Read)
• В следующем диалоговом окне выбираем радиокнопку "Replace existing permissions on all subkeys with inheritable permissions" и нажимаем ОК

Все. Теперь все компьютеры, под действием нашей групповой политики, будут доступны для удаленного администрирования, а также всякого рода тулы для локального отключения удаленного доступа будут вываливать ошибку доступа.

Почему не получается достучаться до административных ресурсов с помощью учетной записи локального администратора и как это побороть читать здесь (ссылка).