用戶使用unc (\\xxx\D$)路徑存取其他電腦資料

有朋友詢問他的網域環境用戶端都是win7,且網域中的用戶電腦本機administratos 群組有加入domain users,也就是都有本機管理者權限,有用戶知道其他PC的電腦名稱會用\\pcname\d$ 連進去看別人的資料,問我有沒有方法解決?(我心想我這裡的用戶都不會,他那邊真專業 XD)

因為預設每個磁碟都會共享XXX$,有些為了管理用,如果將它關閉可能會造成某些派送軟體或是其他軟體有問題,其實可以手動將用戶端除了系統磁碟預設共用拿掉其實無所謂。但是用戶端多手動是很麻煩。

其實有一個簡單的方法,以我朋友的範例來說,他的用戶端windows firewall 應該是有開放允許TCP 445 通過。

可以看到下圖這條規則若是輸入規則啟用該條就是允許  unc 路徑存取且該條沒有限制任何IP。

smb1

smb2

於是我簡單架設了LAB環境

1台DC 2台win8

且domian users 已加入本機管理員

smb3

兩個網域用戶只隸屬domain users 群組

smb4

模擬朋友的情況

Roy 登入PC01  用unc 路徑 \\pc02\e$  可以進入

smb-4

而DC 也是可以連

smb5

如果以照朋友的問題就是只要開放server fram 的網段及管理者用的PC IP 可以連線

可以先在PC02修改firewall smb 規則,再領域索引頁 [遠端IP位址]部分加入server fram 網段及管理者 PC IP。

smb6

重新再用pc01連 \\pc02\e$   就會發現無法存取

smb7

而server fram 主機還是可以正常存取

smb9

測試完畢後,當然不適一台一台去設定,請用群組原則來統一設定比較快速

請套用在電腦物件設定位置如下圖

666



本篇瀏覽人數: 3402
分類: Windows Server 其他問題。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *