有朋友詢問他的網域環境用戶端都是win7,且網域中的用戶電腦本機administratos 群組有加入domain users,也就是都有本機管理者權限,有用戶知道其他PC的電腦名稱會用\\pcname\d$ 連進去看別人的資料,問我有沒有方法解決?(我心想我這裡的用戶都不會,他那邊真專業 XD)
因為預設每個磁碟都會共享XXX$,有些為了管理用,如果將它關閉可能會造成某些派送軟體或是其他軟體有問題,其實可以手動將用戶端除了系統磁碟預設共用拿掉其實無所謂。但是用戶端多手動是很麻煩。
其實有一個簡單的方法,以我朋友的範例來說,他的用戶端windows firewall 應該是有開放允許TCP 445 通過。
可以看到下圖這條規則若是輸入規則啟用該條就是允許 unc 路徑存取且該條沒有限制任何IP。
於是我簡單架設了LAB環境
1台DC 2台win8
且domian users 已加入本機管理員
兩個網域用戶只隸屬domain users 群組
模擬朋友的情況
Roy 登入PC01 用unc 路徑 \\pc02\e$ 可以進入
而DC 也是可以連
如果以照朋友的問題就是只要開放server fram 的網段及管理者用的PC IP 可以連線
可以先在PC02修改firewall smb 規則,再領域索引頁 [遠端IP位址]部分加入server fram 網段及管理者 PC IP。
重新再用pc01連 \\pc02\e$ 就會發現無法存取
而server fram 主機還是可以正常存取
測試完畢後,當然不適一台一台去設定,請用群組原則來統一設定比較快速
請套用在電腦物件設定位置如下圖
本篇瀏覽人數: 5205
