ワークグループ設定のWindowsでは管理共有にアクセスできるのは「Administrator」だけ


Windowsがドメイン参加ではなく、ワークグループ設定である場合、そのホストの管理共有「ADMIN$」に対してアクセスできるのは、ローカルの「Administrator」ユーザのみとなっているようです。
「Administrator」という文字列以外のユーザが管理者とは認められていません。

別の管理用ユーザ(たとえばmachineadmユーザ)を作成し、管理者権限(Administratorsグループに参加)を与え、「Administrator」ユーザを無効化してしまった場合、ネットワーク越しで管理共有「ADMIN$」にアクセスできるユーザがいなくなってしまいます。

回避するには、UACを無効化する必要があります。
無効化することによって、Administrator以外のユーザ名を持つ管理者ユーザであっても管理共有「ADMIN$」に対してアクセスできるようになります。

このUAC無効化の操作ですが、Windows Server 2008R2の場合は、コントロールパネルから行って問題ありません。
しかし、Windows Server 2012の場合、コントロールパネルから設定を行ってもこの操作ができるようにはなりませんでした。

インフラSEの設定・構築メモ「[Windows] 管理共有 (C$, D$など) にビルトイン administrator 以外は接続できない

上記にあるようにレジストリを変更する必要がありました。
「HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System」内のDWORD「EnableLUA」の値を「1」→「0」として再起動するか
「HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System」内にDWORDで「LocalAccountTokenFilterPolicy」を作成し、値を「0」として再起動

Microsoftのオフィシャル記述としては「How to change the Remote UAC LocalAccountTokenFilterPolicy registry setting in a Windows Vista image」となります。

なお、この制約は、ワークグループ設定のみです。
Active Directory参加(ドメイン参加)の場合は、この制約がありません。

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>