ワークグループ設定のWindowsでは管理共有にアクセスできるのは「Administrator」だけ

Windowsがドメイン参加ではなく、ワークグループ設定である場合、そのホストの管理共有「ADMIN$」に対してアクセスできるのは、ローカルの「Administrator」ユーザのみとなっているようです。
「Administrator」という文字列以外のユーザが管理者とは認められていません。

別の管理用ユーザ(たとえばmachineadmユーザ)を作成し、管理者権限(Administratorsグループに参加)を与え、「Administrator」ユーザを無効化してしまった場合、ネットワーク越しで管理共有「ADMIN$」にアクセスできるユーザがいなくなってしまいます。

回避するには、UACを無効化する必要があります。
無効化することによって、Administrator以外のユーザ名を持つ管理者ユーザであっても管理共有「ADMIN$」に対してアクセスできるようになります。

このUAC無効化の操作ですが、Windows Server 2008R2の場合は、コントロールパネルから行って問題ありません。
しかし、Windows Server 2012の場合、コントロールパネルから設定を行ってもこの操作ができるようにはなりませんでした。

インフラSEの設定・構築メモ「[Windows] 管理共有 (C$, D$など) にビルトイン administrator 以外は接続できない

上記にあるようにレジストリを変更する必要がありました。
「HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System」内のDWORD「EnableLUA」の値を「1」→「0」として再起動するか
「HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System」内にDWORDで「LocalAccountTokenFilterPolicy」を作成し、値を「0」として再起動

Microsoftのオフィシャル記述としては全体的な解説を「Windows Server でユーザー アカウント制御 (UAC) を無効にする方法」(英語版)で行い、実際の設定内容についてはKB951016「Windows Vista でのユーザー アカウント制御とリモート制限の説明」(英語版 How to change the Remote UAC LocalAccountTokenFilterPolicy registry setting in a Windows Vista image)で説明しています。

全体的な解説にあるようにLocalAccountTokenFilterPolicyの設定変更はセキュリティ的なリスクがあるものとなりますので、注意が必要です。

なお、この制約は、ワークグループ設定のみです。
Active Directory参加(ドメイン参加)の場合は、この制約がありません。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください