Windows Vista, z założenia nie daje użytkownikowi praw administratora a wszędzie gdzie są one potrzebne próbuje posłużyć się mechanizmami UAC. O ile w pracy lokalnej nie jest to wielkim problemem, o tyle zdalnie może sprawić niemało kłopotu.
Od czasów WindowsNT, wszystkie dostępne w czasie startu systemu dyski lokalne są udostępniane automatycznie jako C$, D$ itd. Jak bardzo to jest pomocne, każdy doświadczony admin wie. Jak niebezpieczne - wiedzą niektórzy. Jak trudne do wyłączenia... Ci którzy naprawdę wyłączyć musieli.
W Windows Vista, sytuacja wygląda w teorii podobnie, ale w praktyce inaczej.
Dyski są udostępniane, co prosto można sprawdzić poleceniem net share. Prawa oczywiście wyłącznie dla członków grupy "Administrators". Wszystko w porządku? Prawie... Mimo, że dyski są udostępnione, dostęp do nich nie jest możliwy.
Wynika to z faktu, że Windows Vista, uwierzytelniając użytkownika przez sieć nigdy nie nada mu praw administratora. Nawet, jeżeli użytkownik ten jest w grupie "Administrators".
To znacząco podnosi poziom bezpieczeństwa, ale może utrudnić zdalne zarządzanie.
Rozwiązania są dwa:
1. Przenieść odpowiedzialność za uwierzytelnianie z Windows Vista na Active Directory. Windows Vista w domenie pozwala administratorom na dostęp do C$ bez żadnego kłopotu.
2. Wyłączyć całą funkcjonalność zdalnego UAC. Robi się to via rejestr, ustawiając wartośćHKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ system\ LocalAccountTokenFilterPolicy gdzie
W dużym uproszczeniu, przyjąć można, że Windows Vista zachowuje się tak, że pojedyncze komputery nie wpuszczą nikogo na C$, a komputery w domenie - bez kłopotu. Ma to jakiś sens.
Autor: Grzegorz Tworek