Windows 10更新引入了一个安全增强function,其中Windows 10客户端无法浏览到syslog和netlogon共享,以防止意外访问这些位置。
症状是任何试图从Windows 10机器访问这些共享的用户都被要求提供login凭据,甚至域pipe理员帐户也不会被授予访问权限。
这可以通过将DC的UNCpath(<\\ DC_name>)添加到每个Windows 10客户端的本地GPO编辑器中的硬化的UNCpath中来解决,这可以位于
Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths 现在这是一个可行的解决scheme,但是这并不理想,因为我们有120多个客户端(其中一些在地理位置偏远的地方),而且手动操作并不方便,更不用说打破了select中央客户端pipe理的域控制器。
当尝试从GPO推送这样的设置时,有两个问题:
期望的结果是这个问题通过DC解决,而不是从每个Windows客户端单独解决。
我期待着帮助。
谢谢,
Ĵ
经过进一步研究,确定可以通过手动强化客户端上的UNCpath来解决这个问题。 我们使用以下脚本来获得更轻松的成就:
%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ %COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ
这只是使用命令行应用加强的UNCpath,而不是通过本地GPO单击您的方式。 据了解,一个解决scheme是微软正在为这个问题而进行的一项工作。
你说你把DC_NAME作为硬化的UNCjoin了GPO。 KB中的示例是\\*\Netlogon和\\*\Sysvol 。 使用DC名称可能不是一个好主意,因为这些更改,客户端也可能使用\\DOMAIN_NAME\Sysvol 。 如果在UNCH GPO设置中仍然使用特定的DC名称,则可能是问题所在。
你原来的post从来没有提到你有2012和2003年的混合。 听起来像你只有2012年的DC。 UNCH从未被用于2003年的操作系统。
阅读KB https://support.microsoft.com/en-us/kb/3000483
我们确定,在Windows Server 2003 SP2中实施这些更改需要进行全面的体系结构更改,以免造成系统不稳定并导致应用程序兼容性问题。 我们继续build议那些对安全敏感的客户升级到我们最新的操作系统,以跟上安全威胁,并从强大的现代操作系统保护中受益。