Windows: Zugriff auf die administrativen Freigaben in einer Arbeitsgruppe

Eine der Vorteile im Domänen-Netzwerk besteht darin, das der Administrator auf die administrativen Freigaben, z.B. „\\hostname\c$“, von Computer zugreifen kann. Ferner können Remote-Zugriffe auf die Registry oder das Ausführen einer Remote-Shell (z.B. („PsExec \\hostname cmd“) erfolgen.

Befinden sich die Computer allerdings in einer Arbeitsgruppe oder wenn es Computer in einem Domänen-Netzwerk gibt, die nicht Mitglied der Domäne sind (z.B. Außendienst-Notebooks), so funktionieren die genannten Möglichkeiten nicht.

Abhilfe schafft eine Änderung in der Registry:

  • „regedit“ öffnen.
  • Zu folgenden Schlüssel wechseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • Einen neuen DWORD (32-bit)-Eintrag mit folgenden Werten erstellen:
Name: LocalAccountTokenFilterPolicy
Wert: 1
  • Den Computer neustarten.

Windows-Firewall anpassen

Damit die Zugriffe erfolgreich sind, müssen diverse Regeln in der Windows-Firewall angepasst werden:

  • Zugriff auf die administrativen Dateifreigaben (C$, D$ usw., gilt auch für das Ausführen von z.B. „PsExec \\hostname cmd“):
"Datei- und Druckerfreigabe (SMB eingehend)" aktivieren für "Privat"

Dies stellt (imho) die Minimal-Anforderung dar. Je nachdem auf was alles zugegriffen werden soll, müssen weitere Regeln angepasst werden.

Für die Zugriffe ist eine erfolgreiche Anmeldung (z.B. mit dem lokalen Administrator-Konto) notwendig. So muss z.B. beim Zugriff via Windows-Explorer entsprechend der Benutzername samt Kennwort angegeben werden:

computername\username
Kennwort

Die Angabe des Computernamens ist notwendig, da sonst der lokale Computername des zugreifenden Computers verwendet wird, i.d.R. scheitert dann die Anmeldung. Um MMCs nutzen zu können kann der Befehl „runas“ verwendet werden:

runas /netonly /user:computername\username mmc

Quelle

Microsoft Support – Error message when you try to access an administrative share on a Windows Vista-based computer from another Windows Vista-based computer that is a member of a workgroup: „Logon unsuccessful: Windows is unable to log you on“

WindowsPro – UAC-Filter für Windows-Fernwartung abschalten

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.