Eine der Vorteile im Domänen-Netzwerk besteht darin, das der Administrator auf die administrativen Freigaben, z.B. “\\hostname\c$”, von Computer zugreifen kann. Ferner können Remote-Zugriffe auf die Registry oder das Ausführen einer Remote-Shell (z.B. (“PsExec \\hostname cmd”) erfolgen.

Befinden sich die Computer allerdings in einer Arbeitsgruppe oder wenn es Computer in einem Domänen-Netzwerk gibt, die nicht Mitglied der Domäne sind (z.B. Außendienst-Notebooks), so funktionieren die genannten Möglichkeiten nicht.

Abhilfe schafft eine Änderung in der Registry:

  • “regedit” öffnen.
  • Zu folgenden Schlüssel wechseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  • Einen neuen DWORD (32-bit)-Eintrag mit folgenden Werten erstellen:
Name: LocalAccountTokenFilterPolicy
Wert: 1
  • Den Computer neustarten.

Windows-Firewall anpassen

Damit die Zugriffe erfolgreich sind, müssen diverse Regeln in der Windows-Firewall angepasst werden:

  • Zugriff auf die administrativen Dateifreigaben (C$, D$ usw., gilt auch für das Ausführen von z.B. “PsExec \\hostname cmd”):
"Datei- und Druckerfreigabe (SMB eingehend)" aktivieren für "Privat"

Dies stellt (imho) die Minimal-Anforderung dar. Je nachdem auf was alles zugegriffen werden soll, müssen weitere Regeln angepasst werden.

Für die Zugriffe ist eine erfolgreiche Anmeldung (z.B. mit dem lokalen Administrator-Konto) notwendig. So muss z.B. beim Zugriff via Windows-Explorer entsprechend der Benutzername samt Kennwort angegeben werden:

computername\username
Kennwort

Die Angabe des Computernamens ist notwendig, da sonst der lokale Computername des zugreifenden Computers verwendet wird, i.d.R. scheitert dann die Anmeldung. Um MMCs nutzen zu können kann der Befehl “runas” verwendet werden:

runas /netonly /user:computername\username mmc

Quelle

Microsoft Support – Error message when you try to access an administrative share on a Windows Vista-based computer from another Windows Vista-based computer that is a member of a workgroup: “Logon unsuccessful: Windows is unable to log you on”

WindowsPro – UAC-Filter für Windows-Fernwartung abschalten

Update 20.05.2021

Da dieses Thema die letzte Zeit wieder vermehrt aufgekommen ist hier mal ein Beispiel-Batch-Skript mit dessen Hilfe die notwendigen Einstellungen gesetzt werden:

@echo off

title Arbeitsgruppen-Admin

rem Das Administrator-Konto aktivieren und mit einem Kennwort versehen

 net user Administrator <Kennwort> /active:yes

rem Den Zugriff auf die administrativen Freigaben gestatten

 reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

rem Die Firewall konfigurieren

 powershell -Command "& {Enable-NetFirewallRule -DisplayName 'Datei- und Druckerfreigabe (SMB eingehend)'}"

rem Abschlussmeldung

 echo Bitte den Computer neu starten

pause

Update 27.10.2021

Kleine Randbemerkung: Das Ganze funktioniert auch mit den Home-Ausgaben von Windows. Erfolgreich getestet mit Windows 10 Home (64-bit, 21H1).