Partages administratifs Windows 10 [Résolu/Fermé]

Signaler
Messages postés
18955
Date d'inscription
lundi 26 novembre 2007
Statut
Contributeur
Dernière intervention
5 août 2020
-
Messages postés
4
Date d'inscription
jeudi 26 avril 2007
Statut
Membre
Dernière intervention
17 mai 2017
-
Slt



Impossible d'accéder aux partages administratifs des disques durs de W10 (c$, d$ etc ..) === Message Accès refusé , que le client soit Xp, W7 ou W10

J'accède depuis W10 aux partages administratifs d'autres machines sous Xp, et W7

La protection des partages par mot de passe est désactivée

J'utilise le même compte avec droits administrateur sur toutes les machines

Les propriétés des partages administratifs n'étant pas accessibles, je ne vois pas trop où chercher

Merci de vos avis

6 réponses

Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
381
slt,

A froid première idée : paramètre LocalAccountTokenFilterPolicy dans la registry du W10.

D'autre part avec ta phrase "La protection des partages par mot de passe est désactivée " ; est ce que ça sous entends que le compte utilisé sur chaque station a un mot de passe vierge ? ou login automatique sur le W10?
Si c'est le cas alors c'est tout à fait normal.

5
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 56959 internautes nous ont dit merci ce mois-ci

Messages postés
4
Date d'inscription
jeudi 26 avril 2007
Statut
Membre
Dernière intervention
17 mai 2017

Merci beaucoup, excellente réponse tirée du Technet Microsoft disponible ici :

https://support.microsoft.com/fr-be/help/947232/error-message-when-you-try-to-access-an-administrative-share-on-a-wind

Les partages administratifs fonctionnent par contre par défaut si le PC est dans un domaine AD, et que vous utilisez un compte Admins du domaine apparemment, pour cela qu'en entreprise c'est transparent
Messages postés
10746
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
15 juillet 2020
1 679
Bonjour

Ajouter l'utilisateur au groupe : utilisateurs du bureau à distance

Chez moi , ca a marché
Messages postés
10746
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
15 juillet 2020
1 679
dans la fenetre executer (windows+R)
\\192.168.0.100\c$

avec le firewall du win10 désactivé (flemme de créer une regle)

si tu fait net share sur le w10 , le partage c$ apparait ?
Tu peux y acceder depuis lui-meme ?
Messages postés
18955
Date d'inscription
lundi 26 novembre 2007
Statut
Contributeur
Dernière intervention
5 août 2020
3 576
Par la méthode Exécuter, pareil, une fenêtre de login s'ouvre et mes identifiants ne passent pas

Avec le FW désactivé, pas bon non plus

Oui aux deux dernières questions
Messages postés
10746
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
15 juillet 2020
1 679
Il faut aussi créer la clé LocalAccountTokenFilterPolicy, comme l'a dit kelux .....
Messages postés
18955
Date d'inscription
lundi 26 novembre 2007
Statut
Contributeur
Dernière intervention
5 août 2020
3 576
Il ne m'a pas dit de la créer, ni quoi en faire, ni où la créer

On la crée dans quoi ? quelle branche ?
Messages postés
18955
Date d'inscription
lundi 26 novembre 2007
Statut
Contributeur
Dernière intervention
5 août 2020
3 576
Slt

LocalAccountTokenFilterPolicy inconnu au bataillon dans la base de registre W10 et W7



D'autre part avec ta phrase "La protection des partages par mot de passe est désactivée "


C'est une option dans les paramètres de partage avancés de W10, W8.xx et W7

est ce que ça sous entends que le compte utilisé sur chaque station a un mot de passe vierge


Chaque machine a le même nom d'utilisateur et le même mot de passe non vide

Le problème survient uniquement avec W10

Entre machines W7 et XP pas de problèmes
Messages postés
92907
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
6 août 2020
10 132
Salut,
c'est un WX PRO ou home ?
la différence vient peut-etre de là ?
Messages postés
18955
Date d'inscription
lundi 26 novembre 2007
Statut
Contributeur
Dernière intervention
5 août 2020
3 576
Slt

Ce sont des versions Pro
Messages postés
377
Date d'inscription
dimanche 4 mai 2014
Statut
Membre
Dernière intervention
24 décembre 2015
104
Je dis surement une bêtise (qui ne tente rien n'a rien) mais est-ce que le pare-feu du Win10 ne risque pas de bloquer certains partages?
Messages postés
18955
Date d'inscription
lundi 26 novembre 2007
Statut
Contributeur
Dernière intervention
5 août 2020
3 576
Slt

L'essai a été fait avec le FW désactivé
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
381
Pour le paramètre de registry, il faut le créer, la recherche ne donne rien et c'est attendu.

Il doit être créé dans :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

C'est une valeur DWORD, et on la positionne à 1.


https://support.microsoft.com/en-us/help/951016/description-of-user-account-control-and-remote-restrictions-in-windows

http://www.tomsitpro.com/articles/windows-8.1-administrative-shares,2-749.html

C'est un comportement normal avec l'UAC, lorsque celui ci est activé.

Messages postés
92907
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
6 août 2020
10 132 >
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020

Pile Poil,
c'est tout à fait ce que je voulais savoir,
en disant admins réseau, je pensais bien sûr au groupe administrateurs du domaine,
j'ai lu un peu trop en diagonale (ça m'arrive souvent) ton lien.
Je ne savais pas qu'on pouvait désactiver l'UAC par GPO, mais au final c'est logique, vu que ça n'est qu'une clé.
par contre, le problème là ce n'est pas l'UAC à la base, il est là aussi sous seven, mais le fait que la politique des accès a changé depuis 8.1, si j'ai tout compris.
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
381
Je vais apporter quelques précisions.

je dénommais le groupe "Administrateurs", or ce n'est pas le groupe "admins du domaine" dont il est question ici ( Et d'ailleurs il ne faut pas "administrer" avec des comptes faisant partie de ce groupe, c'est très dangereux )

Je parlais du groupe "administrateurs" qui est local à chaque station. Mon utilisateur de domaine "DOMAIN\kelux" est ajouté au groupe local "administrateurs" de la station en question (que l'on appelle Client1).
Je suis connecté sur ma station (admin1) avec mon compte "DOMAIN\kelux" et je vais accéder à la station "Client1" via \\Client1\c$ ; et bien je n'aurai pas le souci évoqué ici ; néanmoins je ne suis pas non plus "admin du domaine" pour autant.

-

Concernant l'UAC, le paramètre évoqué ici "LocalAccountTokenFilterPolicy" ne désactive pas l'UAC.
Il y a beaucoup plus de paramètres pour désactiver complètement l'UAC.
Tu auras quelques infos ici sur la partie gérée via GPO : https://www.techrepublic.com/blog/the-enterprise-cloud/disable-uac-for-windows-servers-through-group-policy/

-

Cela m'amène sur une bonne pratique : on utilise les groupes restreints (fonctionnalité de GPO) pour gérer les administrateurs locaux des machines dans un domaine, sans utiliser le groupe "Admins du domaine" qui dispose de trop de droits.

Imaginons que je créé 2 groupes de sécurité dans Active Directory (pour le scope Domain Local ou Global, il faut voir selon l'infra - on prends du global sinon ) :
- Admins_Workstations : définit les administrateurs des stations desktop/laptop (les postes clients en gros).
- Admins_Servers : les admins des serveurs.

On peut aller plus loin et être plus fin en fonction des périmètres et des services (admin_servers_SQL, etc ...) ; le but étant de donner juste les droits suffisants aux personnes devant administrer tel ou tel périmètre. Je ne vais pas donner des droits d'administration sur des serveurs à des administrateurs de postes clients...

Ensuite je créé une GPO "Delegation Admins postes clients", je la lie sur une OU qui contient les postes clients (ou sur une arborescence plus haute qui contient les postes clients, et uniquement les postes clients, pas les serveurs) ; comme cela la GPO ne s'appliquera que sur des postes clients et non sur des serveurs.

Je paramètre un groupe restreint dans cette GPO, ça va donner : on ajoute le groupe de domaine "DOMAIN\Admins_Workstations" au groupe local "BUILTIN\Administrators".

Chaque machine qui aura cette GPO : verra comme membre du groupe Admin local le groupe de domaine "DOMAIN\Admins_Workstations".

Ensuite chaque compte utilisateur membre de "DOMAIN\Admins_Workstations" se verra administrateur des machines impactées par la GPO.
Ceci étant il n'aura pas de droits administrateurs "ailleurs", et encore moins de droits admins du domaine.

Même procédé pour les serveurs avec une seconde GPO qui cible uniquement les serveurs et le groupe "Admins_Servers".
Messages postés
92907
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
6 août 2020
10 132 >
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020

Ok,
ça c'est complet au moins .
j'étais plutôt dans l'idée d'une structure moyenne avec un ou deux admin domaine, qui sont par défaut admin local sur toutes les machines du domaine ;-)
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020
381
On dérive du sujet initial certes, mais le point que tu soulèves Brupala est très très important. (je fais la guerre aux admins du domaine - quand je fais de l'audit AD pour des clients, je tire des oreilles beaucoup trop souvent)

-

J'ai vu énormément d'administrateurs utiliser un compte à fort privilèges (domain admin) pour des opérations courantes sur des postes de travail ; ce qui est le mal absolu !!! - c'est un peu comme nous a dit notre grand mère, on ne lance pas son serveur X avec Root ... ;-)

Pour ma part j'ai évolué dans de gros environnements, 250 contrôleurs de domaine, 150 sites, plus de 30 domaines, des centaines d'administrateurs - j'ai rarement eu besoin d'avoir les droits "domain admins" dans chaque domaine pour faire le boulot.
C'est plutot difficile de faire comprendre ce point, même aux équipes techniques, ils ont l'impression qu'on leur enlève du "pouvoir" sur leur job ou d'être moins importants quoi ..., ce qui est totalement faux et absurde.

Bref, on s'est écarté du sujet, désolé si cela a pourri un peu le post ;-)
Messages postés
92907
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
6 août 2020
10 132 >
Messages postés
2999
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
22 juin 2020

Du coup,
j'ai perdu mes oreilles aussi: le peu d'amin que j'ai faite, c'était toujours avec un compte admin du domaine, mais un autre compte ordinaire pour le reste.
Mais c'est vrai qu'il vaut mieux créer des groupes et leur affecter les autorisations à la carte.
Pour le post, je pense que c'est intéressant aussi ce qu'on raconte là, mais ça concerne beaucoup moins de monde, c'est sûr.
En même temps, à part les admin réseau, je pense que pas grand monde, heureusement, utilise les partages administratifs.
A ce propos, il faudrait voir sur CCM si il n'y a pas un article à mettre à jour. ah, le voili
Hop, c'est fait.