最近、Vistaや7の管理共有(C$やADMIN$など)にAdministratorsグループに所属しているユーザで接続しようとして失敗している人を見かけたので、接続方法をメモ。
Vista以降は管理共有への接続が制限されていて、ビルトインアカウントのAdministrator(RID: 500)のみが管理共有に接続できる。*1
C:\>net use * \\192.168.0.1\c$ /user:admin password
システム エラー 5 が発生しました。アクセスが拒否されました。
C:\>net use * \\192.168.0.1\c$ /user:administrator password
ドライブ Z: は現在 \\192.168.0.1\c$ に接続されています。コマンドは正常に終了しました。
C:\>
Administratorsグループに所属しているユーザでも接続できるようにする方法は2つある。
- UAC(ユーザーアカウント制御)を無効にする
- レジストリエディタでLocalAccountTokenFilterPolicyを1にする
キー名 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system |
---|---|
名前 | LocalAccountTokenFilterPolicy |
種類 | REG_DWORD |
データ | 1 |
UACを無効にすると再起動を求められるが、LocalAccountTokenFilterPolicyは設定後に再起動をしなくても私の環境では反映されていることを確認した。
このようにUACを無効にしたりLocalAccountTokenFilterPolicyを1にしたりすることで制限を解除できるが、ここまでするなら制限を解除せずに新しい共有の作成をお勧めする。
追記(2011/3/3)
- Description of User Account Control and remote restrictions in Windows Vista(support.microsoft.com)
- You Encounter Unexpected Behavior When You Log on to a Remote Computer and UAC Is Enabled(technet.microsoft.com)
- ラテラルムーブメントとそれを阻むUACに関する調査(www.shutingrz.com)
*1:ドメイン環境では異なるらしいが、手元に環境が無いためわからない