Eiji James Yoshidaの記録

パケット作りが趣味のセキュリティ技術者の記録(2006年9月6日執筆開始)。当ブログはGoogle AnalyticsとAmazonアソシエイトを利用しています。

Vista以降は管理共有への接続が制限されている

最近、Vistaや7の管理共有(C$やADMIN$など)にAdministratorsグループに所属しているユーザで接続しようとして失敗している人を見かけたので、接続方法をメモ。
Vista以降は管理共有への接続が制限されていて、ビルトインアカウントのAdministrator(RID: 500)のみが管理共有に接続できる。*1

C:\>net use * \\192.168.0.1\c$ /user:admin password
システム エラー 5 が発生しました。

アクセスが拒否されました。


C:\>net use * \\192.168.0.1\c$ /user:administrator password
ドライブ Z: は現在 \\192.168.0.1\c$ に接続されています。

コマンドは正常に終了しました。


C:\>

Administratorsグループに所属しているユーザでも接続できるようにする方法は2つある。

  • UAC(ユーザーアカウント制御)を無効にする
  • レジストリエディタでLocalAccountTokenFilterPolicyを1にする
キー名 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
名前 LocalAccountTokenFilterPolicy
種類 REG_DWORD
データ 1

UACを無効にすると再起動を求められるが、LocalAccountTokenFilterPolicyは設定後に再起動をしなくても私の環境では反映されていることを確認した。
このようにUACを無効にしたりLocalAccountTokenFilterPolicyを1にしたりすることで制限を解除できるが、ここまでするなら制限を解除せずに新しい共有の作成をお勧めする。

*1:ドメイン環境では異なるらしいが、手元に環境が無いためわからない