Zdalny UAC

Windows Vista, z zalozenia nie daje uzytkownikowi praw administratora a wszedzie gdzie sa one potrzebne próbuje posluzyc sie mechanizmami UAC. O ile w pracy lokalnej nie jest to wielkim problemem, o tyle zdalnie moze sprawic niemalo klopotu.

Od czasów WindowsNT, wszystkie dostepne w czasie startu systemu dyski lokalne sa udostepniane automatycznie jako C$, D$ itd. Jak bardzo to jest pomocne, kazdy doswiadczony admin wie. Jak niebezpieczne - wiedza niektórzy. Jak trudne do wylaczenia... Ci którzy naprawde wylaczyc musieli.

W Windows Vista, sytuacja wyglada w teorii podobnie, ale w praktyce inaczej.

Dyski sa udostepniane, co prosto mozna sprawdzic poleceniem net share. Prawa oczywiscie wylacznie dla czlonków grupy "Administrators".
Wszystko w porzadku? Prawie... Mimo, ze dyski sa udostepnione, dostep do nich nie jest mozliwy.

Wynika to z faktu, ze Windows Vista, uwierzytelniajac uzytkownika przez siec nigdy nie nada mu praw administratora. Nawet, jezeli uzytkownik ten jest w grupie "Administrators".

To znaczaco podnosi poziom bezpieczenstwa, ale moze utrudnic zdalne zarzadzanie.

Rozwiazania sa dwa:

1. Przeniesc odpowiedzialnosc za uwierzytelnianie z Windows Vista na Active Directory. Windows Vista w domenie pozwala administratorom na dostep do C$ bez zadnego klopotu.

2. Wylaczyc cala funkcjonalnosc zdalnego UAC. Robi sie to via rejestr, ustawiajac wartosc
HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ system\ LocalAccountTokenFilterPolicy gdzie

• 0 - zdalny UAC wlaczony (C$ nie dziala)
• 1 - zdalny UAC wylaczony (C$ dziala)

W duzym uproszczeniu, przyjac mozna, ze Windows Vista zachowuje sie tak, ze pojedyncze komputery nie wpuszcza nikogo na C$, a komputery w domenie - bez klopotu. Ma to jakis sens.

Autor: Grzegorz Tworek