Административные шары включить windows 7

Обновлено: 03.07.2024

Войти

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Создание и удаление скрытых и административных общих ресурсов на клиентских компьютерах

В данной статье приведены пошаговые инструкции по созданию и удалению скрытых и административных общих ресурсов на компьютерах под управлением Microsoft Windows XP Professional, Windows 2000 Professional и Windows NT 4.0 Workstation. Подходит и для более новых версий Windows.

Скрытые общие ресурсы
Скрытыми являются общие ресурсы, имя которых заканчивается знаком доллара («$»). Скрытые общие ресурсы не отображаются при просмотре списка общих ресурсов или при использовании команды net view. Операционные системы семейства Windows, перечисленные в разделе «Информация в данной статье относится к следующим продуктам», создают скрытые административные общие ресурсы, используемые приложениями, службами и администраторами для управления компьютерами в сети. По умолчанию в Windows могут быть созданы следующие скрытые административные общие ресурсы:
• корневые разделы или тома;
• корневой каталог операционной системы;
• общий ресурс FAX$;
• общий ресурс IPC$;
• общий ресурс PRINT$.
Для корневых разделов и томов в качестве имени общего ресурса используется имя диска, к которому добавляется символ «$». Например, для доступа к дискам C и D будут созданы общие ресурсы C$ и D$.

Корневой каталог операционной системы (%SYSTEMROOT%) – это папка, в которую установлена операционная система Windows. Общий ресурс ADMIN$ предоставляет администраторам доступ к этой папке по сети.

Общий ресурс FAX$ используется клиентами для отправки факсов. В этой папке кэшируются файлы и титульные страницы, находящиеся на файловом сервере.

Общий ресурс IPC$ используется при организации временных подключений, создаваемых приложениями для обмена данными с помощью именованных каналов. Как правило, он применяется для удаленного администрирования серверов в сети.

Общий ресурс PRINT$ используется для удаленного администрирования принтеров.

Если удалить скрытые административные ресурсы, созданные операционной системой (например, ADMIN$ или C$), то после перезагрузки компьютера или перезапуска службы «Сервер» они будут созданы повторно. Если удалить скрытые административные ресурсы, созданные пользователями, то после перезагрузки компьютера они повторно созданы не будут.
Microsoft Windows XP Home Edition не создает скрытые административные общие ресурсы.

Удаление скрытого общего ресурса
Чтобы удалить скрытый общий ресурс, выполните следующие действия:
1. На панели управления дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.
2. Разверните узел Общие папки и выберите Ресурсы.
3. В столбце Общая папка щелкните правой кнопкой мыши имя удаляемого общего ресурса, выберите пункт Прекратить общий доступ и нажмите кнопку ОК.

После отключения административных ресурсов, создаваемых по умолчанию, проверьте работоспособность используемых служб и приложений, поскольку ряду служб Windows и приложений независимых разработчиков для работы необходим доступ к некоторым административным общим ресурсам. Например, доступ к этим ресурсам требуется некоторым средствам резервного копирования.

Если вышеуказанное не работает

1. Вначале на целевой рабочей станции запустите редактор реестра: «Пуск > Выполнить: regedit», зайдите в ветку «HKEY_LOCAL_MACHINE\System\CurrentControl Set\Services\lanmanserver\parameters».

2. В реестре проверьте присутствует ли такой ключ:
Для ОС Windows 2000/2003 Server: AutoShareServer типа REG_DWORD со значением «1». Если отсутствует, то такой ключ необходимо создать вручную.
Для ОС Windows XP/7/8: AutoShareWks типа REG_DWORD со значением «1». Если отсутствует, то такой ключ необходимо создать вручную.

Прим.: иногда нужно оба параметра создать. Обратное восстановление доступа к системным шарам:

3. Что бы создать ключ, нужно:
В pедакторе реестра кликнуть правой кнопкой мыши по пустому полю и выбрать в активном меню пункт «Создать» -> «Параметр DWORD». Укажите в новом параметре название ключа соответствующего вашей ОС и нажмите ENTER. Вы создали новый ключ типа REG_DWORD со значением «0».

Теперь кликните правой кнопкой мыши по вашему ключу, появится активной меню, выберите пункт «Изменить»; в диалоговом окне «Изменение параметра DWORD» выставите значение параметра «1» (система исчисления: десятичная). Нажмите ОК.

4. Включите обычную модель сетевого доступа:
• Откройте «Панель управления»;
• Зайдите в «Администрирование -> Локальная политика безопасности -> Параметры безопасности»;
• Выберите политику «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей»;
• Установите модель: «Обычная - локальные пользователи удостоверяются как они сами»;
• Кликнете «ОК». Готово.

Дополнительно для ОС Windows 7 ресурс Admin$ включается следующим образом:

• Зайдите в «Панель управления» (Control panel), выберите пункт «Сеть и Интернет» (Network and Internet), «Сеть и общий доступ» (Network and Sharing Center).
• В левой части нового открывшегося окна кликнуть на строке «Изменить дополнительные параметры общего доступа» (Change Advanced Sharing Settings). Далее, нажать на «Включить общий доступ к файлам и принтерам» (Turn on file and printer sharing). Сохранить настройки.
• Открыть редактор реестра, зайти в ветку «HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\CurrentVersion\Policies\System» и создать в ней ключ типа DWORD с именем LocalAccountTokenFilterPolicy. Выставить значение этого параметра в «1» и перезагрузить компьютер.

Итак в процессе исполнения свой задумки для интерактивного взаимодействия с удаленными системами в домене я возобновил использование пакета программ именуемого, как pstools. Но вот в чем беда при подключении к некоторым из них в консоли я наблюдал вот такую вот строку

Make sure that the default admin$ share is enabled on W7X86.

Говорящую, что на удаленной системе не включен общий ресурс именуемый, как admin$. А вот для работы psexec Он очень необходим. Вот сейчас я разберу все действия которые я применил, чтобы активировать данный ресурс на всех компьютерах домена и что будет если этот ресурс будет выключен (на 100%). Если ресурс admin$ выключен то удаленно просмотреть его не удасться, т. е. Запрос вида: \\host\c$ \\host\admin$ не отобразит ничего какими бы административными правами Вы как администратор домена не обладали.

Если такого нет? \\W7X86\admin$

Доступ к административному ресурсу системы

Выгрузить таблицу по всем сервисам системы, чтобы проанализировать в удобном виде какой сервис отвечает за доступ к ресурсам систем Windows:

C:\Windows\system32>wmic /output:"service.html" service list full /format:htable

За доступ к шаре admin$ отвечает сервис именуемый, как LanmanServer

Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение. Если служба остановлена, такие функции не удастся выполнить. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы..

C:\Windows\system32>sc config lanmanserver start= disabled

C:\Windows\system32>net stop lanmanserver

Следующие рабочие станции имеют сеансы на сервере:

Продолжить операцию? (Y-да/N-нет) [Y]: y

Следующие рабочие станции имеют на сервере сеансы с открытыми файлами:

Продолжить операцию? (Y-да/N-нет) [N]: y

Пробую открыть admin$ (W7X86\admin$)

Пробую открыть admin$ (W7X86\admin$)

или же такое информационное окно:

Доступа все также нет

И соответственно подключиться через утилиту psexec к компьютеру у меня не удасться, а если она запущена:

C:\Windows\system32>sc config lanmanserver start= auto

C:\Windows\system32>net start lanmanserver

То та учетная запись которая обратилась к этому ресурсу, как локального так и удаленного компьютера увидит перечень файлов и каталогов директории c:\Windows\ если обладает Административными правами.

Чтобы в домене ко всем ресурсам можно было обратиться имея права Администратора домена то можно добавить в дефолтную групповую политику домена следующую настройку:

вкладка: General

  • Startup: Automatic
  • Service name: LanmanServer
  • Service action: Start service
  • Log on as: Local System account

вкладка: Recovery

после нажимаю Apply — OK. Теперь на станциях на которые до этого момента я не мог зайти через \\host\admin$ зайти с правами Администратора домена зайти смогу, но только когда станции будут перезагружены, а за этот момент у меня отвечает политика по ежедневному выключению рабочих станций в целях экономии электроэнергии → GPO_Shutdown

Для проверки применения политики запуска сервиса я выключил службу и перезагрузился, после проверяю как отработала политика:

C:\Windows\system32>sc query lanmanserver

Тип : 20 WIN32_SHARE_PROCESS

Состояние : 4 RUNNING

(STOPPABLE, PAUSABLE, IGNORES_SHUTDOWN)

Код_выхода_Win32 : 0 (0x0)

Код_выхода_службы : 0 (0x0)

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще :)

Карта МКБ: 4432-7300-2472-8059

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

Что есть «админ-шара» и с чем её едят?

Общие сетевые ресурсы («шары», от англ. «share» – «делиться») используются для получения доступа к ресурсам на другом компьютере с использованием сетевого подключения.

Например: к компьютеру А по USB подключен принтер, не умеющий работать по сети. При этом, поблизости находится компьютер Б, которому так же необходимо печатать документы на данный принтер. Проще всего это сделать, "расшарив" принтер в сеть, и с компьютера Б отправлять задание печати на компьютер А, а с компьютера А это задание будет автоматически перебрасываться на принтер. В данном случае этот принтер будет называться расшаренным (shared printer).

То же самое можно выполнить с папками: дать доступ на чтение/запись из/в них по сети, и любой (или определённый) пользователь сможет подключиться к компьютеру, выполняющему роль файлового сервера, прочитать, скопировать или записать документы в расшаренную сетевую папку.

Шары подразделяются на пользовательские (которые создаёт сам пользователь, например: для организации файлового сервера в пределах локальной сети, или для обеспечения многопользовательского доступа к принтерам) и административные, которые ОС Windows создаёт автоматически для обеспечения работы некоторых функций ОС.

По-умолчанию Windows создаёт следующие админ-шары:

  • Admin$ – расшаренный каталог %SystemRoot% (обычно – C:\Windows)
  • IPC$ – Remote IPC (используется для сервисов "Удалённый реестр" (RRC), psexec и пр.)
  • C$ – расшаренный раздел диска C: . В случае, если на компьютере имеются другие разделы, которым назначены буквы диска, под них так же будут созданы админ-шары ( D$ , E$ и т.д.)

Помимо этого, в случае включения общего доступа к любому принтеру – будет создана шара Print$ , а в случае включения факс-сервера – FAX$ .

Просмотреть активные шары можно двумя способами:

Как можно заметить, все админ-шары имеют на конце имени символ доллара – $ . С помощью этого символа служба LanmanServer скрывает шару при SMB доступе, из-за чего админ-шары не отображаются, например, при входе на сетевой ресурс из стандартного "Проводника" Windows. Однако стоит упомянуть, что в большинстве сторонних файловых менеджеров, предусмотрен функционал, позволяющий показывать админ-шары на удалённых устройствах.

net view \\computername /all

Помимо сторонних файловых менеджеров, просмотреть список админ-шар на удалённых устройствах можно с помощью CMD/PowerShell, команда: net view \\имя_компьютера /all

Доступ к админ-шарам, как и к любым сетевым ресурсам, происходит по пути: \\имя_компьютера\имя_шары .

Для доступа к админ-шаре необходимо соблюдение следующих условий:

  • И на целевой машине, и на машине, с которой производится попытка получить доступ – должна быть включена поддержка SMB:
    Панель управления – Программы и компоненты – Включение или отключение компонентов Windows – Поддержка общего доступа к файлам SMB 1.0/CIFS (Control Panel – Programs and Features – Turn Windows features on or off – SMB 1.0/CIFS File Sharing Support)

  • На целевой машине должен быть включен общий доступ:
    Панель управления – Центр управления сетями и общим доступом – Изменить дополнительные параметры общего доступа (Control Panel – Network and Sharing Center – Change advanced sharing settings), в разделе текущего профиля (current profile) включить всё:

  • Файерволлы/брандмауэры (в т.ч. Защитник Windows (Windows Defender)) не должны блокировать доступ по порту TCP 445
  • Пользователь, от имени которого происходит авторизация на целевой машине, должен числиться в локальной группе администраторов целевой машины:
    Управление компьютером – Локальные пользователи и группы – Пользователи – Свойства пользователя – Членство в группах (Computer Management – Local Users and Groups – Users – Properties – Member Of). Необходимо добавить пользователя в группу "Администраторы" (или "Administrators" – для редакции Windows с английской локализацией).

При соблюдении всех вышеперечисленных условий, доступ к админ-шарам должен появиться.

Доступ в админ-шару

В случае, если при попытке доступа к админ-шарам появляется ошибка «Отказано в доступе» – способ решения в конце статьи.

Как прекратить общий доступ к админ-шарам

Так или иначе, админ-шары – это брешь в безопасности. Потому, в случае, если админ-шары не используются – есть смысл их удалить.

Прекратить общий доступ к ресурсам можно через CMD/PowerShell или Управление компьютером.

Прекращение общего доступа к админ-шаре

  • Через CMD/PowerShell:
    net share имя_шары /delete , например: net share ADMIN$ /delete
  • Через Управление компьютером:
    Управление компьютером – Служебные программы – Общие папки – Общие ресурсы – ПКМ по ресурсу – Прекратить общий доступ (Computer Management – System Tools – Shared Folders – Shares – ПКМ – Stop Sharing):

Данный способ – ручное прекращение доступа к общим ресурсам. Однако, в будущем, при некоторых манипуляциях с ОС (перезапуск службы сервера Lanman, расшаривание принтеров, включение-отключение факса, подключение дисков или создание разделов, пр.), админ-шары продолжат создаваться автоматически.

Для того, чтобы этого не происходило, необходимо внести изменения в реестр, в ветку HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters .
Изменяем или создаём DWORD32 параметр AutoShareWks (для Windows Desktop) или AutoShareServer (для Windows Server) и присваиваем ему значение 0 .
Сделать это можно:

  • С помощью редактора реестра (regedit) в графической среде
  • Через CMD:
    Desktop: reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 0 /f
    Server: reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 0 /f
  • Через PowerShell:
    Desktop: New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareWks -Type DWORD -Value 0
    Server: New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareServer -Type DWORD -Value 0

Отныне, после перезагрузки компьютера админ-шары не будут создаваться автоматически. Вместе с этим перестанут работать встроенные утилиты удалённого управления компьютером.

Как вернуть автоматическое создание и восстановить стандартные админ-шары

Для включения автоматического создания админ-шар необходимо в реестре, в разделе HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters изменить значение параметра AutoShareWks или AutoShareAuto на 1 или вовсе удалить этот параметр.

Для восстановления стандартных админ-шар, достаточно после включения автоматического создания админ-шар перезапустить службу LanmanServer:

Перезапуск службы "Сервер" из "Управления компьютером"

  • CMD:
    sc stop LanmanServer & ping -n 10 0.0.0.0 > nul & sc start LanmanServer
  • PowerShell:
    Restart-Service LanmanServer
  • Управление компьютером:
    Управление компьютером – Службы и приложения – Службы – Служба «Сервер» – Перезапустить (Computer Management – Services and Applications – Services – «Server» – Restart)

После произведённых манипуляций, стандартные админ-шары должны быть созданы.

«Отказано в доступе» или «Access is denied» при попытке входа в админ-шару

Начиная с Windows Vista, Microsoft ввели UAC – инструмент повышения безопасности ОС. В частности, один из компонентов UAC – Remote UAC, может мешать в получении доступа к админ-шарам, если компьютер находится не в домене. Для отключения данного компонента, необходимо внести изменения в реестр на целевой машине.

Для этого в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Создайте параметр типа DWORD32 с именем LocalAccountTokenFilterPolicy и задайте ему значение 1 .

В некоторых случаях требуется перезагрузить компьютер для применения изменений.

Это же действие можно выполнить с помощью команды CMD/PS:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

В некоторых случаях необходимо включить административные общие ресурсы на локальных жёстких дисках, обычно для административных целей. Административные общие ресурсы — это сетевые папки, которые создаются по умолчанию (также называются Admin shares или Administrative shares) для всех дисков (C$, D$ и т.д.) на компьютере Windows, которые по умолчанию скрыты и недоступны из сети.

В этом руководстве вы найдёте инструкции о том, как успешно включить стандартные административные общие ресурсы локальных дисков на компьютере под управлением Windows 10, 8.1, 8 или 7.

Как включить стандартные общие административные ресурсы — C$ - в ОС Windows 10, 8 или 7

Важное замечание: чтобы получить доступ к общим ресурсам администратора, необходимо убедиться, что компьютеры Хост* и Гость** принадлежат к одной и той же рабочей группе или домену (оба имеют одинаковое имя рабочей группы или домена).

* Хост-компьютер = компьютер с активированными общими ресурсами администратора.

** Гостевой компьютер = любой другой компьютер в сети, который будет подключаться к общим ресурсам администратора на хост-компьютере.

Чтобы проверить, какое имя у вашего компьютера, откройте проводник, в нём найдите вкладку «Этот компьютер», вверху нажмите кнопку «Компьютер» и в открывшемся меню нажмите кнопку «Свойства»:


В новом открывшемся окне вы увидите «Имя компьютера» и «Рабочую группу»:


Шаг 1. Включите учётную запись администратора и установите пароль.

Если вы хотите получить доступ к общим ресурсам администратора на компьютере (хосте), используя учётную запись пользователя «Администратор», то вы должны включить и установить пароль для учётной записи администратора на этом компьютере. Для этого:

1. Нажмите клавиши Win+r, чтобы открыть окно запуска команды.

2. Введите lusrmgr.msc и нажмите Enter.


3. Откройте Пользователи.


4. Щёлкните правой кнопкой мыши Администратор и выберите Свойства.

5. Снимите флажок «Отключить учётную запись» и нажмите ОК.


6. Снова щёлкните правой кнопкой мыши учётную запись администратора и выберите «Задать пароль».


7. Укажите пароль для учётной записи администратора и нажмите «ОК».

Шаг 2. Общий доступ к файлам и принтерам

На обеих машинах, т.е. удалённом компьютере (которым будем управлять) и локальном компьютере (с которого будем управлять), должен быть включён общий доступ к файлам и принтерам.

Нажмите правой кнопкой мыши на значок сетевого соединения и нажмите «Открыть параметры сети и Интернет»:


В открывшемся окне нажмите на «Параметры общего доступа»:


Если вы хотите перейти к этим настройкам через «Панель управления», то путь такой: Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом\Дополнительные параметры общего доступа

В новом окне настройки разбиты на три раздела:

  • Частная
  • Гостевая или общедоступная
  • Все сети


Пометка «(текущий профиль)» означает, что в данный момент используется именно этот профиль.

Нам нужно изменить настройки для той сети, которая отмечена как «(текущий профиль)», а также в разделе «Все сети».

Переходим в Частная (текущий профиль):


Первая настройка: Сетевой обнаружение (Если включено сетевое обнаружение, этот компьютер может видеть другие компьютеры и устройства в сети и виден другим компьютерам). В ней выберите «Включить сетевое обнаружение» и поставьте галочку «Включить автоматическую настройку на сетевых устройствах».

Вторая настройка: Общий доступ к файлам и принтерам (Если общий доступ к файлам и принтерам включён, то файлы и принтеры, к которым разрешён общий доступ на этом компьютере, будут доступны другим пользователям в сети). Здесь выберите «Включить общий доступ к файлам и принтерам».

Вас также могут заинтересовать статьи:

Шаг 3. Включите общий доступ к файлам и принтерам в брандмауэре Windows

Следующий шаг — включить «Общий доступ к файлам и принтерам» через брандмауэр Windows. (на хост-компьютере)

Проверьте, что сетевой доступ к файлам и принтерам включён в файерволе. Для этого нажмите Win+r, введите там firewall.cpl.

Во вкладке «Разрешение взаимодействия с приложениями или компонентами в брандауэре защитника Windows»


найдите «Общий доступ к файлам и принтерам» и убедитесь, что стоит галочка в столбце «Частная» - если его там нет, то нажмите кнопку «Изменить параметры», поставьте галочку и нажмите ОК.


Заключение

Теперь вы сможете получить доступ к общим дискам администратора на главном компьютере, с любого другого компьютера в вашей сети (Гостевой компьютер), введя в поле Открыть (или Win+r) имя (или IP-адрес)) хост-машины и букву диска, к которому вы хотите получить доступ, за которым следует символ доллара ($).

Например, если вы хотите получить доступ к диску «C:\» на «hackware-mial», введите в поле «Открыть»: \\hackware-mial\C$


Если появится окно запроса имени пользователя и пароля, то в качестве имени введите «Администратор» и пароль администратора на удалённом компьютере.

Читайте также: