Windows 10 से SYSVOL और NETLOGON फ़ोल्डरों तक पहुँचने में असमर्थ

SYSVOL . तक पहुंचने का प्रयास करते समय मैंने कुछ अजीब चीजें देखीं और नेटलॉगन Windows 10/Windows Server 2016 से डोमेन में फ़ोल्डर। जब मैंने UNC पथ \\<domain.com>\SYSVOL द्वारा डोमेन तक पहुँचने का प्रयास किया या डोमेन नियंत्रक आईपी पते द्वारा \\192.168.100.10\Netlogon , एक 'प्रवेश निषेध है . दिखाई दिया ' त्रुटि और विंडोज सुरक्षा फ़ोल्डर तक पहुंचने के लिए उपयोगकर्ता प्रमाण-पत्र दर्ज करने के लिए संकेत देता है। एक मान्य डोमेन उपयोगकर्ता या यहां तक ​​कि डोमेन व्यवस्थापक क्रेडेंशियल दर्ज करने के बाद भी, फ़ोल्डर्स नहीं खुले।

इस बीच, वही Sysvol/Netlogon फ़ोल्डर सामान्य रूप से (बिना पासवर्ड के) खुलता है यदि आप डोमेन नियंत्रक होस्ट या FQDN नाम निर्दिष्ट करते हैं:\\be-dc1.domain.com\sysvol या बस \\be-dc1\sysvol ।

साथ ही, समूह नीति लागू करने में समस्या कंप्यूटर पर हो सकती है। आपको EventID 1058 . में त्रुटियां मिल सकती हैं इवेंट व्यूअर लॉग में:

The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.

यह नई विंडोज सुरक्षा सेटिंग से संबंधित है जो डोमेन कंप्यूटर को कोड (लॉगऑन स्क्रिप्ट, निष्पादन योग्य) चलाने और अविश्वसनीय स्रोतों से नीति कॉन्फ़िगरेशन फ़ाइलों को प्राप्त करने से बचाता है — UNC हार्डनिंग . Windows 10/Windows Server 2016 सुरक्षा सेटिंग्स के लिए आवश्यक है कि निम्न सुरक्षा स्तरों का उपयोग उन्नत सुरक्षा (SYSVOL और NETLOGON साझा फ़ोल्डर) के साथ UNC निर्देशिकाओं तक पहुँचने के लिए किया जाए:

• आपसी प्रमाणीकरण एक सर्वर और क्लाइंट का। Kerberos प्रमाणीकरण के लिए प्रयोग किया जाता है। (NTLM समर्थित नहीं है।) यही कारण है कि आप डोमेन नियंत्रक पर SYSVOL और NETLOGON शेयरों को उसके IP पते से एक्सेस नहीं कर सकते। डिफ़ॉल्ट रूप से, RequireMutualAuthentication=1 ।
• ईमानदारी एसएमबी सिग्नेचर चेक है। यह सुनिश्चित करने की अनुमति देता है कि एसएमबी सत्र में डेटा ट्रांसमिशन के दौरान संशोधित नहीं किया गया है। SMB हस्ताक्षर SMB 2.0 या उच्चतर में समर्थित है (SMB v 1 SMB सत्र हस्ताक्षर का समर्थन नहीं करता है)। डिफ़ॉल्ट मान RequireIntegrity=1 है ।
• गोपनीयता एक SMB सत्र में डेटा एन्क्रिप्शन से संबंधित है। यह SMB v 3.0 (Windows 8/Windows Server 2012 या नए) से शुरू होकर समर्थित है। डिफ़ॉल्ट मान है RequirePrivacy=0 . यदि आपके पास अपने नेटवर्क में पुराने Windows संस्करणों (Windows 7/Windows Server 2008 R2 या पूर्व) के साथ कोई कंप्यूटर या डोमेन नियंत्रक हैं, तो RequPrivacy=1 विकल्प का उपयोग न करें। अन्यथा, पुराने क्लाइंट डोमेन नियंत्रकों पर नेटवर्क साझा किए गए फ़ोल्डर तक नहीं पहुंच पाएंगे।

मूल रूप से, ये बदलाव विंडोज 10 में 2015 में सुरक्षा अद्यतन MS15-011 और MS15-014 के एक भाग के रूप में किए गए थे। इसके परिणामस्वरूप एकाधिक यूएनसी प्रदाता (एमयूपी) . में परिवर्तन हुए एल्गोरिथम जो अब डोमेन नियंत्रकों पर महत्वपूर्ण फ़ोल्डरों तक पहुँचने के लिए विशेष नियमों का उपयोग कर रहा है:\\*\SYSVOL और \\*\NETLOGON .

SYSVOL और NETLOGON को एक्सेस करने के लिए, आप ग्रुप पॉलिसी का उपयोग करके विंडोज 10 में UNC हार्डनिंग सेटिंग्स को बदल सकते हैं। आप कठोर UNC पथ में विभिन्न UNC पथों तक पहुँचने के लिए विशेष सुरक्षा सेटिंग्स का उपयोग कर सकते हैं नीति।

1. स्थानीय समूह नीति संपादक खोलें (gpedit.msc);
2. नीति अनुभाग पर जाएं कंप्यूटर कॉन्फ़िगरेशन -> व्यवस्थापकीय टेम्पलेट -> नेटवर्क -> नेटवर्क प्रदाता;
3. कठोर UNC पथ सक्षम करें नीति;
4. दिखाएंक्लिक करें बटन और नेटलॉगन और सिसवोल के लिए यूएनसी पथों के लिए प्रविष्टियां बनाएं। विशिष्ट फ़ोल्डरों के लिए UNC हार्डनिंग को पूरी तरह से अक्षम करने के लिए (अनुशंसित नहीं!), निम्नलिखित मान निर्दिष्ट करें:RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0

• \\192.168.200.2 (डोमेन नियंत्रक आईपी पता)
• \\domain.com
• \\DCName

या आप यूएनसी पथ (किसी भी डीसी पर) से स्वतंत्र रूप से Sysvol और Netlogon तक पहुंच की अनुमति दे सकते हैं:

• \\*\SYSVOL
• \\*\NETLOGON

आपको आवश्यक सभी डोमेन (डोमेन नियंत्रक) नाम या आईपी पते निर्दिष्ट करें।

Microsoft अनुशंसा करता है कि सुरक्षित रूप से के लिए इन सेटिंग्स का उपयोग करें महत्वपूर्ण UNC निर्देशिकाओं तक पहुँचें:

• \\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
• \\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

अब आपको बस gpupdate /force . का उपयोग करके अपने कंप्यूटर पर नीतियों को अपडेट करना है आदेश दें और सुनिश्चित करें कि आप Sysvol और Netlogon तक पहुंच सकते हैं।

आप केंद्रीकृत डोमेन GPO या क्लाइंट पर निम्न कमांड का उपयोग करके इन मापदंडों को कॉन्फ़िगर कर सकते हैं:(जब आप डोमेन नियंत्रकों पर SYSVOL और NETLOGON फ़ोल्डरों तक पहुँचते हैं तो ये कमांड Kerberos प्रमाणीकरण को अक्षम कर देंगे। इसके बजाय NTLM का उपयोग किया जाएगा, और आप खोलने में सक्षम होंगे डीसी पर संरक्षित फ़ोल्डरों को उनके आईपी पते द्वारा।)

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

• आपके पास एक डोमेन नियंत्रक (Windows Server 2008 R2/Windows Server 2012 चलाने वाला DC) पर कोई कठोर UNC पथ पैरामीटर नहीं होने पर व्यवस्थापकीय टेम्पलेट का पुराना संस्करण है;
• ग्राहकों को Sysvol की पहुंच न होने के कारण डोमेन नीतियां सेटिंग नहीं मिल सकती हैं और आप इन रजिस्ट्री सेटिंग्स को परिनियोजित नहीं कर सकते हैं।