Windows 10 更新引入了安全增强功能,Windows 10 客户端无法浏览到 syslog 和 netlogon 共享,以防止对这些位置的意外访问。
症状是任何尝试从 Windows 10 机器访问这些共享,都会提示用户输入登录凭据,甚至域管理员帐户都不会被授予访问权限。
这可以通过将 DC 的 UNC 路径 (<\\DC_name>) 添加到每个 Windows 10 客户端的本地 GPO 编辑器中的硬化 UNC 路径来解决,该路径位于
Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths
现在这是一个可行的解决方案,但它并不理想,因为我们有 120 多个客户端(其中一些位于地理位置偏远的站点),手动执行它们并不方便,更不用说违背选择一个整体目的的事实了用于中央客户端管理的域控制器。
当尝试从 GPO 推送此类设置时,有两个问题:
- 相同的 GPO 在服务器 2012 (DC) 上的 GP 管理控制台中不可用。
- 由于 GPO 是通过 sysvol 文件夹推送的,并且此类文件夹不可访问(除非您手动进行修复),因此推送到客户端是相当不可能的。
期望的结果是通过 DC 解决此问题,而不是从每个 Windows 客户端单独解决。
我期待提供帮助。
谢谢,
Ĵ
经过进一步研究,确定可以通过手动强化客户端上的 UNC 路径来解决此问题。我们使用以下脚本更容易实现:
这只是使用命令行应用强化的 UNC 路径,而不是单击本地 GPO。据了解,微软正在为此事提供解决方案。
您说您将 DC_NAME 作为强化的 UNC 放入 GPO。知识库中的示例是
\\*\Netlogon和\\*\Sysvol。使用 DC 名称可能不是一个好主意,因为这些名称会发生变化,并且客户端也可能使用\\DOMAIN_NAME\Sysvol. 如果您仍在 UNCH GPO 设置中使用特定的 DC 名称,则可能是问题所在。您的原始帖子从未提到您混合了 2012 年和 2003 年的 DC。听起来你只有 2012 年的 DC。UNCH 从未用于 2003 操作系统。
阅读知识库https://support.microsoft.com/en-us/kb/3000483