Мне нужно настроить несколько общих ресурсов на сервере Windows (2003), но мне действительно не нравятся эти общие ресурсы по умолчанию (C$, ADMIN$, IPC$).
Кажется, я помню, что вы не должны удалять эти общие ресурсы, но когда служба общего доступа отключена, они все равно не работают, так почему я должен оставлять их, когда служба включена? Могу ли я удалить их, не рискуя перезагрузкой?
Я всегда считал их обузой, поэтому поправьте меня, если я ошибаюсь.
За Эта статья из базы знаний Microsoft:
Вы можете удалить эти акции в прямом эфире в соответствии с ответом Роя.
Примечание. Windows автоматически создаст общие административные ресурсы после перезагрузки. Чтобы предотвратить такое поведение, используйте regedit, чтобы найти следующий ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Создайте следующие 2 значения реестра DWORD:
AutoShareServer 0 AutoShareWks 0
Посмотрите эту статью Microsoft:
Как создавать и удалять скрытые или административные общие ресурсы на клиентских компьютерах
Чтобы удалить скрытый общий ресурс, выполните следующие действия:
На панели управления дважды щелкните Инструменты управления, а затем дважды щелкните Управление компьютером.
Развернуть Общие папки, а затем щелкните Акции.
в Общая папка столбец, щелкните правой кнопкой мыши общий ресурс, который вы хотите удалить,
щелкнуть Прекратить делиться, а затем щелкните хорошо.Исправление проблем
Проверьте работоспособность своих программ и служб после отключения административных общих ресурсов по умолчанию. Некоторые службы Windows зависят от наличия этих общих ресурсов.
РЕДАКТИРОВАТЬ: (Спасибо, Борк Блатт)
Вам необходимо отредактировать реестр, чтобы предотвратить повторное создание общих дисков после перезагрузки компьютера.
вики
Единственное, что я знаю об этом, - это программное обеспечение для управления MS, такое как SMS и MOM. Даже руководство, приведенное выше, дает только «Майкрософт не рекомендует», а не ужасно.
Я полагаю, что если вы хардкор, они вам помеха. Я считаю их полезными и использую C $ / D $ каждый день. Поскольку для подключения к ним вам нужно быть администратором, я не вижу причин для их удаления. Рой уже связал статью MS, чтобы избавиться от них. Я считаю, что требуется перезагрузка. Если вам нужно было запретить людям подключаться ко всем общим ресурсам, пока вы ждете перезагрузки, вы можете остановить службу «сервера».
По умолчанию к этим общим ресурсам нельзя получить доступ анонимно, поэтому пользователь должен быть уже аутентифицирован, прежде чем он сможет потенциально злоупотребить ими. И если плохой парень уже в вашей сети, я думаю, вам стоит беспокоиться о более серьезных вещах, чем общий доступ администратора по умолчанию.
В любом случае, помимо даже служб Windows, которые могут зависеть от них, как администратор они могут быть невероятно полезно. например если вам нужен доступ к диску C машины без удаленного доступа к нему.
Мой инстинкт - не связываться со встроенными функциями, поскольку они могут иметь далеко выходящие за рамки очевидного.
Я пока не могу комментировать, но я хотел расширить сообщение Борка в отношении общих ресурсов NETLOGON и SYSVOL.
Netlogon будет местом по умолчанию, откуда AD извлекает ваши сценарии входа в систему. Sysvol будет хранить групповые политики и ваши каталоги в зависимости от роли сервера.
@MatthewC Если вы скомпрометируете машину, добавьте еще одну учетную запись, предоставьте ей доступ администратора. Вы можете получить полный доступ к этим сетевым ресурсам. Раньше я делал это со своими соседями по комнате ...
Так легко скомпрометировать одну машину, что это не смешно.
Раньше их рекомендовали отключить, но слишком много продуктов, которые мы используем для управления средами, такими как SMS / SCCM, используют их. Например, некоторые продукты для управления исправлениями развертываются с использованием общих ресурсов администратора. Так что оставим их включенными. Ключ в том, чтобы гарантировать, что только действительные люди, которые должны иметь административные права в системе, имеют его. Потому что в противном случае кто-то может войти и повторно активировать их (да, я знаю, что вы можете принудительно сбросить настройки через GPO, но есть способы предотвратить работу GPO или повлиять на эти настройки).