Windows 10下的網路認證問題...

windows 10 server2008 r2

T.M.R 2017-07-14 11:39:39 ‧ 42492 瀏覽

小弟先簡略說明一下公司內部環境：
1.有網域、不須憑證
2.防火牆那些也都有
3.每台電腦OS一律都是Pro
4.95%以上使用Win7
5.server端為2008 R2

最近公司有在考慮將server升到2016，不過似乎一些技術上問題，
可能頂多先嘗試升到2012 (2016有些前輩說不太穩)

員工的作業系統至今還不敢全面性的去做升級至Win10，所以由小弟
先做資訊課裡的內部測試。

基本上相容性很足夠，一些ERP等系統都還沒出現無解的情況，
反倒是Win10在網路認證這塊似乎比Win7有著更嚴謹的安全性，

在Win7以\1XX.XX.XX.XXX登入主機端的資料夾，僅需要透過administrator
身分進入即可，或者是有加入網域的管理者身分也可，不過最近升上Win10後，

發現不管怎麼登就是會被拒絕存取，想請問是否是如小弟想的調整安全性就好嗎?

是在AD端調整還是使用者本機端呢? 求指教，謝謝。

看更多先前的討論...收起先前的討論...

小成 iT邦高手 10 級 ‧ 2017-07-14 11:42:13 檢舉

你是要連遠端的系統共用?
https://support.microsoft.com/zh-tw/help/942817/how-to-change-the-remote-uac-localaccounttokenfilterpolicy-registry-se
用戶端要改，我是弄在GPO中部署

T.M.R iT邦新手 5 級 ‧ 2017-07-14 14:42:03 檢舉

連AD本身的資料夾

wt6768 iT邦新手 4 級 ‧ 2017-07-14 14:56:38 檢舉

請問環境內只要是WIN10的電腦就無法存取嗎?
WIN10是upgrade的嗎?

窮嘶發發發 iT邦高手 1 級 ‧ 2017-07-14 17:07:33 檢舉

你新的 2012 伺服器是目前的域還是新的域，新的域有相互信任嘛，還是單獨的伺服器，這一些都沒說清楚
最簡單的做法就是 2012 登入目前的域然後直接 dcpromo 成 dc ，接著對原本的 pdc 做一次 schma 升級，然後讓 2012 變成 pdc ( 取得 5大角色 )
再把 2008 降級，之後再看一下有沒有登入問題，每一個操作最好適應幾天觀察看看，有問題，找mcse/mcsa工程師問問，這些操作他們都很瞭的

T.M.R iT邦新手 5 級 ‧ 2017-07-14 17:57:01 檢舉

To wt6768：非upgrade 出機就是Win10 pro
To 發發發：目前還是2008 R2

窮嘶發發發 iT邦高手 1 級 ‧ 2017-07-15 02:16:01 檢舉

1 WIN 10 要加入域
2 登入 WIN 10 的 USER 必須是域的帳戶
3. 該帳戶必須有登入域主機的權限 ( 域主機安全性原則 )
建議樓主念一下 AD 域方面的管理書籍，可以的話去上一下 mcse/mcsa 課程
或是找一下有 mcse/mcsa 的工程師朋友或至少有上過相關課程的朋友，你的問題基本上很簡單
小弟的公司還在用 2003 域，主要伺服器都是 2008 但都是獨立伺服器，用戶端 XP ~ 10 都有，沒遇過你說的問題
難道你學我改用 2003 的嘛，因為我的案例，所以 2003 的支援性最好 => 鬼扯蛋，你的問題就是安全性設定沒搞好而已

窮嘶發發發 iT邦高手 1 級 ‧ 2017-07-15 02:21:39 檢舉

還有，沒看過有人開放 DOMAIN ADMIN 的帳戶從用戶端登入的，難道都不怕被側錄，ADMINISTRATOR 要少用，要更名，甚至停用
不同的域權限可以指派給其他帳戶，這是基本的管理規則，真的建議樓主去上課
每個人都用 DOMAIN ADMIN 帳戶，萬一某個人中勒索病毒，那整個網路所有的檔案就全部毀了，因為每個人都是網域的最高權限，這不就全毀了

窮嘶發發發 iT邦高手 1 級 ‧ 2017-07-15 02:25:56 檢舉

用主機名存取共用資源吧，誰會去記憶那個落落長的 IP 位址

CalvinKuo iT邦大師 7 級 ‧ 2017-07-17 09:40:21 檢舉

敝公司有Windows 10 Home/Pro,，用網域帳號連網域伺服器2003/2008/2016都沒你這個問題。
我只能想到你們的分享設定(NTFS部分)有問題，怎麼會要用到管理者權限來做...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

im47

iT邦新手 3 級 ‧ 2017-07-14 13:07:59

要連線的遠端共用主機是否有加入網域?
若沒有加入請使用該主機的Local帳號登入,請使用".\localaccount"
前題當然是要有權限啦~
不然操作的電腦已經加入網域且登入網域了,會使用網域帳號去驗證!
另外也要注意"控制台-->使用者帳戶-->認證管理員"下是否曾經有儲存"Windows認證"

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

T.M.R iT邦新手 5 級 ‧ 2017-07-14 14:20:02 檢舉

其實就是連server那台，所以自身就有在網域內，Windows認證部份我也看過了，不管是儲存或是刪掉重打，一樣進不去....

im47 iT邦新手 3 級 ‧ 2017-07-17 15:39:47 檢舉

執行"gpedit.msc",然後到[電腦設定]->[系統管理範本]->[網路]->[網路提供者]->在"已強化的UNC路徑"按右鍵"編輯",然後在左邊"選項"中找到"顯示"打開它,將您要連線的DC伺服器名稱(例:\DC1)輸入到"值名稱",並將"RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"(中間不要有空格)輸入到"值",最後"套用"並關閉"本機群組原則"重新連線試試!!(我測試過OK~)

im47 iT邦新手 3 級 ‧ 2017-07-17 15:41:47 檢舉

舉例少打個"",應該是"\DC1"

CalvinKuo iT邦大師 7 級 ‧ 2017-07-17 16:19:14 檢舉

還有要注意DC沒有辦法登入本機帳號，只能用網域帳號...

登入發表回應

dozi

iT邦新手 5 級 ‧ 2018-08-09 09:30:30

小弟也有相同的問題發生，我先簡單的說明一下環境
1.192.168.0.1 = Windows Server 2008 R2 剛安裝好就直接 Dcpromo 完成
2.192.168.0.2 = Windows 7 Pro 剛安裝好就直接加入網域
3.192.168.0.3 = windows 10 Pro 1709 剛安裝好就直接加入網域

192.168.0.2 Win7Pro 這台，以　WS001 作為 Domain User 使用者身分在檔案總管中輸入
\192.168.0.1\sysvol 是可以直接進入

192.168.0.3 Win10Pro 這台，以　WS001 作為 Domain User 使用者身分在檔案總管中輸入
\192.168.0.1\sysvol 則會出現必須輸入帳號密碼，而且即使輸入了正確的帳號密碼也是無法進入，會出現拒絕存取

我想問的是在 Win10 之前的 Client 端進入sysvol這資料匣是很順利的
但是換成了 Win10的 Client 端，怎麼就突然變成無法進入(拒絕存取)

這問題出現在我目前管理的實際環境中，為了驗證這情況我也做了 LAB ，這證實了我的疑慮，不是我的環境出了問題，而是 Win10 在跟 DC 的　sysvol　共用資料匣驗證有做了甚麼改變？

請問各位大大，有誰知道這是怎麼回事嗎？

回應 1
分享
檢舉

dozi iT邦新手 5 級 ‧ 2018-08-10 11:08:54 檢舉

已經有位大神解決了我的問題，請參考：
https://ithelp.ithome.com.tw/questions/10190266
Windows 10 在跟　DC 的 sysvol 共用資料匣驗證上，有做了甚麼改變？

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙