iT邦幫忙

0

Windows 10下的網路認證問題...

小弟先簡略說明一下公司內部環境:
1.有網域、不須憑證
2.防火牆那些也都有
3.每台電腦OS一律都是Pro
4.95%以上使用Win7
5.server端為2008 R2

最近公司有在考慮將server升到2016,不過似乎一些技術上問題,
可能頂多先嘗試升到2012 (2016有些前輩說不太穩)

員工的作業系統至今還不敢全面性的去做升級至Win10,所以由小弟
先做資訊課裡的內部測試。

基本上相容性很足夠,一些ERP等系統都還沒出現無解的情況,
反倒是Win10在網路認證這塊似乎比Win7有著更嚴謹的安全性,

在Win7以\1XX.XX.XX.XXX登入主機端的資料夾,僅需要透過administrator
身分進入即可,或者是有加入網域的管理者身分也可,不過最近升上Win10後,

發現不管怎麼登就是會被拒絕存取,想請問是否是如小弟想的調整安全性就好嗎?

是在AD端調整還是使用者本機端呢? 求指教,謝謝。
http://ithelp.ithome.com.tw/upload/images/20170714/20106258B9g1gKdHCy.jpg

看更多先前的討論...收起先前的討論...
小成 iT邦高手 10 級 ‧ 2017-07-14 11:42:13 檢舉
你是要連遠端的系統共用?
https://support.microsoft.com/zh-tw/help/942817/how-to-change-the-remote-uac-localaccounttokenfilterpolicy-registry-se
用戶端要改,我是弄在GPO中部署
T.M.R iT邦新手 5 級 ‧ 2017-07-14 14:42:03 檢舉
連AD本身的資料夾
wt6768 iT邦新手 4 級 ‧ 2017-07-14 14:56:38 檢舉
請問環境內只要是WIN10的電腦就無法存取嗎?
WIN10是upgrade的嗎?
你新的 2012 伺服器是目前的域 還是 新的域 ,新的域 有相互信任嘛,還是單獨的 伺服器,這一些都沒說清楚
最簡單的做法就是 2012 登入目前的域 然後 直接 dcpromo 成 dc ,接著 對原本的 pdc 做一次 schma 升級,然後讓 2012 變成 pdc ( 取得 5大角色 )
再把 2008 降級,之後再看一下 有沒有 登入問題,每一個操作最好適應幾天觀察看看,有問題,找mcse/mcsa工程師問問,這些操作他們都很瞭的
T.M.R iT邦新手 5 級 ‧ 2017-07-14 17:57:01 檢舉
To wt6768: 非upgrade 出機就是Win10 pro
To 發發發:目前還是2008 R2
1 WIN 10 要加入 域
2 登入 WIN 10 的 USER 必須是 域的 帳戶
3. 該 帳戶 必須有 登入 域主機的權限 ( 域主機安全性原則 )
建議樓主念一下 AD 域方面的管理書籍,可以的話去上一下 mcse/mcsa 課程
或是找一下有 mcse/mcsa 的工程師朋友或至少有上過相關課程的朋友,你的問題基本上很簡單
小弟的公司還在用 2003 域,主要伺服器都是 2008 但都是獨立伺服器,用戶端 XP ~ 10 都有,沒遇過你說的問題
難道你學我改用 2003 的嘛,因為我的案例,所以 2003 的支援性最好 => 鬼扯蛋,你的問題就是安全性設定沒搞好而已
還有,沒看過有人開放 DOMAIN ADMIN 的帳戶從用戶端登入的,難道都不怕被側錄,ADMINISTRATOR 要少用,要更名,甚至停用
不同的域權限可以指派給其他帳戶,這是基本的管理規則,真的建議樓主去上課
每個人都用 DOMAIN ADMIN 帳戶,萬一某個人中勒索病毒,那整個網路所有的檔案就全部毀了,因為每個人都是網域的最高權限,這不就全毀了
用主機名存取共用資源吧,誰會去記憶那個落落長的 IP 位址
CalvinKuo iT邦大師 7 級 ‧ 2017-07-17 09:40:21 檢舉
敝公司有Windows 10 Home/Pro,,用網域帳號連網域伺服器2003/2008/2016都沒你這個問題。
我只能想到你們的分享設定(NTFS部分)有問題,怎麼會要用到管理者權限來做...

1 個回答

0
im47
iT邦新手 4 級 ‧ 2017-07-14 13:07:59

要連線的遠端共用主機是否有加入網域?
若沒有加入請使用該主機的Local帳號登入,請使用".\localaccount"
前題當然是要有權限啦~
不然操作的電腦已經加入網域且登入網域了,會使用網域帳號去驗證!
另外也要注意"控制台-->使用者帳戶-->認證管理員"下是否曾經有儲存"Windows認證"

看更多先前的回應...收起先前的回應...
T.M.R iT邦新手 5 級 ‧ 2017-07-14 14:20:02 檢舉

其實就是連server那台,所以自身就有在網域內,Windows認證部份我也看過了,不管是儲存或是刪掉重打,一樣進不去....

im47 iT邦新手 4 級 ‧ 2017-07-17 15:39:47 檢舉

執行"gpedit.msc",然後到[電腦設定]->[系統管理範本]->[網路]->[網路提供者]->在"已強化的UNC路徑"按右鍵"編輯",然後在左邊"選項"中找到"顯示"打開它,將您要連線的DC伺服器名稱(例:\DC1)輸入到"值名稱",並將"RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"(中間不要有空格)輸入到"值",最後"套用"並關閉"本機群組原則"重新連線試試!!(我測試過OK~)

im47 iT邦新手 4 級 ‧ 2017-07-17 15:41:47 檢舉

舉例少打個"",應該是"\DC1"

CalvinKuo iT邦大師 7 級 ‧ 2017-07-17 16:19:14 檢舉

還有要注意DC沒有辦法登入本機帳號,只能用網域帳號...

我要發表回答

立即登入回答