Общие административные ресурсы windows 10

Административные общие папки (шары, ресурсы) в Windows используются для удаленного доступа и управление компьютером. Windows по-умолчанию создает следующие административные шары:

• Admin$
  — Remote Admin (это каталог
  %SystemRoot%
  ) – используется для удаленного администрирования компьютера;
• IPC$
  — Remote IPC — используется для коммуникации программ named pipes)
• C$
  — Default Share. Расшаренный системный диск. Если на компьютере есть другие диски с назначенными буквами, они также автоматически публикуются в виде административных общих ресурсов (
  D$
  ,
  E$
  и т.д.);
• Print$
  — публикуется, если вы открыли общий доступ к принтеру (используется, чтобы открыть доступ к каталогу с драйверами принтеров
  C:\Windows\system32\spool\drivers
  );
• FAX$
  — используется для общего доступа к факс-серверу.

Использование административных шар в Windows

Список административных папок на компьютере можно вывести в консоли управления компьютером
compmgmt.msc
( System Tools -> Shared Folders -> Shares, Общие папки -> Общие ресурсы), выполнив команду
net share
.

Картинка с сайта: winitpro.ru

Имена общих административных шар заканчиваются знаком $. Служба LanmanServer скрывает общие папки с символом $ в сетевом окружении. Если в проводнике открыть список доступных сетевых папок на компьютере (
\\computername
), административные шары не будут показаны.

Можно получить список доступных административных шар на удаленном компьютере с помощью команды:

net view \\computername /all

Картинка с сайта: winitpro.ru

В большинстве сторонних файловых менеджеров для Windows доступна опция, позволяющая автоматически показывать доступные административные ресурсы на удаленных компьютерах.

Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Нажмите Win+R, и выполните команду
\\computername\c$
.

Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.

Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол, общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall.

Картинка с сайта: winitpro.ru

Как удалить общие административные шары в Windows?

Административные общие папки Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности. Вы можете полностью запретить Windows создавать эти скрытые папки. Это не нарушит работу компьютера Windows, использующегося в качестве клиента, но ограничит его удаленное администрирование.

Чтобы отключить общую административную папку, выберите опцию Stop sharing в консоли Computer Management (или выполните команду
net share IPC$ /delete
). Это удалит общую административную папку, но по после перезагрузки компьютера Windows пересоздаст ее автоматически.

Картинка с сайта: winitpro.ru

Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0.

Картинка с сайта: winitpro.ru

Можно создать это параметр реестра вручную, из командной строки reg add:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

или через PowerShell:

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.

В доменной сети вы можете запретить публиковать локальные диски компьютеров в качестве административных шар с помощью групповых политик:

1. Создайте новую GPO в консоли GPMC. Перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Network Shares;
2. Выберите Action: Delete и включите опцию Delete all administrative drive-letter shares.
   

   Картинка с сайта: winitpro.ru

Включить административные общие папки в Windows

Если вы хотите включить административные сетевые папки, нужно изменить значение параметра на 1 или удалить его.

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Картинка с сайта: winitpro.ru

Административные шары публикуются службой LanmanServer. Если эта служба остановлена, удаленные пользователи не смогут получить доступ к общим ресурсам на этом компьютере.

Get-Service LanmanServer

Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:

Get-service LanmanServer | restart-service

Картинка с сайта: winitpro.ru

Выполните команду PowerShell Get-SmbShare и проверьте, что административные шары стали доступны.

Разрешить удаленный доступ к административным папкам Windows

На компьютерах, добавленных в домен AD, удаленный доступ к административным шарам разрешен пользователям, состоящим в локальной группе администраторов.

Однако Windows по-умолчанию блокирует удаленный доступ к административным шарам на компьютерах в рабочей группе (Workgroup). При попытке открыть в проводнике список файлов на таком компьютере с помощью команды\
\win10_pc\C$

появляется запрос пароля. После ввода учетных данных локального пользователя из группы локальных администраторов появляется ошибка доступа (Access is denied). Удаленный доступ к административным шарам возможен только под встроенным администратором Windows.

Картинка с сайта: winitpro.ru

Удаленный доступ к административным шарам в этом случае блокируется компонентом Remote UAC (контроль учетных записей для удаленных подключений). Remote UAC фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ к папкам. При доступе под доменным аккаунтом такое ограничение не применяется.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет. Эта операция несколько снижает уровень безопасности Windows.

1. Откройте редактор реестра (regedit.exe);
2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ;
3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1;
   

   Картинка с сайта: winitpro.ru

5. Для применения изменений потребуется перезагрузить компьютер

После перезагрузки попробуйте удаленно открыть административный каталог C$ на компьютере Windows. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов.

Картинка с сайта: winitpro.ru

Должно открыться окно проводника с содержимым диска.

Разберёмся, что такое административные сетевые ресурсы (админ-шары), для чего они нужны, как их включать/отключать и удалять, и что делать с ошибкой «Отказано в доступе» (Access is denied) при входе в админ-шару.

Что есть «админ-шара» и с чем её едят?

Шары подразделяются на пользовательские (которые создаёт сам пользователь, например: для организации файлового сервера в пределах локальной сети, или для обеспечения многопользовательского доступа к принтерам) и административные, которые ОС Windows создаёт автоматически для обеспечения работы некоторых функций ОС.

По-умолчанию Windows создаёт следующие админ-шары:

• Admin$ – расшаренный каталог %SystemRoot% (обычно – C:\Windows)
• IPC$ – Remote IPC (используется для сервисов «Удалённый реестр» (RRC), psexec и пр.)
• C$ – расшаренный раздел диска C:. В случае, если на компьютере имеются другие разделы, которым назначены буквы диска, под них так же будут созданы админ-шары (D$, E$ и т.д.)

Помимо этого, в случае включения общего доступа к любому принтеру – будет создана шара Print$, а в случае включения факс-сервера – FAX$.

Просмотреть активные шары можно двумя способами:

Как можно заметить, все админ-шары имеют на конце имени символ доллара – $. С помощью этого символа служба LanmanServer скрывает шару при SMB доступе, из-за чего админ-шары не отображаются, например, при входе на сетевой ресурс из стандартного «Проводника» Windows. Однако стоит упомянуть, что в большинстве сторонних файловых менеджеров, предусмотрен функционал, позволяющий показывать админ-шары на удалённых устройствах.

Помимо сторонних файловых менеджеров, просмотреть список админ-шар на удалённых устройствах можно с помощью CMD/PowerShell, команда: net view \\имя_компьютера /all

Картинка с сайта: profit-zip.ru

Доступ к админ-шарам, как и к любым сетевым ресурсам, происходит по пути: \\имя_компьютера\имя_шары.

Для доступа к админ-шаре необходимо соблюдение следующих условий:

При соблюдении всех вышеперечисленных условий, доступ к админ-шарам должен появиться.

В случае, если при попытке доступа к админ-шарам появляется ошибка «Отказано в доступе» – способ решения в конце статьи.

Картинка с сайта: profit-zip.ru

Как прекратить общий доступ к админ-шарам

Так или иначе, админ-шары – это брешь в безопасности. Потому, в случае, если админ-шары не используются – есть смысл их удалить.

Прекратить общий доступ к ресурсам можно через CMD/PowerShell или Управление компьютером.

• Через CMD/PowerShell:
  net share имя_шары /delete, например: net share ADMIN$ /delete
• Через Управление компьютером:
  Управление компьютером – Служебные программы – Общие папки – Общие ресурсы – ПКМ по ресурсу – Прекратить общий доступ (Computer Management – System Tools – Shared Folders – Shares – ПКМ – Stop Sharing):
  

  Картинка с сайта: profit-zip.ru

Данный способ – ручное прекращение доступа к общим ресурсам. Однако, в будущем, при некоторых манипуляциях с ОС (перезапуск службы сервера Lanman, расшаривание принтеров, включение-отключение факса, подключение дисков или создание разделов, пр.), админ-шары продолжат создаваться автоматически.

Для того, чтобы этого не происходило, необходимо внести изменения в реестр, в ветку HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters.
Изменяем или создаём DWORD32 параметр AutoShareWks (для Windows Desktop) или AutoShareServer (для Windows Server) и присваиваем ему значение 0.
Сделать это можно:

• С помощью редактора реестра (regedit) в графической среде
• Через CMD:
  Desktop: reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 0 /f
  Server: reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 0 /f
• Через PowerShell:
  Desktop: New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareWks -Type DWORD -Value 0
  Server: New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareServer -Type DWORD -Value 0

Отныне, после перезагрузки компьютера админ-шары не будут создаваться автоматически. Вместе с этим перестанут работать встроенные утилиты удалённого управления компьютером.

Как вернуть автоматическое создание и восстановить стандартные админ-шары

Для включения автоматического создания админ-шар необходимо в реестре, в разделе HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters изменить значение параметра AutoShareWks или AutoShareAuto на 1 или вовсе удалить этот параметр.

Для восстановления стандартных админ-шар, достаточно после включения автоматического создания админ-шар перезапустить службу LanmanServer:

• CMD:
  sc stop LanmanServer & ping -n 10 0.0.0.0 > nul & sc start LanmanServer
• PowerShell:
  Restart-Service LanmanServer
• Управление компьютером:
  Управление компьютером – Службы и приложения – Службы – Служба «Сервер» – Перезапустить (Computer Management – Services and Applications – Services – «Server» – Restart)
  

  Картинка с сайта: profit-zip.ru

После произведённых манипуляций, стандартные админ-шары должны быть созданы.

«Отказано в доступе» или «Access is denied» при попытке входа в админ-шару

Начиная с Windows Vista, Microsoft ввели UAC – инструмент повышения безопасности ОС. В частности, один из компонентов UAC – Remote UAC, может мешать в получении доступа к админ-шарам, если компьютер находится не в домене. Для отключения данного компонента, необходимо внести изменения в реестр на целевой машине.

Для этого в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Создайте параметр типа DWORD32 с именем LocalAccountTokenFilterPolicy и задайте ему значение 1.

В некоторых случаях требуется перезагрузить компьютер для применения изменений.

Это же действие можно выполнить с помощью команды CMD/PS:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

После проведённых манипуляций, доступ к админ-шарам должен появиться.

Administrative or Admin shares have been available on most Windows client Operating systems for a long time. It is a hidden share on the computers, mainly used for remote file management by the administrators. As we are talking about the ‘Network Shares’, you have the working network setup. Follow the below steps if you face the issue of admin share not working on Windows 10, 11 or Windows 7 computers.

By default, all the local drives (Partitions) are shared for administrators to access over the network. These types of shares are called admin or administrative shares in Windows OS. It usually can be accessed by typing the Computer IP address or name with a partition letter and dollar ($) sign at the end, as shown below.

Prerequisites for Working Administrative Shares

Before further troubleshooting the administrative shares not working issue in Windows 10/11, let us understand the requirements.

1. Working network: Make sure the computers are on the LAN network where they can communicate with each other. Simply try the ping command and confirm the network connectivity.
2. Same Domain or Workgroup: As we are talking about a workgroup network typically applicable for home or small office (where no domain and Active Directory network exist), both computers should be in the same workgroup. If you have not changed it manually, then mostly all PCs will be on the default workgroup as below. If not, you need to change and reboot the computer. The same condition is applicable in the domain environment. 
   

   Картинка с сайта: www.sysprobs.com

3. Administrative access on the destination: You must have administrative access (Admin username and password) on the destination computer. As it is called ‘Administrative Shares’ only the administrators (or the users who are part of the administrator group) can access them over the network. It doesn’t matter if you are the admin of your (source) computer; you must have admin access on other remote computers.
4. Status of Administrative Shares: It is shared by default, but the administrator can remove it for security purposes. If C$ or other admin shares are disabled manually, then it will not work. So, check and confirm that the admin shares are active. We can see them under Computer Management in Windows 10/11 and others.
   

   Картинка с сайта: www.sysprobs.com

5. Check Firewall and Security Softwares: Some of the 3rd party security software and personal firewalls may disable the admin shares to improve the computer’s data security.  Also, if any firewall or network policies block the file sharing TCP/IP protocols, it will impact the Administrative share access over the network.

If the above requirements are checked and met, follow the steps below.

It is a modification in the Windows OS registry which worked straightaway in my example. Take extra precautions while modifying the registry; take a backup before proceeding further.

How to Fix When you Can’t Access C$?

Check Admin Share on Local PC:

As described earlier, the Computer Management -> Shared Folders -> Shares will show the active shares of the local PC.

Also, we can use the below command to find out from the command prompt or PowerShell.

net share

Картинка с сайта: www.sysprobs.com

Find Administrative Share on Remote PC

If you have appropriate access on the remote computer, the below command will output the admin shares on the remote computer.

net view \\computername /all

You can use the IP address instead of computer name as well.

Картинка с сайта: www.sysprobs.com

Follow the steps if you can’t access C$ or other admin shares on the remote computer (after checking the above 5 prerequisites)

1) Open registry on the remote Windows 10/11 computer – Open the Run dialogue box and type ‘regedit’

2) Go to HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

3) Add a new value DWORD (32 Bit or 64 Bit, depending on OS version), name it LocalAccountTokenFilterPolicy and give value 1.

Restart the computer and check the admin share now. It must work.

Example of registry

Картинка с сайта: www.sysprobs.com

With the above 5 prerequisites and this registry modification, you should be able to fix the administrative shares not working in Windows 10/11 and even Windows 7.

Check the below video for more information:

РЕКОМЕНДУЕМЫЕ: Щелкните здесь, чтобы исправить проблемы с Windows и оптимизировать производительность системы

По умолчанию Windows создает несколько скрытых общих папок. Эти папки обозначаются знаком доллара ($) в конце имени общего ресурса, поэтому они скрыты. Скрытые общие ресурсы — это те, которые не отображаются в списке, когда вы просматриваете общие сетевые ресурсы на компьютере в узле «Сеть» проводника или с помощью команды net view. Windows 10, Windows 8, Windows 7 и даже Vista и XP создают скрытые административные общие ресурсы, которые администраторы, программы и службы могут использовать для управления компьютерной средой в сети. В этой статье я хотел бы поделиться с вами двумя способами отключения этих общих ресурсов.

Рекламное объявление

По умолчанию Windows может включить следующие скрытые административные общие ресурсы:

• Корневые разделы или тома
• Корневая папка системы
• Доля FAX $
• Доля IPC $
• Акция PRINT $

Картинка с сайта: hr-land.com

Любой пользователь с административным доступом на вашем локальном компьютере или в домене Active Directory (если он подключен) может получить доступ к любому раздел на вашем компьютере без вашего ведома и без явного предоставления общего доступа к папке, если у него есть ваша учетная запись реквизиты для входа. Все разделы являются общими для администраторов в операционных системах Windows NT благодаря функции административных общих ресурсов.

Мне не нравится такое поведение по умолчанию, и я всегда отключаю административные ресурсы сразу после установки. Есть два способа отключить их.

Отключите административные общие ресурсы с помощью службы «Сервер».

В Сервер service отвечает за все общие ресурсы, доступные на вашем компьютере, включая административные ресурсы. Если вы вообще не планируете использовать общий доступ к файлам и принтерам на своем ПК, вы можете отключить службу сервера. Это лишит вашу операционную систему Windows доступа к любой общей папке.

Чтобы отключить службу сервера:

1. Нажмите Победить + р сочетания клавиш на клавиатуре и введите следующее в диалоговом окне «Выполнить»:

   services.msc

   Нажмите Входить.
   

   

   Картинка с сайта: hr-land.com

2. Прокрутите правую панель вниз до службы сервера и дважды щелкните ее.
   

   Картинка с сайта: hr-land.com

3. В диалоговом окне «Свойства сервера» измените тип запуска с «Автоматический» на «Отключено»:
   

   Картинка с сайта: hr-land.com

4. Теперь нажмите кнопку Stop:
   

   Картинка с сайта: hr-land.com

5. Нажмите ОК, и все готово.

Теперь все общие ресурсы Windows будут недоступны.

Это решение может не подходить для пользователей, которые хотят избавиться от административных общих папок, но хотят сохранить свои общие папки и принтеры доступными из сети. Эти пользователи могут использовать второе решение ниже.

Отключите административные общие ресурсы с помощью настройки реестра

1. Открытым Редактор реестра.
2. Перейдите к следующему ключу реестра:

   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

   Совет: см. как перейти к желаемому ключу реестра одним щелчком мыши.

3. Создайте здесь новое значение DWORD с именем AutoShareWks. Оставьте его значение data равным 0:
   

   Картинка с сайта: hr-land.com

4. Перезагрузите компьютер.

То же самое можно сделать, используя Winaero Tweaker. Перейдите в Сеть -> Административные ресурсы:

Картинка с сайта: hr-land.com

Используйте эту опцию, чтобы избежать редактирования реестра.

Вот и все. Независимо от того, какой метод вы использовали, административные ресурсы будут отключены.

РЕКОМЕНДУЕМЫЕ: Щелкните здесь, чтобы исправить проблемы с Windows и оптимизировать производительность системы