Главная » Windows

Credssp windows 10 как включить

На чтение 5 мин Обновлено
Содержание
  1. www.SAMURAJ-cz.com
  2. Категория статьи
  3. Инструменты
  4. Поиск
  5. Статьи
  6. Проблемы с новой версией Windows и Windows Server
  7. RDP-подключение от старого клиента в Windows 10 и Server 2016
  8. Ошибка RDP и CredSSP
  9. Windows Server 2016 и доступ к папкам требуют разрешения для администраторов домена
  10. Служба узла синхронизации — OneSyncSvc на сервере
  11. Удаление Защитника Windows с сервера
  12. Комментарии

www.SAMURAJ-cz.com

Категория статьи

Инструменты

Поиск

Статьи

Проблемы с новой версией Windows и Windows Server

Пока у меня есть две ситуации, с которыми можно столкнуться довольно часто. Я могу добавить больше со временем.

RDP-подключение от старого клиента в Windows 10 и Server 2016

Подключение к удаленному рабочему столу Подключение к удаленному рабочему столу используется для отображения экрана входа в систему. Это позволяло проводить различные атаки. Поэтому Microsoft придумала Аутентификацию на уровне сети (NLA), при которой аутентификация выполняется до установления сеанса.

В Windows Sever 2008 R2 и 2012 мы можем разрешать подключения только от клиентов, которые поддерживают NLA в настройках.

Если мы разрешили подключение любой версии, мы разрешили подключение старых клиентов или приложений, отличных от MS. Этот параметр изменяет значение UserAuthentication (1 для включенного NLA) в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp .

Если мы снимем флажок, ограничивающий RDP только NLA, в случае Windows Sever 2016 , мы, вероятно, по-прежнему не будем подключаться из старого клиента и получим сообщение об ошибке:

Решение состоит в том, чтобы изменить значение SecurityLayer в реестре по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. В Интернете обычно рекомендуется вводить 0 . В старых версиях Windows установлено значение 1 , и мне это подходит. Windows Server 2016 увеличил значение до 2 . Интересно то, что иногда настройки срабатывали у меня сразу, а иногда требовался перезапуск.

Читайте также:  Как установить драйвера с помощью windows 7

Ошибка RDP и CredSSP

NLA использует протокол поставщика поддержки безопасности учетных данных (CredSSP) в качестве поставщика поддержки безопасности , который выполняетаутентификация пользователя. В CredSSP была обнаружена уязвимость, которую исправил Microsoft. И теперь в определенных ситуациях и определенной комбинации фиксированных библиотек мы можем получить ошибку:

при попытке подключения

Правильное решение — установить обновления везде. Другой вариант — отключить NLA на сервере . Или мы можем использовать Групповую политику (требуются административные шаблоны для Win10 1803).

В пути Конфигурация компьютера > Административные шаблоны > Система> Credentials Delegation мы устанавливаем для Encryption Oracle Remediation значение Protection Level на Vulnerable .

Windows Server 2016 и доступ к папкам требуют разрешения для администраторов домена

Очень странное поведение при доступе к папкам, для которых у нас самые высокие разрешения. Об этом говорится в ряде дискуссий в Интернете. Я не знаю, происходит ли это только в ситуации, описанной ниже, или это происходит и при других условиях. Это связано с Контролем учетных записей пользователей (UAC), но даже если мы установим его на минимум в графическом интерфейсе, это не повлияет на это поведение.

У нас есть рядовой сервер домена, где группа Администраторы домена является членом локальной группы Администраторы (поведение по умолчанию) . Войдите на сервер как администратор домена. На сервере есть еще один диск в дополнение к системному диску (C:). На втором диске D создается папка : из которой удалена группа Пользователи , но все еще есть Администраторы группы полные права. Когда мы пытаемся открыть эту папку, мы получаем сообщение:

Если мы нажмем Продолжить , наша учетная запись будет иметь права на папку (и подпапки по умолчанию). Тогда папка откроется, но мы, вероятно, не хотим изменять права доступа к папке (и иметь там определенного пользователя вместо групп).

Читайте также:  Как подключить микрофон от наушников earpods к компьютеру windows 10

Единственный функциональныйрешение, которое мы нашли, состоит в том, чтобы полностью отключить UAC с помощью групповой политики . Это не идеально, но для конкретного сервера мы можем использовать .

В пути Конфигурация компьютера > Настройки Windows> Настройки безопасности > Локальные политики > Установите для параметров безопасности Контроль учетных записей пользователей: запуск всех администраторов в режиме одобрения администратором на Отключено . После этого сервер необходимо перезапустить.

Служба узла синхронизации — OneSyncSvc на сервере

В GUI Services мы видим Sync Host_number . На сервере этот сервис бесполезен и часто дает сбои. Его нельзя установить в Отключено в графическом интерфейсе, но мы можем сделать это в командной строке (не в PowerShell). Описание службы Эта служба синхронизирует почту, контакты, календарь и различные другие пользовательские данные. Почта и другие приложения, зависящие от этой функции, не будут работать должным образом, если эта служба не запущена.

Удаление Защитника Windows с сервера

На практике мы несколько раз сталкивались с проблемой, что сервер (или определенное приложение на нем, например Exchange) работал очень медленно. После удаления приложения Защитник Windows , которое автоматически активируется после установки сервера, производительность увеличилась в несколько раз.

Защитник должен быть удален по умолчанию как Функция системы. Но иногда элемент отображается серым цветом, тогда его можно удалить с помощью PowerShell . Мы можем убедиться, что служба запущена с помощью PowerShell или командной строки:

Впоследствии вам необходимо перезапустить сервер .

просмотрено: 8276 раз

  • Альтернативные (лучшие) клиенты для удаленного рабочего стола Windows [06/04/2008 11:57]
  • Невозможно войти в систему или изменить букву системного диска после клонирования диска Windows [16.07.2008 14:10]
  • Командная строка Windows [22.12.2009 12:35]
  • Отключение IPv6 в Windows 7 и Windows Server 2008 [25.02.2010 15:31]
  • Описание DFS и перехода на режим Windows Server 2008 [14.09.2011 17:52]
  • Windows Server 2012 RTM — установка [24.09.2012 18:11]
  • Windows Server 2012 Active Directory [01.10.2012 17:48]
  • Windows Server 2012 To Go [08.10.2012 15:58]
  • Удаленная смена паролей локальных пользователей Windows [12.02.2016 11:22]
  • BitLocker — шифрование системного диска [18.09.2017 17:30]
  • BitLocker — шифрование внешних дисков [26.11.2017 23:01]
  • Общее введение в шифрование данных [26.06.2018 16:49]
  • TeamViewer — удаленное подключение для компаний [14.10.2018 16:58]
  • Проблемы новой версии Windows и Windows Server [16.10.2018 19:18] . вы сейчас читаете
  • Общий документ MS Office и пользователь Windows [24.10.2018 16:22]
  • Резервное копирование файлов с помощью синхронизации — FreeFileSync [03.02.2019 18:23]
  • Смена пароля или имени доменной учетной записи [13.08.2021 09:50]
    • Читайте также:  Как сделать загрузочную флешку windows server 2019

    Если вы хотите прокомментировать эту статью, используйте комментарии ниже.

    Комментарии

    Я только что решил похожую проблему. Но в качестве RDP-клиента Terminal Server 2016 был терминалом с WinCE 5.0

    .

    Я нашел это руководство, оно для 2012 года, но работает и для 2016 года :

    Поделиться с друзьями
    ОС советы
    © 2022 Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.