Kartlagte stasjoner ikke sett fra forhøyet ledetekst og oppgaveplanlegging

2018-12-15 01:14:18
Hoved~~Pos=Trunc·Microsoft·Kartlagte stasjoner ikke sett fra forhøyet ledetekst og oppgaveplanlegging

Når du prøver å få tilgang til en kartlagt nettverksstasjon fra forhøyet eller admin ledetekst eller oppgaveplanlegging (med høyeste privilegier), vil den tilordnede stasjonen ikke være tilgjengelig. Forsøk på å bruke de tilordnede nettverksstasjonene forårsaker feilen Systemet finner ikke banen som er angitt (Feilkode: 0x80070003) .

Her er skjermdumpene fra en datamaskin som kjører Windows 10 versjon 1903.

Imidlertid er den tilordnede nettverksstasjonen tilgjengelig fra File Explorer og vanlig (ikke-forhøyet) kommandoprompt.

Ulike fora antyder at folk bruker UNC-stier (som en løsning) i stedet for å kartlegge stasjonsbokstaver når de er i forhøyet ledetekst-modus eller kjører batch-filer med oppgaveplanlegging. I tillegg råder de brukerne til å deaktivere Kjør med de høyeste privilegiene for den spesifikke planlagte oppgavejobben for å kunne bruke den kartlagte nettverksstasjonen.

Disse løsningene er imidlertid ikke nødvendige, da det er en permanent registerbasert løsning som lar deg bruke tilordnede stasjoner fra standard så vel som forhøyede prosesser.

(Gå direkte til løsningen)

Microsoft Knowledgebase-artikkel KB937624 Etter at du har slått på UAC, kan det hende at programmer ikke har tilgang til noen nettverksplasseringer som løser dette problemet. Men den virkelige fiksen er gitt i KB3035277 (også nevnt nedenfor) i stedet.

KB937624 oppgir:

Når en administrator logger på Windows Vista, oppretter Local Security Authority (LSA) to tilgangstokener. Hvis LSA blir varslet om at brukeren er medlem av administratorgruppen, oppretter LSA den andre påloggingen som har administratorrettighetene fjernet (filtrert). Dette filtrerte tilgangstokenet brukes til å starte brukerens skrivebord. Programmer kan bruke den fullstendige administrator-tilgangstokenet hvis administratorbrukeren klikker på Tillat i en dialogboks med kontroll av brukerkontoer.

Hvis en bruker er logget på Windows Vista og hvis Brukerkontokontroll er aktivert, kan et program som bruker brukerens filtrerte tilgangstoken og et program som bruker brukerens fulle administratoradgangstoken, kjøres samtidig. Fordi LSA opprettet tilgangstokenene under to separate påloggingsøkter, inneholder tilgangstegnene separate påloggings-IDer.

Ettersom stasjonsavbildningene som er opprettet fra File Explorer er fra et standard brukertoken, blir ikke stasjonene sett fra et forhøyet token (f.eks. Ledetekstmelding eller planlagte oppgaver som er konfigurert til å kjøre med høyeste privilegier.)

En annen Microsoft-artikkel KB3035277 med tittelen Kartlagte stasjoner er ikke tilgjengelig fra en forhøyet ledetekst når UAC er konfigurert til “Spør om legitimasjon” og gir en forklaring sammen med en løsning som fungerer i Windows Vista gjennom Windows 10 (testet på v1903)

KB3035277 oppgir:

Når UAC er aktivert, oppretter systemet to påloggingsøkter ved brukerpålogging. Begge påloggingsøktene er knyttet til hverandre. Den ene økten representerer brukeren under en forhøyet økt, og den andre økten der du kjører under minst brukerrettigheter.

Når stasjonsmappinger opprettes, lager systemet symboliske lenkeobjekter (“DosDevices”) som knytter stasjonsbokstavene til UNC-banene. Disse objektene er spesifikke for en påloggingsøkt og deles ikke mellom påloggingsøkter.

Merk Registeroppføringen EnableLinkedConnections tvinger de symbolske koblingene som skal skrives til begge koblede påloggingsøkter som opprettes, når UAC er aktivert.

Og her er et nyttig notat fra James Finnigan [MSFT].

"EnableLinkedConnections" -policyen er avhengig av at brukeren er medlem av administratorgruppen og deler over grensen mellom ikke-forhøyet og forhøyet (noe som kan føre til med vilje feildirigerte stasjonsmappinger av Malware). Det er egentlig en løsning for kunder som er i ferd med å flytte brukerne sine til standard bruker, men som trenger å gjøre det gradvis og beholde dem som medlemmer av gruppen Administratorer på kort sikt.

Fix: Kartlagte stasjoner ikke sett fra ledetekst og oppgaveplanlegging

Som det fremgår av KB3035277, kan du løse problemet ved å opprette EnableLinkedConnections DWORD (32-biters) verdi i følgende registernøkkel og sette dataene til 1 .

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Currentversion \ Policies \ System 
  1. For å opprette / angi registerverdien, starter du Registerredigering ( regedit.exe )
  2. Gå til grenen ovenfor.
  3. Klikk på Ny, DWORD (32-biters) verdi fra Rediger-menyen.
  4. Gi DWORD-verdien navn som EnableLinkedConnections og sett dataene til 1 .
  5. Gå ut av registerredigereren og start Windows på nytt.

Verdien EnableLinkedConnections gjør det mulig for Windows å dele nettverkstilkoblinger mellom det filtrerte tilgangstokenet og det fullstendige administratortilgangstokenet for et medlem av administratorgruppen. Som sagt tidligere, må du starte datamaskinen på nytt etter å ha opprettet registerverdien.

Etter å ha startet Windows på nytt, er stasjonene tilgjengelige i vanlige så vel som forhøyede prosesser - dvs. prosesser som kjører under filtrert tilgangstoken så vel som full administratoradgangstoken.

Ved hjelp av en .REG-fil

Du kan automatisere innstillingen ovenfor ved å opprette en .reg-fil fra følgende innhold.

 Windows Registerredigering versjon 5.00 [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] "EnableLinkedConnections" = dword: 00000001 

Oppgaveplanlegger har fortsatt ikke tilgang til kartlagte stasjoner?

Hvis de planlagte oppgavene dine fremdeles ikke får tilgang til de tilordnede nettverksstasjonene til tross for at du EnableLinkedConnections registerinnstillingen EnableLinkedConnections, må du sjekke to ting:

  1. En sikkerhetspolitikk relatert til brukerkontokontroll, og
  2. Hvis den planlagte oppgaven er konfigurert til å kjøre under en annen bruker, må du kartlegge stasjonen på nytt fra den brukerkontoen. (se Viktig: merk på slutten av denne artikkelen)

Hvis følgende UAC-policyinnstilling er konfigurert til Spør om legitimasjon, klarer ikke de planlagte oppgavene (som kjører med høyeste privilegier) tilgang til den kartlagte nettverksstasjonen.

 Kontroll av brukerkontoer: Oppførsel av høydeprompt for administratorer i administrasjonsgodkjenningsmodus 

Ved å bruke sikkerhetspolitikkredigereren ( secpol.msc ) eller registerredigereren, må du angi policyen ovenfor til Spør om innhold (som er Windows-standardinnstillingen)

Fullstendige instruksjoner for å konfigurere ovennevnte sikkerhetspolicy (sammen med en alternativ registerbasert løsning) er tilgjengelige i artikkelen UAC ber om et passord selv om du er logget inn som administrator.

Etter tilbakestilling av policyen ovenfor, start Windows på nytt. Dine kartlagte stasjoner skal være tilgjengelige for planlagte oppgaver som er konfigurert til å kjøre med høyeste privilegier.

Viktig: Når du kjører oppgaven under en annen brukerkonto eller under SYSTEM (LocalSystem) EnableLinkedConnections, vil de tilordnede stasjonene imidlertid ikke bli sett til tross for registerverdien EnableLinkedConnections . Dette fordi nettverksstasjonsavbildningene er per bruker. Det betyr at du må kartlegge stasjonen igjen under den spesifikke brukerkontoen som er konfigurert til å kjøre den planlagte oppgaven.

Informasjon i denne artikkelen gjelder Windows Vista gjennom Windows 10. Løsningene er sist testet i Windows 10 v1903.

Redaksjonens