류짱:Beyond MySelf

Some Programs Cannot Access Network Locations When UAC Is Enabled 본문

Microsoft/Windows Platform

Some Programs Cannot Access Network Locations When UAC Is Enabled

リュちゃん 2012. 5. 21. 16:46

[환 경]
Windows Server 2008 R2

[현 상]
administrator 그룹에 포함 된 사용자 계정으로 로그온 후 명령 프롬프트를 일반 권한으로 실행 한 후 네트워크 드라이브를 연결 할 경우 해당 네트워크 드라이브가  관리자 권한으로 명령 프롬프트를 실행 할 경우 접근이 되지 않음

일반 권한으로 명령 프롬프트 실행 후 네트워크 드라이브 연결 후

K 드라이브에 접근 


명령 프롬프트를 관리자 권한으로 실행 한 후 동일 네트워크 드라이브에 접근 할 경우 "시스템이 지정된 드라이브를 찾을 수 없습니다."라는 메시지와 함께 접근이 실패 됨

 


[원 인]
UAC기능이 enable 되어 있을 경우 administrator에 포함 된 관리자 계정으로 로그온을 할 경우 해당 그룹에 포함 된 사용자를 standard users로 취급 하기 때문임

This problem occurs because UAC treats members of the Administrators group as standard users. Therefore, network shares that are mapped by logon scripts are shared with the standard user access token instead of with the full administrator access token.

When a member of the Administrators group logs on to a computer running Windows Vista or Windows 7 that has UAC enabled, the user runs as a standard user. Standard users are members of the Users group. If you are a member of the Administrators group and you want to perform a task that requires a full administrator access token, UAC prompts you for approval. For example, if you try to edit security policies on the computer, you are prompted. If you approve the action in the User Account Control dialog box, you can then complete the administrative task by using the full administrator access token.

When an administrator logs on to a computer running Windows Vista or Windows 7, the Local Security Authority (LSA) creates two access tokens. If LSA is notified that the user is a member of the Administrators group, LSA creates the second logon that has the administrator rights removed (filtered). This filtered access token is used to start the user's desktop. Applications can use the full administrator access token if the administrator user provides approval in a User Account Control dialog box.

If a user is logged on to a computer running Windows Vista or Windows 7 and if UAC is enabled, a program that uses the user's filtered access token and a program that uses the user's full administrator access token can run at the same time. Because LSA created the access tokens during two separate logon sessions, the access tokens contain separate logon IDs.

When network shares are mapped, they are linked to the current logon session for the current process access token. This means that if a user uses the command prompt (cmd.exe) together with the filtered access token to map a network share, the network share is not mapped for processes that run with the full administrator access token.


[문제 해결 방법]
작업 표시줄 => 시작 => 열기 => regeidt 실행 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System로 이동 후
system을 오른쪽 마우스로 클릭 후 새로 만들기 => Dword 값을 클릭합니다.


EnableLinkedConnections 값을 입력 한 후 엔터를 누릅니다.

다시 해당 값을 오른쪽 마우스르 클릭 후 편집을 선택 후 해당 값을 1로 변경 합니다.

레지스트리 값 추가 후 해당 시스템을 재 시작 합니다.

시스템 재 시작 후 관리자 권한으로 명령프롬프트를 실행 하여도 정상적으로 네트워크 드라이브에 접근이 가능 함


[참고 자료]
Some Programs Cannot Access Network Locations When UAC Is Enabled
http://technet.microsoft.com/en-us/library/ee844140(v=ws.10).aspx

Understanding and Configuring User Account Control in Windows Vista
http://technet.microsoft.com/en-us/library/cc709628(v=WS.10).aspx

Copying files from a mapped drive to a local directory fails with error “Location is not available” if UAC is enabled
http://support.microsoft.com/kb/2019185

감사합니다.