无法从 Windows 10 访问 SYSVOL 和 NETLOGON 文件夹

当我尝试从 Windows 10/Windows Server 2016 访问域中的 SYSVOL 和 NETLOGON 文件夹时，我注意到一些奇怪的事情。当我尝试通过 UNC 路径访问域时

\<domain.com>\SYSVOL

或通过域控制器 IP 地址

\192.168.100.10\Netlogon

，出现“访问被拒绝”错误，并且 Windows 安全提示输入用户凭据来访问文件夹。输入有效的域用户甚至域管理员凭据后，文件夹仍然无法打开。

同时，如果您指定域控制器主机或 FQDN 名称，则相同的 Sysvol/Netlogon 文件夹会正常打开（无需密码）：

\be-dc1.domain.com\sysvol

或者简单地

\be-dc1\sysvol

。

此外，组策略应用问题可能会出现在有问题的计算机上。您可以在事件查看器日志中找到 EventID 1058 的错误：

The processing of Group Policy failed. Windows attempted to read the file \domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.

这与新的 Windows 安全设置有关，该设置可保护域计算机免于运行代码（登录脚本、可执行文件）并从不受信任的来源获取策略配置文件 - UNC 强化。 Windows 10/Windows Server 2016 安全设置要求使用以下安全级别来访问具有增强安全性的 UNC 目录（SYSVOL 和 NETLOGON 共享文件夹）：

• 服务器和客户端的相互验证。 Kerberos 用于身份验证。 （不支持 NTLM。）这就是您无法通过域控制器的 IP 地址访问 SYSVOL 和 NETLOGON 共享的原因。默认情况下，

  RequireMutualAuthentication=1

  。

• 完整性是SMB签名检查。它可以确保 SMB 会话中的数据在传输过程中没有被修改。 SMB 2.0 或更高版本支持 SMB 签名（SMB v 1 不支持 SMB 会话签名）。默认值为

  RequireIntegrity=1

  。

• 隐私与 SMB 会话中的数据加密相关。从 SMB v 3.0（Windows 8/Windows Server 2012 或更高版本）开始受支持。默认值为

  RequirePrivacy=0

  。

  如果网络中有任何计算机或域控制器使用旧版 Windows 版本（Windows 7/Windows Server 2008 R2 或更早版本），请勿使用 RequirePrivacy=1 选项，否则旧版客户端将无法访问域控制器上的网络共享文件夹

最初，这些更改是在 2015 年的 Windows 10 中作为安全更新 MS15-011 和 MS15-014 的一部分进行的。它导致了多 UNC 提供程序 (MUP) 算法的更改，该算法现在使用特殊规则来访问域控制器上的关键文件夹：\*\SYSVOL 和 \*\NETLOGON。

默认情况下，受保护的 UNC 路径在 Windows 7 和 Windows 8.1 上处于禁用状态。

要访问 SYSVOL 和 NETLOGON，您可以使用组策略更改 Windows 10 中的 UNC 强化设置。您可以使用特殊的安全设置来访问强化 UNC 路径策略中的不同 UNC 路径。

1. 打开本地组策略编辑器（gpedit.msc）；

2. 转到策略部分计算机配置 -> 管理模板 -> 网络 -> 网络提供商；

3. 启用强化 UNC 路径策略；

   

4. 单击显示按钮并为 Netlogon 和 Sysvol 的 UNC 路径创建条目。要完全禁用特定文件夹的 UNC 强化（不推荐！），请指定以下值：

   RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0

您可以使用以下格式的 UNC 路径：

• \192.168.200.2

  （域控制器IP地址）

• \domain.com

• \DCName

或者，您可以允许独立于 UNC 路径（在任何 DC 上）访问 Sysvol 和 Netlogon：

• \*\SYSVOL

• \*\NETLOGON

指定您需要的所有域（域控制器）名称或 IP 地址。

Microsoft 建议使用这些设置来安全访问关键 UNC 目录：

• \*\NETLOGON

  RequireMutualAuthentication=1, RequireIntegrity=1

• \*\SYSVOL

  RequireMutualAuthentication=1, RequireIntegrity=1

现在您只需使用以下命令更新计算机上的策略即可

gpupdate /force

命令并确保您可以访问 Sysvol 和 Netlogon。

您可以在客户端上使用集中域 GPO 或以下命令来配置这些参数：（当您访问域控制器上的 SYSVOL 和 NETLOGON 文件夹时，这些命令将禁用 Kerberos 身份验证。将改用 NTLM，您将能够通过 IP 地址打开 DC 上受保护的文件夹。）

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

如果出现以下情况，这些命令可能会有所帮助：

• 您的域控制器（运行 Windows Server 2008 R2/Windows Server 2012 的 DC）上有旧版本的管理模板，没有强化的 UNC 路径参数；

• 由于 Sysvol 无法访问，客户端无法获取域策略设置，并且您无法部署这些注册表设置。