Зачем нужны NETLOGON и SYSVOL? Как их скрыть?

Как-то у нас со студентами возник вопрос, а можно ли как-то скрыть папки Netlogon и Sysvol, которые являются общедоступными на контроллере домена? Так вот в данном видео, давайте попробуем разобраться с данным вопросом.

Но, для начала давайте разберемся, зачем вообще нужны эти самые общедоступные ресурсы Netlogon и Sysvol на контроллере домена?

Если мы войдем в оснастку «Управление компьютером» на контроллере домена и раздел «Общие ресурсы» то мы увидим, что помимо скрытых административных ресурсов здесь есть общедоступные папки Netlogon и Sysvol, которые имеют следующий путь:

Netlogon - C:\Windows\SYSVOL\sysvol\office.loc\SCRIPTS

Sysvol - C:\Windows\SYSVOL\sysvol

Так вот, эти ресурсы создаются автоматически, когда вы поднимаете контроллер домена, так как с помощью них вы можете применять сценарии входа и групповые политики для различных пользователей и компьютеров.

В частности, в папку Netlogon складываются скрипты, которые можно применять как сценарии входа, для определенных пользователей в настройках его профиля (Диспетчер серверов \ Средства \ Пользователи и компьютеры Active Directory \ User \ Менеджер \ Профиль \ Сценарий входа)

Чтобы не расшаривать какую-то отдельную папку и указывать здесь сетевой путь, мы просто можем положить скрипт на сетевой ресурс NETLOGON а в этом поле просто указать его название Hello.bat и он будет автоматически отрабатывать при входе пользователя на любой компьютер в нашем домене.

Sysvol – предназначена для использования групповых политик. Но, в ней же, как вы видите присутствует папка SCRIPTS, которая и является фактическим размещением ресурса NETLOGON, т.е. в папке SYSVOL у нас находится все, что связанно с автоматизацией через скрипты и групповые политики.

К примеру, мы можем попробовать отследить сетевой путь какой-нибудь групповой политики (Диспетчер серверов \ Средства \ Групповые политики \ Групповая политика для контроллеров домена по умолчанию Default Domain Controller Policy \ ПКМ \ Изменить \ Конфигурация компьютера \ Политики \ Конфигурация Windows \ Сценарии \ Автозагрузка \ Показать файлы). Мы увидим, что путь к скриптам данной политики как раз находится на общедоступном ресурсе SYSVOL, а значит так мы видим сетевой путь данной групповой политики.

Так вот, вернемся к сути вопроса, можно ли отключить доступ к этим общедоступным ресурсам?

И ответ, конечно же нет, так как именно через них работает вся автоматизация.

Один из студентов попробовал убрать у них доступ, и крайне не рекомендует это делать, так как глюки вам 100% обеспечены!

Что по поводу того, чтобы их скрыть от лишних глаз? Чтобы у пользователя не возникало желание лишний раз полазить по серверу, здесь тоже ничего не получится сделать, ну, по крайней мере я не нашел такого варианта.

Да, у нас есть спец значок знак доллара $ который скрывает любой общедоступный ресурс и вы сможете обратиться к нему только с указанием конкретного пути, однако ресурс со знаком $, это уже другой сетевой путь, а значит это аналогично отключению вообще общего доступ к папкам SYSVOL и NETLOGON.

Как вариант, мы можем просто скрыть сервер из сетевого окружения, делается это через команду:

net config server /hidden:yes

 

Не стоит размещать какие-то сетевые ресурсы на контроллере домена, ну просто таким образом какие-нибудь пользователи смогут лишний раз попасть на сервер и попытаться полазить по различным сетевым папкам, таким как NETLOGON или SYSVOL.

Да, они там не сделают ничего серьезного, так как данные папки открыты только для чтения, но может кому-то станет интересно, что за скрипты вы используете или скопировать какие-нибудь программы, лежащие в папках с групповыми политиками.

Но, если у человека есть такая задача, то он и так зайдет на ваш контроллер домена через сетевой путь самого домена