Обсуждение завершено Групповая политика (GPO) RestrictRemoteSam

[DllPok]

здравствуйте,
обычный домашний компьютер (не сервер и нет Домашней группы),
Групповая политика → Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности → Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM
какой Дескриптор безопасности указать?
STIG_Говорит нужно указать O:BAG:BADA;;RC;;;BA) , другие пишут мол надо указать O:SYG:SYDA;;RC;;;BA)

Спойлер: Вот командлет SddlString "O:BAG:BAD:(A;;RC;;;BA)"

Owner : BUILTIN\Администраторы
Group : BUILTIN\Администраторы
DiscretionaryAcl : {BUILTIN\Администраторы: AccessAllowed (ReadPermissions
SystemAcl : {}
RawDescriptor : System.Security.AccessControl.CommonSecurityDescriptor

 

[DllPok]

Спойлер: а это SddlString "O:SYG:SYD:(A;;RC;;;BA)"

Owner : NT AUTHORITY\система
Group : NT AUTHORITY\система
DiscretionaryAcl : {BUILTIN\Администраторы: AccessAllowed (ReadPermissions)}
SystemAcl : {}
RawDescriptor : System.Security.AccessControl.CommonSecurityDescriptor

 

[DllPok]

что там По умолчанию так и не понял

 

[DllPok]

Вот тут пишут , что при неправильной назначение Дескриптора безопасности вызывает ошибку 0X80070005

 

[Кирилл]

Я думаю надо почитать документацию:

Network access - Restrict clients allowed to make remote calls to SAM - Windows 10

Security policy setting that controls which users can enumerate users and groups in the local Security Accounts Manager (SAM) database.

docs.microsoft.com

И определиться с результатом, который ожидаете.

 

[DllPok]

И определиться с результатом, который ожидаете

Кирилл​

спасибо за отзыв, но ничего не жду, и прочел все темы про данную опцию в GPO, увы ничего не понял -такой я тугодум,
все таки, каких пользователей надо указать в Дескрипторе безопасности ? Майкрасофт даже не уточняет о параметрах
по умолчанию