Comment résoudre les problèmes d’accès aux dossiers SYSVOL et NETLOGON sous Windows 10

J’ai rencontré un problème frustrant : l’accès aux dossiers SYSVOL et NETLOGON dans un domaine Windows est impossible. Le symptôme classique est l’affichage d’un message « Accès refusé » lors de l’utilisation \\<domain.com>\SYSVOLde l’adresse IP, même après avoir saisi des identifiants de domaine valides. L’expérience utilisateur est loin d’être optimale, d’autant plus qu’il est facile d’accéder à ces dossiers en spécifiant leur nom de domaine complet (FQDN), par exemple `/usr /local/bin`.Ce comportement est étrange, mais il est probablement lié à un paramètre de sécurité Windows appelé « renforcement UNC », qui restreint volontairement l’accès pour se protéger contre les sources non fiables. On a l’impression que Windows complique inutilement les choses.\\192.168.100.10\Netlogon\\be-dc1.domain.com\sysvol\\be-dc1\sysvol

Si vous rencontrez des problèmes de stratégie de groupe et que vous voyez des erreurs avec l’ID d’événement 1058 dans l’Observateur d’événements, il s’agit probablement de problèmes de sécurité liés au montage. L’erreur ressemble généralement à ceci :

The processing of Group Policy failed. Windows attempted to read the file \\domain.com\sysvol\domain.cpo\Policies\{GPO GUID}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved.

Cela est lié à la façon dont Windows 10 et Windows Server 2016 gèrent les chemins UNC sécurisés, notamment avec les paramètres de sécurité par défaut les plus récents qui utilisent l’authentification mutuelle (Kerberos), l’intégrité (signature SMB) et, en option, la confidentialité (chiffrement).Le problème est que, par défaut, Windows impose :

  • RequireMutualAuthentication=1 — aucun accès via adresse IP car Kerberos a besoin d’informations de domaine.
  • RequireIntegrity=1 — garantit que les sessions SMB ne sont pas altérées.
  • RequirePrivacy=0 — le chiffrement des données n’est pas obligatoire pour SMB 3.0+ mais peut être configuré.

Dans certaines configurations, cela signifie que le contrôleur de domaine est inaccessible par sa seule adresse IP, notamment si l’accès par IP ne prend pas en charge Kerberos. Pourquoi ? En raison des paramètres de sécurité par défaut, Windows empêche toute connexion à une source considérée comme « moins fiable » sans authentification mutuelle.

Alors, quelle est la solution ? Il faut assouplir légèrement ces restrictions, mais attention : il ne faut pas le faire à l’aveuglette, car cela peut avoir des conséquences sur la sécurité. Une solution courante consiste à modifier les stratégies ou les paramètres du registre pour autoriser la connexion à ces partages critiques sans imposer l’authentification Kerberos, notamment si vous utilisez des clients anciens ou des contrôleurs de domaine exécutant d’anciennes versions de Windows.

Tout d’abord, pour configurer cela sous Windows 10, vous pouvez modifier les stratégies de sécurité des chemins UNC renforcés :

Comment résoudre le problème de sécurité UNC pour accéder à SYSVOL / NETLOGON

Activer et configurer les chemins UNC renforcés dans la stratégie de groupe

  • Ouvrez l’Éditeur de stratégie de groupe locale en tapantgpedit.msc
  • Accédez à Configuration ordinateur > Modèles d’administration > Réseau > Fournisseur de réseau
  • Recherchez et activez la politique de chemins UNC renforcés
  • Cliquez sur Afficher et ajoutez les entrées pour les chemins UNC nécessaires, tels que :
    • \\*\SYSVOL
    • \\*\NETLOGON
  • Si vous souhaitez désactiver temporairement le renforcement de la sécurité à des fins de test (non recommandé pour une utilisation régulière), vous pouvez spécifier une chaîne de caractères comme :
  • RequireMutualAuthentication=0, RequireIntegrity=0, RequirePrivacy=0

Après avoir effectué ces modifications, exécutez la commande gpupdate /forcedans une invite de commandes avec privilèges d’administrateur pour forcer la mise à jour des stratégies. Il arrive que la mise à jour ne soit pas immédiate ; un redémarrage peut donc être nécessaire. Pensez également à ajuster le registre si besoin.

Améliorations du registre pour le renforcement de la sécurité de l’UNC

  • Ouvrez PowerShell ou regedit (regedit est plus courant pour cela).
  • Naviguer versHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths
  • Ajoutez ou modifiez les entrées pour les chemins d’accès "\\*\SYSVOL"et définissez les données de valeur sur :
RequireMutualAuthentication=0 RequireIntegrity=0 RequirePrivacy=0
  • Pour les ajouter via PowerShell, exécutez des commandes telles que :
  • reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0, RequireIntegrity=0" /t REG_SZ /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths" /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0, RequireIntegrity=0" /t REG_SZ /f

    En clair, cela indique à Windows d’assouplir l’authentification mutuelle stricte uniquement pour les partages SYSVOL et NETLOGON, les rendant accessibles via une adresse IP ou des sources moins fiables. Car, bien sûr, Windows se doit parfois de compliquer les choses inutilement.

    Au final, après avoir appliqué ces modifications et mis à jour les politiques, vous devriez pouvoir accéder plus facilement aux dossiers SYSVOL et NETLOGON. Attention toutefois : modifier ces paramètres de sécurité peut entraîner des failles de sécurité. Procédez donc avec prudence si vous travaillez dans un environnement sensible.

    D’après mon expérience, cette solution résout les problèmes d’accès sur la plupart des machines. Il est parfois nécessaire de redémarrer ou de se déconnecter/reconnecter pour que tout soit correctement pris en compte. Par ailleurs, si vous utilisez des versions très anciennes de Windows sur un contrôleur de domaine, soyez particulièrement vigilant, car des règles différentes peuvent s’appliquer.

    J’espère que cela permettra à d’autres de gagner du temps en évitant de résoudre le même problème. Bonne chance !

    Résumé

    • Modifiez les chemins UNC renforcés via la stratégie de groupe ou le registre.
    • Utilisez gpupdate /forceet redémarrez si nécessaire.
    • Soyez prudent avec les paramètres de sécurité ; ne relâchez que les protections nécessaires.
    • Consultez la documentation officielle de Microsoft pour plus de détails sur la sécurité SMB.

    Conclure

    Tout cela repose sur un équilibre subtil entre sécurité et accessibilité. Si votre environnement comprend des clients anciens ou des serveurs plus anciens, assouplir ces paramètres peut souvent s’avérer utile. N’oubliez pas que Windows est conçu pour assurer votre sécurité, mais cela nécessite parfois quelques ajustements manuels. Si la désactivation de certaines fonctions de sécurité vous permet d’accéder au système, soyez simplement conscient de ce qui se passe en arrière-plan. Espérons que cela permettra enfin à certains d’ouvrir ces dossiers sans difficulté.