Problème
Lors d’un montage réseau (par exemple sur un Sharepoint du réseau local), les crédentiels sont passés par Internet Explorer à Explorer.
Ce qui veut dire que pour accéder à ce montage, il faut tout d’abord se connecter via IE !
Si on tente d’accéder directement sur le montage sans se connecter au préalable, alors on reçoit l’insulte box suivante :
\\URL.local\arborescence\repertoire n’est pas accessible. Vous ne disposez peut-être pas les autorisations nécessaires pour utiliser cette ressource réseau. Contactez l’administrateur de ce serveur pour savoir si vous disposez des autorisations d’accès.
Le message peut être complété de : Échec d’ouverture de cession : restriction de compte utilisateur. Des raisons possibles sont des mots de passe vides n’étant pas autorisés, des restrictions sur les heures d’ouverture de session ou une restriction de stratégie a été appliquée.
Le message peut être complété de : Accès refusé. Avant d’ouvrir des fichiers à cet emplacement, vous devez d’abord ajouter le site Web à votre liste de sites approuvés, accéder au site Web, puis sélectionner l’option de connexion automatique.
Solution
Croire le message et qu’il suffit d’ajouter une option de connexion automatique à une URL interne quand les policy gèrent les URL autorisées est illusoire. Le seul moyen reste de lancer Internet Explorer pour se connecter à la main ... ou de chercher ailleurs.
En fait, c’est un problèmes de droits d’accès ou d’accès sur Windows 10 en SMBv1. Il suffit d’activer le support SMBv1 dans Windows 10. Pour cela, dans une fenêtre de commande cmd.exe lancée en mode administrateur, taper la commande :
DISM /Online /Enable-Feature /All /FeatureName:SMB1Protocol
Attention, l’activation ne sera réalisée qu’une fois la machine rebootée.
Passé le reboot, la machine semble plus réactive. A croire qu’il y avait un timeout imposé sur chaque montage réseau créés via Explorer.exe sur un Sharepoint local par exemple.
Piste 1 : GUI des droits utilisateurs
Petit complément, ça ne paye pas de mine de lancer la console de gestion d’utilisateur lusrmgr.msc pour voir comment réaffecter certains droits, mais reste déconseillé.
Piste 2 : Ajouter l’URL dans la zone de confiance
C’est illusoire de suivre cette piste indiquée par la boîte de dialogue, mais peut-être qu’un jour ça marchera !
On va ajouter les URL à ajouter, ainsi que les URL qui servent à la connexion SSO via Regedit :
Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey
ou bien :
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey
Créer une entrée par zone sous la forme d’une chaîne avec pour valeurs :
- 0 = My Computer
- 1 = Local Intranet Zone
- 2 = Trusted sites Zone
- 3 = Internet Zone
- 4 = Restricted Sites Zone
Il peut être utile d’aller voir ces paramètres dans les policy gpedit.msc sur le chemin Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page ou bien Configuration ordinateur / Modèles d’administration / Composants Windows / Internet Explorer / Panneau de configuration internet / Onglet Sécurité
Interroger la liste des zones autorisées se fait en PowerShell via :
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey"
Liens
Connexion réseau n’est pas accessible
Désactiver le partage protégé par mot de passe - Windows 10
Cannot turn off Password Protected Sharing after Windows 10 Anniversary update
Ajouter un site de confiance dans windows10
How to view all IE Trusted Sites when security settings are managed ?
RSS 2.0