Назад |
Перейти на главную страницу
Каковы минимальные разрешения для общего доступа Windows только для анонимного чтения?
Я нахожусь в долгом и трудном процессе разрешения моей путаницы с разрешениями Windows, и хотел бы получить некоторую ясность по поводу следующего.
Я хотел бы предоставить общий ресурс Windows, чтобы любой анонимный компьютер Windows в сети (мы не используем контроллер домена) мог вводить \\servername\sharename
и иметь доступ только для чтения к файлам в нем.
Что я знаю:
- Группа «Все» не включает «анонимный» SID. (Как ни странно, эта статья не «распространяется» на 2008 R2 ...)
- Существует два «уровня» (вероятно, не лучшее слово) разрешений для самих файлов: разрешения для общих ресурсов и разрешения NTFS. (т.е. Управление общими ресурсами и хранилищами -> Свойства -> Разрешения)
- Есть некоторые ошибки о работе в среде без контроллера домена, но с учетными записями пользователей с одинаковыми именами на нескольких машинах.
Что я думаю, что знаю:
- «Сделать сетевые службы доступными для обнаружения» не должно влиять на доступность правильно разрешенных общих ресурсов.
- Чтобы этот общий ресурс был доступен, ТАКЖЕ должны быть настроены разрешения NTFS, а не только разрешения общего доступа! (?) (Несмотря на то, что Управление общего доступа и хранилища утверждает, что они применяются только к локальному доступу.)
- Группа «Все» не должна быть лишена прав доступа, даже если она явно относится к учетным записям локальных пользователей, ПОТОМУ ЧТО клиентский компьютер, вошедший в систему под тем же именем пользователя, что и локальный сервер, попытается пройти аутентификацию от имени этого пользователя, и ему будет отказано если есть разница в пароле. (
*groan*
)
Чего я не знаю:
- Есть ли проблемы, связанные с кешированными учетными данными или ответом сервера? Следует ли мне перезагружать свою тестовую клиентскую рабочую станцию после каждой попытки подключения к общему ресурсу?
- Должна ли учетная запись «Гость» иметь к этому какое-либо отношение, либо к общему ресурсу, либо к разрешениям NTFS?
- Правильно ли я заметил необходимость настройки «АНОНИМНЫЙ ВХОД» с разрешениями на чтение на ОБЕ доля и разрешения NTFS? То же самое для группы «Все»?
Во-первых, настройка анонимного доступа к общему ресурсу не так уж и плоха, вам просто нужно включить Anonymous в «Все» (на самом деле вы сами связались с ним):
- Открой
Local Group Policy
Менеджер (gpedit) - Конфигурация компьютера
- Настройки Windows
- Настройки безопасности
- Местная политика
- Параметры безопасности -
Network access: Let Everyone permissions to apply to anonymous users
от отключенного к включенному - + Изменить
Network access: Restrict anonymous access to Named Pipes and Shares
инвалидам Network access: Shares that can be accessed anonymously
- укажите имя общего ресурса, которым вы делитесь.
Что касается самой акции, то тогда. Установить Share Permissions
как «Все - Изменить» и «Администраторы - Полный доступ». Затем установите разрешения NTFS как Administrators - Full Control
и Everyone - <whatever rights needed>
Это должно удовлетворить вашу потребность.
Чтобы настроить доступ для анонимных пользователей в группе «Все», необходимо сделать три вещи, что проще, чем использование «АНОНИМНЫЙ ВХОД» явно:
1. Создайте общий файловый ресурс.
- Разрешения NTFS: установите "Чтение и выполнение", "Список содержимого папки" и "Чтение" для группы "Все"
- Поделиться разрешениями: установите "Читать" для группы "Все"
2. Настройте локальную политику безопасности.
Откройте «Локальную политику безопасности», перейдите в «Настройки безопасности» -> «Локальные политики» -> «Параметры безопасности» и установите:
Network access: Let Everyone permissions apply to anonymous users
- Включено Network access: Restrict anonymous access to Named Pipes and Shares
- Отключено - редактировать
Network access: Shares that can be accessed anonymously
быть название созданного вами ресурса. (Форматирование неоднозначно, но не включайте имя сервера, и, предположительно, это список с разделителями-запятыми, если вам нужно более одного.)
3. Разрешить доступ без пароля
- Откройте «Дополнительные параметры общего доступа» из «Центра управления сетями и общим доступом» на панели управления или щелкнув ссылку в разделе «Свойства» в каталоге (в разделе «Защита паролем»).
- Измените параметр «Общий доступ, защищенный паролем», чтобы отключить.
Прочие примечания:
- Разрешения должны быть предоставлены пользователям ОБА на уровнях NTFS и общего доступа.
- Считайте любое тестирование, которое вы проводите на машине, вошедшей в систему как пользователь, имя которой совпадает с именем на вашем сервере, бесполезно (но перезагрузка настоящей тестовой машины не потребуется)
Я нашел это, чтобы дать мне нечто подобное, что я искал. Ссылка ниже предоставит анонимным пользователям доступ только для чтения. Никаких учетных данных не потребуется. Если вы хотите добавить RW-доступ на этапе добавления гостевой учетной записи, просто предоставьте полный доступ, а не только для чтения.
http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/