Похоже, что пользователь «Гость» при определенных обстоятельствах входит в систему без членства во встроенной группе «Все» в Windows Server 2003. Я хотел бы знать более подробно, почему и когда это может иметь место.
Фон: очередь печати настроена на машине Server 2003, настроенной для гостевого доступа. В очереди печати есть ACE Все: Печать. В целом кажется, что гостевой доступ работает, и пользователи (любые пользователи) могут печатать через очередь.
Периодически (и обычно только в течение ограниченного периода времени) пользователи, подключающиеся к очереди в качестве гостя, получают ошибку «Доступ запрещен». Аудит включен для конкретной очереди печати. Журнал безопасности показывает, что вход в систему был успешным (и сетевые трассировки показывают успешные соединения с IPC $), но последующий доступ к принтеру регистрируется как «Ошибка аудита»:
Object Open:
Object Server: Spooler
Object Type: Printer
Object Name: MultiCa_Print
Handle ID: 10201568
Operation ID: -
Process ID: -
Image File Name: 928
Primary User Name: C:\WINDOWS\system32\spoolsv.exe
Primary Domain: SERVER1$
Primary Logon ID: DRUCKABRECHNUNG
Client User Name: (0x0,0x3E7)
Client Domain: Gast
Client Logon ID: SERVER1
Accesses: (0x1,0x6E468485)
Privileges: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
Full Control
Print
Restricted Sid Count: -
Access Mask: 0
Членство в Членство в домене по-прежнему остается загадкой, вся связь между сервером печати и контроллером домена происходит взад и вперед, что кажется бесконечным циклом последовательных запросов и ответов NetrLogonSamLogon (запрос -> 110 мс -> ответ -> запрос -> 110 мс -> ответ)DRUCKABRECHNUNG домен (очевидно, когда-то домен в стиле Samba NT4), похоже, не функционирует, так как имя домена не может быть разрешено для списка контроллеров домена, хотя мне нужно было бы провести еще несколько исследований, чтобы иметь возможность сделать определенное утверждение.
Я сильно подозреваю, что членство в домене является, по крайней мере, триггером, если не причиной. Что меня интересует, так это правдоподобное объяснение того, почему в авторизации очереди принтера будет отказано, учитывая тот факт, что
Когда некоторое время назад у нас была похожая проблема (людям отказывали в доступе к очереди печати, Everyone имел доступ) и открыли запрос в службу поддержки Microsoft, мы [в конце концов] оказались на это вызвано Everyone группа не включая Anonymous в Server 2003 и XP.
Я точно забыл, в чем именно заключалась ошибка в нашем конкретном случае, из-за которой некоторые из наших пользователей иногда не проходили аутентификацию должным образом, но что бы это ни было, аутентификация где-то нарушалась, в результате чего пользователи рассматривались как не прошедшие аутентификацию (Anonymous), и им было отказано в доступе на этом основании.
Тот факт, что у вас есть несуществующий домен, который предположительно не может аутентифицировать пользователей, заставляет меня думать, что с вами происходит то же самое. Их нельзя аутентифицировать, поэтому они рассматриваются как не прошедшие аутентификацию пользователи (Anonymous), и получить отказ в доступе на этом основании.