Недавно я был заинтересован в разрешении доступа к сети для гостевой учетной записи в связи с моим исследовательским проектом.
Это было в ОС Windows Server.
Воззвание было потрясающим ... люди волновались и говорили, насколько это небезопасно и что просто должен быть лучший способ, независимо от моих потребностей или желаний.
Очевидно, это настолько плохая идея, что ни при каких обстоятельствах не следует даже задавать этот вопрос.
Это похоже на FUD
Поискав в сети, решение, данное, когда другие люди спрашивали, заключалось в том, чтобы вместо этого создать ограниченную учетную запись пользователя. Теперь это похоже на хуже решение.
Если по какой-либо причине (а их много, попытка ответить по конкретной причине не помогает никому или сообществу) кто-то намерен иметь гостевую учетную запись для анонимного доступа в серверной ОС, не лучше ли им использовать встроенный гостевой аккаунт?
Ограниченная учетная запись, созданная для той же цели, будет использоваться точно так же, за исключением того, что встроенная гостевая учетная запись уже заблокирована в гораздо большей степени. В самом деле, использование встроенной гостевой учетной записи с доступом к сети кажется более безопасным, чем создание ограниченной учетной записи для той же цели.
Итак, почему попытка разрешить сетевой доступ для встроенной гостевой учетной записи считается такой небезопасной и почему это вызывает такую панику и FUD?
edit: Чтобы быть ясным, я имею в виду, что гостевая учетная запись инициирует сетевое соединение с машины во время входа в систему, а не использует гостевую учетную запись для удаленного доступа к чему-либо
Учетная запись гостя предназначена для управления анонимным доступом к некоторым функциям ОС. Если бы я хотел разрешить анонимный доступ, скажем, к общему ресурсу SMB, я бы включил гостевую учетную запись,
Включение учетной записи изменяет поведение ОС. Гость - это учетная запись пользователя, но ее статус «включен / отключен» действует как флаг, который говорит: «Привет, если эта учетная запись включена, разрешите любому пользователю с любыми учетными данными пройти аутентификацию в этом контексте».
«FUD» происходит из-за исторически плохого обращения Microsoft с безопасностью и предоставления анонимным пользователям излишне широкого доступа по умолчанию в старых версиях ОС. Несмотря на то, что Windows Server 2003 и более новые версии Windows справляются с этим гораздо лучше, сообщество все еще немного пугается.
На мой взгляд, нет ничего плохого в том, чтобы использовать гостевую учетную запись ОС по прямому назначению.
Лично я был бы против использования анонимного обмена файлами SMB. Я бы экспортировал файлы, которыми вы хотите поделиться, с помощью HTTP или, если они должны быть прочитаны / записаны, WebDAV. Я склонен думать, что записываемые папки с включенным анонимным доступом безответственно размещать.
Редактировать:
Если вы хотите, чтобы «Гость» имел доступ к общей папке через SMB в ОС Windows Server (разновидности W2K3 и W2K8), вам нужно:
Встроенные группы «Пользователи» и «Прошедшие проверку» не содержат «Гость» (хотя «Все» содержат), поэтому большинство списков контроля доступа к папкам по умолчанию не разрешают гостевой доступ. Я бы добавил «Гости» явно, а не «Все», чтобы визуально было ясно, что я разрешил «Гости» доступ к этой папке. (Вам не обязательно использовать группу «Гости», но, как правило, лучше использовать группы в разрешениях, а не отдельных пользователей. Когда вы присоединяетесь к домену, имейте в виду, что «ДОМЕН \ Гости домена» вложен в ваш локальная группа "Гости" компьютера.)