Windows 共有を匿名読み取り専用にするための最小限の権限は何ですか?

tag-icon tag-icon windows-server-2008-r2 permissions network-share
Windows 共有を匿名読み取り専用にするための最小限の権限は何ですか?

私は Windows の権限に関する混乱を解決するために長く困難なプロセスを進めており、以下の点について明確にしたいと思っています。

ネットワーク上の任意の匿名 Windows コンピューター (ドメイン コントローラーは使用しません) が、\\servername\sharenameその中のファイルに入力して読み取り専用アクセスができるように、Windows 共有をプロビジョニングしたいと考えています。

私が知っていること:

  • 「Everyone」グループには「anonymous」SID は含まれません。(奇妙なことに、その記事は 2008 R2 には「適用」されません...)
  • ファイル自体のアクセス許可には、共有アクセス許可と NTFS アクセス許可という 2 つの「レベル」(おそらく最適な言葉ではありません) があります。(つまり、共有と記憶域の管理 -> プロパティ -> アクセス許可)
  • 幾つかある落とし穴ドメイン コントローラーがない環境で、複数のマシンに同じ名前のユーザー アカウントがある場合の操作について説明します。

私が知っていると思うこと:

  • 「ネットワーク サービスを検出可能にする」は、適切に許可された共有のアクセシビリティには影響しません。
  • この共有にアクセスするには、共有アクセス許可だけでなく、NTFS アクセス許可も構成する必要があります。(?) (共有とストレージの管理では、ローカル アクセスにのみ適用されると主張しているにもかかわらず)。
  • 「Everyone」グループは、明示的にローカル ユーザー アカウントを参照しているにもかかわらず、アクセス許可から除外しないでください。これは、サーバーのローカル ユーザーと同じユーザー名でログオンしたクライアント コンピューターがそのユーザーとして認証を試み、パスワードが異なる場合は拒否されるためです。( *groan*)

分からないこと:

  • キャッシュされた資格情報やサーバーの応答に関連する注意点はありますか? 共有への接続を試行するたびに、テスト クライアント ワークステーションを再起動する必要がありますか?
  • 「ゲスト」アカウントは、共有または NTFS アクセス許可のいずれかでこれと関係がありますか?
  • 「ANONYMOUS LOGON」を読み取り権限付きで設定する必要があると私が指摘したのは正しいでしょうか?両方共有と NTFS アクセス許可は? 「Everyone」グループでも同じですか?

答え1

まず、共有への匿名アクセスを設定するのはそれほど難しくありません。Everyone に Anonymous を含めるだけです (実際に自分でリンクしています)。

  1. Local Group Policyマネージャー(gpedit)を開く
  2. コンピュータの構成
  3. Windows の設定
  4. セキュリティ設定
  5. ローカルポリシー
  6. セキュリティ オプション -Network access: Let Everyone permissions to apply to anonymous users無効から有効へ
  7. Network access: Restrict anonymous access to Named Pipes and Shares無効に変更
  8. Network access: Shares that can be accessed anonymously- 共有する共有名を設定します。

共有自体については、Share Permissions「Everyone - 変更」と「Administrators - フルコントロール」に設定します。次に、NTFSアクセス許可を次のように設定しますAdministrators - Full ControlEveryone - <whatever rights needed>

それであなたのニーズは満たされるはずです。

答え2

「Everyone」グループの匿名ユーザーのアクセスを設定するには、次の 3 つの操作を行う必要があります。これは、「ANONYMOUS LOGON」を明示的に使用するよりも簡単です。

1. ファイル共有を作成する

  • NTFS アクセス許可: 「Everyone」グループに「読み取りと実行」、「フォルダーの内容の一覧表示」、「読み取り」を設定します
  • 共有権限: 「Everyone」グループに「読み取り」を設定する

2. ローカルセキュリティポリシーを調整する

「ローカル セキュリティ ポリシー」を開き、「セキュリティ設定」->「ローカル ポリシー」->「セキュリティ オプション」に移動して、以下を設定します。

  • Network access: Let Everyone permissions apply to anonymous users-有効
  • Network access: Restrict anonymous access to Named Pipes and Shares-無効
  • 編集Network access: Shares that can be accessed anonymouslyして作成した共有の名前(フォーマットはあいまいですが、サーバー名を含めないでください。また、複数のサーバーが必要な場合は、これはおそらくコンマ区切りのリストです。)

3. パスワードなしでアクセスを許可する

  • コントロール パネルの「ネットワークと共有センター」から、またはディレクトリのプロパティ (パスワード保護の下) のリンクをクリックして、「詳細な共有設定」を開きます。
  • 「パスワード保護共有」設定をオフに変更します。

その他の注意事項:

  • NTFSレベルと共有レベルの両方でユーザーに権限を付与する必要がある
  • サーバー上のユーザー名と一致するユーザー名でログインしたマシンで行うテストは無駄であると考えてください (ただし、実際のテスト マシンを再起動する必要はありません)。

答え3

私が探していたものと似たものを見つけることができました。以下のリンクは、匿名ユーザーに読み取り専用アクセスを付与します。資格情報は必要ありません。ゲスト アカウントを追加する手順で RW アクセスを追加する場合は、読み取り専用ではなくフル アクセスを付与するだけです。

http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/ 匿名アクセスによるネットワーク共有の作成

関連情報