Welche Mindestberechtigungen sind für eine Windows-Freigabe erforderlich, damit sie anonym und schreibgeschützt ist?

tag-icon tag-icon windows-server-2008-r2 permissions network-share
Welche Mindestberechtigungen sind für eine Windows-Freigabe erforderlich, damit sie anonym und schreibgeschützt ist?

Ich bin gerade dabei, meine Verwirrung hinsichtlich der Windows-Berechtigungen zu beseitigen und würde mich über Folgendes freuen.

Ich möchte eine Windows-Freigabe so bereitstellen, dass jeder anonyme Windows-Computer im Netzwerk (wir verwenden keinen Domänencontroller) \\servername\sharenamedie darin enthaltenen Dateien eingeben und schreibgeschützt darauf zugreifen kann.

Was ich weiß:

  • Die Gruppe „Jeder“ enthält nicht die SID „anonym“.(Obwohl dieser Artikel seltsamerweise nicht auf 2008 R2 „zutrifft“ …)
  • Es gibt zwei „Ebenen“ (wahrscheinlich nicht das beste Wort) von Berechtigungen für die Dateien selbst: die Freigabeberechtigungen und die NTFS-Berechtigungen. (d. h. Freigabe- und Speicherverwaltung -> Eigenschaften -> Berechtigungen)
  • Dort sind einigeFallstrickeüber den Betrieb in einer Umgebung ohne Domänencontroller, aber mit gleichnamigen Benutzerkonten auf mehreren Rechnern.

Was ich zu wissen glaube:

  • Die Funktion „Netzwerkdienste erkennbar machen“ sollte keinen Einfluss auf die Erreichbarkeit von Freigaben mit den entsprechenden Berechtigungen haben.
  • Damit auf diese Freigabe zugegriffen werden kann, müssen AUCH NTFS-Berechtigungen konfiguriert werden – nicht nur Freigabeberechtigungen!(?) (Obwohl in der Freigabe- und Speicherverwaltung behauptet wird, dass diese nur für den lokalen Zugriff gelten.)
  • Die Gruppe „Jeder“ sollte bei den Zugriffsberechtigungen nicht außen vor bleiben, auch wenn sie sich ausdrücklich auf lokale Benutzerkonten bezieht, WEIL ein Client-Computer, der mit demselben Benutzernamen wie ein lokaler Computer am Server angemeldet ist, versucht, sich als dieser Benutzer zu authentifizieren, und die Authentifizierung abgelehnt wird, wenn es ein unterschiedliches Kennwort gibt. ( *groan*)

Was ich nicht weiß:

  • Gibt es irgendwelche Fallstricke im Zusammenhang mit zwischengespeicherten Anmeldeinformationen oder Serverantworten? Muss ich meine Test-Client-Workstation nach jedem Verbindungsversuch mit der Freigabe neu starten?
  • Sollte das „Gast“-Konto irgendetwas damit zu tun haben, entweder mit den Freigabe- oder NTFS-Berechtigungen?
  • Habe ich Recht, wenn ich die Notwendigkeit beobachte, "ANONYMOUS LOGON" mit Leseberechtigungen zu konfigurieren aufBEIDEdie Freigabe- und NTFS-Berechtigungen? Dasselbe für die Gruppe „Jeder“?

Antwort1

Erstens ist es gar nicht so schwierig, anonymen Zugriff auf eine Freigabe einzurichten. Sie müssen lediglich „Anonymous“ in „Jeder“ aufnehmen (Sie haben tatsächlich selbst darauf verlinkt):

  1. Öffnen Sie den Local Group PolicyManager (gpedit)
  2. Computerkonfiguration
  3. Windows-Einstellungen
  4. Sicherheitseinstellungen
  5. Lokale Richtlinien
  6. Sicherheitsoptionen – Network access: Let Everyone permissions to apply to anonymous usersvon Deaktiviert bis Aktiviert
  7. Network access: Restrict anonymous access to Named Pipes and SharesAuf deaktiviert ändern
  8. Network access: Shares that can be accessed anonymously- Legen Sie dort den Freigabenamen fest, den Sie freigeben.

Was die Freigabe selbst betrifft, stellen Sie sie Share Permissionsauf "Jeder - Ändern" und "Administratoren - Vollzugriff" ein. Stellen Sie dann die NTFS-Berechtigungen auf Administrators - Full ControlundEveryone - <whatever rights needed>

Damit sollte Ihr Bedarf gedeckt sein.

Antwort2

Um den Zugriff für anonyme Benutzer in der Gruppe „Jeder“ einzurichten, müssen drei Dinge getan werden. Dies ist sauberer, als explizit „ANONYMOUS LOGON“ zu verwenden:

1. Erstellen Sie die Dateifreigabe

  • NTFS-Berechtigungen: 'Lesen & Ausführen', 'Ordnerinhalte auflisten' und 'Lesen' für die Gruppe 'Jeder' festlegen
  • Freigabeberechtigungen: 'Lesen' für die Gruppe "Jeder" festlegen

2. Lokale Sicherheitsrichtlinie anpassen

Öffnen Sie „Lokale Sicherheitsrichtlinie“, navigieren Sie zu Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen und legen Sie Folgendes fest:

  • Network access: Let Everyone permissions apply to anonymous users-Ermöglicht
  • Network access: Restrict anonymous access to Named Pipes and Shares-Deaktiviert
  • Bearbeiten Network access: Shares that can be accessed anonymously, um derName der von Ihnen erstellten Freigabe. (Die Formatierung ist nicht eindeutig, aber schließen Sie den Servernamen nicht mit ein. Wenn Sie mehr als eine benötigen, handelt es sich vermutlich um eine durch Kommas getrennte Liste.)

3. Zugriff ohne Passwort erlauben

  • Öffnen Sie „Erweiterte Freigabeeinstellungen“, entweder über „Netzwerk- und Freigabecenter“ in der Systemsteuerung oder indem Sie in den Eigenschaften des Verzeichnisses (unter Kennwortschutz) auf den Link klicken.
  • Deaktivieren Sie die Einstellung „Passwortgeschützte Freigabe“.

Weitere Hinweise:

  • Berechtigungen müssen für Benutzer sowohl auf NTFS- als auch auf Freigabeebene erteilt werden
  • Alle Tests, die Sie auf einem Computer durchführen, der mit einem Benutzernamen auf Ihrem Server angemeldet ist, sind nutzlos (ein Neustart eines echten Testcomputers ist jedoch nicht erforderlich).

Antwort3

Ich habe das hier gefunden, um etwas Ähnliches zu bekommen, wonach ich gesucht habe. Der folgende Link gibt anonymen Benutzern nur Lesezugriff. Es sind keine Anmeldeinformationen erforderlich. Wenn Sie im Schritt, in dem Sie das Gastkonto hinzufügen, RW-Zugriff hinzufügen möchten, gewähren Sie einfach Vollzugriff statt nur Lesezugriff.

http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/

verwandte Informationen