¿Cuáles son los permisos mínimos para que un recurso compartido de Windows sea de solo lectura anónima?

tag-icon tag-icon windows-server-2008-r2 permissions network-share
¿Cuáles son los permisos mínimos para que un recurso compartido de Windows sea de solo lectura anónima?

Estoy en el largo y arduo proceso de resolver mi confusión sobre los permisos de Windows y me encantaría tener algo de claridad sobre lo siguiente.

Me gustaría aprovisionar un recurso compartido de Windows de modo que cualquier computadora anónima con Windows en la red (no usamos un controlador de dominio) pueda escribir \\servername\sharenamey tener acceso de solo lectura a los archivos que contiene.

Lo que yo sé:

  • El grupo "Todos" no incluye el SID "anónimo".(Aunque extrañamente, ese artículo no "se aplica" a 2008 R2...)
  • Hay dos "niveles" (probablemente no sea la mejor palabra) de permisos en los archivos mismos: los permisos para compartir y los permisos NTFS. (es decir, administración de almacenamiento y recursos compartidos -> Propiedades -> Permisos)
  • Hay algunostrampassobre operar en un entorno sin un controlador de dominio pero con cuentas de usuario con nombres idénticos en varias máquinas.

Lo que creo saber:

  • "Hacer que los servicios de red sean visibles" no debería tener ningún impacto en la accesibilidad de los recursos compartidos debidamente autorizados.
  • Los permisos NTFS TAMBIÉN deben configurarse para que este recurso compartido sea accesible, ¡no solo permisos compartidos! (?) (A pesar de que Share and Storage Management afirma que solo se aplican al acceso local).
  • El grupo "Todos" no debe quedar fuera de los permisos de acceso aunque se refiera explícitamente a cuentas de usuarios locales, PORQUE una computadora cliente que haya iniciado sesión con el mismo nombre de usuario que un local en el servidor intentará autenticarse como ese usuario y se le negará. si hay una diferencia en la contraseña. ( *groan*)

Lo que no sé:

  • ¿Hay algún problema relacionado con las credenciales almacenadas en caché o la respuesta del servidor? ¿Debo reiniciar mi estación de trabajo cliente de prueba después de cada intento de conectarme al recurso compartido?
  • ¿La cuenta "Invitado" debería tener algo que ver con esto, ya sea con los permisos compartidos o NTFS?
  • ¿Estoy en lo cierto al observar la necesidad de configurar "INICIO DE SESIÓN ANÓNIMO" con permisos de lectura enAMBOS¿Los permisos compartidos y NTFS? ¿Lo mismo para el grupo "Todos"?

Respuesta1

En primer lugar, configurar el acceso anónimo a un recurso compartido no es tan malo, sólo tienes que incluir Anónimo en Todos (en realidad, lo vinculaste tú mismo):

  1. Abra el Local Group PolicyAdministrador (gpedit)
  2. Configuracion de Computadora
  3. Configuración de Windows
  4. Configuraciones de seguridad
  5. Políticas locales
  6. Opciones de seguridad: Network access: Let Everyone permissions to apply to anonymous usersde desactivada a activada
  7. Cambiar Network access: Restrict anonymous access to Named Pipes and Sharesa deshabilitado
  8. Network access: Shares that can be accessed anonymously- establezca el nombre del recurso compartido que está compartiendo.

En lo que respecta a la acción en sí. Configure Share Permissionscomo "Todos - Modificar" y "Administradores - Control total". Luego configure los permisos NTFS como Administrators - Full ControlyEveryone - <whatever rights needed>

Eso debería satisfacer su necesidad.

Respuesta2

Se deben hacer tres cosas para configurar el acceso de usuarios anónimos en el grupo "Todos", que es más limpio que usar 'INICIO DE SESIÓN ANÓNIMO' explícitamente:

1. Cree el archivo compartido

  • permisos NTFS: configure 'Leer y ejecutar', 'Listar contenido de carpeta' y 'Leer' para el grupo 'Todos'
  • Compartir permisos: establece 'Leer' para el grupo "Todos"

2. Ajustar la política de seguridad local

Abra "Política de seguridad local", navegue hasta Configuración de seguridad -> Políticas locales -> Opciones de seguridad y configure:

  • Network access: Let Everyone permissions apply to anonymous users-Activado
  • Network access: Restrict anonymous access to Named Pipes and Shares-Desactivado
  • Editar Network access: Shares that can be accessed anonymouslypara ser elnombre del recurso compartido que creaste. (El formato es ambiguo, pero no incluya el nombre del servidor y, presumiblemente, se trata de una lista delimitada por comas si necesita más de uno).

3. Permitir el acceso sin contraseña

  • Abra "Configuración avanzada de uso compartido", ya sea desde el "Centro de redes y recursos compartidos" en los paneles de control, o haciendo clic en el enlace en Propiedades en el directorio (en Protección con contraseña).
  • Cambie la configuración "Compartir protegido con contraseña" a desactivada.

Otras notas:

  • Se deben otorgar permisos a los usuarios TANTO en el nivel NTFS como en el compartido
  • Considere que cualquier prueba que realice en una máquina iniciada como usuario cuyo nombre coincida con uno en su servidor es inútil (pero no será necesario reiniciar una máquina de prueba verdadera).

Respuesta3

Encontré esto para darme algo similar que estaba buscando. El siguiente enlace brindará a los usuarios anónimos acceso de solo lectura. No se requerirán credenciales. Si desea agregar acceso RW en el paso donde agrega la cuenta de invitado, simplemente otorgue acceso completo en lugar de solo lectura.

http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/

información relacionada