도메인 컨트롤러에 문제가 있습니다. 여기에는 도메인 관리자와 사용자에게만 표시되는 몇 가지 공유가 있습니다. 이 그룹만 Windows XP에 추가되지만 SharingWindows SecurityXP에도 추가됩니다.집이러한 공유를 보고 액세스할 수 있습니다.
나는 이것을 일으키는 특별한 그룹 정책을 생각하고 있었습니다. 어떤 아이디어가 있나요?
답변1
또 다른 언급할 점은 Windows 서버 서비스는 공유에 액세스할 때 도메인 멤버십에 관심이 없다는 것입니다. 승인된 사용자의 사용자 이름과 비밀번호를 제공하면 액세스가 허용됩니다.
사용자 이름/비밀번호는 GUI를 통해 공유에 액세스하려고 시도하거나 "net use" 명령을 통해 드라이브를 매핑하는 동안 명시적으로 제공될 수 있으며, 현재 로컬 Windows XP 사용자의 로컬 사용자 이름과 비밀번호가 우연히 발생하는 경우 자동 NTLMv2 교환을 통해 암시적으로 제공될 수 있습니다. 서버의 유효한 사용자와 일치합니다.
답변2
"보이는 것만"이 정확히 무엇을 의미하는지에 따라 다릅니다. 컴퓨터를 탐색하는 행위는 읽기 전용이든 모든 권한을 갖고 있든 해당 공유에 대한 액세스가 허용되는 것과는 다릅니다.
이를 염두에 두고 실제로 공유에는 탐색, 읽기 액세스, 전체 제어의 3가지 보안 수준이 있습니다.
그룹 정책 적용을 확인하고(GPMC 설치 및 사용, 기존의 형편없는 시스템보다 1.5마일 더 우수함) 공유의 물리적 위치에 대한 전체 하향식 DACL 트리를 확인하고 모든 사용자 및 사용자의 정확한 적용 및 포함을 확인합니다. 액세스 권한이 있는 그룹공유하다(물리적 위치가 아님)
말씀하신 것처럼 사람들이 공유를 검색하는 것을 방지하려는 경우가 아니라면 공유 액세스는 일반적으로 모두 - 모든 권한에 두어야 합니다. 실제 액세스 제어는 파일 시스템을 통해 수행되는 것이 더 좋습니다.