저는 Windows 권한에 대한 혼란을 해결하기 위해 길고 힘든 과정을 거치고 있으며 다음 사항에 대해 좀 더 명확하게 알고 싶습니다.
\\servername\sharename
네트워크상의 모든 익명 Windows 컴퓨터(우리는 도메인 컨트롤러를 사용하지 않음)가 입력할 수 있고 파일에 대한 읽기 전용 액세스를 가질 수 있도록 Windows 공유를 제공하고 싶습니다 .
내가 아는데 것을:
- "Everyone" 그룹에는 "익명" SID가 포함되지 않습니다.(이상하게도 그 기사는 2008 R2에는 "적용"되지 않습니다...)
- 파일 자체에 대한 사용 권한에는 공유 사용 권한과 NTFS 사용 권한이라는 두 가지 "레벨"(가장 적절한 단어는 아닐 수 있음)이 있습니다. (예: 공유 및 저장소 관리 -> 속성 -> 권한)
- 일부가 있습니다문제도메인 컨트롤러는 없지만 여러 컴퓨터에서 동일한 이름의 사용자 계정을 사용하는 환경에서 작동하는 방법에 대해 설명합니다.
내가 안다고 생각하는 것:
- "네트워크 서비스를 검색 가능하게 만들기"는 적절하게 권한이 부여된 공유의 액세스 가능성에 영향을 미치지 않아야 합니다.
- 공유 권한뿐만 아니라 이 공유에 액세스할 수 있도록 NTFS 권한도 구성해야 합니다!(?) (공유 및 스토리지 관리에서는 로컬 액세스에만 적용된다고 주장하지만)
- "Everyone" 그룹은 명시적으로 로컬 사용자 계정을 참조하더라도 액세스 권한에서 제외되어서는 안 됩니다. 서버에 로컬 사용자와 동일한 사용자 이름으로 로그온한 클라이언트 컴퓨터가 해당 사용자로 인증을 시도하고 거부되기 때문입니다. 비밀번호에 차이가 있는 경우. (
*groan*
)
내가 모르는 것:
- 캐시된 자격 증명이나 서버 응답과 관련된 문제가 있나요? 공유에 연결을 시도할 때마다 테스트 클라이언트 워크스테이션을 재부팅해야 합니까?
- "Guest" 계정이 공유 또는 NTFS 권한과 관련하여 이와 관련이 있어야 합니까?
- 읽기 권한으로 "ANONYMOUS LOGON"을 구성해야 한다는 점을 관찰한 것이 맞습니까?둘 다공유 및 NTFS 권한? "모두" 그룹도 마찬가지인가요?
답변1
먼저, 공유에 대한 익명 액세스를 설정하는 것은 그리 나쁘지 않습니다. 단지 Everything에 Anonymous를 포함하면 됩니다(실제로는 직접 연결했습니다).
Local Group Policy
관리자(gpedit)를 엽니다 .- 컴퓨터 구성
- 윈도우 설정
- 보안 설정
- 지역 정책
- 보안 옵션 -
Network access: Let Everyone permissions to apply to anonymous users
비활성화에서 활성화까지 Network access: Restrict anonymous access to Named Pipes and Shares
비활성화로 변경Network access: Shares that can be accessed anonymously
- 공유하고 있는 공유 이름을 설정하세요.
공유 자체가 진행되는 한. Share Permissions
"모든 사람 - 수정" 및 "관리자 - 모든 권한"으로 설정합니다 . 그런 다음 NTFS 권한을 다음과 같이 설정하십시오 Administrators - Full Control
.Everyone - <whatever rights needed>
그것은 당신의 필요를 처리해야합니다.
답변2
"Everyone" 그룹에서 익명 사용자에 대한 액세스를 설정하려면 세 가지 작업을 수행해야 합니다. 이는 'ANONYMOUS LOGON'을 명시적으로 사용하는 것보다 더 깔끔합니다.
1. 파일 공유 생성
- NTFS 권한: 'Everyone' 그룹에 대해 '읽기 및 실행', '폴더 내용 나열', '읽기'를 설정합니다.
- 공유 권한: "모두" 그룹에 대해 '읽기'를 설정합니다.
2. 로컬 보안 정책 조정
"로컬 보안 정책"을 열고 보안 설정 -> 로컬 정책 -> 보안 옵션으로 이동하여 다음을 설정합니다.
Network access: Let Everyone permissions apply to anonymous users
-활성화됨Network access: Restrict anonymous access to Named Pipes and Shares
-장애가 있는- 편집
Network access: Shares that can be accessed anonymously
하여생성한 공유의 이름. (형식이 모호하지만 서버 이름을 포함하지 마십시오. 아마도 둘 이상이 필요한 경우 쉼표로 구분된 목록일 것입니다.)
3. 비밀번호 없이 접근 허용
- 제어판의 "네트워크 및 공유 센터"에서 또는 디렉터리의 속성(암호 보호 아래)에 있는 링크를 클릭하여 "고급 공유 설정"을 엽니다.
- "비밀번호로 보호된 공유" 설정을 꺼짐으로 변경합니다.
기타 참고사항:
- NTFS 및 공유 수준 모두에서 사용자에게 권한을 부여해야 합니다.
- 서버에 이름이 일치하는 사용자로 로그인한 컴퓨터에서 수행하는 모든 테스트는 쓸모가 없다고 생각하십시오(그러나 실제 테스트 컴퓨터를 재부팅할 필요는 없습니다).
답변3
나는 이것이 내가 찾고 있던 것과 비슷한 것을 제공한다는 것을 알았습니다. 아래 링크는 익명 사용자에게 읽기 전용 액세스 권한을 부여합니다. 자격 증명이 필요하지 않습니다. 게스트 계정을 추가하는 단계에서 RW 액세스를 추가하려면 읽기 전용 대신 전체 액세스 권한을 부여하면 됩니다.
http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/