Quais são as permissões mínimas para que um compartilhamento do Windows seja somente leitura anônima?

tag-icon tag-icon windows-server-2008-r2 permissions network-share
Quais são as permissões mínimas para que um compartilhamento do Windows seja somente leitura anônima?

Estou no longo e árduo processo de resolver minha confusão sobre as permissões do Windows e adoraria obter alguma clareza sobre o seguinte.

Gostaria de provisionar um compartilhamento do Windows de forma que qualquer computador Windows anônimo na rede (não usamos um controlador de domínio) possa digitar \\servername\sharenamee ter acesso somente leitura aos arquivos nele contidos.

O que eu sei:

  • O grupo “Todos” não inclui o SID “anônimo”.(Embora estranhamente, esse artigo não "se aplica" ao 2008 R2...)
  • Existem dois "níveis" (provavelmente não é a melhor palavra) de permissões nos próprios arquivos: as permissões de compartilhamento e as permissões NTFS. (ou seja, gerenciamento de compartilhamento e armazenamento -> Propriedades -> Permissões)
  • Há algunsPegadinhassobre como operar em um ambiente sem um controlador de domínio, mas com contas de usuário com nomes idênticos em várias máquinas.

O que acho que sei:

  • "Tornar os serviços de rede detectáveis" não deve ter impacto na acessibilidade de compartilhamentos devidamente autorizados.
  • As permissões NTFS TAMBÉM devem ser configuradas para que este compartilhamento seja acessível - não apenas permissões de compartilhamento! (?) (Apesar do Share and Storage Management alegar que elas se aplicam apenas ao acesso local.)
  • O grupo "Todos" não deve ser deixado de fora das permissões de acesso, mesmo que se refira explicitamente a contas de usuários locais, PORQUE um computador cliente conectado com o mesmo nome de usuário de um local no servidor tentará se autenticar como esse usuário e será negado se houver uma diferença na senha. ( *groan*)

O que eu não sei:

  • Há alguma pegadinha relacionada às credenciais em cache ou à resposta do servidor? Devo reiniciar minha estação de trabalho cliente de teste após cada tentativa de conexão com o compartilhamento?
  • A conta "Convidado" deve ter algo a ver com isso, nas permissões de compartilhamento ou NTFS?
  • Estou correto ao observar a necessidade de configurar "LOGON ANÔNIMO" com permissões de leitura emAMBOSas permissões de compartilhamento e NTFS? O mesmo para o grupo "Todos"?

Responder1

Primeiro, configurar o acesso anônimo a um compartilhamento não é tão ruim, você só precisa incluir Anônimo em Todos (na verdade, você mesmo vinculou a ele):

  1. Abra o Local Group PolicyGerenciador (gpedit)
  2. Configuração do computador
  3. Configurações do Windows
  4. Configurações de segurança
  5. Políticas Locais
  6. Opções de segurança – Network access: Let Everyone permissions to apply to anonymous usersde Desativado para Ativado
  7. Alterar Network access: Restrict anonymous access to Named Pipes and Sharespara desativado
  8. Network access: Shares that can be accessed anonymously- defina o nome do compartilhamento que você está compartilhando.

No que diz respeito ao próprio compartilhamento, então. Defina Share Permissionscomo "Todos - Modificar" e "Administradores - Controle Total". Em seguida, defina as permissões NTFS como Administrators - Full ControleEveryone - <whatever rights needed>

Isso deve atender à sua necessidade.

Responder2

Três coisas precisam ser feitas para configurar o acesso para usuários anônimos no grupo "Todos", o que é mais limpo do que usar 'LOGON ANÔNIMO' explicitamente:

1. Crie o compartilhamento de arquivos

  • Permissões NTFS: defina 'Ler e Executar', 'Listar Conteúdo da Pasta' e 'Ler' para o grupo 'Todos'
  • Compartilhar permissões: defina 'Ler' para o grupo "Todos"

2. Ajuste a política de segurança local

Abra "Política de segurança local", navegue até Configurações de segurança -> Políticas locais -> Opções de segurança e defina:

  • Network access: Let Everyone permissions apply to anonymous users-Habilitado
  • Network access: Restrict anonymous access to Named Pipes and Shares-Desabilitado
  • Edite Network access: Shares that can be accessed anonymouslypara ser onome do compartilhamento que você criou. (A formatação é ambígua, mas não inclua o nome do servidor e, presumivelmente, esta é uma lista delimitada por vírgulas se você precisar de mais de uma.)

3. Permitir acesso sem senha

  • Abra "Configurações de compartilhamento avançadas", em "Centro de Rede e Compartilhamento" nos painéis de controle ou clicando no link em Propriedades no diretório (em Proteção por senha).
  • Altere a configuração "Compartilhamento protegido por senha" para desativado.

Outras notas:

  • As permissões precisam ser concedidas para usuários AMBOS nos níveis NTFS e de compartilhamento
  • Considere qualquer teste que você fizer em uma máquina logada como um usuário cujo nome corresponda a um em seu servidor como inútil (mas não será necessário reinicializar uma máquina de teste verdadeira)

Responder3

Eu encontrei isso para me dar algo semelhante que eu estava procurando. O link abaixo dará aos usuários anônimos acesso somente leitura. Nenhuma credencial será necessária. Se você quiser adicionar acesso RW na etapa em que adiciona a conta de convidado, apenas conceda acesso total em vez de somente leitura.

http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/

informação relacionada