Каковы минимальные разрешения для общего ресурса Windows, чтобы сделать его анонимным и доступным только для чтения?

tag-icon tag-icon windows-server-2008-r2 permissions network-share
Каковы минимальные разрешения для общего ресурса Windows, чтобы сделать его анонимным и доступным только для чтения?

Я нахожусь в долгом и трудном процессе разрешения своей путаницы с разрешениями Windows и хотел бы получить некоторую ясность по следующим вопросам.

Я хотел бы создать общий ресурс Windows таким образом, чтобы любой анонимный компьютер Windows в сети (мы не используем контроллер домена) мог печатать \\servername\sharenameи иметь доступ только для чтения к файлам на нем.

Что я знаю:

  • Группа «Все» не включает «анонимный» SID.(Хотя странно, что эта статья не «применима» к 2008 R2...)
  • Существует два «уровня» (вероятно, не самое лучшее слово) разрешений для самих файлов: разрешения для общего доступа и разрешения NTFS. (т. е. Управление общим доступом и хранением -> Свойства -> Разрешения)
  • Есть некоторыегочао работе в среде без контроллера домена, но с учетными записями пользователей с одинаковыми именами на нескольких компьютерах.

Что я думаю, что знаю:

  • «Обеспечение доступности сетевых служб» не должно влиять на доступность общих ресурсов с надлежащими правами доступа.
  • Для того чтобы этот общий ресурс был доступен, необходимо ТАКЖЕ настроить разрешения NTFS — а не просто разрешения общего ресурса! (?) (Несмотря на то, что Share and Storage Management утверждает, что они применяются только к локальному доступу.)
  • Группа «Все» не должна быть исключена из разрешений доступа, даже если она явно относится к локальным учетным записям пользователей, ПОТОМУ ЧТО клиентский компьютер, вошедший в систему под тем же именем пользователя, что и локальный компьютер на сервере, попытается пройти аутентификацию как этот пользователь и получит отказ, если в пароле будет разница. ( *groan*)

Чего я не знаю:

  • Есть ли какие-то подводные камни, связанные с кэшированными учетными данными или ответом сервера? Стоит ли перезагружать тестовую клиентскую рабочую станцию ​​после каждой попытки подключения к общему ресурсу?
  • Должна ли учетная запись «Гость» иметь к этому какое-либо отношение, будь то права доступа к общему ресурсу или разрешения NTFS?
  • Правильно ли я понимаю необходимость настройки «АНОНИМНОГО ВХОДА» с разрешениями на чтение?ОБАразрешения общего доступа и NTFS? То же самое для группы "Все"?

решение1

Во-первых, настройка анонимного доступа к общему ресурсу не так уж и плоха, вам просто нужно включить Anonymous в Everyone (вы же сами на него ссылались):

  1. Откройте Local Group Policyменеджер (gpedit)
  2. Конфигурация компьютера
  3. Настройки Windows
  4. Настройки безопасности
  5. Местная политика
  6. Параметры безопасности — Network access: Let Everyone permissions to apply to anonymous usersот «Отключено» до «Включено»
  7. Изменить Network access: Restrict anonymous access to Named Pipes and Sharesна отключенный
  8. Network access: Shares that can be accessed anonymously- укажите имя общего ресурса, которым вы делитесь.

Что касается самого общего ресурса, то установите Share Permissions"Все - Изменить" и "Администраторы - Полный доступ". Затем установите разрешения NTFS как Administrators - Full ControlиEveryone - <whatever rights needed>

Это должно удовлетворить ваши потребности.

решение2

Чтобы настроить доступ для анонимных пользователей в группе «Все», необходимо выполнить три действия, что удобнее, чем явное использование «АНОНИМНОГО ВХОДА»:

1. Создайте общий файл

  • Разрешения NTFS: установить «Чтение и выполнение», «Список содержимого папки» и «Чтение» для группы «Все»
  • Поделиться разрешениями: установить «Чтение» для группы «Все»

2. Настройте локальную политику безопасности

Откройте «Локальная политика безопасности», перейдите в Параметры безопасности -> Локальные политики -> Параметры безопасности и установите:

  • Network access: Let Everyone permissions apply to anonymous users-Включено
  • Network access: Restrict anonymous access to Named Pipes and Shares-Неполноценный
  • Изменить Network access: Shares that can be accessed anonymously, чтобы бытьимя созданного вами ресурса. (Форматирование неоднозначно, но не включайте имя сервера, и, предположительно, это список, разделенный запятыми, если вам нужно больше одного.)

3. Разрешить доступ без пароля

  • Откройте «Дополнительные параметры общего доступа» либо из «Центра управления сетями и общим доступом» на панели управления, либо щелкнув ссылку в свойствах каталога (в разделе «Защита паролем»).
  • Измените настройку «Общий доступ с парольной защитой» на «Выкл.».

Другие примечания:

  • Разрешения должны быть предоставлены пользователям как на уровне NTFS, так и на уровне общего ресурса.
  • Рассматривайте любое тестирование, которое вы проводите на машине, вошедшей в систему как пользователь, чье имя совпадает с именем на вашем сервере, как бесполезное (но перезагрузка настоящей тестовой машины не потребуется)

решение3

Я нашел это, чтобы получить что-то похожее, что я искал. Ссылка ниже предоставит анонимным пользователям доступ только для чтения. Учетные данные не потребуются. Если вы хотите добавить доступ RW на этапе добавления гостевой учетной записи, просто предоставьте полный доступ вместо доступа только для чтения.

http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/

Связанный контент