我正在經歷漫長而艱鉅的過程來解決我對 Windows 權限的困惑,並希望對以下內容有所了解。
我想設定一個 Windows 共用,以便網路上的任何匿名 Windows 電腦(我們不使用網域控制站)都可以鍵入其中的檔案\\servername\sharename並對其中的檔案具有唯讀存取權限。
我知道的:
- “Everyone”群組不包括“匿名”SID。(雖然奇怪的是,那篇文章並不「適用」2008 R2...)
- 檔案本身有兩個「等級」(可能不是最好的字)權限:共用權限和 NTFS 權限。 (即共用和儲存管理 -> 屬性 -> 權限)
- 有一些陷阱關於在沒有網域控制站但在多台電腦上具有相同名稱的使用者帳戶的環境中進行操作。
我認為我知道的是:
- 「使網路服務可發現」不應影響正確授權的共享的可存取性。
- 還必須配置 NTFS 權限才能存取此共用 - 不僅僅是共用權限! (?)(儘管共用和儲存管理聲稱它們僅適用於本機存取。)
- 即使「Everyone」群組明確引用本機使用者帳戶,也不應將其排除在存取權限之外,因為使用與伺服器本機使用者相同的使用者名稱登入的用戶端電腦將嘗試以該使用者身分進行驗證,但會被拒絕如果密碼有差異。 (
*groan*)
我不知道的是:
- 是否存在與快取憑證或伺服器回應有關的任何問題?每次嘗試連接到共享後是否應該重新啟動測試客戶端工作站?
- 「Guest」帳戶是否與共用或 NTFS 權限有關?
- 我是否正確地觀察到需要配置具有讀取權限的“匿名登入”兩個都共用和NTFS權限? 「每個人」組也是一樣嗎?
答案1
首先,設定對共享的匿名存取並沒有那麼糟糕,您只需將 Anonymous 包含在Everyone 中(您實際上自己連結到它):
- 開啟
Local Group Policy管理器(gpedit) - 電腦設定
- Windows 設定
- 安全設定
- 當地政策
- 安全性選項-
Network access: Let Everyone permissions to apply to anonymous users從停用到啟用 - 更改
Network access: Restrict anonymous access to Named Pipes and Shares為禁用 Network access: Shares that can be accessed anonymously- 設定您正在共享的共享名稱。
就分享本身而言。設定Share Permissions為“所有人 - 修改”和“管理員 - 完全控制”。然後將NTFS權限設定為Administrators - Full Control和Everyone - <whatever rights needed>
那應該可以滿足您的需求。
答案2
需要完成三件事才能為「Everyone」群組下的匿名使用者設定存取權限,這比明確使用「ANONYMOUS LOGON」更清晰:
1. 建立文件共享
- NTFS權限:為“Everyone”群組設定“讀取和執行”、“列出資料夾內容”和“讀取”
- 共享權限:為“所有人”群組設定“閱讀”
2、調整本地安全策略
開啟“本機安全性原則”,導覽至安全設定 -> 本機原則 -> 安全性選項,然後設定:
Network access: Let Everyone permissions apply to anonymous users-啟用Network access: Restrict anonymous access to Named Pipes and Shares-殘障人士- 編輯
Network access: Shares that can be accessed anonymously為您建立的共享的名稱。 (格式不明確,但不包括伺服器名稱,如果您需要多個伺服器名稱,則推測這是以逗號分隔的清單。)
3.允許無密碼訪問
- 從控制台中的「網路和共用中心」或點選目錄上的「屬性」中的連結(在「密碼保護」下)開啟「進階共享設定」。
- 將“密碼保護共享”設定變更為關閉。
其他注意事項:
- 需要為使用者授予 NTFS 和共用等級的權限
- 考慮一下您在以使用者名稱與伺服器上的使用者名稱相符的使用者身分登入的電腦上所做的任何測試都是無用的(但無需重新啟動真正的測試電腦)
答案3
我發現這給了我一些我一直在尋找的類似東西。下面的連結將為匿名用戶提供唯讀存取權限。不需要任何憑證。如果您想在新增訪客帳戶的步驟中新增 RW 存取權限,只需授予完全存取權限而不是唯讀權限。
http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/