Pri prístupe do zdieľaného sieťového priečinka na serveri zahrnutom v doméne služby Active Directory z počítačov z pracovnej skupiny (nepridaných do domény) je používateľ v predvolenom nastavení vyzvaný na zadanie hesla pre účet domény. Skúsme zistiť, ako povoliť anonymný prístup k zdieľaným sieťovým zložkám a tlačiarňam na doménovom serveri z počítačov pracovnej skupiny bez autorizácie pomocou príkladu Windows 10 / Windows Server 2016..
obsah:
- Pravidlá miestneho anonymného prístupu
- Nakonfigurujte anonymný prístup k zdieľanému priečinku
- Poskytovanie anonymného prístupu k zdieľanej sieťovej tlačiarni
Pravidlá miestneho anonymného prístupu
Na serveri (počítači), ktorý chcete zdieľať s neautorizovanými používateľmi, musíte otvoriť editor politiky lokálnej skupiny - gpedit.msc.
Prejdite do sekcie Konfigurácia počítača -> Konfigurácia Windows -> Možnosti zabezpečenia -> Miestni politici -> Možnosti zabezpečenia (Konfigurácia počítača -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Miestne politiky -> Možnosti zabezpečenia)
Nakonfigurujte nasledujúce zásady:
- Účty: Stav účtu hosťa (Účty: Stav účtu hosťa): povolené;
- Sieťový prístup: umožňuje všetkým používať anonymných používateľov (Prístup k sieti: Povoliť pre anonymných používateľov povolenie pre všetkých): Povolené;
- Sieťový prístup: neumožňujú výpis účtov a zdieľaní SAM (Prístup k sieti: Nepovoliť anonymný výpočet účtov a zdieľaní SAM): Zakázané.
Z bezpečnostných dôvodov je tiež vhodné otvoriť politiku „Odmietnuť miestne prihlásenie“(Zakázať miestne prihlásenie) v sekcii Miestni politici -> Pridelenie práv používateľov a ubezpečte sa, že účet hosťa je uvedený v pravidlách.
Potom skontrolujte, či sa v tej istej časti politiky „Získajte prístup k počítaču zo siete“(Prístup k tomuto počítaču zo siete) je položka hosťa av politike„Odmietnuť prístup k tomuto počítaču zo siete“(Odmietnuť prístup k tomuto počítaču zo siete) účet Hosť nesmie byť zadaný.
Uistite sa tiež, že zdieľanie zdieľania v sieti je povolené v systéme parametre -> Sieť a internet -> Vashe_setevoe_podklyuchenie (Ethernet alebo Wi-Fi) -> Zmeňte rozšírené možnosti zdieľania (Nastavenia -> Sieť a internet -> Ethernet -> Zmeniť rozšírené možnosti zdieľania). V časti „Všetky siete“ by sa mala vybrať možnosť „Povoliť zdieľanie, aby používatelia siete mohli čítať a zapisovať súbory do zdieľaných priečinkov“ a vyberte možnosť „Zakázať ochranu heslom (ak dôverujete všetkým zariadeniam vo vašej sieti)“ (pozri článok o problémoch objavte počítače v pracovných skupinách).
Nakonfigurujte anonymný prístup k zdieľanému priečinku
Teraz musíte nakonfigurovať prístupové oprávnenia pre zdieľaný priečinok, ktorý chcete zdieľať. Otvorte vlastnosti priečinka v nastaveniach oprávnení NTFS (karta Zabezpečenie), zadajte práva na čítanie (a podľa potreby zmeny) pre miestnu skupinu. “všetko„(„ Každý “). Kliknite na tlačidlo Zmeniť -> Pridať -> Všetky a vyberte potrebné oprávnenia pre anonymných používateľov. Poskytol som prístup len na čítanie.
Na karte Prístup musíte tiež udeliť anonymným používateľom prístup k lopte (Prístup -> Rozšírené nastavenia -> Povolenia). Skontrolujte, či skupina všetko existuje právo zmena a čítania.
Teraz v editore miestnych politík v sekcii Miestne politiky -> Možnosti zabezpečenia potreba v politike “Sieťový prístup: Povoľuje anonymný prístup k akciám“(Prístup k sieti: zdieľané položky, ku ktorým je možné pristupovať anonymne) zadajte názov sieťového priečinka, do ktorého chcete poskytnúť anonymný prístup (v mojom príklade je názov sieťového priečinka Share).
Poskytovanie anonymného prístupu k zdieľanej sieťovej tlačiarni
Ak chcete povoliť anonymný prístup k sieťovej tlačiarni v počítači, musíte otvoriť vlastnosti zdieľanej tlačiarne v ovládacom paneli (Ovládací panel \ Hardvér a zvuk \ Zariadenia a tlačiarne). Na karte prístupu začiarknite políčko „Nakreslite tlačovú úlohu na klientskych počítačoch“(Vykreslenie tlačových úloh v klientskych počítačoch).
Potom na karte zabezpečenia skupiny „Všetky“ skontrolujte všetky smery.
Po dokončení týchto krokov sa môžete pripojiť k zdieľanému priečinku (\\ servername \ share) a tlačiarni v počítači domény z počítačov pracovnej skupiny bez zadania používateľského mena a hesla, t.j. anonymne.
V systémoch Windows 10, 1709 a vyšších je predvolene sieťový prístup k zdieľaným zložkám protokolom SMBv2 blokovaný pod účtom hosťa chybou „Nemáte prístup k vzdialenému počítaču, pretože bezpečnostné zásady vašej organizácie môžu blokovať prístup bez autentifikácie.“ Pozri článok.
