Ko privzeto dostopa do omrežne mape v skupni rabi na strežniku, vključenem v domeno Active Directory, iz računalnikov iz delovne skupine (ki ni dodan domeni), bo uporabnik pozvan, da vnese geslo za račun domene. Poskusimo ugotoviti, kako dovoliti anonimni dostop do skupnih mrežnih map in tiskalnikov na domenskem strežniku iz računalnikov delovnih skupin brez dovoljenja na primeru Windows 10 / Windows Server 2016.
Z varnostnega vidika ni priporočljivo odpreti anonimnega dostopa do omrežja za gostujoči račun. Poleg tega ne morete omogočiti anonimnega dostopa do krmilnikov domen. Preden omogočite anonimni dostop, poskusite izbrati bolj pravilno pot - vključitev računalnikov delovnih skupin v domeno ali ustvarite osebne račune v domeni za vse uporabnike delovne skupine. To je veliko bolj pravilno v smislu zagotavljanja in upravljanja dostopa..
Vsebina:
- Lokalne anonimne politike dostopa
- Konfigurirajte anonimni dostop do mape v skupni rabi
- Zagotavljanje anonimnega dostopa do omrežnega tiskalnika
Lokalne anonimne politike dostopa
V strežniku (računalniku), ki ga želite deliti z nepooblaščenimi uporabniki, morate odpreti urejevalnik pravilnikov lokalne skupine - gpedit.msc.
Pojdite na razdelek Konfiguracija računalnika -> Konfiguracija sistema Windows -> Možnosti varnosti -> Lokalni politiki -> Možnosti varnosti (Konfiguracija računalnika -> Nastavitve sistema Windows -> Varnostne nastavitve -> Lokalne politike -> Varnostne možnosti)
Konfigurirajte naslednje pravilnike:
- Računi: stanje računa gostov (Računi: stanje računa gostov): omogočeno;
- Dostop do omrežja: dovoli vsem uporabnikom anonimne uporabnike (Dostop do omrežja: Vsakdo dovoli veljati za anonimne uporabnike): Omogočeno;
- Dostop do omrežja: ne dovolite uvrstitve računov SAM in delnic (Dostop do omrežja: Ne dovolite anonimnega naštevanja SAM računov in delnic): Onemogočeno.
Zaradi varnostnih razlogov je priporočljivo odpreti tudi politiko "Zavrni lokalno prijavo”(V razdelku zavrača lokalno prijavo) Lokalni politiki -> Dodelitev pravic uporabnikov in se prepričajte, da je račun gosta naveden v pravilniku.
Nato v istem razdelku pravilnika preverite,Do računalnika dostopajte do omrežja"(Do tega računalnika dostopajte iz omrežja) je vnos gostov in v pravilniku"Prepovedati dostop do tega računalnika iz omrežja”(Prepovedan dostop do tega računalnika iz omrežja) računa Gost ne sme biti naveden.
Prepričajte se tudi, da je omogočena skupna raba omrežnih del Parametri -> Omrežje in internet -> Your_network_connection (Ethernet ali Wi-Fi) -> Spremenite napredne možnosti skupne rabe (Nastavitve -> Omrežje in internet -> Ethernet -> Spremeni napredne možnosti skupne rabe). V razdelku »Vsa omrežja« je treba izbrati možnost »Omogoči skupno rabo, da lahko uporabniki omrežja berejo in pišejo datoteke v mape v skupni rabi« in izberejo »Onemogoči zaščito gesla (če zaupate vsem napravam v omrežju)« (glejte članek o težavah odkrivanje računalnikov v delovnih skupinah).
Konfigurirajte anonimni dostop do mape v skupni rabi
Zdaj morate konfigurirati dovoljenja za dostop do mape v skupni rabi, ki jo želite dati v skupno rabo. Odprite lastnosti mape v nastavitvah dovoljenj NTFS (zavihek Varnost), zagotovite pravice branja (in po potrebi spremembe) za lokalno skupino "Vse"(" Vsi "). Če želite to narediti, kliknite gumb Change -> Add -> All in izberite potrebne privilegije za anonimne uporabnike. Omogočil sem dostop samo za branje.
Na zavihku Access morate anonimnim uporabnikom omogočiti dostop do žoge (Dostop -> Napredne nastavitve -> Dovoljenja). Preverite, ali je skupina Vse obstaja pravica do Spremeni se in Branje.
Zdaj v urejevalniku lokalnih pravilnikov v razdelku Lokalne politike -> Možnosti varnosti potreba po politiki "Dostop do omrežja: Dovoli anonimni dostop do delnic”(Omrežni dostop: Delnice, do katerih je mogoče dostopati anonimno) določite ime omrežne mape, do katere želite omogočiti anonimni dostop (v mojem primeru je ime omrežne mape Share).
Zagotavljanje anonimnega dostopa do omrežnega tiskalnika
Če želite omogočiti anonimni dostop do omrežnega tiskalnika v računalniku, morate na nadzorni plošči (Nadzorna plošča \ Strojna oprema in zvok \ Naprave in tiskalniki) odpreti lastnosti tiskalnika v skupni rabi. Na zavihku za dostop potrdite polje »Narišite tiskalno opravilo na računalnikih odjemalcev”(Opravljanje tiskalnih opravil na odjemalskih računalnikih).
Nato na zavihku za varnost skupine "Vse" preverite vse zore.
Po zaključku teh korakov se lahko iz računalnikov delovnih skupin povežete z mapo v skupni rabi (\\ ime strežnika \ skupna raba) in tiskalnikom v domenskem računalniku, ne da bi vnesli uporabniško ime in geslo, tj. anonimno.
V Windows 10, 1709 in novejših različicah je dostop do omrežja do skupnih map s protokolom SMBv2 privzeto blokiran v računu gostov z napako »Do oddaljenega računalnika ne morete dostopati, ker lahko varnostne politike vaše organizacije blokirajo dostop brez overjanja.« Glej članek.