Анонимен достъп до споделени папки и принтери без парола

По подразбиране, когато осъществява достъп до споделена папка на мрежата на сървър, включен в домейн Active Directory от компютри от работна група (не е добавен към домейна), потребителят се подканва да въведе паролата за акаунта в домейна. Нека се опитаме да разберем как да разрешим анонимен достъп до споделени мрежови папки и принтери на сървър на домейни от компютри на работни групи без разрешение, като използваме примера на Windows 10 / Windows Server 2016.

От гледна точка на сигурността не се препоръчва да се отваря анонимен достъп до мрежата за акаунт за гости. Освен това не можете да разрешите анонимен достъп на контролерите на домейни. Ето защо, преди да разрешите анонимен достъп, опитайте се да изберете по-правилен път - включване на компютри на работни групи в домейна или създайте лични акаунти в домейна за всички потребители на работната група. Това е много по-правилно по отношение на осигуряването и управлението на достъпа..

Съдържание:

  • Местни политики за анонимен достъп
  • Конфигурирайте анонимен достъп до споделената папка
  • Предоставяне на анонимен достъп до споделен мрежов принтер

Местни политики за анонимен достъп

На сървъра (компютъра), който искате да споделите с неоторизирани потребители, трябва да отворите локалния редактор на групови правила - gpedit.msc.

Отидете в секцията Компютърна конфигурация -> Конфигурация на Windows -> Опции за сигурност -> Местни политици -> Опции за сигурност (Конфигурация на компютъра -> Настройки на Windows -> Настройки за защита -> Местни политики -> Опции за защита)

Конфигурирайте следните правила:

  • Профили: Състояние на акаунта за гости (Акаунти: Състояние на акаунта за гости): Разрешено;
  • Достъп до мрежа: Разрешаване на всички да използват анонимни потребители (Достъп до мрежа: Нека всички разрешения се прилагат за анонимни потребители): Разрешено;
  • Достъп до мрежа: Не позволявайте изброяване на SAM акаунти и акции (Достъп до мрежа: Не позволявайте анонимно изброяване на SAM акаунти и споделяния): Деактивирано.

От съображения за сигурност е препоръчително да се отвори иОтказ за местно влизане”(Отказ влезете локално) в секцията Местни политици -> Възлагане на права на потребителя и се уверете, че акаунтът за гости е посочен в правилото.

След това проверете в същия раздел в правилото „Достъп до вашия компютър от мрежата”(Достъп до този компютър от мрежа) има гост и в правилото“Забранете достъпа до този компютър от мрежата”(Забранен достъп до този компютър от мрежата) акаунт Гостът не трябва да се посочва.

Уверете се също, че споделянето на мрежови споделяния е активирано в параметри -> Мрежа и Интернет -> Vashe_setevoe_podklyuchenie (Ethernet или Wi-Fi) -> Промяна на разширените опции за споделяне (Настройки -> Мрежа и Интернет -> Ethernet -> Промяна на разширените опции за споделяне). В секцията „Всички мрежи“ трябва да бъде избрана опцията „Активиране на споделянето, така че потребителите на мрежата да могат да четат и пишат файлове в споделени папки“ и да изберете „Деактивиране на защитата с парола (ако се доверите на всички устройства в мрежата)“ трябва да бъде избрана (вижте статията за проблемите откриване на компютри в работни групи).

Конфигурирайте анонимен достъп до споделената папка

Сега трябва да конфигурирате разрешения за достъп в споделената папка, която искате да споделите. Отворете свойствата на папката в настройките за разрешения на NTFS (раздел „Защита“), предоставете права за четене (и, ако е необходимо, промени) за локалната група „всички"(" Всички "). За целта щракнете върху бутона Промяна -> Добавяне -> Всички и изберете необходимите привилегии за анонимни потребители. Предоставих достъп само за четене.

Също в раздела Access трябва да предоставите на анонимните потребители достъп до топката (Access -> Advanced Settings -> Permissions). Проверете дали групата всички има право на промяна и четене.

Сега в редактора за местни политики в секцията Местни политики -> Опции за сигурност нужда от политика “Достъп до мрежа: Разрешаване на анонимен достъп до акции”(Мрежов достъп: Сподели, до които можете да получите достъп анонимно) посочете името на мрежовата папка, до която искате да предоставите анонимен достъп (в моя пример името на мрежовата папка е Споделяне).

Предоставяне на анонимен достъп до споделен мрежов принтер

За да разрешите анонимен достъп до мрежовия принтер на вашия компютър, трябва да отворите свойствата на споделения принтер в контролния панел (Контролен панел \ Хардуер и звук \ Устройства и принтери). В раздела за достъп проверете „Начертайте задание за печат на клиентски компютри”(Извършване на задания за печат на клиентски компютри).

След това в раздела за сигурност на групата „Всички“ проверете всички краища.

След като изпълните тези стъпки, можете да се свържете към споделената папка (\\ име на сървър \ споделяне) и принтера на компютъра с домейн от компютрите на работни групи, без да въвеждате потребителско име и парола, т.е. анонимно.

В Windows 10, 1709 и по-нови версии по подразбиране достъпът до мрежата до споделените папки чрез протокола SMBv2 е блокиран под акаунта за гости с грешката „Не можете да получите достъп до отдалечения компютър, защото политиките за сигурност на вашата организация могат да блокират достъпа без удостоверяване.“ Вижте статията.