По подразбиране, когато осъществява достъп до споделена папка на мрежата на сървър, включен в домейн Active Directory от компютри от работна група (не е добавен към домейна), потребителят се подканва да въведе паролата за акаунта в домейна. Нека се опитаме да разберем как да разрешим анонимен достъп до споделени мрежови папки и принтери на сървър на домейни от компютри на работни групи без разрешение, като използваме примера на Windows 10 / Windows Server 2016.
Съдържание:
- Местни политики за анонимен достъп
- Конфигурирайте анонимен достъп до споделената папка
- Предоставяне на анонимен достъп до споделен мрежов принтер
Местни политики за анонимен достъп
На сървъра (компютъра), който искате да споделите с неоторизирани потребители, трябва да отворите локалния редактор на групови правила - gpedit.msc.
Отидете в секцията Компютърна конфигурация -> Конфигурация на Windows -> Опции за сигурност -> Местни политици -> Опции за сигурност (Конфигурация на компютъра -> Настройки на Windows -> Настройки за защита -> Местни политики -> Опции за защита)
Конфигурирайте следните правила:
- Профили: Състояние на акаунта за гости (Акаунти: Състояние на акаунта за гости): Разрешено;
- Достъп до мрежа: Разрешаване на всички да използват анонимни потребители (Достъп до мрежа: Нека всички разрешения се прилагат за анонимни потребители): Разрешено;
- Достъп до мрежа: Не позволявайте изброяване на SAM акаунти и акции (Достъп до мрежа: Не позволявайте анонимно изброяване на SAM акаунти и споделяния): Деактивирано.
От съображения за сигурност е препоръчително да се отвори иОтказ за местно влизане”(Отказ влезете локално) в секцията Местни политици -> Възлагане на права на потребителя и се уверете, че акаунтът за гости е посочен в правилото.
След това проверете в същия раздел в правилото „Достъп до вашия компютър от мрежата”(Достъп до този компютър от мрежа) има гост и в правилото“Забранете достъпа до този компютър от мрежата”(Забранен достъп до този компютър от мрежата) акаунт Гостът не трябва да се посочва.
Уверете се също, че споделянето на мрежови споделяния е активирано в параметри -> Мрежа и Интернет -> Vashe_setevoe_podklyuchenie (Ethernet или Wi-Fi) -> Промяна на разширените опции за споделяне (Настройки -> Мрежа и Интернет -> Ethernet -> Промяна на разширените опции за споделяне). В секцията „Всички мрежи“ трябва да бъде избрана опцията „Активиране на споделянето, така че потребителите на мрежата да могат да четат и пишат файлове в споделени папки“ и да изберете „Деактивиране на защитата с парола (ако се доверите на всички устройства в мрежата)“ трябва да бъде избрана (вижте статията за проблемите откриване на компютри в работни групи).
Конфигурирайте анонимен достъп до споделената папка
Сега трябва да конфигурирате разрешения за достъп в споделената папка, която искате да споделите. Отворете свойствата на папката в настройките за разрешения на NTFS (раздел „Защита“), предоставете права за четене (и, ако е необходимо, промени) за локалната група „всички"(" Всички "). За целта щракнете върху бутона Промяна -> Добавяне -> Всички и изберете необходимите привилегии за анонимни потребители. Предоставих достъп само за четене.
Също в раздела Access трябва да предоставите на анонимните потребители достъп до топката (Access -> Advanced Settings -> Permissions). Проверете дали групата всички има право на промяна и четене.
Сега в редактора за местни политики в секцията Местни политики -> Опции за сигурност нужда от политика “Достъп до мрежа: Разрешаване на анонимен достъп до акции”(Мрежов достъп: Сподели, до които можете да получите достъп анонимно) посочете името на мрежовата папка, до която искате да предоставите анонимен достъп (в моя пример името на мрежовата папка е Споделяне).
Предоставяне на анонимен достъп до споделен мрежов принтер
За да разрешите анонимен достъп до мрежовия принтер на вашия компютър, трябва да отворите свойствата на споделения принтер в контролния панел (Контролен панел \ Хардуер и звук \ Устройства и принтери). В раздела за достъп проверете „Начертайте задание за печат на клиентски компютри”(Извършване на задания за печат на клиентски компютри).
След това в раздела за сигурност на групата „Всички“ проверете всички краища.
След като изпълните тези стъпки, можете да се свържете към споделената папка (\\ име на сървър \ споделяне) и принтера на компютъра с домейн от компютрите на работни групи, без да въвеждате потребителско име и парола, т.е. анонимно.
В Windows 10, 1709 и по-нови версии по подразбиране достъпът до мрежата до споделените папки чрез протокола SMBv2 е блокиран под акаунта за гости с грешката „Не можете да получите достъп до отдалечения компютър, защото политиките за сигурност на вашата организация могат да блокират достъпа без удостоверяване.“ Вижте статията.
