Настраиваете анонимный сетевой ресурс Windows Server 2008?

17

Как создать действительно анонимный сетевой ресурс для чтения / записи в Windows Server 2008?

То есть ...

  • диалог входа не отображается
  • учетные данные домена не требуются

... чтобы любой компьютер с Windows мог получить доступ к этой папке независимо от того, кто вошел в систему, находится ли она в домене или нет?

Джефф Этвуд
источник

Ответы:

17

Я смог получить элементарный анонимный ресурс, установив разрешения для общего ресурса и файловой системы :

  • Все (полный контроль)
  • Гости (полный контроль)
  • АНОНИМНЫЙ ЛОГОН (полный контроль)

После этого в локальной политике безопасности под Local Policies > Security Optionsменя пришлось внести изменения

Доступ к сети: общие ресурсы, к которым можно получить доступ анонимно

добавив мою долю, вот так:

имя_общего_ресурса

На тот момент я смог добраться до \\servername\sharenameанонимно.

Джефф Этвуд
источник
2
Не могу сказать, что когда-либо делал это по этому маршруту. Это более разумно, чем моя публикация, потому что это радикально не снижает безопасность сервера. На этом основании я сдуваю свой ответ и голосую против вас.
Эван Андерсон
@ evan Я не уверен на 100%, что это совершенно правильно, поэтому я хочу услышать мнение других об этом
Джефф Этвуд
Это лучше, чем включение учетной записи «Гость», IMO, потому что очень легко (особенно при злоупотреблении принципалом «Все» в разрешениях) «утекать» доступ к «Гостям». Сказав это, включить учетную запись «Гость» немного быстрее, чем это. Я не уверен, что это положительный момент, хотя. Я провел много времени в своей жизни, пытаясь заставить людей не включать учетную запись «Гость».
Эван Андерсон
4
Я пробовал оба, но я все еще получаю неизвестное имя пользователя или пароль. Что еще мне нужно сделать? у меня есть win2k8 server r2 box
Анируд Гоэль
1
+1 за то, что фактически дал текст для
вставки
4

Вам необходимо включить учетную запись «Гость» на компьютере с Windows Server. После того, как вы это сделаете, предполагая, что удаленный пользователь не пытается войти в систему с учетной записью, действительной на компьютере с Windows Server, вы получите то, что ищете. Однако это может быть затруднительно, потому что вы получите диалоги входа на удаленные компьютеры, если учетная запись пользователя, используемая на удаленном компьютере, совпадает с учетной записью, действительной на компьютере с Windows Server. Стандартный «обходной путь» для этого - переименовать локальную учетную запись «Администратор» на компьютере с Windows Server во что-то другое и воздерживаться от создания каких-либо дополнительных учетных записей пользователей.

Очевидно, вам понадобятся соответствующие разрешения для общей папки и файловой системы для общей папки.

Эван Андерсон
источник
1
Это замечательный момент в том, что учетные записи перекрываются, если вы случайно «сопоставили» учетную запись на целевой машине. Не подумал бы об этом. Еще один момент, который следует учитывать: если учетная запись, пытающаяся получить доступ к этой анонимной папке, скажем, LOCAL SYSTEMили NETWORK SERVICE... этим учетным записям просто запрещается прикасаться к сети, то есть, в конечном счете, не имеет значения, какие у нее есть разрешения. (Я удалил этот пост, потому что я все еще думаю, что он полезен ..)
Джефф Этвуд
@JeffAtwood Джефф, не могли бы вы предоставить источник, почему NETWORK SERVICEи LOCAL SYSTEMне работают при попытке подключиться к общей папке рабочей группы? По соображениям безопасности? Есть ли способ отключить его?
Александру