Как я получил этот общий ресурс Windows для запроса входа в систему?

14

Или: «Это вещь? И как я могу проверить, если это было?»

В среде без контроллера домена при доступе к общему ресурсу на компьютере под управлением Windows Server 2008 R2 с удаленного компьютера без соответствующей учетной записи пользователя на сервере (и при подключении с помощью ввода \\SERVERNAME\ShareNameиз меню «Пуск») в настоящее время наблюдается следующее поведение на основе в настройке «Общий доступ, защищенный паролем» (Дополнительные параметры общего доступа):

Когда «защищенный паролем совместное использование» включается на все попытки соединения неудачу после того, как до 30 секунд:

Ошибка входа: пользователь не получил запрошенный тип входа на этом компьютере.

Если «Общий доступ с защитой паролем» отключен , подключения к общим ресурсам, доступным для анонимных пользователей, разрешены, в то время как общие ресурсы с ограничением разрешений не работают с:

У вас нет разрешения для доступа к \ SERVERNAME \ ShareName. Обратитесь к администратору сети для запроса доступа.

Это, кажется, ожидаемое поведение. Мне нужны определенные ресурсы, доступные через анонимные входы, поэтому мне пришлось изменить этот параметр со значения по умолчанию на выключенный .

ОДНАКО, здесь есть третий случай. ( ааааааа? )

При попытке подключиться к общему ресурсу , не модифицировав эту установку (то есть, он установлен на на , но вы никогда не щелкнули), соединение ведет себя похоже на на вышеописанном случае в том , что она занимает до 30 секунд , чтобы показать ответ, но затем он отображает диалог аутентификации :

Совместное использование аутентификации

У меня было такое предчувствие, когда я несколько дней бился головой о стену, и просто скопировал это на сервер без существующих общих ресурсов: создайте общий ресурс без чтения, попробуйте подключиться и получить диалог, изменить настройку, подключиться успешно, изменить настройку назад , и получите другое сообщение об ошибке. (Протестировал все это на новых клиентских системах, чтобы не было риска кеширования.)

Чтобы повторить: я контролировал для клиентских систем. Похоже, это полностью связано с сервером.

Итак, для меня ясно, что изменение параметра «Общий доступ, защищенный паролем» меняет более чем одну вещь (ключ реестра? Я Mac-native) за кулисами, и что настройки по умолчанию, поставляемые системой, НЕ совпадают. с настройкой, отраженной на панели управления (или сама панель управления сломана и должна меняться больше вещей).

Итак, вопрос в том: это дизайн или ошибка? И в любом случае, что такое «скрытая настройка», которая изменяется или остается неизменной? Как можно отследить это? У меня заканчиваются свежие серверы для тестирования. :-(

windows-server-2008-r2 network-share server-message-block windows-authentication guest NReilingh
источник
Что такое ACL для папки и каковы разрешения для общего ресурса?
AWippler
Вы можете использовать проект под названием regshot для сравнения двух снимков реестра (один при инициализации системы, один после установки параметра и третий после сброса настройки). Также взгляните на параметры «локальный домен / политика безопасности» и проверьте параметр «Доступ к этому компьютеру из сети» (он же SeNetworkLogonRight ). Вот немного информации об изменениях , и вот немного информации о настройках .
mbrownnyc
@NReilingh: ты опубликовал награду, ты когда-нибудь мог понять это?
charleswj81
@ charleswj81 Ваш ответ был именно тем, что я искал! Просто нужно было найти время сесть с ним. Что я сейчас замечаю, так это то, что списки гостевых учетных записей в панели управления «Управление учетными записями компьютеров» и в Диспетчере серверов не всегда синхронизированы в отношении того, включено или нет. Итак, теперь у меня есть три переменные для проверки в отношении анонимного и парольного подключения: «Общий доступ с защитой паролем», учетная запись «Гость» в диспетчере сервера включена или отключена, а учетная запись «Гость» в панелях управления включена или отключена.
NReilingh

Ответы:

11

Это действительно пробудило во мне интерес. Я смог повторить ваши выводы в моей лаборатории с тем же шаблоном результатов, который вы описали. Я использовал Procmon, чтобы попытаться увидеть, какие изменения сделаны, и почти сдался, пока не увидел следующее:

гостевой аккаунт procmon изменен

Это показывает, что lsass.exe (Local Security Authority) записывает в локальный SAM и вносит изменения во встроенную учетную запись Guest (известный RID 501). Конечно же, когда я проверял ваш сценарий, наблюдая за состоянием гостевой учетной записи, я вижу его включенным, когда отключен «Общий доступ, защищенный паролем». Однако, когда «Общий доступ с защитой паролем» повторно включен, гостевая учетная запись снова не отключается. Отключение гостевой учетной записи вручную восстанавливает первоначальную функциональность: мне предлагается ввести учетные данные (т. Е. Ваш третий случай).

Я не уверен, почему это ведет себя так. Честно говоря, я бы никогда не переключал настройку «Общий доступ, защищенный паролем» до сегодняшнего дня (или даже заметил это, в этом отношении). Я надеюсь, что это поможет с вашим проектом. Если кому-то еще интересно копать дальше, было бы интересно узнать, присутствует ли это поведение на Server 2012/2012 R2 ...

Да, и на ваши первоначальные вопросы (это из-за замысла или это ошибка?), Я не имею ни малейшего представления ...

charleswj81
источник
Я могу подтвердить, что это правильно. Я должен был установить сервер W2K8 свежим сегодня сегодня и мог повторить это, прежде чем присоединить его к домену. Учетная запись гостя должна быть отключена вручную. Если это будет сделано, то поведение будет таким, которое я считаю нормальным: после истечения времени ожидания пользователю предлагается ввести правильные (с точки зрения сервера) учетные данные. (PS: Я никогда не понимал , почему этот чертов тайм - аут, пока это не так , если первоначальные учетные данные будут волшебным образом вступают в силу в течение периода тайм - аута Так зачем ждать..?)
Tonny
2

Если я правильно понял ваш вопрос, то учетные данные общих ресурсов сохраняются в диспетчере учетных данных под панелью управления.

Чтобы открыть диалоговое окно аутентификации, просто удалите учетные данные, относящиеся к этой общей папке, в диспетчере учетных данных.

Когда вы проверяете «Запомнить мои учетные данные», это обычно сохраняется в Диспетчере учетных данных, и если этот пароль был неправильным, вы увидите ошибку сбоя входа в систему.

Холодная Т
источник
Нет так; Я протестировал все три случая на новой клиентской системе без кэшированных учетных данных. (И в этом случае любые учетные данные, которые я ввел, имели бы доступ.) Единственный раз, когда я когда- либо видел этот диалог аутентификации, это когда « Общий доступ, защищенный паролем» не был затронут.
NReilingh
Была противоположная проблема (здесь: serverfault.com/q/619027/175650 ), где я получал приглашение, но не хотел его. Оказалось, что у меня сохранены неверные учетные данные, и ваш пост указал мне правильное направление, чтобы удалить его и решить мою проблему. Благодарность!
SenorAmor
0

Может не помочь вам, но в случае, если это так - у меня часто бывают звонки о том, что мои пользователи не могут получить доступ к общему ресурсу (их старый пароль кэшируется Windows), и я заставляю их делать это:

чистое использование * / D

ETL
источник
Как я уже сказал в вопросе, я контролировал клиента. Я использовал новую систему для каждого теста, чтобы не было риска кэширования учетных данных.
NReilingh