Анонімний доступ до акцій SMB, розміщених на сервері Server 2008 R2 Enterprise


13

По-перше, я прочитав цю публікацію, і цілий ряд нестандартних постів, які, здається, вирішують ту саму чи подібну проблему, проте я все ще не зміг виправити свою проблему.

У цій ситуації у мене три машини:

  • сервер, приєднаний до домену, на якому працює Server 2008 R2 Enterprise ("сервер спільного доступу")
  • тестовий сервер, що не пов’язаний з доменом, на якому працює сервер 2003 R2 SP2 ("тестовий сервер")
  • робоча станція, приєднана до домену, на якій працює XP Pro SP3 ("робоча станція")

Сервер загального користування відкриває частку в мережі, до якої повинен отримати доступ тестовий сервер - це спільний ресурс Source / Symbol Server для наших цілей налагодження. Я вважаю, що в цьому випадку візуальна студія просто отримує доступ до акцій із власними обліковими даними, це означає, що поділка повинна бути доступна анонімно, оскільки тестовий сервер не приєднаний до домену і немає можливості надати автентифікацію домену.

Я намагався багато речей, щоб уникнути вікна аутентифікації під час доступу до спільного доступу:

  • Я ввімкнув гостьовий обліковий запис на сервері спільного доступу та надав гостям дозволу на повний доступ / NTFS для спільної доступу.
  • Я надав ANONYMOUS LOGON повний дозвіл на обмін / NTFS для спільної доступу.
  • Я додав свою частку до "Доступ до мережі: Акції, до яких можна отримати анонімний доступ" в LSP.
  • Я відключив "Мережевий доступ: обмежити анонімний доступ до іменованих труб та часток" в LSP.
  • Я ввімкнув "Доступ до мережі: Нехай усі права застосовуються до анонімних користувачів" в LSP.
  • Додано АНОНИМНИЙ ЛОГОН до "Доступ до цього комп’ютера з мережі" в LSP.
  • Додано гостьовий рахунок до "Доступ до цього комп'ютера з мережі" в LSP.
  • Спроба забезпечити частку за допомогою оснащення MMC для управління поділками та зберіганням.

На жаль, коли я намагаюся отримати доступ до папки з тестового сервера, я все ще бачу підказку і змушений ввести "Гість" вручну.

Я також спробував цей робочий процес, використовуючи локальний обліковий запис адміністратора на робочій станції, і те ж саме відбувається і з, і без увімкненого простого обміну файлами XP.

Будь-яка ідея, чому я отримую ці результати, або що я повинен був зробити по-іншому?


Я думаю, ви переключили "тестовий сервер" та "робочу станцію" у списку машин, чи я просто не дотримуюся цього?
charlesbridge

Я багато разів виконував подібні процедури. Деякі ваші кроки я не маю. Єдине, що я можу вважати пропущеним - це надання кожному доступу до спільної доступу та файлової системи. Чи допомагає це?
Джеремі

просто з цікавості, чи використання новітньої ОС (скажімо, Windows 7 або Windows Server 2008) щось змінює в цьому сценарії приєднання робочих груп до акцій, що приєдналися до домену? Мене вражає те, що сервер Win2k3 досить старий і, можливо, це проблема рукостискання.
Джефф Етвуд

Можливо, вам доведеться знизити налаштування NTLMv3 / Kerberos до LM .. Я не можу запам’ятати і не мати його під рукою.
Grizly

Чи було запропоновано підключитись до прихованого диску C $?
Данно

Відповіді:


4

Ви зробили все правильно, за винятком того, що локальний обліковий запис, який має доступ, не може бути в обох системах. По суті, якщо недоменний обліковий запис, на якому працює ваша програма, називається "адміністратор", ви не повинні мати локальний обліковий запис на сервері домену під назвою "адміністратор".


2

Якщо ім'я користувача, з яким ви використовуєте логін, існує на сервері, але має інший пароль, він завжди запросить пароль, незалежно від того, які гостьові та анонімні налаштування ви створили.

Спробуйте увійти за допомогою імені користувача, яке не існує ніде на сервері або це домен.

Інший варіант - зробити пароль на автономному сервері точно таким же, як і на ідентичного іменованого користувача в домені.


1
Це насправді хороший момент. Повноважні дані гостя (а не пароль як такий) існуватимуть на Test-сервері і передаються на Share-Server, який вийде з ладу як його неправильним, так і навпаки.
Grizly

1

Як щодо відображення мережевого накопичувача та використання синтаксису стійкого з'єднання було б щось подібне.

чисте використання H: \ шлях \ до \ сервер \ PASSWORD_CLEAR_TXT / користувач: домен \ користувач / стійкий: так

якщо в будь-який час ви хочете видалити його, використовуйте h: / delete


Для цього потрібен користувач, який увійшов, який не завжди доступний.
NotMe

Ні, для цього потрібен сценарій та запис реєстру або в \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run or RunOnce
Grizly

1

Можливо тимчасове вирішення. Ви можете створити локальний обліковий запис користувача (дозволи на надання спільного доступу \ ntfs) на "сервері спільного використання" з таким самим іменем та паролем, як обліковий запис, який використовується на "тестовому сервері" для запуску програми, що отримує доступ до спільних ресурсів.


0

Я не бачу, що ви додали ВСЯКОГО до дозволу на доступ до мережі / безпеки, Гість (колись увімкнено) повинен бути включений до цієї групи. Як описано тут .

Також кілька хороших відповідей тут , що стосуються подібних питань (2003).


3
Як я розумію, група "Усі" не застосовується до цього сценарію, оскільки значення "Все" - це "будь-який аутентифікований користувач", тобто кожен явно виключає АНОНИМНИЙ ЛОГОН за замовчуванням. Навіть досі, просто для забезпечення безпеки я включив налаштування "Нехай усі стосуються анонімних користувачів".
бурбаки


0

Ви намагалися явно додати обліковий запис комп’ютера, тобто ім'я комп’ютера $, щоб мати дозволи на спільну доступність та через NTFS? Очевидно, що це не буде працювати з машинами, що не приєднуються до домену.


0

Це завжди буде підказувати, поки ви не зробите одну з двох речей. Обидва мають одне і те ж завдання кешування облікових даних (які в цьому випадку іронічно не мають значення, але все ж мають бути присутніми).

Одне полягає в тому, щоб відобразити накопичувач і зробити відображення стійким. Інша - відкрити менеджер облікових даних безпосередньо та додати логін (будь-який логін) для сервера, до якого ви підключаєтесь. Доступ до менеджера довірених даних можна отримати з елемента керування користувача або безпосередньо в "Панелі керування \ Усі елементи панелі керування \ Менеджер довірених даних".

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.