Як може неавторизований користувач отримати доступ до спільного доступу до Windows?

У мене на комп'ютері спільний каталог, який є частиною домену. Чи можна налаштувати спільну частку так, щоб користувач, який увійшов на іншу машину, яка не є частиною домену, отримала доступ до моєї частки? З машини, яка не знаходиться в домені, я можу перейти до спільної доступу, але вона запитує облікові дані, і я просто хочу дозволити анонімний доступ.

Щоб робити те, що ви хочете, потрібно ввімкнути обліковий запис "Гість" на комп’ютері, на якому розміщені файли, а потім надати групі "Усі" будь-який доступ.

"Гість" - це обліковий запис користувача, але його ввімкнено / вимкнено статус трактується операційною системою як булеве "Дозволити підключенню неаутентифікованих користувачів?" Дозволи все ще контролюють доступ до файлів, але ви відкриваєте LOT , включивши Guest.

Не робіть цього на комп’ютері контролера домену, BTW, тому що ви будете гостем у всіх DC ...

У моєму випадку ввімкнення гостьового облікового запису та додавання Everyoneне допомогло (поділитися на старішій скриньці з Windows Server 2008 SP2 у домені та на машині Windows Server 2012 R2 за межами домену).

Після досконалого керівництва, опублікованого Ніколою Радосавлевичем , анонімний доступ нарешті спрацював за моїм сценарієм.

Підсумок кроків:

• Додавання Everyone, Guestі ANONYMOUS LOGONдо дозволами частки.
• Відкрийте редактор групової політики (наприклад, запустивши gpedit.msc)
  • Конфігурація комп'ютера -> Налаштування Windows -> Налаштування безпеки -> Локальні політики -> Параметри безпеки
  • Облікові записи: стан облікового запису гостей: Enabled
  • Доступ до мережі: Нехай усі дозволи застосовуються до анонімних користувачів: Enabled
  • Доступ до мережі: обмежте анонімний доступ до названих труб та акцій: Disabled
  • Доступ до мережі: Акції, до яких можна отримати анонімний доступ: YOUR_SHARE_NAME

Увімкнення облікового запису гостей не рекомендується. Баз і джангофан правильні; ви повинні надати анонімному користувачеві дозвіл на спільний доступ і папку. (Дозволи безпеки на вкладці спільного доступу та папок, якщо у вас немає домашньої версії Windows.)

Цікавий прийом: надання доступу до кожного не працює, навіть якщо ви думаєте, що це буде. У діалоговому вікні дозволів на вкладці спільного доступу потрібно спеціально включити анонімного користувача. У Windows 7 це місцевий користувач ANONYMOUS LOGON.

На вкладці безпеки та вкладці спільного доступу надайте анонімний потрібний доступ для читання / запису. Тоді будь-хто повинен мати можливість отримати доступ до акції.

Ви дійсно хочете надати неавторизований доступ до файлів? Якщо це невелика група користувачів, ви можете створити локальні облікові записи для них на машині, створити групу та надати цій групі доступ лише до тієї однієї папки. Якщо це веб-сервер у DMZ, можливо, налаштування передніх сторінок веб-сайтів було б краще, щоб ви мали кращу безпеку, ніж "Усі мають доступ робити що-небудь до цих файлів".

Я вирішив це, зіставивши мережевий накопичувач до домену домену, а потім підключившись до різних облікових даних за допомогою локального облікового запису. Не потрібно було вмикати обліковий запис гостя чи дозволити анонімний доступ.

Коли ви хочете увійти, не використовуючи домен, просто введіть \ (зворотну косу рису) перед іменем useraccount. Тоді ви побачите, що домен, який видно у діалоговому вікні входу, зникає.

Ось альтернативний метод, який я використовую для цього в Windows 10 Pro. Цей спосіб передбачає включення функціональності спільного використання загальнодоступних папок, вбудованого в Windows, створення нової загальної папки та встановлення дозволів для спільного доступу та NTFS, ідентичних загальнодоступній папці в каталозі Користувачі. Потім вимкнення Громадської частки. Цей метод не змінює жодних локальних політик безпеки чи налаштувань реєстру (які я бачив у мережі Інтернет)

1. Відкрийте «Центр мережі та обміну» та натисніть посилання «Розширені налаштування спільного доступу».
2. Розгорніть «Усі мережі».
3. Поставте прапорець "Увімкнути спільний доступ, щоб кожен, хто має доступ до мережі, міг читати та записувати файли у загальнодоступні папки"
4. Клацніть «Вимкнути спільне використання захищеного паролем».
5. Створіть папку "Спільне" на обраному вами диску на будь-якому диску, який ви обрали.
6. Увімкніть частку, натиснувши кнопку "Розширений обмін ...".
7. Встановіть дозвіл на обмін на "Усі", "Повний контроль".
8. Встановіть права доступу [NTFS] так само, як і папку "Загальнодоступні" в каталозі C: ​​\ Користувачі.
9. Для "Інтерактивного", "Сервісного" та "Пакетного" встановіть 2 спеціальні дозволи, щоб вони відповідали дозволам у Додаткові параметри безпеки, Показати розширені дозволи.
10. Необов’язково: вимкніть спільний доступ у каталозі "Користувачі", який було ввімкнено, коли ввімкнено спільний доступ до спільної папки.
11. Необов’язково. Якщо для доступу до спільного доступу до файлів потрібні кілька підмереж / VLAN, перейдіть до Брандмауера Windows, Додаткові параметри брандмауера, натисніть “Вхідні правила” та відфільтруйте за групою файлів та принтерів та типом профілю. На вкладці "Область застосування" змініть кожне правило вхідного брандмауера та змініть "localsubnet" у розділі "Віддалена IP-адреса", щоб включити додаткові підмережі, яким потрібен доступ до спільної доступу.
12. Перевірте доступ до новоствореної папки "Спільний".
13. Перевірте в "Керування комп'ютером" статус сеансу. Це показує, що "Гість" - це обліковий запис, який використовується для автентифікації.
14. Повторіть процес для кількох спільних папок з анонімним доступом.

Розширені дозволи

Розширені дозволи

Розширені дозволи

Я б спробував увімкнути налаштування "простого обміну файлами" у налаштуваннях провідника Windows і побачити, як це змінюється. Потім, крім цього, відредагуйте дозволи для вашої частки, щоб дозволити користувачам, які не мають домену, що не мають автентифікацію.

Звели це до цього:

На файловому сервері Надайте права анонімної долі та NTFS за потребою (Прочитайте в моєму випадку)

Створіть GPO та застосуйте до файлового сервера Комп'ютер - Windows - Безпека - Локальний - Безпека

Облікові записи: стан облікового запису гостей - увімкнено

Облікові записи: Перейменуйте обліковий запис адміністратора - SomeNameOfYourChoise

Облікові записи: Перейменуйте акаунт гостя - SomeNameOfYourChoise

Доступ до мережі: Акції, до яких можна отримати доступ анонімно: YourShareName

Доступ до мережі: Модель спільного доступу та захист для місцевого облікового запису від "Класичні локальні користувачі підтверджують себе" та "Лише гості - місцеві користувачі підтверджують себе як гість"

На своїй машині Windows 10 я перевірив усі запропоновані рішення, щоб з’ясувати, що насправді необхідно.

Ось перелік дій, які фактично потрібні:

1. Увімкнути обліковий запис гостя

2. Простий спосіб: розширений обмін -> дозволи -> додати гостя (я знаю, що ви можете використовувати всіх, коли ви включите політику, яка ефективно робить гостьову частину всієї групи)

3. Простий спосіб: клацніть правою кнопкою миші папку -> властивості -> безпека -> редагувати -> додати -> введіть гість, введіть

4. І я цього не бачив тут, але це спрацювало як принадність для мене - перейдіть до Панелі управління \ Усі елементи Панелі керування \ Центр мережі та спільного доступу \ Додаткові налаштування спільного доступу та встановіть: "Вимкнути захищений паролем обмін". Це працювало для мене кожного разу

У мене була ця проблема з Windows Server 2012. Після багатьох пошуків я знайшов цю сторінку: Файл без пароля все ще потребує входу

Для ледачих. - Конфігурація комп'ютера - Налаштування Windows - Налаштування безпеки - Локальна політика - Параметри безпеки. Змініть "Доступ до мережі: Нехай усі дозволи застосовуються до анонімних користувачів" на Увімкнено.

що це виправило для мене, коли більше нічого не працювало.