Як я отримав цю частку Windows для запиту на вхід?

14

Або: "Це річ? І як би я перевірив, чи це було?"

У середовищі без контролера домену під час доступу до спільного доступу до вікна Windows Server 2008 R2, із віддаленого комп’ютера без відповідного облікового запису користувача на сервері (та підключення, набравши \\SERVERNAME\ShareNameв меню "Пуск"), на даний момент я спостерігаю таке поведінку у налаштуваннях "Захищений паролем обмін" (Розширені настройки спільного доступу):

Коли «захищений паролем спільне використання» включається на всі спроби з'єднання невдачу після того, як до 30 секунд:

Помилка входу: користувачеві не надано запитуваного типу входу на цьому комп’ютері.

Якщо вимкнено "Обмін захищеним паролем" , підключення до анонімно доступних акцій дозволено, тоді як акції з обмеженим дозволом не вдається:

Ви не маєте дозволу на доступ до \ SERVERNAME \ ShareName. Зверніться до свого мережевого адміністратора, щоб подати запит на доступ.

Це здається очікуваною поведінкою. Мені потрібно мати певні акції , доступні анонімним вхід в системі, так що я повинен був змінити цю настройку за умовчанням для відключення .

ЗАРАЗ, тут є третя справа. ( whaaaaat? )

При спробі підключитися до загального ресурсу , немодифікована цю установку (тобто, він встановлений на на , але ви ніколи не клацнули), з'єднання поводиться схоже на на вищеописаному випадку в тому , що вона займає до 30 секунд , щоб показати відповідь, але потім відображається діалогове вікно аутентифікації :

Діалог аутентифікації

У мене була така думка після того, як я кілька днів бив головою об стіну, і просто тиражував це на сервері без наявних спільних ресурсів: Створіть спільну роботу, прочитайте діалог, спробуйте підключитися та дістати діалог, змінити налаштування, успішно підключитися, змінити налаштування повернутись та отримати інше повідомлення про помилку. (Протестовано все це на свіжих клієнтських системах, щоб не було ризику кешування.)

Ще раз зазначу: я контролював клієнтські системи. Здається, це повністю пов'язано з сервером.

Отже, мені зрозуміло, що зміна налаштування "Обмін паролем захищена паролем" - це зміна не однієї речі (ключ реєстру? Я рідний для Mac) за лаштунками, і що за замовчуванням система, яку постачає система, НЕ всі збігаються з налаштуванням, відображеним на панелі управління (або сама панель керування порушена, і вона повинна змінювати більше речей).

Тож питання: це це за конструкцією, чи це помилка? І в будь-якому випадку, що таке "прихована установка", яка змінюється або залишається незмінною? Як можна було б відстежити це? У мене закінчуються свіжі сервери для тестування. :-(

windows-server-2008-r2  network-share  server-message-block  windows-authentication  guest 
NReilingh
джерело
Що таке ACL у папці та який дозвіл на папку?
AWippler
Ви можете використовувати проект під назвою regshot для порівняння двох знімків реєстру (один при ініціалізації системи, один після встановлення налаштування, і третій після відключення налаштування). Також подивіться налаштування "локального домену / політики безпеки" та перевірте налаштування "Доступ до цього комп'ютера з мережі" (він же SeNetworkLogonRight ). Ось деякі відомості про зміни , а ось деякі відомості про налаштування .
mbrownnyc
@NReilingh: ви опублікували щедрість, чи змогли ви це зрозуміти?
charleswj81
@ charleswj81 Ваша відповідь була саме тим, що я шукав! Просто довелося знайти час сісти з цим. Я зараз зауважую, що списки гостьових облікових записів на панелі керування "Керування обліковими записами комп'ютерів" та в "Менеджері сервера" не завжди здаються синхронізованими щодо включення чи відсутності. Тож тепер у мене є три змінні, на які слід перевірити анонімне та парольне підключення: "Обмін захищеним паролем" увімкнено або вимкнено, увімкнено або вимкнено гостьовий обліковий запис у Менеджері серверів та ввімкнено або вимкнено обліковий запис гостя в Панелях управління.
NReilingh

Відповіді:

11

Це справді викликало мій інтерес. Мені вдалося повторити ваші висновки в моїй лабораторії з тією ж схемою результатів, що ви описали. Я використовував Procmon, щоб спробувати побачити, які зміни внесені, і майже не відмовився, поки не побачив наступного:

промовляти гостьовий рахунок змінено

Це показує, що lsass.exe (Local Security Authority) пише в місцевий SAM і вносить зміни до вбудованого облікового запису гостей (добре відомий RID 501). Звичайно, коли я повторно перевіряв ваш сценарій під час перегляду статусу гостьового облікового запису, я бачу, що його ввімкнено, коли функція "Захищений паролем" відключена. Однак, коли "Обмін захищеним паролем" буде ввімкнено, обліковий запис гостя знову не буде вимкнено. Відключення гостьового акаунта вручну відновлює початкову функціональність: мені пропонується отримати облікові дані (тобто ваш третій випадок).

Я не впевнений, чому так поводиться. Якщо чесно, я ніколи навіть не перемикав налаштування "Захищений паролем" до сьогоднішнього дня (і навіть не помічав цього з цього приводу). Я сподіваюся, що це допоможе у вашому проекті. Якщо хтось ще зацікавлений у подальшому копанні, було б цікаво дізнатися, чи така поведінка все ще присутня на сервері Server 2012/2012 R2 ...

О, і до ваших оригінальних питань (це за дизайном чи це помилка?), Я не маю найменшої ідеї ...

charleswj81
джерело
Я можу підтвердити, що це правильно. Мені довелося встановити сервер W2K8 свіжим раніше, і я міг повторити це, перш ніж приєднати його до домену. Обліковий запис гостя повинен бути відключений вручну. Якщо це зроблено, я вважаю, що це нормально: після закінчення тайм-аута користувачеві буде запропоновано надати правильні (з точки зору серверів) облікові дані. (PS: Я ніколи не розумів, чому цей кривавий тайм-аут настільки довгий. Це не так, як оригінальні дані магічно стануть дійсними протягом періоду очікування. Тож навіщо турбуватись в очікуванні?)
Тонні
2

Якщо я правильно зрозумів ваше запитання, то облікові дані акцій зберігаються в диспетчері облікових даних на панелі керування.

Для того, щоб запросити діалогове вікно автентифікації, просто видаліть облікові дані, що відносяться до цієї спільної частини, в Менеджері облікових даних.

Якщо ви встановите прапорець "Запам'ятати мої облікові дані", це зазвичай зберігається під керуючим диспетчером даних, і якщо цей пароль був невірним, ви побачите помилку помилки входу.

Холодна Т
джерело
Не так; Я перевірив усі три випадки на свіжій системі клієнтів без кешованих даних. (І в цьому випадку будь-який обліковий запис, який я ввів, надав би доступ.) Я лише коли- небудь бачив це діалогове вікно автентифікації, коли не було торкатися "Обміну захищеними паролем".
NReilingh
У мене була протилежна проблема (тут: serverfault.com/q/619027/175650 ), де я отримував підказку, але цього не хотів. Виявилося, що я врятував неправильний обліковий запис, і ваша публікація вказала на мене в правильному напрямку, щоб видалити його та вирішити мою проблему. Спасибі!
SenorAmor
0

Можливо, вам це не допоможе, але, якщо це відбувається - у мене часто виникають дзвінки, через які мої користувачі не можуть отримати доступ до спільного доступу (їх старий пароль кешується Windows), і я маю це робити:

чисте використання * / D

ETL
джерело
Як я вже сказав у запитанні, я контролював клієнта. Я використовував свіжу систему для кожного тесту, щоб не було ризику кешування даних.
NReilingh
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.