Domyślnie podczas uzyskiwania dostępu do udostępnionego folderu sieciowego na serwerze znajdującym się w domenie Active Directory z komputerów z grupy roboczej (nie dodanej do domeny) użytkownik jest proszony o podanie hasła do konta domeny. Spróbujmy dowiedzieć się, jak zezwolić na anonimowy dostęp do udostępnionych folderów sieciowych i drukarek na serwerze domeny z komputerów grupy roboczej bez autoryzacji na przykładzie systemu Windows 10 / Windows Server 2016.
Treść
- Lokalne zasady anonimowego dostępu
- Skonfiguruj anonimowy dostęp do udostępnionego folderu
- Zapewnienie anonimowego dostępu do udostępnionej drukarki sieciowej
Lokalne zasady anonimowego dostępu
Na serwerze (komputerze), który chcesz udostępnić nieautoryzowanym użytkownikom, musisz otworzyć lokalny edytor zasad grupy - gpedit.msc.
Przejdź do sekcji Konfiguracja komputera -> Konfiguracja systemu Windows -> Opcje bezpieczeństwa -> Lokalni politycy -> Opcje bezpieczeństwa (Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Opcje bezpieczeństwa)
Skonfiguruj następujące zasady:
- Konta: Status konta gościa (Konta: Status konta gościa): Włączone;
- Dostęp do sieci: Zezwól wszystkim na korzystanie z anonimowych użytkowników (Dostęp sieciowy: Pozwól wszystkim mieć zastosowanie do anonimowych użytkowników): Włączone;
- Dostęp do sieci: nie zezwalaj na wyświetlanie kont i udziałów SAM (Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów): Wyłączone.
Ze względów bezpieczeństwa zaleca się również otwarcie zasady „Odmów lokalnego logowania”(Odmów zalogowania lokalnego) w sekcji Lokalni politycy -> Przypisywanie praw użytkownika i upewnij się, że konto gościa jest wymienione w zasadach.
Następnie sprawdź, czy w tej samej sekcji zasady „Uzyskaj dostęp do komputera z sieci”(Dostęp do tego komputera z sieci) znajduje się wpis Gość, a w zasadach„Odmów dostępu do tego komputera z sieci”(Odmów dostępu do tego komputera z sieci) konto Gość nie może być określone.
Upewnij się także, że udostępnianie udziału sieciowego jest włączone w Parametry -> Sieć i Internet -> Twoje połączenie sieciowe (Ethernet lub Wi-Fi) -> Zmień zaawansowane opcje udostępniania (Ustawienia -> Sieć i Internet -> Ethernet -> Zmień zaawansowane opcje udostępniania). W sekcji „Wszystkie sieci” należy zaznaczyć opcję „Włącz udostępnianie, aby użytkownicy sieci mogli czytać i zapisywać pliki w folderach udostępnionych” i wybrać „Wyłącz ochronę hasłem (jeśli ufasz wszystkim urządzeniom w sieci)” (zobacz artykuł o problemach odkryj komputery w grupach roboczych).
Skonfiguruj anonimowy dostęp do udostępnionego folderu
Teraz musisz skonfigurować uprawnienia dostępu do folderu współdzielonego, który chcesz udostępnić. Otwórz właściwości folderu w ustawieniach uprawnień NTFS (karta Zabezpieczenia), podaj prawa odczytu (i, jeśli to konieczne, zmiany) dla grupy lokalnej „Wszyscy„(„ Wszyscy ”). Aby to zrobić, kliknij przycisk Zmień -> Dodaj -> Wszystkie i wybierz niezbędne uprawnienia dla anonimowych użytkowników. Udzieliłem dostępu tylko do odczytu.
Również na karcie Dostęp musisz przyznać anonimowym użytkownikom dostęp do piłki (Dostęp -> Ustawienia zaawansowane -> Uprawnienia). Sprawdź, czy grupa Wszyscy jest prawo do Zmień i Czytanie.
Teraz w lokalnym edytorze zasad w sekcji Zasady lokalne -> Opcje bezpieczeństwa potrzeba w polityce ”Dostęp do sieci: Zezwól na anonimowy dostęp do udziałów”(Dostęp sieciowy: udziały, do których można uzyskać dostęp anonimowy) określ nazwę folderu sieciowego, do którego chcesz zapewnić dostęp anonimowy (w moim przykładzie nazwa folderu sieciowego to Udostępnij).
Zapewnienie anonimowego dostępu do udostępnionej drukarki sieciowej
Aby umożliwić anonimowy dostęp do drukarki sieciowej na komputerze, musisz otworzyć właściwości udostępnionej drukarki w Panelu sterowania (Panel sterowania \ Sprzęt i dźwięk \ Urządzenia i drukarki). Na karcie dostępu zaznacz „Narysuj zadanie drukowania na komputerach klienckich”(Renderuj zadania drukowania na komputerach klienckich).
Następnie na karcie bezpieczeństwa grupy „Wszystkie” zaznacz wszystkie poranki.
Po wykonaniu tych kroków możesz połączyć się z folderem współdzielonym (\\ nazwa serwera \ udział) i drukarką na komputerze w domenie z komputerów w grupie roboczej bez wprowadzania nazwy użytkownika i hasła, tj. anonimowo.
W systemie Windows 10, 1709 i nowszych domyślnie dostęp sieciowy do folderów współdzielonych za pomocą protokołu SMBv2 jest blokowany na koncie gościa z błędem „Nie można uzyskać dostępu do komputera zdalnego, ponieważ zasady bezpieczeństwa organizacji mogą blokować dostęp bez uwierzytelnienia”. Zobacz artykuł.
