В этой статье, мы покажем, как разрешить анонимный доступ к общем сетевым папкам и принтерам на компьютере в рабочей группе или в домене Active Directory. Анонимный доступ к сетевой папке подразумевают, что для доступа к сетевому ресурсу пользователи не нужно выполнять аутентификацию (вводить пароль) и для доступа используется гостевой аккаунт.
Содержание:
- Настройка локальных политик анонимного доступа в Windows
- Разрешить гостевой доступ к общей сетевой папке Windows
- Открыть анонимный доступ к общему сетевому принтеру
По умолчанию при доступе к сетевой папке на удаленном компьютере появляется запрос имени пользователя и пароля (кроме случаев, когда оба компьютера находятся в одном домене, или в одной рабочей группе и на них используются одинаковые аккаунты пользователей с одинаковыми паролями). Анонимный доступ подразумевает, что при подключи к удаленному компьютеру не запрашивается пароль и доступ к общим ресурсам возможет без авторизации.
В большинстве случае в целях безопасности не рекомендуется открывать анонимный доступ к сетевым папкам. Анонимный доступ позволяет любому неаутентифицированному пользователю прочитать, изменить или удалить данные в общей сетевой папке. Гостевой доступ рекомендуется использовать в исключительных случаях в защищенном периметре сети.
Настройка локальных политик анонимного доступа в Windows
Для анонимного доступа в Windows используется специальная встроенная учетная запись Гость (guest), которая отключена по-умолчанию.
Чтобы разрешить анонимный (без аутентификации) доступ к компьютеру, нужно включить учетную запись Guest и изменить некоторые параметры локальной политики безопасности Windows.
Откройте консоль редактора локальной GPO (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)
Настройте следующие политики:
- Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
- Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
- Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).
В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.
Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость или Everyone, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.
Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). Проверьте что во всех секциях (Private, Public, All networks) включены опциы Turn on file and printer sharing, сетевое обнаружение (см. статью о проблемах обнаружения компьютеров в рабочих группах) и отключите защиту папок паролем Turn off password protected sharing.
В Windows 11 эти опции находятся в разделе панели Settings -> Network and Internet -> Advanced network settings -> Advanced sharing settings.
Обновите настройки локальных групповых политик на компьютере командой:
gpupdate /force
Разрешить гостевой доступ к общей сетевой папке Windows
После того, как вы настроили политики гостевого доступа, нужно разрешить анонимный доступа к целевой сетевой папке на хосте Windows. Вам нужно изменить настройки безопасности сетевой папки Windows, к которой вы хотите предоставить общий анонимный доступ. Откройте свойства папки, перейдите на вкладку Безопасность (здесь настраиваются NTFS разрешений) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.
Также на вкладке Доступ (Sharing) нужно предоставить права доступа к сетевой шаре анонимным пользователям (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.
Теперь в локальной политике безопасности нужно указать имя сетевой папки, к которой разрешен анонимный доступ. Откройте консоль Local Security Policy (secpol.msc), перейдите в секцию Локальные политики -> Параметры безопасности. Затем в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) укажите имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).
Теперь вы можете анонимно подключиться к этому компьютеру с удаленного компьютера.
Нажмите клавишы Win+R и в окне укажите UNC (формат \\IPадрес\ИмяПапки, или \\NetBIOSимякомпьютера\ИмяПапки) путь к сетевой папке, которую вы хотите открыть.
Если вы все настроили правильно, перед вами появится список файлов в сетевой папке на удаленном компьютере.
Такой способ предоставления анонимного доступа работал до Windows 10 2004/Windows Server. В актуальных версиях Windows при доступе к общей папке все равно появляется запрос пароля. Чтобы подключиться к удаленной папке под анонимным пользователем нужно указать имя пользователя guest (пароль указывать не нужно).
Но это все равно не очень удобно.
В этом случае нужно дополнительно включить следующие локальные политики:
- Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. В параметре Network access: Sharing and security model for local accounts измените значение с Classic на Guest Only. Эта политика автоматически использует аккаунт Guest при сетевом доступе к компьютеру под локальной учетной записью (подразумевается что вы вошли в Windows под локальной учетной записью);
- Перейдите в раздел Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation. Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы). Эта политика разрешит сетевой доступ к общим папкам по протоколу SMBv2 под гостевой учетной записью. Если не включать этот параметр, то при подключении под Guest появится ошибка “Вы не можете получить доступ к удаленному компьютеру из-за того, что политики безопасности вашей организации могут блокировать доступ без проверки подлинности” (cм. статью).
Затем нужно указать, что аккаунт Guest нужно всегда использовать для доступа к сетевым ресурсам на указанно компьютере. Для этого нужно добавить в диспетчер учетных записей Windows имя (IP адрес компьютера) и имя пользователя, которое нужно использовать для подключения. Откройте командую строку и выполните команду:
cmdkey /add:192.168.13.200 /user:guest
Теперь при доступе к указанному IP, Windows всегда будет выполнять автоматический входа под сохраненной учетной записью (Guest в нашем случае)
Теперь вы можете проверить на удаленном компьютере, что клиент подключился к сетевой папке под записью guest (анонимно):
Get-SmbSession
Открыть анонимный доступ к общему сетевому принтеру
Чтобы разрешить анонимный доступ к сетевому принтеру на компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).
Затем на вкладке безопасность для группы “Все” отметить все галки.
Теперь вы сможете подключиться к общей папке (\\servername\share) и принтеру на доменном компьютере без ввода имени пользователя и пароля, т.е. анонимно.
Учетная запись «Гость» в Windows позволяет предоставить временный доступ к компьютеру пользователям без возможности для них устанавливать и удалять программы, изменять настройки, устанавливать оборудование, а также открывать приложения из Магазина Windows 10. Также при гостевом доступе пользователь не сможет просмотреть файлы и папки, находящиеся в пользовательских папках (Документы, Изображения, Музыка, Загрузки, Рабочий стол) других пользователей или удалить файлы из системных папок Windows и папок Program Files.
В этой инструкции пошагово описаны два простых способа включить учетную запись Гость в Windows 10 с учетом того факта, что с недавних пор встроенный пользователь «Гость» в Windows 10 перестал работать (начиная со сборки 10159).
Примечание: для ограничения пользователя единственным приложением используйте Режим киоска Windows 10.
Включение пользователя Гость Windows 10 с помощью командной строки
Как было отмечено выше, неактивная учетная запись «Гость» присутствует в Windows 10, но не работает так, как это было в предыдущих версиях системы.
Его можно включить несколькими способами, такими как gpedit.msc, «Локальные пользователи и группы» или команда net user Гость /active:yes — при этом он не появится на экране входа в систему, но будет присутствовать в переключении пользователей меню пуск других пользователей (без возможности входа под Гостем, при попытке сделать это вы вернетесь на экран входа в систему).
Тем не менее в Windows 10 сохранилась локальная группа «Гости» и она работоспособна, таким образом, чтобы включить учетную запись с гостевым доступом (правда, назвать её «Гость» не получится, так как это имя занято за упомянутой встроенной учетной записью), потребуется создать нового пользователя и добавить его в группу Гости.
Самый простой способ сделать это — использовать командную строку. Шаги по включению записи Гость будут выглядеть следующим образом:
- Запустите командную строку от имени администратора (см. Как запустить командную строку от имени Администратора) и по порядку используйте следующие команды, нажимая Enter после каждой из них.
- net user Имя_пользователя /add (здесь и далее Имя_пользователя — любое, кроме «Гость», которое вы будете использовать для гостевого доступа, у меня на скриншоте — «Гостевой»).
- net localgroup Пользователи Имя_пользователя /delete (удаляем вновь созданную учетную запись из локальной группы «Пользователи». Если у вас изначально англоязычная версия Windows 10, то вместо Пользователи пишем Users).
- net localgroup Гости Имя_пользователя /add (добавляем пользователя в группу «Гости». Для англоязычной версии пишем Guests).
Готово, на этом учетная запись Гость (а точнее — созданная вами учетная запись с правами Гостя) будет создана, и вы сможете войти в Windows 10 под ней (при первом входе в систему некоторое время будут настраиваться параметры пользователя).
Как добавить учетную запись Гостя в «Локальные пользователи и группы»
Еще один способ создать пользователя и включить для него гостевой доступ, подходящий только для версий Windows 10 Профессиональная и Корпоративная — использование инструмента «Локальные пользователи и группы».
- Нажмите клавиши Win+R на клавиатуре, введите lusrmgr.msc для того, чтобы открыть «Локальные пользователи и группы».
- Выберите папку «Пользователи», нажмите правой кнопкой мышки в пустом месте списка пользователей и выберите пункт меню «Новый пользователь» (или используйте аналогичный пункт в панели «Дополнительные действия» справа).
- Укажите имя для пользователя с гостевым доступом (но не «Гость»), остальные поля заполнять не обязательно, нажмите кнопку «Создать», а затем — «Закрыть».
- В списке пользователей дважды кликните по вновь созданному пользователю и в открывшемся окне выберите вкладку «Членство в группах».
- Выберите в списке групп «Пользователи» и нажмите «Удалить».
- Нажмите кнопку «Добавить», а затем в поле «Выберите имена выбираемых объектов» введите Гости (или Guests для англоязычных версий Windows 10). Нажмите «Ок».
На этом необходимые шаги закончены — можно закрыть «Локальные пользователи и группы» и войти под учетной записью Гостя. При первом входе некоторое время займет настройка параметров для нового пользователя.
Дополнительная информация
После входа в учетную запись Гостя вы можете заметить два нюанса:
- То и дело появляющееся сообщение о том, что OneDrive невозможно использовать с учетной записью Гостя. Решение — убрать OneDrive из автозагрузки для этого пользователя: правый клик по значку «облака» в панели задач — параметры — вкладка «параметры», убрать отметку автоматического запуска при входе в Windows. Также может пригодиться: Как отключить или удалить OneDrive в Windows 10.
- Плитки в меню пуск будут выглядеть как «стрелки вниз», иногда сменяющиеся надписью: «Скоро выйдет отличное приложение». Связано это с невозможностью устанавливать приложения из магазина «под Гостем». Решение: правый клик по каждой такой плитке — открепить от начального экрана. В результате меню пуск может показаться слишком пустым, но вы можете исправить это, изменив его размер (края меню пуск позволяют изменять его размер).
На этом всё, надеюсь, информация была достаточной. Если же остались какие-то дополнительные вопросы — можно задать их ниже в комментариях, буду стараться отвечать. Также, в плане ограничения прав пользователей может оказаться полезной статья Родительский контроль Windows 10.
Как включить учётную запись «Гость» в Windows 10
Друзья, включить учётную запись «Гость» в Windows 10 или создать пользователя с гостевыми правами можно и без редактора локальной групповой политики, делается это в любой версии операционной системы очень просто.
Открываем командную строку от имени администратора
и вводим команду:
netplwiz
открывается окно «Учётные записи пользователей». Видим, что в операционной системе имеется один пользователь с именем 1, имеющий права администратора.
Жмём на кнопку «Добавить»
Жмём левой кнопкой мыши на кнопку «Вход без учётной записи Майкрософт»
«Локальная учётная запись»
Придумываем и вводим имя пользователя, к примеру «Victor».
Готово.
Выделяем левой мышью созданного нами пользователя «Victor» и жмём на кнопку «Свойства»
Выбираем «Членство в группах»
Выбираем уровень доступа созданного пользователя.
Отмечаем пункт «Другой» и выбираем в выпадающем списке «Гости»
«Применить и «ОК»
«ОК»
Производим выход из системы.
Выбираем созданную нами учётную запись «Victor».
Загружается пользовательский профиль «Victor», имеющий гостевые права на нашем компьютере.
Читайте также: Как создать учётную запись в Windows 10
Обратите внимание на недорогие виртуальные серверы в Амстердаме (Нидерланды) от «Хостера года» 2021, 2022 и 2024 годов. Оплата в рублях картами банков РФ, СБП, электронными деньгами. Подробнее.
Опубликовано: 16 февраля 2020 / Обновлено: 6 августа 2020
Раздел(ы): Windows
Просмотры: 13718
Комментарии: 0
Безопасность — это прекрасно. Но иногда последствия от внедрения новых правил застают пользователей врасплох. Так случилось и со мной.
Однажды я решил подключиться к сетевому диску и получил следующее предупреждение:
Предистория
Мой сетевой диск — это внешний USB накопитель Seagate Expansion Portable Drive емкостью 2 ТБ (STEA2000400), который подключен к маршрутизатору Keenetic Giga KN-1010. С домашнего компьютера и ноутбука у меня не было проблем с подключением.
А когда однажды я решил подключиться через VPN с рабочего компьютера, то получилось фиаско описанное выше.
Поначалу, я думал, что виноват VPN и/или настройки маршрутизатора. Но потом обратил внимание на то, что дома я использовал операционные системы Windows 8.1, а на работе — Windows 10. В последней, как оказалось, усилены меры безопасности, которые и не позволяли получить доступ к моему сетевому диску.
Вы не можете получить гостевой доступ к этой общей папке
Если вы из Windows 10 не можете открыть сетевые папки на других сетевых устройствах или на компьютерах со старыми версиями Windows, скорее всего проблема в том, что в вашей Windows 10 отключена поддержка устаревших и небезопасных версий протокола SMB.
При это на других компьютерах с операционными системами Windows 8.1/7 и даже на Windows 10 (до билда 1709) эти же сетевые каталоги могут открываться вполне себе нормально.
Как разрешить гостевой доступ к сетевым дискам в Windows 10 без проверки подлинности
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc). Для этого нажмите клавиши [Win]+[R], наберите «gpedit.msc» и нажмите [OK]:
Затем следует перейди в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman:
В котором необходимо включить политику «Включить небезопасные гостевые входы»:
После этого необходимо закрыть редактор групповых политик и применить их. Это можно сделать без перезагрузки выполнив команду в консоли Windows:
gpupdate/force
Вместо послесловия
Этот способ желательно использовать только как временный, так как доступ к папкам без проверки подлинности снижает уровень безопасности ваших данных.
Благодарности
При написании статьи были использованы следующие источники:
- https://winitpro.ru/index.php/2018/01/24/ne-otkryvayutsya-smb-papki-posle-ustanovki-windows-10-1709/
- https://winnote.ru/instructions/115-primenenie-politik-bez-perezagruzki-kompyutera.html