Windows server 2008 доступ к сетевой папке без пароля

Анонимный доступ к доменной шаре без пароля

Возникла необходимость на момент миграции предоставлять пользователям, не находящимся в домене, доступ на доменные шары без авторизации и, соттветственно, ввода пароля. Общая папка располгается на Windows Server 2008 R2, в качестве клиентов выступает как Windows XP, так и Windows 7.

Собственно настройка:

  1. Включить на сервере учетную запись гостя;
  2. На папку, к которой требуется открыть общий доступ, дать права локальной группе Everyone  на изменение (ну или какие Вам требуется);
  3. В консоли сервера выполнить gpedit.msc для запуска редактора локальной групповой политики;
  4. Перейти в «Computer Configuration» =>> «Windows Settings» =>> «Security Settings» =>> «Local Policies» =>> «Security Options»
  5. Изменить настройка «Network access: Do not allow anonymous enumeration of SAM accounts and shares» на «Disable»
  6. Изменить настройку «Network access: Let Everyone permissions apply to anonymous users» на «Enable»
  7. Для повышения безопасности также желательно перейти в «Computer Configuration» =>> «Windows Settings» =>> «Security Settings» =>> «Local Policies» =>>  «User Right Assignment» и добавить пользователя Guest в параметр «Deny log on locally»
  8. gpupdate /force

Теперь при входе недоменных пользователей на шару этого сервера не будет запрашиваться логин/пароль

В этой статье, мы покажем, как разрешить анонимный доступ к общем сетевым папкам и принтерам на компьютере в рабочей группе или в домене Active Directory. Анонимный доступ к сетевой папке подразумевают, что для доступа к сетевому ресурсу пользователи не нужно выполнять аутентификацию (вводить пароль) и для доступа используется гостевой аккаунт.

Содержание:

  • Настройка локальных политик анонимного доступа в Windows
  • Разрешить гостевой доступ к общей сетевой папке Windows
  • Открыть анонимный доступ к общему сетевому принтеру

По умолчанию при доступе к сетевой папке на удаленном компьютере появляется запрос имени пользователя и пароля (кроме случаев, когда оба компьютера находятся в одном домене, или в одной рабочей группе и на них используются одинаковые аккаунты пользователей с одинаковыми паролями). Анонимный доступ подразумевает, что при подключи к удаленному компьютеру не запрашивается пароль и доступ к общим ресурсам возможет без авторизации.

В большинстве случае в целях безопасности не рекомендуется открывать анонимный доступ к сетевым папкам. Анонимный доступ позволяет любому неаутентифицированному пользователю прочитать, изменить или удалить данные в общей сетевой папке. Гостевой доступ рекомендуется использовать в исключительных случаях в защищенном периметре сети.

запрос пароля при доступе из рабочей группы к сетевой папке на доменном компьютере

Настройка локальных политик анонимного доступа в Windows

Для анонимного доступа в Windows используется специальная встроенная учетная запись Гость (guest), которая отключена по-умолчанию.

Чтобы разрешить анонимный (без аутентификации) доступ к компьютеру, нужно включить учетную запись Guest и изменить некоторые параметры локальной политики безопасности Windows.

Откройте консоль редактора локальной GPO (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)

Настройте следующие политики:

  • Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
  • Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
  • Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).

локальные политики анонимного сетевого доступа под аккаутом гость

В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.

Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость или Everyone, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.

Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). Проверьте что во всех секциях (Private, Public, All networks) включены опциы Turn on file and printer sharing, сетевое обнаружение (см. статью о проблемах обнаружения компьютеров в рабочих группах) и отключите защиту папок паролем Turn off password protected sharing.

включить общий доступ к сетевой папке windows

В Windows 11 эти опции находятся в разделе панели Settings -> Network and Internet -> Advanced network settings -> Advanced sharing settings.

Windows 11 - отключить защиту сетевой папки паролем

Обновите настройки локальных групповых политик на компьютере командой:

gpupdate /force

Разрешить гостевой доступ к общей сетевой папке Windows

После того, как вы настроили политики гостевого доступа, нужно разрешить анонимный доступа к целевой сетевой папке на хосте Windows. Вам нужно изменить настройки безопасности сетевой папки Windows, к которой вы хотите предоставить общий анонимный доступ. Откройте свойства папки, перейдите на вкладку Безопасность (здесь настраиваются NTFS разрешений) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.

анонимный доступ к сетевой папке без пароля

Также на вкладке Доступ (Sharing) нужно предоставить права доступа к сетевой шаре анонимным пользователям (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.

доступ к сетевой папке в домене для всех (анонимный)

Теперь в локальной политике безопасности нужно указать имя сетевой папки, к которой разрешен анонимный доступ. Откройте консоль Local Security Policy (secpol.msc), перейдите в секцию Локальные политики -> Параметры безопасности. Затем в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) укажите имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).

Сетевой доступ: разрешать анонимный доступ к общим ресурсам

Теперь вы можете анонимно подключиться к этому компьютеру с удаленного компьютера.

Нажмите клавишы Win+R и в окне укажите UNC (формат \\IPадрес\ИмяПапки, или \\NetBIOSимякомпьютера\ИмяПапки) путь к сетевой папке, которую вы хотите открыть.

открыть общую папку по unc пути

Если вы все настроили правильно, перед вами появится список файлов в сетевой папке на удаленном компьютере.

Такой способ предоставления анонимного доступа работал до Windows 10 2004/Windows Server. В актуальных версиях Windows при доступе к общей папке все равно появляется запрос пароля. Чтобы подключиться к удаленной папке под анонимным пользователем нужно указать имя пользователя guest (пароль указывать не нужно).

Но это все равно не очень удобно.

В этом случае нужно дополнительно включить следующие локальные политики:

  • Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. В параметре Network access: Sharing and security model for local accounts измените значение с Classic на Guest Only. Эта политика автоматически использует аккаунт Guest при сетевом доступе к компьютеру под локальной учетной записью (подразумевается что вы вошли в Windows под локальной учетной записью);
    GPO: модель сетевого доступа к папкам

  • Перейдите в раздел Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation. Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы). Эта политика разрешит сетевой доступ к общим папкам по протоколу SMBv2 под гостевой учетной записью. Если не включать этот параметр, то при подключении под Guest появится ошибка “Вы не можете получить доступ к удаленному компьютеру из-за того, что политики безопасности вашей организации могут блокировать доступ без проверки подлинности” (cм. статью).

Затем нужно указать, что аккаунт Guest нужно всегда использовать для доступа к сетевым ресурсам на указанно компьютере. Для этого нужно добавить в диспетчер учетных записей Windows имя (IP адрес компьютера) и имя пользователя, которое нужно использовать для подключения. Откройте командую строку и выполните команду:

cmdkey /add:192.168.13.200 /user:guest

cmdkey: добавить гостя в сохраненные пользователи для доступа к папке

Теперь при доступе к указанному IP, Windows всегда будет выполнять автоматический входа под сохраненной учетной записью (Guest в нашем случае)

Теперь вы можете проверить на удаленном компьютере, что клиент подключился к сетевой папке под записью guest (анонимно):

Get-SmbSession

Get-SmbSession: подключение под гостем к папке

Открыть анонимный доступ к общему сетевому принтеру

Чтобы разрешить анонимный доступ к сетевому принтеру на компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).

Затем на вкладке безопасность для группы “Все” отметить все галки.

анонимный доступ к сетевому принтеру

Теперь вы сможете подключиться к общей папке (\\servername\share) и принтеру на доменном компьютере без ввода имени пользователя и пароля, т.е. анонимно.

0.Для гостевого доступа к общим папкам на сервере под управлением Windows 2008 помимо

открытия общего доступа к папкам необходимо проделать следующие действия:

Зайти в Пуск->Администрирование->Локальная политика безопасности > Локальные политики > Параметры безопасности >

И изменить значения следующих параметров:

Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам

на Отключить

__________________________________________________________________________________

1.панель управления > локальные политики > назначение прав пользователя > отклонить локальный вход > убрать из списка Гость

———————— > ————————- > ————————————- > доступ к компьютеру из сети > добавить Гость

> > параметры безопасности > Учетные записи: ограничить использование пустых паролей только для консольного входа > Отключить

04.05.2013, 14:00. Показов 30619. Ответов 6

Никак не могу понять суть организации общего доступа к файлам на Windows Server 2008 R2.

1. Имеется компьютер с Windows Server 2008 R2. Он используется как хранилище файлов в локальной сети. Сеть организована на основе рабочей группы.
2. Общий доступ открыт к дискам сервера и любой, кто подключается к серверу, имеет права на чтение и запись в них.

Кликните здесь для просмотра всего текста

3. Теперь стоит задача ограничить доступ к шаре некоторым сотрудникам: кому-то дать полный доступ, кому-то ограничить только чтением, а остальным вообще запретить.

Собственно, для этого были созданы на сервере локальные учетные записи пользователей (с паролем) и в расширенных настройках общего доступа каждого общего диска сервера указаны необходимые учетные записи.

Проблема

заключается в том, что если в «Разрешениях для общего ресурса» не указана группа «Все», то никто не может подключиться к расшаренному диску, даже тот пользователь, который указан в «Разрешениях». Если добавить группу «Все» (например, с правами только чтения), то для указанного пользователя полный доступ появляется, но все остальные могут копировать данные с шары.

Кликните здесь для просмотра всего текста

Пользователь не может получит доступ. Вход на сервер осуществляется с клиентской машины (Win7) с аналогичным именем и паролем, что и локальная запись на сервере.

Кликните здесь для просмотра всего текста

Домен. Сервер 2008к2. По-умолчанию пользователи имеют доступ в общей папке через подключенный сетевой диск, или могут зайти, введя \\server\. Как в большинстве случаев у всех это и организованно.

Но функцию прозрачной авторизации нужно выключить, точнее так: если ПК заблокировался, то больше к сетевым ресурсам попасть без отдельного ввода пароля нельзя.

  1. Предлагали сделать OpenVPN до сервера по GUI+пароль без сертификата. В таком случае, как правильно организовать, чтобы была приличная скорость, и через VPN шел только трафик SMB, a не весь инет и остальное ПО?
  2. Видел в домене политики, которые отключают возможность авторизации сетевых ресурсов по NTLM, но не получилось. Даже если бы получилось — на какое время доступ остается разрешенным? До выхода пользователя? Не повлияет ли это на работу групповых политик?

Другими словами: Пользователь А узнал пароль входа пользователя Б, сел за его ПК, попал в его окружение, но доступ к сетевым ресурсам получить не может без второго пароля.


  • Вопрос задан

  • 1384 просмотра

ну поднимите NAS на виртуалке или отдельно стоящий NAS — и изголяйтесь над правами пользунов.
пысы: NAS в домен не вводить) авторизация встроенная)

Пригласить эксперта

если ПК заблокировался, то больше к сетевым ресурсам попасть без отдельного ввода пароля нельзя.

этот момент поподробнее?

Видел в домене политики

.
Так сеть одноранговая или?

Как правило, в одноранговой сети, делают доступ к сетевым ресурсам сервера учетным записям пользователей, созданным на сервере.
На клиентских местах подключать сетевые диски с использованием логина-пароля учетной записи с сервера.
При блокировке учетной записи пользователя на сервере доступ к папке, соответственно, тоже отключится.

Сделайте скрипты на события входа и выхода пользователя.
1.Если имя пользователя локальном пк совпадает с именем пользователя на удаленном пк то выбрав модель совместного доступа как «Обычная — пользователи удостоверяются как они сами» — то можно получать доступ к ресурсам без ввода пароля.
2. Использовать Active Directory(Домен) для управления политиками и правами.

Расширяем ситуацию, пользователь а узнал оба пароля пользователя б. Что дальше? Три пароля?

Сделайте двухфакторную аутентификацию. Ключи пусть носят при себе, в компах не оставляют.
Можно даже сделать ключи с временными паролями, т.е. брелок который дает каждый раз новый пинкод.

Если нужно два пароля, поставьте не доменный файловый ресурс, и там ставьте другие пароли, но имхо это странное решение, зачем тогда домен?

Может я тупой? Поправьте меня если что! Итак … сидит работает юзверь в домене и ему доступны сетевые папки с доступом именно для его учетки. Он отошел и комп автоматически заблокировался через пару минут. Тут подходит злоумышленник и вводит подсмотренный пароль юзверя и попадает в винду. Для чего что-то обнулять то? Я не могу понять. Чтоб два раза один и тот же пароль вводить?)


  • Показать ещё
    Загружается…

Минуточку внимания

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Можно ли увеличить яркость на компьютере windows 10
  • Смена картинки на экране блокировки windows 10
  • Как отключиться от сети в windows 10
  • Запуск командной строки от имени администратора из командной строки windows
  • Обновить групповые политики windows 10