Accesso anonimo alla condivisione SMB ospitata su Server 2008 R2 Enterprise

13

Prima di tutto, ho letto questo post e un'intera serie di post non SF che sembrano affrontare lo stesso problema o un problema simile, tuttavia non ero ancora in grado di risolvere il mio problema.

Ho tre macchine in questa situazione:

  • un server unito al dominio che esegue Server 2008 R2 Enterprise ("server di condivisione")
  • un server di test senza dominio che esegue Server 2003 R2 SP2 ("server di prova")
  • una workstation unita a un dominio che esegue XP Pro SP3 ("workstation")

Il server di condivisione sta esponendo una condivisione sulla rete a cui deve accedere il server di prova: è una condivisione di Source / Symbol Server per i nostri scopi di debug. Credo che Visual Studio acceda semplicemente alla condivisione con le proprie credenziali in questo caso, il che significa che la condivisione deve essere accessibile in modo anonimo poiché il server di test non è unito al dominio e non è possibile fornire l'autenticazione del dominio.

Ho tentato molte cose per evitare la finestra di autenticazione quando si accede alla condivisione:

  • Ho abilitato l'account Guest sul server di condivisione e ho dato le autorizzazioni complete di condivisione / NTFS al Guest per la condivisione.
  • Ho concesso a ANONYMOUS LOGON le autorizzazioni di condivisione / NTFS complete per la condivisione.
  • Ho aggiunto la mia condivisione a "Accesso alla rete: condivisioni a cui è possibile accedere in modo anonimo" in LSP.
  • Ho disabilitato "Accesso alla rete: limita l'accesso anonimo a pipe e condivisioni nominate" in LSP.
  • Ho abilitato "Accesso alla rete: permetti a tutti di applicare le autorizzazioni agli utenti anonimi" in LSP.
  • Aggiunto ANONYMOUS LOGON a "Accedi al computer dalla rete" in LSP.
  • Aggiunto l'account Guest a "Accedi a questo computer dalla rete" in LSP.
  • Tentativo di eseguire il provisioning della condivisione utilizzando lo snap-in MMC Gestione condivisione e archiviazione.

Sfortunatamente quando provo ad accedere alla condivisione dal server di prova, vedo ancora il prompt e sono costretto a inserire manualmente "Guest".

Ho anche provato questo flusso di lavoro utilizzando l'account dell'amministratore locale su una workstation e la stessa cosa accade sia con che senza XP Simple File Sharing abilitato.

Qualche idea sul perché sto ottenendo questi risultati o cosa avrei dovuto fare diversamente?

windows-server-2008-r2  file-sharing  windows-server-2003-r2 
bwerks
fonte
Penso che tu abbia cambiato "test server" e "workstation" nell'elenco delle macchine, o non sto seguendo questo?
charlesbridge,
Ho eseguito questo tipo di procedura molte volte. Alcuni dei tuoi passi non li ho. L'unica cosa che mi viene in mente di perdere è dare a Tutti l'accesso alla condivisione e al file system. Questo aiuta?
Jeremy,
solo per curiosità, l'utilizzo di un sistema operativo più recente (ad esempio Windows 7 o Windows Server 2008) cambia qualcosa in questo scenario di condivisioni di gruppo di lavoro o di dominio? Mi sembra che il server Win2k3 sia maledettamente vecchio e forse sia un problema di handshaking.
Jeff Atwood,
Potrebbe essere necessario eseguire il downgrade delle impostazioni NTLMv3 / Kerberos a LM .. Non ricordo e non ne ho una a portata di mano.
Grizly,
Ti è stato richiesto durante il tentativo di connettersi all'unità di condivisione nascosta C $?
danno

Risposte:

4

Hai fatto tutto correttamente, ad eccezione dell'account locale che accede alla condivisione non può essere su entrambi i sistemi. In sostanza, se l'account non di dominio che esegue l'applicazione è chiamato "amministratore", non è necessario disporre di un account locale sul server di dominio denominato "amministratore".

lllukej
fonte
2

Se il nome utente con cui si sta utilizzando il login esiste sul server ma ha una password diversa, verrà sempre richiesta la password, indipendentemente dalle impostazioni guest e anonime create.

Prova ad accedere con un nome utente che non esiste in nessun punto del server o del suo dominio.

L'altra opzione è rendere la password sul server autonomo esattamente uguale a quella dell'utente identico sul dominio.

QueBall
fonte
1
Questo è un buon punto in realtà. Le credenziali del Guest (non la password in quanto tale) esisteranno sul Test-Server e saranno passate al Share-Server, che fallirà perché è sbagliato, è il contrario.
Grizly
1

Che ne dici di mappare un'unità di rete e utilizzare una sintassi di connessione persistente sarebbe qualcosa del genere.

net use H: \ path \ to \ server \ PASSWORD_CLEAR_TXT / utente: dominio \ utente / persistente: sì

se in qualsiasi momento si desidera eliminarlo net utilizzare h: / delete

Nick O'Neil
fonte
Ciò richiede un utente connesso che non è sempre disponibile.
NotMe
No, richiede uno script e una voce di registro in \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run o RunOnce
Grizly
1

Possibilmente una soluzione temporanea. È possibile creare un account utente locale (concedere autorizzazioni di condivisione \ ntfs) sul "server di condivisione" con lo stesso nome e password dell'account utilizzato sul "server di prova" per l'esecuzione di condivisioni di accesso all'app.

Valeriy.N
fonte
0

Non riesco a vedere che TUTTI avete aggiunto alla condivisione di rete / autorizzazioni di sicurezza, Guest (una volta abilitato) dovrebbe essere incluso in questo gruppo. Come descritto qui .

Anche alcune buone risposte qui , relative a domande simili (2003).

BoyMars
fonte
3
A quanto ho capito, il gruppo Everyone non si applica a questo scenario poiché il significato di Everyone è "qualsiasi utente autenticato", ovvero Everyone esclude esplicitamente LOGO ANONIMO per impostazione predefinita. Tuttavia, per sicurezza, ho abilitato l'impostazione "Consenti a tutti di applicare utenti anonimi".
Bwerks,
0

Hai provato ad aggiungere esplicitamente l'account del computer, ad esempio nomecomputer $ per avere autorizzazioni sulla condivisione e tramite NTFS? Ovviamente, ciò non funzionerebbe con macchine unite non di dominio.

Dave P
fonte
0

Ti chiederà sempre finché non fai una delle due cose. Entrambi svolgono lo stesso compito di memorizzare nella cache le credenziali (che ironicamente in questo caso non contano, ma devono comunque essere presenti).

Uno è mappare l'unità e rendere persistente la mappatura. L'altro è aprire direttamente il gestore delle credenziali e aggiungere un accesso (qualsiasi accesso) per il server a cui ci si sta connettendo. È possibile accedere a Credential Manager dall'elemento del pannello di controllo dell'utente o direttamente da "Pannello di controllo \ Tutti gli elementi del pannello di controllo \ Gestione credenziali".

Bryansix
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.