Come ho ottenuto questa condivisione di Windows per richiedere l'accesso?

14

Oppure: "È una cosa? E come verificherei se fosse?"

In un ambiente senza controller di dominio , quando si accede a una condivisione su una casella di Windows Server 2008 R2, da un computer remoto senza un account utente corrispondente sul server (e si connette digitando \\SERVERNAME\ShareNamedal menu Start) attualmente osservo il seguente comportamento basato sull'impostazione "Condivisione protetta da password" (Impostazioni di condivisione avanzate):

Quando "Condivisione protetta da password" è attivata su , tutte le connessioni tentativi falliscono dopo un massimo di 30 secondi con:

Errore di accesso: all'utente non è stato concesso il tipo di accesso richiesto su questo computer.

Con "Condivisione protetta da password" disattivata , le connessioni a condivisioni accessibili anonime sono consentite, mentre le condivisioni con autorizzazioni limitate falliscono con:

Non sei autorizzato ad accedere a \ SERVERNAME \ ShareName. Contattare l'amministratore di rete per richiedere l'accesso.

Questo sembra essere un comportamento previsto. Devo avere determinate condivisioni accessibili tramite accessi anonimi, quindi ho dovuto cambiare questa impostazione da default a off .

TUTTAVIA, c'è un terzo caso qui. ( whaaaaat? )

Se si tenta di connettersi a una condivisione senza aver modificato questa impostazione (che è, esso è impostato su , ma non hai mai cliccato), il collegamento si comporta in modo simile a quello sul caso di cui sopra, in quanto richiede fino a 30 secondi per mostrare una risposta, ma poi visualizza una finestra di autenticazione :

Finestra di dialogo Condividi autenticazione

Ho avuto questo sospetto dopo aver battuto la testa contro un muro per alcuni giorni e l'ho appena replicato su un server senza condivisioni esistenti: creare una condivisione di sola lettura, provare a connettersi e ottenere dialoghi, modificare le impostazioni, connettersi correttamente, modificare le impostazioni indietro e ricevi un messaggio di errore diverso. (Ho testato tutti questi su nuovi sistemi client, quindi non c'era rischio di memorizzazione nella cache.)

Per ribadire: ho controllato per i sistemi client. Questo sembra essere interamente correlato al server.

Quindi, è chiaro per me che cambiare l'impostazione "Condivisione protetta da password" sta cambiando più di una cosa (chiave di registro? Sono nativo di Mac) dietro le quinte e che le impostazioni predefinite fornite dal sistema NON coincidono tutte con l'impostazione riflessa nel pannello di controllo (o il pannello di controllo stesso è rotto e dovrebbe cambiare più cose).

Quindi la domanda è: è di progettazione o è un bug? E in entrambi i casi, qual è l '"impostazione nascosta" che viene modificata o lasciata invariata? Come si potrebbe rintracciarlo? Sto finendo i server nuovi su cui testare. :-(

windows-server-2008-r2  network-share  server-message-block  windows-authentication  guest 
NReilingh
fonte
Cos'è l'ACL nella cartella e qual è l'autorizzazione per la condivisione?
AWippler
È possibile utilizzare un progetto chiamato regshot per confrontare due istantanee del registro (una quando il sistema è inizializzato, una dopo che l'impostazione è stata impostata e una terza dopo che l'impostazione è stata disattivata). Dai anche un'occhiata alle impostazioni "dominio locale / criteri di sicurezza" e controlla l'impostazione "Accedi a questo computer dalla rete" (aka SeNetworkLogonRight ). Ecco alcune informazioni sulle modifiche ed ecco alcune informazioni sulle impostazioni .
Mbrownnyc,
@NReilingh: hai pubblicato la generosità, sei mai stato in grado di capirlo?
charleswj81,
@ charleswj81 La tua risposta era esattamente quello che stavo cercando! Dovevo solo trovare il tempo di sedermi. Quello che sto notando ora è che gli elenchi degli account guest nel pannello di controllo Gestisci account computer e in Server Manager non sembrano sempre essere sincronizzati per quanto riguarda l'abilitazione o meno. Quindi ora ho tre variabili da verificare per quanto riguarda la connettività anonima e con password: "Condivisione protetta da password" attiva o disattiva, l'account Guest in Server Manager abilitato o disabilitato e l'account Guest nei pannelli di controllo attivato o disattivato.
NReilingh,

Risposte:

11

Questo ha davvero suscitato il mio interesse. Sono stato in grado di replicare le tue scoperte nel mio laboratorio con lo stesso modello di risultati che descrivi. Ho usato Procmon per provare a vedere quali modifiche sono state apportate e ho quasi rinunciato fino a quando ho visto quanto segue:

proconi l'account ospite modificato

Ciò mostra lsass.exe (Autorità di sicurezza locale) che scrive sul SAM locale e apporta una o più modifiche all'account Guest incorporato (ben noto RID 501). Abbastanza sicuro, quando ho testato nuovamente il tuo scenario mentre guardavo lo stato dell'account Guest, lo vedevo abilitato quando "Condivisione protetta da password" è disabilitata. Tuttavia, quando "Condivisione protetta da password" viene riattivata, l'account ospite non viene nuovamente disabilitato. Disabilitare manualmente l'account ospite ripristina la funzionalità originale: mi vengono richieste le credenziali (ovvero il tuo terzo caso).

Non sono sicuro del perché questo si comporti in questo modo. A dire il vero, non avevo mai nemmeno attivato l'impostazione "Condivisione protetta da password" prima di oggi (o addirittura l'avevo notato, del resto). Spero che questo ti aiuti nel tuo progetto. Se qualcun altro è interessato a scavare ulteriormente, sarebbe interessante sapere se questo comportamento è ancora presente su Server 2012/2012 R2 ...

Oh e alle tue domande originali (è di progettazione o è un bug?), Non ho la minima idea ...

charleswj81
fonte
Posso confermare che questo è corretto. Ho dovuto installare un server W2K8 fresco prima oggi e potrei replicarlo prima di unirmi al dominio. L'account Ospite deve essere disabilitato manualmente. In tal caso, il comportamento è quello che considererei normale: dopo un timeout, all'utente viene richiesto di fornire le credenziali corrette (dal punto di vista dei server). (PS: non ho mai capito perché quel sanguinoso timeout sia così lungo. Non è come se le credenziali originali diventassero magicamente valide durante il periodo di timeout. Quindi perché preoccuparsi di aspettare?)
Tonny
2

Se ho compreso correttamente la tua domanda, le credenziali delle azioni vengono salvate in Gestione credenziali nel pannello di controllo.

Per visualizzare la finestra di dialogo di autenticazione, è sufficiente eliminare le credenziali relative a quella condivisione in Gestione credenziali.

Quando si seleziona "Ricorda le mie credenziali", questo viene in genere salvato in Gestione credenziali e se questa password era errata, si vedrebbe l'errore di accesso non riuscito.

Freddo T
fonte
No così; Ho testato tutti e tre i casi su un nuovo sistema client senza credenziali memorizzate nella cache. (E in questo caso, qualsiasi che credenziale entrato avrei concesso l'accesso.) L'unica volta che ho mai visto questa finestra di autenticazione è quando la "Condivisione protetta da password" non era stata toccata.
NReilingh,
Aveva il problema opposto (qui: serverfault.com/q/619027/175650 ) in cui stavo ricevendo il prompt ma non lo volevo. Si è scoperto che avevo una cattiva credenziale salvata e il tuo post mi ha indicato la giusta direzione per eliminarlo e risolvere il mio problema. Grazie!
Senor Amor
0

Potrebbe non esserti d'aiuto, ma in caso affermativo - ho spesso chiamate che i miei utenti non possono accedere a una condivisione (la loro vecchia password è memorizzata nella cache da Windows) e li faccio fare questo:

utilizzo netto * / D

ETL
fonte
Come ho detto nella domanda, ho controllato per il cliente. Ho usato un nuovo sistema per ogni test, quindi non c'era il rischio di memorizzare nella cache le credenziali.
NReilingh,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.