Windows-Server-2008-R2
Windows 共享匿名只讀的最低權限是多少?
我正在漫長而艱鉅的過程中解決我對 Windows 權限的困惑,並希望對以下內容有所了解。
我想提供一個 Windows 共享,這樣網路上的任何匿名 Windows 電腦(我們不使用域控制器)都可以鍵入
\\servername\sharename
並只讀訪問其中的文件。我知道的:
- “所有人”組不包括“匿名”SID。(雖然奇怪的是,那篇文章並不“適用”到 2008 R2…)
- 文件本身有兩個“級別”(可能不是最好的詞)權限:共享權限和 NTFS 權限。(即共享和儲存管理 -> 屬性 -> 權限)
- 在沒有域控制器但在多台機器上具有相同名稱的使用者帳戶的環境中操作存在一些問題。
我想我知道的:
- “使網路服務可發現”不應影響正確許可共享的可訪問性。
- 還必須配置 NTFS 權限才能訪問此共享——而不僅僅是共享權限!(?)(儘管共享和儲存管理聲稱它們僅適用於本地訪問。)
- “Everyone”組不應被排除在訪問權限之外,即使它明確引用本地使用者帳戶,因為以與伺服器本地使用者相同的使用者名登錄的客戶端電腦將嘗試以該使用者身份進行身份驗證,並被拒絕如果密碼不同。(
*groan*
)我不知道的是:
- 是否有任何與記憶體憑據或伺服器響應有關的問題?每次嘗試連接到共享後,我是否應該重新啟動我的測試客戶端工作站?
- “來賓”帳戶是否應該與此有關,無論是共享權限還是 NTFS 權限?
- 我是否正確地觀察到需要在共享和 NTFS 權限上配置具有讀取權限的“匿名登錄”?“所有人”組也一樣?
需要做三件事來為“Everyone”組下的匿名使用者設置訪問權限,這比明確使用“ANONYMOUS LOGON”更乾淨:
- 創建文件共享
- NTFS 權限:為“所有人”組設置“讀取和執行”、“列出文件夾內容”和“讀取”
- 共享權限:為“所有人”組設置“讀取”
2.調整本地安全策略
打開“本地安全策略”,導航到安全設置 -> 本地策略 -> 安全選項,然後設置:
Network access: Let Everyone permissions apply to anonymous users
-啟用Network access: Restrict anonymous access to Named Pipes and Shares
-已禁用- 編輯
Network access: Shares that can be accessed anonymously
為您創建的共享的名稱。(格式不明確,但不包括伺服器名稱,如果您需要多個列表,則假定這是一個逗號分隔的列表。)
- 允許無密碼訪問
- 從控制面板中的“網路和共享中心”打開“高級共享設置”,或者點擊目錄上“屬性”中的連結(在“密碼保護”下)。
- 將“密碼保護共享”設置更改為關閉。
其他注意事項:
- 需要在 NTFS 和共享級別上為使用者授予權限
- 考慮您在以與您的伺服器上的名稱匹配的使用者身份登錄的機器上進行的任何測試都是無用的(但不需要重新啟動真正的測試機器)
首先,設置對共享的匿名訪問並沒有那麼糟糕,您只需在所有人中包含匿名(您實際上自己連結到它):
- 打開
Local Group Policy
管理器 (gpedit)- 電腦配置
- Windows 設置
- 安全設定
- 地方政策
- 安全選項——
Network access: Let Everyone permissions to apply to anonymous users
從禁用到啟用- 更改
Network access: Restrict anonymous access to Named Pipes and Shares
為禁用Network access: Shares that can be accessed anonymously
- 在此處設置您要共享的共享名稱。就共享本身而言。設置
Share Permissions
為“所有人-修改”和“管理員-完全控制”。然後將 NTFS 權限設置Administrators - Full Control
為Everyone - <whatever rights needed>
那應該可以滿足您的需求。