Ve výchozím nastavení je uživatel při přístupu ke sdílené síťové složce na serveru zahrnutém v doméně služby Active Directory z počítačů z pracovní skupiny (nepřidán do domény) vyzván k zadání hesla pro účet domény. Zkusme zjistit, jak povolit anonymní přístup ke sdíleným síťovým složkám a tiskárnám na doménovém serveru z počítačů pracovní skupiny bez autorizace pomocí příkladu systému Windows 10 / Windows Server 2016..
Obsah:
- Místní zásady anonymního přístupu
- Nakonfigurujte anonymní přístup ke sdílené složce
- Poskytování anonymního přístupu ke sdílené síťové tiskárně
Místní zásady anonymního přístupu
Na serveru (počítači), který chcete sdílet s neautorizovanými uživateli, musíte otevřít editor místních zásad skupiny - gpedit.msc.
Přejděte do sekce Konfigurace počítače -> Konfigurace Windows -> Možnosti zabezpečení -> Místní politici -> Možnosti zabezpečení (Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení)
Nakonfigurujte následující zásady:
- Účty: Stav účtu hosta (Účty: Stav účtu hosta): Povoleno;
- Síťový přístup: Povolit všem používat anonymní uživatele (Přístup k síti: Povolit všem oprávnění pro anonymní uživatele): Povoleno;
- Síťový přístup: Nepovolují výpis účtů a sdílených položek SAM (Přístup k síti: Nepovolit anonymní výčet účtů a sdílených položek SAM): Zakázáno.
Z bezpečnostních důvodů je také vhodné otevřít zásadu „Odepřít místní přihlášení“(Odepřít místní přihlášení) v sekci Místní politici -> Přiřazení uživatelských práv a ujistěte se, že účet hosta je uveden v zásadách.
Pak zkontrolujte, že ve stejné části zásady “Získejte přístup k počítači ze sítě“(Přístup k tomuto počítači ze sítě) je položka hosta a v zásadě“Odepřít přístup k tomuto počítači ze sítě“(Odepřít přístup k tomuto počítači ze sítě) účet Host nesmí být zadán.
Také se ujistěte, že je v síti povoleno sdílení síťové sdílené složky Parametry -> Síť a internet -> Your_network_connection (Ethernet nebo Wi-Fi) -> Změňte pokročilé možnosti sdílení (Nastavení -> Síť a internet -> Ethernet -> Změnit pokročilé možnosti sdílení). V části „Všechny sítě“ by měla být vybrána možnost „Povolit sdílení, aby uživatelé sítě mohli číst a zapisovat soubory do sdílených složek“ a vyberte „Zakázat ochranu heslem (pokud důvěřujete všem zařízením ve vaší síti)“ (viz článek o problémech) objevte počítače v pracovních skupinách).
Nakonfigurujte anonymní přístup ke sdílené složce
Nyní musíte nakonfigurovat přístupová oprávnění ke sdílené složce, kterou chcete sdílet. Otevřete vlastnosti složky v nastavení oprávnění NTFS (karta Zabezpečení), zadejte práva pro čtení (a v případě potřeby změny) pro místní skupinu "Všechny"(" Všichni "). Klikněte na tlačítko Změnit -> Přidat -> Vše a vyberte potřebná oprávnění pro anonymní uživatele. Poskytl jsem přístup jen pro čtení.
Na kartě Přístup musíte také udělit anonymním uživatelům přístup ke kouli (Přístup -> Pokročilá nastavení -> Oprávnění). Zkontrolujte, zda skupina Všechny existuje právo Změnit a Čtení.
Nyní v editoru místních zásad v části Místní zásady -> Možnosti zabezpečení potřeba v politice “Síťový přístup: Povolit anonymní přístup ke sdíleným položkám“(Přístup k síti: sdílené položky, ke kterým lze přistupovat anonymně), zadejte název síťové složky, do které chcete anonymní přístup poskytnout (v mém příkladu je název síťové složky Sdílet).
Poskytování anonymního přístupu ke sdílené síťové tiskárně
Chcete-li povolit anonymní přístup k síťové tiskárně v počítači, musíte otevřít vlastnosti sdílené tiskárny v Ovládacích panelech (Ovládací panely \ Hardware a zvuk \ Zařízení a tiskárny). Na kartě přístupu zaškrtněte „Nakreslete tiskovou úlohu na klientských počítačích“(Vykreslit tiskové úlohy v klientských počítačích).
Poté na záložce zabezpečení skupiny „Vše“ zkontrolujte všechny tlaky.
Po dokončení těchto kroků se můžete připojit ke sdílené složce (\\ servername \ share) a tiskárně v počítači domény z počítačů pracovní skupiny bez zadání uživatelského jména a hesla, tj. anonymně.
Ve Windows 10, 1709 a vyšších je ve výchozím nastavení blokován přístup k síti ke sdíleným složkám protokolem SMBv2 pod účtem hosta chybou „Nelze získat přístup ke vzdálenému počítači, protože bezpečnostní zásady vaší organizace mohou přístup blokovat bez ověření.“ Viz článek.
