Анонімний доступ до загальних папок і принтерів без пароля

За замовчуванням, при доступі до загальної мережевої папці на сервері, включеному в домен Active Directory, з комп'ютерів з робочої групи (не додавання в домен) у користувача з'являється запит на введення пароля доменної облікового запису. Спробуємо розібратися, як дозволити анонімний доступ до загальних мережних папок і принтерів на доменному сервері з комп'ютерів робочої групи без авторизації на прикладі Windows 10 / Windows Server 2016.

З точки зору безпеки не рекомендується відкривати анонімний мережевий доступ для гостьового аккаунта. Тим більше не можна включати анонімний доступ на контролерах домену. Тому перед включенням анонімного доступу спробуйте вибрати правильніший шлях - включення комп'ютерів робочої групи в домен, або створіть для всіх користувачів робочої групи персональні облікові записи в домені. Це набагато правильніше з точки зору надання та управління доступом.

зміст:

  • Локальні політики анонімного доступу
  • Налаштування анонімного доступу до спільної папки
  • Надання анонімного доступу до спільного мережного принтера

Локальні політики анонімного доступу

На сервері (комп'ютері), до якого ви хочете надати загальний доступ неавторизованих користувачам потрібно відкрити редактор локальної групової політики - gpedit.msc.

Перейдіть в розділ конфігурація комп'ютера -> конфігурація Windows -> параметри безпеки -> локальні політики -> параметри безпеки (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)

Налаштуйте такі політики:

  • Облікові записи: Стан облікового запису 'Гість' (Accounts: Guest Account Status): Включений (Enabled);
  • Мережевий доступ: дозволити застосування дозволів "Для всіх" до анонімних користувачів (Network access: Let Everyone permissions apply to anonymous users): Включений (Enabled);
  • Мережевий доступ: Не дозволяти перерахування облікових записів SAM і загальних ресурсів (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Відключений (Disabled).

З метою безпеки бажано також відкрити політику "Заборонити локальний вхід"(Deny log on locally) в розділі локальні політики -> Призначення прав користувача і переконатися, що в політиці вказана обліковий запис "Гість".

Потім перевірте, що в цьому ж розділі в політиці "Доступ до комп'ютера з мережі"(Access this computer from network) є запис Гість, а в політиці"Відмовити в доступі до цього комп'ютера з мережі"(Deny access to this computer from the network) учетка Гість не повинна бути вказана.

Також переконайтеся, що увімкнено спільний доступ до мережевих папок в розділі параметри -> Мережа та Інтернет -> Ваше_сетевое_подключеніе (Ethernet або Wi-Fi) -> Зміна додаткових параметрів загального доступу (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). У секції "Все мережі" повинен бути встановлено значення "Включити загальний доступ, щоб мережеві користувачі могли читати і записувати файли в загальних папках" і вибрати "Відключити парольний захист (якщо ви довіряєте всім пристроям у вашій мережі)" (див. Статтю про проблеми виявлення комп'ютерів в робочих групах).

Налаштування анонімного доступу до спільної папки

Тепер потрібно налаштувати дозволу доступу на загальнодоступному місці, до який ви хочете надати загальний доступ. Відкрийте властивості папки в налаштуваннях NTFS дозволів (вкладка Безпека) надайте права читання (і, якщо потрібно, зміни) для локальної групи «Усе»(« Everyone »). Для цього натисніть кнопку Змінити -> Додати -> Все і виберіть необхідні привілеї анонімних користувачів. Я надав доступ тільки на читання.

Також на вкладці Доступ потрібно надати права анонімним користувачам на доступ до кулі (Доступ -> Розширена настройка -> Дозволи). Перевірте, що у групи Усе є право на зміна і читання.

Тепер в редакторі локальних політик в секції Локальні політики -> параметри безпеки потрібно в політиці "Мережевий доступ: дозволяти анонімний доступ до загальних ресурсів"(Network access: Shares that can be accessed anonymous) вказати ім'я мережевої папки, до якої ви хочете надати анонімний доступ (в моєму прикладі ім'я мережевої папки - Share).

Надання анонімного доступу до спільного мережного принтера

Щоб дозволити анонімний доступ до мережевого принтера на вашому комп'ютері, потрібно відкрити властивості загального принтера в Панелі управління (Панель керування \ Обладнання і звук \ Пристрої та принтери). На вкладці доступу відзначте опцію "Промальовування завдання друку на клієнтських комп'ютерах"(Render print jobs on client computers).

Потім на вкладці безпеку для групи "Усі" відзначити все галки.

Після виконання цих дій ви зможете підключатися до спільної папки (\\ servername \ share) і принтеру на доменному комп'ютері з комп'ютерів робочої групи без введення імені користувача і пароля, тобто анонімно.

У Windows 10 1709 і вище за замовчуванням блокується мережевий доступ до загальних папок за протоколом SMBv2 під гостьовим обліковим записом з помилкою "Ви не можете отримати доступ до віддаленого комп'ютера через те, що політики безпеки вашої організації можуть блокувати доступ без перевірки автентичності". Див. Статтю.