Как сделать общий доступ к папке в домене
Добавил пользователь Дмитрий К. Обновлено: 04.10.2024
У меня есть общий каталог на моем компьютере, который является частью домена. Можно ли настроить общий ресурс так, чтобы пользователь, вошедший на другой компьютер, который не является частью домена, мог получить доступ к моему общему ресурсу? С компьютера, не входящего в домен, я могу перейти к общему ресурсу, но он запрашивает учетные данные, и я просто хочу разрешить анонимный доступ.
Не делайте этого на компьютере контроллера домена, кстати, потому что вы будете гостем на всех DC .
В моем случае включение гостевой учетной записи и добавление Everyone не помогли (с общим ресурсом на более старой коробке с Windows Server 2008 с пакетом обновления 2 в домене и машиной с Windows Server 2012 R2 извне домена).
После того , как Никола Радосавлевич последовал за прекрасным руководством , анонимный доступ, наконец, сработал в моем сценарии.
Краткое изложение шагов:
Это грустно, это все еще не работает для меня после 5 рецептов и 10 лунок. Я закрою все дыры и использую Dropbox, чтобы поделиться папкой в локальной сети. Thx Windows 7 обмена!
@ArveSystad Я бы не сказал, что это тенистый. Требуется изменить групповую политику по умолчанию, поскольку политика по умолчанию запрещает включение гостевого / дополнительного доступа. Насколько я помню, в прежние времена значения по умолчанию были разрешать подобные вещи по умолчанию и даже включать этот тип доступа по умолчанию. Если бы для этого не было действительных вариантов использования, возможность сделать это была бы полностью удалена. Но поскольку в некоторых случаях это имеет смысл, вы можете сделать это, но должны знать, как явно разрешить этот тип гостевого / анонного доступа к файлам.
В Windows 10 мне не нужно было ничего устанавливать в редакторе групповой политики, чтобы это работало. Я должен был перезагрузить клиентский компьютер, хотя.
Я решил эту проблему, сопоставив сетевой диск с общим ресурсом домена, а затем подключившись с другими учетными данными, используя локальную учетную запись. Не нужно было включать гостевую учетную запись или анонимный доступ.
Если вы хотите войти без использования домена, просто введите \ (обратная косая черта) перед именем пользователя. Затем вы увидите, что домен, который отображается в диалоговом окне входа в систему, исчезает.
В некоторых случаях появляется необходимость предоставить компьютерам рабочей группы доступ к определенным открытым папкам в домене. Чтобы настроить анонимный доступ к серверу, являющемуся членом Active Directory, выполните следующие пункты на самом сервере:
1. Включить на сервере учетную запись Гостя("Guest"), если вдруг она оказалась отключённой. Кроме того проверьте, чтобы Локальные политики =>> Параметры безопасности =>> Учетные записи: состояние учетной записи "Гость" не было отключено.
2. На папку, к которой требуется открыть общий доступ, необходимо дать права локальной группе "Все" ("Everyone") на чтение или изменение и на саму файловую систему NTFS.
3. Установить следующие локальные политики на сервере(либо групповые политики домена, применяемые к нему):
"Локальные политики=>>Параметры безопасности=>>Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями" в положение "Отключён";
"Локальные политики=>>Параметры безопасности=>>Сетевой доступ: разрешать применение разрешений "Для всех" к анонимным пользователям" в положение "Включён";
Для повышения безопасности также желательно перейти в "Локальные политики=>>Назначение прав пользователя=>>Запретить локальный вход" и добавить в этот параметр пользователя "Гость".
4. Проверьте параметры:
"Локальные политики=>>Назначение прав пользователя=>>Доступ к компьютеру из сети" - в списке должен обязательно быть пользователь "Гость";
"Локальные политики=>>Назначение прав пользователя=>>Отказать в доступе к этому компьютеру из сети" - а в этом списке пользователя "Гость" не должно быть! Если этот параметр не определён, активируйте его и оставьте список пустым!
После вышеописанных действий анонимные пользователи смогут подключаться к общим папкам данного сервера.
| Конфигурация компьютера | |
| Процессор: Intel(R) Pentium(R) CPU P6000 @ 1.87GHz, 1866 МГц, ядер: 2, логических процессоров: 2 | |
| HDD: Hitachi HTS545032B9A300, 320GB | |
| Видеокарта: NVIDIA GeForce 310M | |
| Ноутбук/нетбук: Asus K52Jc | |
| ОС: Windows 7 Ultimate x86 | |
| Индекс производительности Windows: 3.7 |
| Конфигурация компьютера | |
| Процессор: Intel Core i7-3770K | |
| Материнская плата: ASUS P8Z77-V LE PLUS | |
| Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб) | |
| HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб | |
| Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS | |
| Звук: Realtek ALC889 HD Audio | |
| Блок питания: be quiet! Straight Power 11 650W | |
| CD/DVD: ASUS DRW-24B5ST | |
| Монитор: ASUS VG248QE 24" | |
| ОС: Windows 8.1 Pro x64 | |
| Индекс производительности Windows: 8,1 | |
| Прочее: корпус: Fractal Design Define R4 |
| При обращении к общему ресурсу выдает: У вас нет прав доступа. |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
| Конфигурация компьютера | |
| Процессор: Intel(R) Pentium(R) CPU P6000 @ 1.87GHz, 1866 МГц, ядер: 2, логических процессоров: 2 | |
| HDD: Hitachi HTS545032B9A300, 320GB | |
| Видеокарта: NVIDIA GeForce 310M | |
| Ноутбук/нетбук: Asus K52Jc | |
| ОС: Windows 7 Ultimate x86 | |
| Индекс производительности Windows: 3.7 |
| Конфигурация компьютера | |
| Процессор: Intel Core i7-3770K | |
| Материнская плата: ASUS P8Z77-V LE PLUS | |
| Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб) | |
| HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб | |
| Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS | |
| Звук: Realtek ALC889 HD Audio | |
| Блок питания: be quiet! Straight Power 11 650W | |
| CD/DVD: ASUS DRW-24B5ST | |
| Монитор: ASUS VG248QE 24" | |
| ОС: Windows 8.1 Pro x64 | |
| Индекс производительности Windows: 8,1 | |
| Прочее: корпус: Fractal Design Define R4 |
VlaD_45, убедитесь, что на сервере параметр restrictanonymous = 0 в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
| Конфигурация компьютера | |
| Процессор: Intel(R) Pentium(R) CPU P6000 @ 1.87GHz, 1866 МГц, ядер: 2, логических процессоров: 2 | |
| HDD: Hitachi HTS545032B9A300, 320GB | |
| Видеокарта: NVIDIA GeForce 310M | |
| Ноутбук/нетбук: Asus K52Jc | |
| ОС: Windows 7 Ultimate x86 | |
| Индекс производительности Windows: 3.7 |
На Компьютер 1 создать локального пользователя юзер1 с паролем и с доменного ПК зацепить сетевые диски с правами пользователя Компьютер1\юзер1
Еще. раньше, на старых версиях серверов, у меня прокатывало когда локальные пользователи Компьютер 1 полностью совпадали с доменным аккаунтами (одинаковое имя и пароль).
-------
Я здесь не для того чтобы учить, а для того чтоб учиться.
| Конфигурация компьютера | |
| Процессор: Intel(R) Pentium(R) CPU P6000 @ 1.87GHz, 1866 МГц, ядер: 2, логических процессоров: 2 | |
| HDD: Hitachi HTS545032B9A300, 320GB | |
| Видеокарта: NVIDIA GeForce 310M | |
| Ноутбук/нетбук: Asus K52Jc | |
| ОС: Windows 7 Ultimate x86 | |
| Индекс производительности Windows: 3.7 |
-------
Я здесь не для того чтобы учить, а для того чтоб учиться.
ИО Капитана Очевидности
Разумеется. В таком случае доменный пользователь проходит авторизацию по логину/паролю и получает доступ к файлам от имени локального пользователя.
Странно, почему у вас сервер не в домене?
Если не хотите (не можете) ввести его в ваш домен, то выполнение данной операции можно сделать так
1. Создаёте на компьютере рабочей группы пользователя (лучше скрытого без права на локальный вход) и открываете сетевую папку с правом доступа для него
2. Создаёте на компьютере домена командный файл (CMD) для временного подключения данной сетевой папки от имени локального пользователя и копирования файлов
-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)
Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.
Принципиально-Вы даете права на сетевой доступ а удивляетесь, что доменный пользователь имеет право на запись в файловой системе.
Думаю что в локальную группу пользоватнелей данного компа(как минимум) вллючена доменная группа "пользователи домена".
Ситуация следующая. Для примера, на диске С: имеются вложенные каталоги "Level_1", "Level_2":
Необходимо настроить разрешения файловой системы пользователю таким образом, чтобы внутри каталога "Level_1" было "Чтение и выполнение", т.е. пользователь не может удалить каталог "Level_2" и не может создать новых. А внутри каталога "Level_2" у этого пользователя разрешено "Изменение".
Я в свойствах каталога "Level_1" добавил пользователю разрешение "Изменение" - применять к "Только для подпапок и файлов".
По факту получилось, пользователь не может создавать новые каталоги и файлы в каталоге "Level_1", но УДАЛЯТЬ каталог "Level_2" может. Хотя, в действующих разрешениях каталога "Level_1" нет разрешений на удаление.
Проблемы.
1. При такой конфигурации администратор домена ad1 не может зайти в каталог usrfld. Ему предлагается получить прямые разрешения на каталог. Если это сделать, то доступ мы получаем, но тогда возникает закономерный вопрос: почему по группе администраторы домена не пускает?
2. Опять же права на каталог usrfld просматриваются только через нажатия на доп. кнопки и, естественно, распространить права на все вложенные каталоги и файлы не разрешается.
3. Если отдать "верхний каталог" fld в общий доступ (администраторы домена - полный доступ, пользователи домена - изменение), то зайти в него под adm1 получится только после того, как adm1 будет помещён в группу "пользователи домена". Вот как это всё понимать?
Читайте также: