web-dev-qa-db-ja.com

Windows共有を匿名で読み取り専用にするための最小のアクセス許可は何ですか?

私は、Windowsのアクセス許可に関する混乱を解決するための長くて骨の折れるプロセスにあり、以下についていくらか明確にしたいと思っています。

ネットワーク上の匿名のWindowsコンピューター(ドメインコントローラーは使用しません)が\\servername\sharenameと入力し、その中のファイルに読み取り専用でアクセスできるように、Windows共有をプロビジョニングしたいと思います。

私が知っていること:

  • 「Everyone」グループには「匿名」SIDは含まれていません。 (奇妙なことに、その記事は2008 R2に「適用」されません...)
  • ファイル自体に対するアクセス許可には、共有アクセス許可とNTFSアクセス許可の2つの「レベル」(おそらく最良のWordではない)があります。 (つまり、共有とストレージの管理->プロパティ->権限)
  • ドメインコントローラーがないが、複数のマシンで同じ名前のユーザーアカウントがある環境での操作については、いくつかの 落とし穴 があります。

私が知っていると思うこと:

  • 「ネットワークサービスを検出可能にする」ことは、適切に許可された共有のアクセス可能性に影響を与えないはずです。
  • NTFSアクセス許可は、共有アクセス許可だけでなく、この共有にアクセスできるようにも構成する必要があります!(?)(共有およびストレージ管理では、ローカルアクセスにのみ適用されると主張しています)
  • 「Everyone」グループは、ローカルユーザーアカウントを明示的に参照している場合でも、アクセス許可から除外しないでください。サーバーのローカルユーザーと同じユーザー名でログオンしているクライアントコンピューターは、そのユーザーとして認証を試み、拒否されるためです。パスワードに違いがある場合。 (*groan*

わからないこと:

  • キャッシュされた資格情報またはサーバーの応答に関係する落とし穴はありますか?共有に接続しようとするたびに、テストクライアントワークステーションを再起動する必要がありますか?
  • 「ゲスト」アカウントは、共有またはNTFSアクセス許可のいずれかで、これと関係がありますか?
  • 共有とNTFSの両方[〜#〜] [〜#〜]の読み取り権限で「ANONYMOUSLOGON」を構成する必要があることを確認するのは正しいですか?権限? 「みんな」グループも同じですか?
windows-server-2008-r2permissionsnetwork-share
5
NReilingh

「Everyone」グループの下の匿名ユーザーのアクセスを設定するには、次の3つのことを行う必要があります。これは「ANONYMOUSLOGON」を明示的に使用するよりもクリーンです。

1.ファイル共有を作成します

  • NTFSアクセス許可:「Everyone」グループの「読み取りと実行」、「フォルダの内容の一覧表示」、および「読み取り」を設定します
  • 共有権限:「Everyone」グループの「読み取り」を設定

2.ローカルセキュリティポリシーを調整する

[ローカルセキュリティポリシー]を開き、[セキュリティ設定]-> [ローカルポリシー]-> [セキュリティオプション]に移動して、次の設定を行います。

  • Network access: Let Everyone permissions apply to anonymous users -有効
  • Network access: Restrict anonymous access to Named Pipes and Shares -無効
  • 編集Network access: Shares that can be accessed anonymously作成した共有の名前になります。 (フォーマットはあいまいですが、サーバー名を含めないでください。複数必要な場合は、おそらくこれはコンマ区切りのリストです。)

3.パスワードなしでアクセスを許可する

  • コントロールパネルの[ネットワークと共有センター]から、またはディレクトリの[プロパティ]([パスワード保護]の下)のリンクをクリックして、[共有の詳細設定]を開きます。
  • 「パスワードで保護された共有」設定をオフに変更します。

その他の注意事項:

  • NTFSレベルと共有レベルの両方のユーザーにアクセス許可を付与する必要があります
  • サーバー上の名前と名前が一致するユーザーとしてログインしたマシンで行うテストは役に立たないと考えてください(ただし、実際のテストマシンを再起動する必要はありません)。
1
NReilingh

まず、共有への匿名アクセスを設定することはそれほど悪いことではありません。すべての人に匿名を含める必要があります(実際には自分でリンクしています)。

  1. Local Group Policy Manager(gpedit)を開きます
  2. コンピューターの構成
  3. Windowsの設定
  4. セキュリティ設定
  5. ローカルポリシー
  6. セキュリティオプション-Network access: Let Everyone permissions to apply to anonymous usersを無効から有効に
  7. Network access: Restrict anonymous access to Named Pipes and Sharesを無効に変更します
  8. Network access: Shares that can be accessed anonymously-共有している共有名を設定します。

共有自体がその時行く限り。 Share Permissionsを「Everyone-Modify」および「Administrators-FullControl」として設定します。次に、NTFSアクセス許可をAdministrators - Full ControlおよびEveryone - <whatever rights needed>として設定します

それはあなたのニーズを処理する必要があります。

4
TheCleaner

私はこれが私が探していたのと同じようなものを私に与えることを発見しました。以下のリンクは、匿名ユーザーに読み取り専用アクセスを提供します。資格情報は必要ありません。ゲストアカウントを追加するステップでRWアクセスを追加する場合は、読み取り専用ではなくフルアクセスを許可するだけです。

http://nikolar.com/2015/03/10/creating-network-share-with-anonymous-access/

0
veel84