Здравствуйте.
Существует одноранговая архитектура сети (Рабочие группы), состоящая из множества компьютеров. В ней, у двух компьютеров открыт доступ друг-другу к определенным папкам и принтеру по принципу создания на обоих компьютерах учетных записей и настройкой локальной политики.
Однако есть проблема: в сетевом окружении любой пользователь сети может ввести логин (одно из имен созданных учетных записей на двух ПК) и в дальнейшем путем подбора пароля получить доступ к папкам разрешенным общим доступом и безопасностью для данной учетной записи.
Нужно: запретить всем остальным компьютерам сети, на которых не созданы соответствующие учетные записи, вывод окна с предложением ввести логин и пароль для доступа к ПК, т.е. всем остальным должно выдаваться окно «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…» Как это сделать?
Настройки параметров безопасности на данный момент:
- на обоих ПК созданы дополнительные учетные записи с паролем, имена которых соответствуют имени учетной записи другого ПК, с принадлежностью к группе Гости. (Пир этом свои учетные записи на этих ПК - без пароля).
- встроенная учетная запись Гостя (Guest) отключена
- в «Локальные политики-Назначение прав пользователя-Отказ в доступе к компьютеру из сети» оставлены только Администраторы и Опытные пользователи, т.е. кроме группы Гости. (Пробовал добавить Пользователи, но тогда закрывается доступ и для настроенных ПК).
- в «Локальные политики-Назначение прав пользователя-Доступ к компьютеру из сети» оставлены только своя и созданная учетная записи и группа Администраторы.
- в «Локальные политики-Назначение прав пользователя-Отклонить локальный вход» прописаны SUPPORT и Гости.
- в «Локальные политики-Параметры безопасности-Сетевой доступ: модель совместного доступа и безопасность для локальных учетных записей» установлено "Обычная - локальные пользователи удостоверяются как они сами".
- в «Локальные политики-Параметры безопасности-Учетные записи: ограничить использование пустых паролей только для консольного входа» параметр включен.
- в папках общего доступа выставлены параметры безопасности с разрешением только для своей и созданной учетной записи и группы Администраторы.

Прошу помочь в решении данной проблемы.

P.S. Поиск по форуму ответа на данный вопрос не дал. Основополагающие статьи XP пускает к себе юзера когда (http://forum.oszone.ru/showpost.php?p=722136) и Вопросы доступа к ресурсам компьютера по сети (http://forum.oszone.net/showpost.php?p=1346404), а также многие другие прочитаны, но ответа не найдено.

и в дальнейшем путем подбора пароля получить доступ к папкам
Пароль, угадываемый подбором - не пароль. А администратор, ставящий такой пароль - не администратор.

Если хотите извращаться, - надеюсь, вам говорит что-нибудь слово "брандмауэр".

Однако есть проблема: в сетевом окружении любой пользователь сети может ввести логин (одно из имен созданных учетных записей на двух ПК) и в дальнейшем путем подбора пароля получить доступ к папкам разрешенным общим доступом и безопасностью для данной учетной записи.
Нужно: запретить всем остальным компьютерам сети, »
Нужно поднять домен, в политике безопасности задать блокировку учётной записи при заданном числе неверных попыток авторизации.

Angry Demon,
Извращения тут не причём, ответ должен крыться где-то на поверхности, как раз таки настоящий профессионал его должен знать, так как вход с некоторых компьютеров, при имеющихся выше настройках, достигает нужного результата, т.е при попытке войти из сети, чужому ПК выдается окно «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…», а вот с других - предлагает ввести логин и пароль.
Вот поэтому и возник вопрос: почему так происходит и как добиться нужного результата во всех случаях?
Кроме того, для чего тогда существует этот способ настройки ограничения доступа по сети с созданием дополнительных учетных записей на всех доверенных ПК? Если с любого компьютера (с любой учетной записью) можно ввести логин и пароль от необходимой учетной записи сети и войти в неё, а при необходимости поставить галочку "запомнить пароль" и иметь доступ всегда.
Iska,
Доменная структура не подходит для данной сети.

Извращения тут не причём
Именно причём. Вы путаете цель и средства.

Именно причём. Вы путаете цель и средства. »
Цель и средства описаны в первом сообщении, которые логично изложены. Наводящие вопросы указаны в четвертом сообщении.
Многое хочется написать на Ваши комментарии по тексту, но это не относится к теме и уж точно не помогут решить поставленный вопрос.
Ещё раз повторю вопросы:
1) Есть ли возможность, если да, то как с помощью учетных записей и настроек локальной политики в одноранговой архитектуре сети (Рабочие группы) добиться ограничения доступа без возможности ввести логин и пароль с компьютеров сети, на которых не созданы соответствующие учетные записи, т.е. всем остальным должно выдаваться окно «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…»
2) Почему и от чего зависит выдача разных сообщений при попытке войти на ПК с разных компьютеров (учетных записей) сети: либо уведомление «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…», либо предложение ввести логин и пароль для доступа, учитывая тот факт, что указанные в первом сообщении настройки параметров безопасности остаются неизменными?

1. Account Lockout домена не требует. Это всё там же, в Local GPO.
2. От устной передачи пароля никакая технология не защитит, примите во внимание.
3. Стандартных технических средств, ограничивающих учётные записи их местонахождением, в рабочей группе не существует. Но вы можете сконфигурировать firewall, чтобы службы File and Printer Sharing компьютера А были доступны только компьютеру Б.
4. Разумеется, при этом безопасность компьютера А в равной степени зависит от безопасности компьютера Б. К А можно будет попасть через Б, если тот слабо защищён.
5. Разные сообщения вызваны таки разными настройками политик или разными проблемами разрешения имени. Предзадать текст сообщения неможно.

Кроме того, для чего тогда существует этот способ настройки ограничения доступа по сети с созданием дополнительных учетных записей на всех доверенных ПК? »
Это, в общем-то, костыль. Такие решения нужны для простых задач (т.е. в данном случае - просто дать доступ). Гибкие настройки и допиливания под себя у подобных решения обычно сильно ограничено или отсутствует совсем (как вот сейчас).

Не в обиду остальным, но сообщение WindowsNT первое, которое можно считать конструктивным.
WindowsNT,
1. Согласен. Настроил.
2. Дело, даже не в передаче пароля и его подборе. Мой вопрос по настройке возник после того, как я обнаружил, что на одних компьютерах сети вход полностью запрещен, а на других предлагается ввести логин и пароль. Поэтому ожидал услышать здесь на форуме ответ профессионала в настройках локальной политики. Ведь я не зря очень подробно расписал в первом сообщении имеющиеся мои настройки, потому что, как я подозреваю, данная ситуация в какой-то мере связана с настройками "Отказ в доступе к компьютеру из сети". Так, прописанные мною в этом разделе Администраторы и Опытные пользователи получают отказ в виде стандартного сообщения «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…», а остальные, которым предлагается ввести логин и пароль относятся к другим группам. Однако с другой стороны я сомневаюсь в таком выводе, так как при добавлении в этот раздел группы "Пользователи", не смотря на то, что настроенные между двумя ПК учетные записи относятся к группе "Гости" происходит запрет на общий доступ как к папкам, так и к принтеру. Кроме того, запрет этот выглядит следующим образом: сначала предлагается ввести логин и пароль, но после правильного ввода выводится сообщение «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…». Хотя раньше я настраивал этот же раздел с добавлением к имеющимся группам группы "Пользователи" и всё работало. Значит сейчас, что-то не так настроено. А где и почему, не могу понять.
3, 4. С firewall-ом всё понятно, но пока не нужен. Хочу разобраться с имеющимися настройками.
5. В этом я и хочу разобраться: при взаимодействии каких настроек происходит разный доступ. А по поводу текста сообщения, то это стандартное сообщение Windows при отказе в доступе, которое выдается некоторым ПК сети без возможности ввести логин и пароль. Такое же сообщение выдается, когда полностью закрыт доступ из сети для всех.

И тем не менее, для начала хочется услышать ответы на поставленные вопросы: » Пусть даже в виде: "Да", "Нет", "Не знаю". Но подробный ответ всегда предпочтительнее.

Это, в общем-то, костыль. Такие решения нужны для простых задач »
Есть другие настройки по ограничению доступа в одноранговой сети?
отсутствует совсем (как вот сейчас) »
Значит только настройками локальной политики решить вопрос не получится?

P.S. Ещё раз оговорюсь: главная цель вопроса не состоит в том, что бы любыми путями достичь доступ только конкретным пользователям с жесткой блокировкой всех остальных. Я не параноик. Цель стоит в том, чтобы разобраться в настройках одноранговой архитектуре сети (Рабочие группы) и понять почему имеет место быть разным видам предоставления прав доступа при одних и тех же настройках, и как можно правильно "усилить/обезопасить" ограниченный доступ между пользователями сети путем изменения "локальных политик безопасности".

Цель стоит в том, чтобы разобраться в настройках одноранговой архитектуре сети (Рабочие группы) и понять почему имеет место быть разным видам предоставления прав доступа при одних и тех же настройках »
Только вот они не одни и те же.
А наличие\отсутствие запроса на ввод пароля может быть просто из-за имен учетных записей. Если на "сервере", где папка расшарена, есть допустим пользователь user с паролем 1234, а потом к этой папке пытается законнектится другой пк с учеткой user но паролем 1111 - будет выдан запрос ввести правильный пароль. А если учётка этого компьютера будет называться user1 и на сервере такой учётки нет и гостевой доступ запрещен - вот тогда будет ошибка "доступа нет".

наличие\отсутствие запроса на ввод пароля может быть просто из-за имен учетных записей »
Перепроверил. Да, так и есть.
Получается остались два вопроса:
1) Почему блокируется вход с настроенных ПК при добавление в раздел "Отказ в доступе к компьютеру из сети" группы "Пользователи"? Ведь созданным для входа учетным записям присвоена группа "Гости", которым доступ разрешен и не отказан.
2) Какие ещё существуют или необходимо сделать настройки "локальных политик безопасности", кроме приведенных в первом сообщении, для создания грамотного ограниченного доступа между пользователями сети?

) Почему блокируется вход с настроенных ПК при добавление в раздел "Отказ в доступе к компьютеру из сети" группы "Пользователи"? Ведь созданным для входа учетным записям присвоена группа "Гости", которым доступ разрешен и не отказан. »
Не знаю что за раздел "отказ в доступе к компьютеру из сети" о котором ты говоришь, но вообще если юзер попадает под оба критерия (доступ есть и доступа нет) - запрет имеет приоритет.2) Какие ещё существуют или необходимо сделать настройки "локальных политик безопасности", кроме приведенных в первом сообщении, для создания грамотного ограниченного доступа между пользователями сети? »
Для грамотного контроля доступа нужен домен, а все вот эти танцы - костыль, тут как не пляши - грамотно не получится.

Не знаю что за раздел "отказ в доступе к компьютеру из сети" о котором ты говоришь »
"Панель управления-Администрирование-Локальная политика безопасности-Локальные политики-Назначение прав пользователя-Отказ в доступе к компьютеру из сети"
Созданные учетные записи относятся к группе "Гости", которые прописаны в доступе. В отказе на доступ их нет. Почему их допуск ограничивается при блокировке группы "Пользователи"?

Может у тебя гостевой доступ запрещен.

Доступ разрешён. Без добавления в отказ группы "Пользователи" все работает.

И когда ты добавляешь кого-то в группу "гости" он ведь не состоит одновременно в двух группах: гости и пользователи, верно?

Честно говоря даже не верится что оно так работает... в понедельник на своем сервере попробую.

Да, только в группе Гости