Показать полную графическую версию : [решено] Сетевой smb-доступ к общей папке Windows: NT_STATUS_ACCOUNT_RESTRICTION
1) Есть хост-машина Windows 10 с общей папкой share. Её сетевой путь: \\DESKTOP-G5OLOKJ\share.
Windows-пользователю user предоставлены полные права на эту папку (пароль пользователю не задан). В "Мой компьютер - Сеть" папка видна.
2) На гостевой машине Debian, развёрнутой с помощью Virtual Box, установлен пакет утилит Samba:
apt-get install cifs-utils samba smbclient winbind
3) В гостевой системе выполняется монтирование папки share, обеспечивающей доступ к сетевой Windows-папке share (расположенной на хост-машине):
mount -t cifs -o username=user,password=,iocharset=utf8,uid=root,gid=root,dir_mode=0777,file_mode=0777,noserverino '\\DESKTOP-G5OLOKJ\share' /home/user/share
В итоге получаем "mount error(5): Input/output error" и следующие строки в /var/log/kern.log:
Jul 14 17:17:19 ip-vps kernel: [ 3139.599394] Status code returned 0xc000006e NT_STATUS_ACCOUNT_RESTRICTION
Jul 14 17:17:19 ip-vps kernel: [ 3139.599407] CIFS VFS: Send error in SessSetup = -5
Jul 14 17:17:19 ip-vps kernel: [ 3139.599514] CIFS VFS: cifs_mount failed w/return code = -5
Насколько я понимаю, код ответа 0xc000006e и сообщение NT_STATUS_ACCOUNT_RESTRICTION отдаёт Windows 10
Поэтому, вопрос задаю в соответствующем разделе форума.
Petya V4sechkin
14-07-2017, 18:12
пароль пользователю не задан
По умолчанию учётным записям без пароля доступ по сети запрещён (это регулируется локальной политикой безопасности LimitBlankPasswordUse).
Да, причина в попытке беспарольного доступа:
https://answers.microsoft.com/en-us/windows/forum/windows_vista-networking/logon-failure-user-account-restriction-possible/9ca7040d-9c3d-4cba-9ff2-19327cd84c0d
В сетевых настройках отключил общий доступ с парольной защитой:
Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Отключить общий доступ с парольной защитой
В итоге сабжевая ошибка больше не генерируется, но доступа по прежнему нет.
При попытке монтирования получаем "mount error(13): Permission denied", а в /var/log/kern.log одна строчка:
CIFS VFS: cifs_mount failed w/return code = -13
Владелец общей папки - user. И пользователю user на эту папку предоставлены полные права.
Petya V4sechkin
14-07-2017, 18:43
отключил общий доступ с парольной защитой
пользователю user на эту папку предоставлены полные права.
Отключение "общего доступа с парольной защитой" означает использование учётной записи Гость.
Отключение "общего доступа с парольной защитой" означает использование учётной записи Гость.
Так я явно указываю пользователя при монтировании cifs. Windows этого пользователя что - игнорирует (при отключенной галке) ?
К тому же у меня на эту папку полные права стоят для всех пользователей: "Все" = "Полный доступ". Т.е. под гостем тоже должен быть доступ
Petya V4sechkin
14-07-2017, 19:12
Windows этого пользователя что - игнорирует (при отключенной галке) ?
Да.
К тому же у меня на эту папку полные права стоят для всех пользователей: "Все" = "Полный доступ". Т.е. под гостем тоже должен быть доступ
Чувствую, ещё месяц придётся с этим smb егожиться. А сайтом займусь в другой жизни...
Добавил "Гость" = "Полные права". То же самое.
Я вообще не могу ни под кем получить доступ.
Petya V4sechkin
14-07-2017, 19:23
CyraxZ, группу Все добавьте.
Или включите обратно "Парольную защиту" и создайте учётную запись с паролем для сетевого входа.
CyraxZ, группу Все добавьте.
Свойства папки - Доступ - Расширенная настройка общего доступа - Разрешения. Здесь группа "Все" присутствует и имеет полные права (все 3 галки, включая полный доступ, запретов нет).
Petya V4sechkin
14-07-2017, 19:53
Свойства папки - Доступ
А на вкладке Безопасность?
Добавил группу "Все" и на вклюдке "Безопасность". Смонтировался cifs, наконец.
Ещё поэкспериментирую, позже резюмирую...
По умолчанию учётным записям без пароля доступ по сети запрещён (это регулируется локальной политикой безопасности LimitBlankPasswordUse).
Владельцем общей папки обратно сделал группу "Администраторы" (как было изначально) и обратно вернул галку "Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Включить общий доступ с парольной защитой"
Но взамен в "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности" (https://technet.microsoft.com/ru-ru/library/mt634170(v=vs.85).aspx) отключил политику "Учетные записи: разрешить использование пустых паролей только при консольном входе". После этого монтирование cifs нормально выполняется и для пользователей без пароля.
Отключение "общего доступа с парольной защитой" означает использование учётной записи Гость.
Только вот в комментарии к настройке "Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Общий доступ с парольной защитой" абсолютно ничего об этом не сказано. Более того, его содержание противоречит реализованной логике:
> Если включена парольная защита общего доступа, только пользователи с учётной записью и
> паролем на этом компьютере могут получить доступ к общим файлам, принтерам,
> подключенных к этому компьютеру, и общим папкам. Чтобы открыть доступ другим
> пользователям, нужно отключить парольную защиту общего доступа.
Согласно этому тексту, чтобы открыть доступ пользователям без пароля (не только гостям, а любым пользователям без пароля), нужно отключить настройку.
P.S. А где сказано, что если отключить эту настройку, то любой удалённый доступ будет принудительно осуществлять под гостем ?
Не то чтобы я вам не верю, просто смущает текст приведённого комментария к этой настройке...
---
И ещё. Вот эти две настройки (Общий доступ с парольной защитой и политика) - они же друг другу противоречат.
Если первую включить, а вторую отключить, то функционал включенного Общего доступа с парольной защитой работать перестаёт...
Petya V4sechkin
15-07-2017, 10:34
А где сказано, что если отключить эту настройку, то любой удалённый доступ будет принудительно осуществлять под гостем ?
Об этом мало где сказано в первоисточнике (на сайте Microsoft).
Пример (https://technet.microsoft.com/en-us/library/bb727037.aspx)
When you disable password protected sharing, the computer sharing the folder does not require a user account or password. Anyone on your network can access the shared folders of the computer (provided the folder was shared for the Guest or Everyone account). This behavior is equivalent to simple file sharing in Windows XP.
А вот проведённый кем-то эксперимент, что происходит под капотом:
Специально счас дома проверил. Переключатель стоит на "Включить общий доступ с парольной защитой", в оснастке управления пользователями Гость отключен, в Локальных политиках => Назначение прав пользователя в политике "Отказать в доступе к этому компьютеру из сети" стоит Гость. Переставляю переключатель на "Отключить общий доступ с парольной защитой". Смотрю - в юзерах Гость включился, в политике "Отказать в доступе к этому компьютеру из сети" Гость исчез.
Но с другой стороны, в этой теме (https://social.technet.microsoft.com/Forums/windows/en-US/6de1c65b-5c90-4000-bb18-02aeb2e4561d/mixing-password-protected-and-guest-sharing) сотрудник Microsoft описывает несколько по-другому:
In addition, there is a slight difference between the way forced guest mode (in Windows XP) works and the way turning off password protected sharing works. In Windows XP, forced guest mode automatically forces any user on the network to connect as guest remotely. Thus all users are treated exactly the same way remotely because they cannot be differentiated. Additionally, administrators cannot connect to the hidden $ shares because they cannot authenticate, and if a folder is shared to a specific user he cannot access it.
Unlike forced guest mode, turning password protection off in Windows Vista still allows a user to authenticate with credentials before it authenticates the user as guest. This means that if a folder is shared to a specific user or to users with different permissions, each user can connect and be allowed different permissions on the folder.
То есть, при совпадении имени вход происходит под соответствующей учётной записью, а при несовпадении - под Гостем.
Но взамен в "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности" отключил политику "Учетные записи: разрешить использование пустых паролей только при консольном входе".
Эта политика соответствует параметру LimitBlankPasswordUse (отключение ослабляет безопасность, как вы понимаете).
И ещё. Вот эти две настройки (Общий доступ с парольной защитой и политика) - они же друг другу противоречат.
Если первую включить, а вторую отключить, то функционал включенного Общего доступа с парольной защитой работать перестаёт.
Ну так уж они назвали (password protected sharing), чтобы упростить для понимания, "хотели как лучше, а получилось как всегда".
...Unlike forced guest mode, turning password protection off in Windows Vista still allows a user to authenticate with credentials before it authenticates the user as guest. This means that if a folder is shared to a specific user or to users with different permissions, each user can connect and be allowed different permissions on the folder.
То есть, при совпадении имени вход происходит под соответствующей учётной записью, а при несовпадении - под Гостем.
Получается, так было только только в Vista (а также, возможно и в 7, 8).
В Windows 10 у меня папка изначально была расшарена в т.ч. для пользователя user (и на вкладке "Доступ", и на вкладке "Безопасность"), но при отключенном общем доступе с парольной защитой при запросе smb-доступа под пользователем user доступа всё равно не получал. Получил только при добавлении группы "Все". значит, в Windows 10, работает "forced guest mode", как в Windows XP (а может, "не доэкспериментировал"...)
Судя по информации в Интернете, людям с ошибкой "mount error(13): Permission denied / CIFS VFS: cifs_mount failed w/return code = -13" в некоторых случаях помогал запрос smb-доступа под пользователем, имя которого совпадает с именем сетевой папки (именем общего ресурса). При этом парольная защита на smb-сервере была отключена, судя по пустому паролю:
https://ubuntuforums.org/showthread.php?t=1627904&p=10147166#post10147166
sudo mount -t cifs //192.168.0.24/share /nas/share -o pass=,user=share
Впрочем, этот пример отношения к Windows не имеет. У них там smb-сервер был на UNIX-системе.
Эта политика соответствует параметру LimitBlankPasswordUse (отключение ослабляет безопасность, как вы понимаете).
У меня NAT-сеть между хост-машиной и гостевой машиной (создана с помощью VirtualBox). Владельцем всех файлов, включая общие папки, является администратор. В Windows 10 работаю под пользователем user без пароля (имеет права администратора). При попытке вирусов получить доступ к каким-либо локальным файлам будут запрошены права администратора (т.к. включен UAC) - попытка будет пресечена. Но при отключенной парольной защите вирусы смогут без проблем получить доступ к сетевой папке через текущую сеть - так ?
Petya V4sechkin
15-07-2017, 18:54
(т.к. включен UAC) - попытка будет пресечена. Но при отключенной парольной защите вирусы смогут без проблем получить доступ к сетевой папке через текущую сеть - так ?
Да, если папка расшарена для Гостя или Всех.
А если "парольная защита" включена, но при этом LimitBlankPasswordUse = 0 в комбинации либо с LocalAccountTokenFilterPolicy = 1, либо с EnableLUA = 0, и администратор без пароля, то любой злоумышленник может по сети:
зайти на административные шары;
выполнить любые административные задачи, например через "Управление компьютером" -> меню Действие -> Подключиться к другому компьютеру;
запустить любую программу, службу и т. д.
Да, если папка расшарена для Гостя или Всех.
Для гостей и Всех НЕ расшарена. Расшарена для user (состоит в группе администраторов) и Администраторы. Оба без пароля. Парольная защита включена и [LimitBlankPasswordUse = 0].
В данном случае вирусы по сети могут получить полный доступ к общей папке (при запуске вирусов под пользователем user) ?
Petya V4sechkin
16-07-2017, 11:42
CyraxZ, при запуске вирусов под пользователем user они могут делать то, что может пользователь user (в том числе подключаться к общей папке).
CyraxZ, при запуске вирусов под пользователем user они могут делать то, что может пользователь user (в том числе подключаться к общей папке)
...делать то, что может пользователь user (состоит в группе Администраторов) с правами Пользователя (UAC включен) или с правами Администратора ?
Если полный доступ к общим папкам будет только у Администраторов, а у Пользователя - только на чтение, то при включенном UAC под пользователем user вирусы ничего не смогут сделать с файлами (ни локально, ни по сети).
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.