Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Доступ к файловым ресурсам на сервере 2008 с не доменных машин (http://forum.oszone.net/showthread.php?t=192590)

pypyrin 29-11-2010 15:22 1554159
Доступ к файловым ресурсам на сервере 2008 с не доменных машин
 
Имеем сервер Windows 2008 с установленным AD (домен конроллер) и службами файлового доступа. Плюс есть машины Windows XP Pro никоим образом не входящие в домен.
Задача: получить с этих машин доступ к файловым ресурсам по имени пользователя домена и паролю.

Ранее на Вин НТ при обращении к шаре выскакивало окно с вводом имя и пароля и мы успешно начинали пользовать ресурсы. Теперь нет, пишет просто "Вам запрещен доступ".
Как включить? Я так понимаю копать надо в сторону политик безопасности? Вот токо может сразу кто подскажет, какие именно? А то их там ооочень много :( Групповые политики не используются, есть токо Default Domain и Default DC.

Kiber 30-11-2010 11:09 1554903
Хотя инфа по другой ОСи, возможно поможет:

Цитата:
Цитата rrrrrrrrrr
как расшаривать папки по Windows XP Professional (есть два вида доступа: простой общий и нормальный. Простой общий создан для упрощения процесса. Если вы задаете вопросы на форуме, значит, он свою задачу не выполнил и в топку его):

1. сервис-свойства папки, снять галку Вид-Использовать простой общий доступ, ОК.
Пуск-Выполнить-secpol.msc, меняем параметр Network access: Sharing and security model... (Сетевой доступ: модель...) на "Classic"

2. решаем, каким должен быть доступ:

а) с паролем определенным пользователям (если пользователи уже присутствуют в системе, следующие шаги можно пропустить)
В командной строке вводим:
net user USERNAME PASSWORD /add
на всякий случай (кто знает, что готовит нам третий сервис-пак):
net localgroup users USERNAME /add
для русской Windows - net localgroup "Пользователи" USERNAME /add

б) без пароля всем подрядасоздаем пользователя:
- Пуск-Выполнить-secpol.msc, Local Policies-User Rights Assignment, убираем гостя из Deny Access to this computer from the network (Отказ в доступе к компьютеру из сети). При желании можно добавить его (Guest-Гость) в Access this computer from the network (Доступ к компьютеру из сети), но на данный момент необязательно.
- второй шаг - собственно разюлокировать гостя: Пуск-Выполнить-lusrmgr.msc. Если критично, чтобы Гость не мог логиниться иным образом, запретите ему локальный вход в Пуск-Выполнить-secpol.msc

3. расшариваем папку и задаем разрешение шары: Everyone (Все) = Полный доступ (это если у вас NTFS; иначе - настравивайте как надо, т.к. других инструментов у вас не будет).

4. настраиваем разрешения файловой системы (NTFS, вкладка Security (Безопасность) свойств папки) в соответствии с потребностями

5. Лезем в брандмауэр Windows и разрешаем File and Printer Sharing (Общий доступ к файлам и папкам), при необходимости задаем подсеть, для которой это дело разрешено.

Важные моменты:
- Windows не любит, когда к одному и тому же ресурсу с одной и той же машины цепляются под разными учетками. Спасает net use * /delete, а лучше правой по "Мой компьютер" и "Отключить сетевой диск". Можно и логофф.
- проверка доступности шары делается из Пуск-Выполнить-\\servename\sharename, а не из "Сетевого окружения", т.к. в последнем случае вас могут дезориентировать не несущие особой смысловой нагрузки ошибки, связанные с NetBIOS и обозревателями сети.
»
Соответственно, вам нужно проверить эти шаги под вашу сетевую модель.
Прежде всего надо выяснить что происходит.
Если, как я полагаю, пользователь логинится под учеткой "Гость", тогда на AD:
1. Лочим учетку "Гость".
2. Пуск - Выполнить - secpol.msc - Локальные политики
А. Параметры безопасности - Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей = Обычная.
Б. Назначение прав пользователя - Отказать в доступе к этому компьютеру из сети - Добавляем учетку "Гость".
В. Назначение прав пользователя - Доступ к компьютеру из сети - Удаляем учетку "Гость".
Вуаля - никаких гостей, вход только по логину и паролю.

Ivan Bardeen 30-11-2010 21:45 1555384
pypyrin,
А политика безопасности "уровень проверки подлинности LAN manager" на DC win 2008 и на XP выставлена в какое значение?

pypyrin 02-12-2010 15:29 1556657
Цитата:
Цитата Ivan Bardeen
А политика безопасности "уровень проверки подлинности LAN manager" на DC win 2008 и на XP выставлена в какое значение? »
на WinXp установлена "Отправлять LM и NTLM ответы"
на сервере "Отправлять только NTLMv2-ответ" и не дает выбрать другое. Но это через "локальные политики безопасности". Возможно их поправить через ГП.

Kiber, спасибо за совет, сейчас прям буду пробовать... Попробовал... Вобще все сломалось :) даже список шар не показывает. При попытке обратиться к серверу \\srv\ пишет отказ

Kiber 02-12-2010 16:15 1556702
1. А вы случайно не превысили лимит подключений? :)
2. Какие настройки у вас стояли в тех параметрах, что я указал?
3. С отказом уже можно работать. Можно скриншот?

pypyrin 02-12-2010 16:16 1556704
Я поглядел, сейчас к серверу коннектится пользователь с не доменной машины как ГОСТЬ.
При попытке на WinXP установить политику безопасности "Уровень проверки подлинности LAN manager" в "Отправлять только NTLMv2-ответ" результат тоже - Отказано в доступе к шаре

Цитата:
Цитата Kiber
1. А вы случайно не превысили лимит подключений?
2. Какие настройки у вас стояли в тех параметрах, что я указал?
3. С отказом уже можно работать. Можно скриншот? »
1. Боже упаси! :) я тут пока один
2.
Параметры безопасности - Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей = Обычная.
Назначение прав пользователя - Отказать в доступе к этому компьютеру из сети - пусто.
Назначение прав пользователя - Доступ к компьютеру из сети - Все, Администраторы, Прошедшие проверку, Контроллеры домена предприятия, Пред Вин2000 доступ.
3. а скриншот чего? сообщения об отказе? вот сейчас при обращении к шаре выдает такое:

Kiber 02-12-2010 17:00 1556757
Воо, тоесть перечисление шар работает.
Это уже совсем другой разговор.
Давайте сделаем так, для чистоты эксперимента:
1. Отключите все сетевые диски на юзвере.
2. Пуск - Выполнить - control userpasswords2
2.1. Убедитесь, что имя локального пользователя не совпадает ни с одним именем пользователя в домене.
2.2. Дополнительно - Управление паролями - Удалите все сохраненные пароли.
3. Перезагрузитесь.
Попробуйте еще раз :)

anchous 02-12-2010 21:26 1556940
а батничек не рулит??
net use БУКВА ШАРА /USER:ИМЯ@ДОМЕН ПАРОЛЬ

pypyrin 03-12-2010 03:27 1557202
anchous, не пробовал, но думаю что нет. Дело в разрешениях и политиках безопасности, а не в методах получения доступа.
Kiber, большое Вам спасибо за содействие! К сожаление продолжить проверку смогу не раньше вторника :(

pypyrin 03-12-2010 14:37 1557505
спасибо всем за участие! но дело кажется всетаки в учетке Гость, как и писал тут Kiber. Оказывается на сервере есть шара общая для всех, и все ее видят именно через Гостя. И если поставить режим как я просил, через диалог ввода имени и пароля, то доступ к этой шаре пропадет :(

Прошу модераторов удалить тему.


Время: 11:02.

Время: 11:02.
© OSzone.net 2001-