Сетевой smb-доступ к общей папке Windows: NT_STATUS_ACCOUNT_RESTRICTION
 

1) Есть хост-машина Windows 10 с общей папкой share. Её сетевой путь: \\DESKTOP-G5OLOKJ\share.
Windows-пользователю user предоставлены полные права на эту папку (пароль пользователю не задан). В "Мой компьютер - Сеть" папка видна.

2) На гостевой машине Debian, развёрнутой с помощью Virtual Box, установлен пакет утилит Samba:
apt-get install cifs-utils samba smbclient winbind

3) В гостевой системе выполняется монтирование папки share, обеспечивающей доступ к сетевой Windows-папке share (расположенной на хост-машине):
mount -t cifs -o username=user,password=,iocharset=utf8,uid=root,gid=root,dir_mode=0777,file_mode=0777,noserverino '\\DESKTOP-G5OLOKJ\share' /home/user/share

В итоге получаем "mount error(5): Input/output error" и следующие строки в /var/log/kern.log:

Jul 14 17:17:19 ip-vps kernel: [ 3139.599394] Status code returned 0xc000006e NT_STATUS_ACCOUNT_RESTRICTION
Jul 14 17:17:19 ip-vps kernel: [ 3139.599407] CIFS VFS: Send error in SessSetup = -5
Jul 14 17:17:19 ip-vps kernel: [ 3139.599514] CIFS VFS: cifs_mount failed w/return code = -5

Насколько я понимаю, код ответа 0xc000006e и сообщение NT_STATUS_ACCOUNT_RESTRICTION отдаёт Windows 10
Поэтому, вопрос задаю в соответствующем разделе форума.

По умолчанию учётным записям без пароля доступ по сети запрещён (это регулируется локальной политикой безопасности LimitBlankPasswordUse).

Да, причина в попытке беспарольного доступа:
https://answers.microsoft.com/en-us/...2-19327cd84c0d

В сетевых настройках отключил общий доступ с парольной защитой:
Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Отключить общий доступ с парольной защитой

В итоге сабжевая ошибка больше не генерируется, но доступа по прежнему нет.
При попытке монтирования получаем "mount error(13): Permission denied", а в /var/log/kern.log одна строчка:
CIFS VFS: cifs_mount failed w/return code = -13

Владелец общей папки - user. И пользователю user на эту папку предоставлены полные права.

Отключение "общего доступа с парольной защитой" означает использование учётной записи Гость.

Так я явно указываю пользователя при монтировании cifs. Windows этого пользователя что - игнорирует (при отключенной галке) ?
К тому же у меня на эту папку полные права стоят для всех пользователей: "Все" = "Полный доступ". Т.е. под гостем тоже должен быть доступ

Да.

Чувствую, ещё месяц придётся с этим smb егожиться. А сайтом займусь в другой жизни...

Добавил "Гость" = "Полные права". То же самое.
Я вообще не могу ни под кем получить доступ.

CyraxZ, группу Все добавьте.

Или включите обратно "Парольную защиту" и создайте учётную запись с паролем для сетевого входа.

Свойства папки - Доступ - Расширенная настройка общего доступа - Разрешения. Здесь группа "Все" присутствует и имеет полные права (все 3 галки, включая полный доступ, запретов нет).

...

А на вкладке Безопасность?

Добавил группу "Все" и на вклюдке "Безопасность". Смонтировался cifs, наконец.
Ещё поэкспериментирую, позже резюмирую...

Владельцем общей папки обратно сделал группу "Администраторы" (как было изначально) и обратно вернул галку "Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Включить общий доступ с парольной защитой"

Но взамен в "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности" отключил политику "Учетные записи: разрешить использование пустых паролей только при консольном входе". После этого монтирование cifs нормально выполняется и для пользователей без пароля.

Только вот в комментарии к настройке "Параметры - Сеть и Интернет - Ethernet - Изменение расширенных параметров общего доступа - Все сети - Общий доступ с парольной защитой" абсолютно ничего об этом не сказано. Более того, его содержание противоречит реализованной логике:

> Если включена парольная защита общего доступа, только пользователи с учётной записью и
> паролем на этом компьютере могут получить доступ к общим файлам, принтерам,
> подключенных к этому компьютеру, и общим папкам. Чтобы открыть доступ другим
> пользователям, нужно отключить парольную защиту общего доступа.

Согласно этому тексту, чтобы открыть доступ пользователям без пароля (не только гостям, а любым пользователям без пароля), нужно отключить настройку.

P.S. А где сказано, что если отключить эту настройку, то любой удалённый доступ будет принудительно осуществлять под гостем ?
Не то чтобы я вам не верю, просто смущает текст приведённого комментария к этой настройке...

---
И ещё. Вот эти две настройки (Общий доступ с парольной защитой и политика) - они же друг другу противоречат.
Если первую включить, а вторую отключить, то функционал включенного Общего доступа с парольной защитой работать перестаёт...

Об этом мало где сказано в первоисточнике (на сайте Microsoft).
Пример
А вот проведённый кем-то эксперимент, что происходит под капотом:
Но с другой стороны, в этой теме сотрудник Microsoft описывает несколько по-другому:
То есть, при совпадении имени вход происходит под соответствующей учётной записью, а при несовпадении - под Гостем.
Эта политика соответствует параметру LimitBlankPasswordUse (отключение ослабляет безопасность, как вы понимаете).
Ну так уж они назвали (password protected sharing), чтобы упростить для понимания, "хотели как лучше, а получилось как всегда".

Получается, так было только только в Vista (а также, возможно и в 7, 8).
В Windows 10 у меня папка изначально была расшарена в т.ч. для пользователя user (и на вкладке "Доступ", и на вкладке "Безопасность"), но при отключенном общем доступе с парольной защитой при запросе smb-доступа под пользователем user доступа всё равно не получал. Получил только при добавлении группы "Все". значит, в Windows 10, работает "forced guest mode", как в Windows XP (а может, "не доэкспериментировал"...)


Судя по информации в Интернете, людям с ошибкой "mount error(13): Permission denied / CIFS VFS: cifs_mount failed w/return code = -13" в некоторых случаях помогал запрос smb-доступа под пользователем, имя которого совпадает с именем сетевой папки (именем общего ресурса). При этом парольная защита на smb-сервере была отключена, судя по пустому паролю:
Впрочем, этот пример отношения к Windows не имеет. У них там smb-сервер был на UNIX-системе.

У меня NAT-сеть между хост-машиной и гостевой машиной (создана с помощью VirtualBox). Владельцем всех файлов, включая общие папки, является администратор. В Windows 10 работаю под пользователем user без пароля (имеет права администратора). При попытке вирусов получить доступ к каким-либо локальным файлам будут запрошены права администратора (т.к. включен UAC) - попытка будет пресечена. Но при отключенной парольной защите вирусы смогут без проблем получить доступ к сетевой папке через текущую сеть - так ?

Да, если папка расшарена для Гостя или Всех.

А если "парольная защита" включена, но при этом LimitBlankPasswordUse = 0 в комбинации либо с LocalAccountTokenFilterPolicy = 1, либо с EnableLUA = 0, и администратор без пароля, то любой злоумышленник может по сети:

• зайти на административные шары;
• выполнить любые административные задачи, например через "Управление компьютером" -> меню Действие -> Подключиться к другому компьютеру;
• запустить любую программу, службу и т. д.

Для гостей и Всех НЕ расшарена. Расшарена для user (состоит в группе администраторов) и Администраторы. Оба без пароля. Парольная защита включена и [LimitBlankPasswordUse = 0].
В данном случае вирусы по сети могут получить полный доступ к общей папке (при запуске вирусов под пользователем user) ?

CyraxZ, при запуске вирусов под пользователем user они могут делать то, что может пользователь user (в том числе подключаться к общей папке).

...делать то, что может пользователь user (состоит в группе Администраторов) с правами Пользователя (UAC включен) или с правами Администратора ?

Если полный доступ к общим папкам будет только у Администраторов, а у Пользователя - только на чтение, то при включенном UAC под пользователем user вирусы ничего не смогут сделать с файлами (ни локально, ни по сети).

CyraxZ, да, должно быть так (если, конечно, LocalAccountTokenFilterPolicy не задан).