Может ли компьютер (не член домена) получить доступ к расшаренной папке на домене?
 

Может ли компьютер (не член домена) получить доступ к расшаренной папке на компьютере контроллера домена? Если да, то как это настроить? Помогите пожалуйста, только начинаю администрировать

Ессно, может.
Сделай следующее:
1. Жми "Пуск -> Администрирование -> Политика безопасности домена".
2. В этой оснастке: Параметры безопасности -> Локальные политики -> Назначение прав доступа
3. Кликай на политике "Доступ к компьютеру из сети"
4. Добавляй группу "Гости домена"
5. Кликай на политике "Отказ в доступе к компьюетру из сети", и если там есть группа "Гости домена", то убирай ее

6. Да. Если планируешь предоставлять доступ к ресурсам контроллера домена (а я думаю, что планируешь), то повтори вышеуказанное для оснастки "Политика безопасности контроллера домена" (находится там же, где и предыдущая).

Удачи, начинающий.

хмм, политика по умолчанию пускает юзера из компа, который не в домене, появляется окошко, в котором вводишь название домена, логин и пароль...

yager
сейчас у меня везде стоит "не определено", в политике "Отказ в доступе к компьюетру из сети" пусто

Dimas_83
да такое окошко появляется, только там есть поля для пользователя и пароля, я ввожу туда пользователя и пароль администратора домена:
пользователь: "mainad\sergey"
пароль: "******"
Нажимаю "ОК", а это окно снова появляется... и так бесконечно
Самое интересное, что с другого компьютера человек может войти в расшаренные папки

И еще чем отличается "домен" и "контроллер домена"?

В общем - Домен - некое логическое объединение компов, использующих единую политику безопасности.

Контроллер же домена - для win2* server - сервер, содержащий службу каталога (содержание объектов)

даже список расшаренных папок не показывает, щелкаю на имени компьютера домена - сразу выдается запрос пользователя,
и дальше никак,
в чем еще может быть косяк?

хмм, по идее, если бы политикой был бы закрыт доступ для компов не из домена, то при запросе к серваку, появлялось сообщение, что мол "хрен вам"
попробуй зайти через другого пользователя

опять, же, если это ДК, то по умолчанию туда могут логиниться тока админы..и то тока две учетки (вроде), но и тогда бы выскочило предупреждение

Если знаешь имя шары на сервере, можешь попробовать сделать так:

net use z: \\servername\sharename Password /USER:domainname\username

где servername - имя сервера
sharename - имя шары на сервере
Password - пароль пользователя под которым хочешь подключиться
domainname - домен пользователя, под которым хочешь подключиться
username - имя пользователя, под которым хочешь подключиться.

Иногда использование этой команды помогало...
А вообще - такая же точно ситуация была, когда пытался получить доступ к серверу под учетной записью, которая была заблокирована (locked) - система просто тупо повторно просила ввести пароль и ничего не говорила...
Кстати, командочку рекомендую вводить через командную строку - чтобы можно было посмотреть на результат выполнения, в случае если там будет ошибка.

Можно. Не буду повторяться, что и как, просто напишу, что сам сижу в двух доменах, хотя загружаюсь локально.
Локально гружусь из-за того, что админы (да светлая им память) добавили сценарий загрузки с разными программами, которые тормозят комп. А локально - тормозов нет.
Единтвенно, что пришлось сделать - это создать себе одинаковые имя и пароль в разных доменах.

xeel
я тоже думаю что заблокировалась учетная запись, а где это можно посмотреть? и что надо сделать чтобы ее разблокировать?

На контроллере домена в оснастке "Active Directory - пользователи и компьютеры" (dsa.msc) в контейнере User (если конечно вы пользователей по OU не разбрасывали).

Вообще посмотри настройки файервола и хотя ты и писал, что пользователь может войти с другого компьютера внутри домена, проверь разрешения на сетевой ресурс и разрешения NTFS на эту папку.

Скорее всего у тебя выключен пользователь гость. (Ты же этого пользователя имел ввиду)
Дабы его включить, сделай следующее:
Открывай оснастку "Active Directory - пользователи и компьютеры" Кликай на "Users" Ищи Гость или Guest. Щелкай по нему дважды. Щелкай по вкладке Учетная запись и ищи CheckBox "Отключить учетную запись", если там стоит галочка - снимай. Все. Удачи.

yager
Гость действительно был заблокирован, но после разблокирования все равно не работает :(

Давайте расскажу все сначала:

Была у меня простая рабочая группа, был у меня сервер, на нем несколько расшареных папок. В этой же рабочей группе есть еще два компьютера, на одном работаю я под локальным пользователем alex, на другом тоже работает человек под локальным пользователем sveta. На этих компьютерах у локальных пользователей паролей нет.

Чтобы эти пользователи могли работать с расшаренными папками, я на сервере сделал тоже локальных пользователей с теми же именами.
- На серваке себя я добавил в группу администраторов и сделал там себе пароль.
- Другого пользователя включил в группу опытных пользователей, пароля не давал.
- И еще я сделал пользователя с именем "user" с ограниченными правами, чтобы кто-то мог локально войти на сервак, но ничего не мог там делать.
После этого мы спокойно работали с этим сервером со своих компов.

Потом мне "приспичило" переделать все в домен. После настройки active directory на этом серваке, пользователь sveta по прежнему может работать с расшаренными папками без проблем, а я - нет. Причем локально на сервак я вхожу, моя учетная запись не заблокирована. Настроил аудит, в системных сообщениях сначала при попытке входа пишет "успех", а потом "отказ" , код ошибки 0xc000006a, и написано "неверное имя пользователя или пароль". Почему не могу понять, потому что в окошке которое мне выскакивает на моем компьютере я ввожу имя пользователя с учетом имени домена.
И еще интересная вещь , пользователь user теперь даже локально не может войти, выдается ошибка: "интерактивный вход в систему на данном компьютере запрещен локальной политикой".

Подскажите еще что-нибудь

Пару часов назад ответил, тока почему-то сейчас своего ответа не вижу. Глюк?... Ай да лдно.
Кароче, ES
Скорее всего, у тебя отключена учетка гостя.
Идем в оснастку "Active Directory - пользователи и компьютеры" раздел Users. Дважды кликаем на Гость или Guest. Ищем вкладку Учетная запись. Там находим CheckBox Отключить учетную запись, если стоит галочка, то снимаем ее. Должно помочь.

Тьфу ты, я сам глюк, нашел.
User не может зайти локально, потому что по умолчанию тока админ имеет соответствующие права. Такие права даются в оснастке "Политика безопасности контроллера домена".
Теперь тоже по порядку.
1. При создании домена по умолчанию пользователи всегда должны иметь пароли.
2. Удали пользователя User, потому что гость он и есть гость, можно коннектиться к серваку с любым логином и паролем, а User тебе нах не нужен
3. Назначь пользователям пароли и попробуй зайти на сервер, если получится - значит я прав
4. Если тебе надо, чтобы пользователи могли коннектится к серваку не используя пароли, то иди в оснастку "Политика безопасности домена" раздел Параметры безопасности, подраздел Политики учетных записей, подподраздел Политика Паролей.
Там первым трем параметрам присваивай значения ноль, последние три - "отключен".
Да и еще. Параметры групповой политики обновляются на КД не сразу, а через определенный интервал времени, если не ошибаюсь - 30 минут. Дабы сразу применить политики, есть несколько способов:
1. Перезагрузить сервак.
2. В командной строке набрать "GPUpdate /force" - подробнее об этой команде в справке винды.
Сообщай если чаво.

yager
Но моя учетная запись - это не гость. Моя учетная запись - это администратор домена на серваке, а на моем компе такое же имя - локальный пользователь. Но при входе в шару в запросе я ввожу имя доменное: server\alex
Я попробовал на всякий случай включить гостя - не помогает.

Могу ошибаться, но по моему если ты входишь на рабочую станцию локально (не в домен), то с каким бы ты именем не коннектился к КД, ты все-равно гость, а если гость отключен, то не пропустит. И прочитай мое предыдущее сообщение. Так как меня глюкануло, ты мог его пропустить.

to: ES
Вообще говоря - рекомендую посмотреть журналы событий, особенно - безопасности.
Думаю, ты там увидишь от чьего имени ты пытаешься ломануться на сервер.
Скорее всего (если ты заходишь на рабочую станцию локально) - то там будет локальный пользователь этой рабочей станции - несмотря на то, что у него такой же логин, как и на сервере, UID у него будет другой и для сервера это будет пользователь которого он вообще не знает. Так что надо будет действительно разрешать гостевой доступ к серверу: 1. Разрешить (Enable) учетную запись Гостя
и 2. Дать этой учетной записи право на доступ по сети к серверу (Access this computer from network) и дать этому пользователю права на шару. Правда я бы ОЧЕНЬ НЕ рекомендовал тебе такой вариант - это даст возможность любому пользователю с любого компьютера получить доступ к данным на шаре.

Еще вопрос - ты командочку net use пробовал или нет? Если пробовал - ругалась она и на что?

спасибо, но ничего не помогает :(

1. Я пробовал писал такую команду:
net use m: \\serverois\workdata /user:oismain\alex
Потом появился запрос пароля, ввел пароль вроде правильный. В ответ получил: "Системная ошибка 5. Отказано в доступе"
Т.е. я пытался войти доменной учетной записью (хотя на моем компьютере я работаю с такой же локальной учетной записью)
На серваке в службе сообщений появилась такая запись:

Ошибка предварительной проверки:
Имя пользователя: alex
Код пользователя: OISMAIN\alex
Имя службы: krbtgt/oismain
Тип предварительной проверки: 0x2
Код ошибки: 0x18
Адрес клиента: 192.168.0.130

2. Гость я думаю тут не причем, потому что (повторюсь) другой человек нормально пользуется шарами, причем у него права меньше чем у моей учетной записи и пароля нету.

Не могу понять что за хрень, и где искать

чего то он каманду мою перекорежил,
пишу еще раз:

net use m: \\serverois\workdata /user:oismain\alex

Может, я что не так понимаю, но по-моему это у тебя прав меньше.
Ты же заходишь на рабочую станцию ЛОКАЛЬНО?.. я прав?
Локально - это когда при загрузке винды ты видишь окно запроса логина - пароля - домена, и в строке указания домена введено не наименование этого домена, а наименование рабочей станции. Если я прав, то я еще раз повторю (про это же говорил и xeel):
в этом случае ты можешь коннектиться с шаре с любым логином - паролем. Для контроллера домена ты ГОСТЬ.
Поэтому у тя ругается команда "net use".

xeel говорил:
Ты посмотрел? Что в них?

ДА, на свой комп я захожу локально, но второй пользователь sveta тоже заходит на свой комп как локальный пользователь, потом мы оба пытаемся подключиться к серверу. У второго получается, у меня - нет...
Гость разрешен.

А в журнале событий я уже писал, что выдается:
Ошибка предварительной проверки:
Имя пользователя: alex
Код пользователя: OISMAIN\alex
Имя службы: krbtgt/oismain
Тип предварительной проверки: 0x2
Код ошибки: 0x18
Адрес клиента: 192.168.0.130


Самое интересное, попробовал разные варианты net use:

1) net use m: \\serverois\workdata /user:oismaid\sveta
Системная ошибка 86
сетевой пароль указан неверно

2) net use m: \\serverois\workdata /user:sveta
Команда выполнена успешно!!!

3) net use m: \\serverois\workdata /user:oismain\alex
Системная ошибка 5.
Отказано в доступе

4) net use m: \\serverois\workdata /user:nouser
Команда выполнена успешно!!!


Т.е. если я ввожу имя пользователя домена - войти не могу, а если другое имя пользователя - то нормально.
В последнем случае я вообще ввел имя которого нету нни на моем локальном компе ни на сервере!!! И подключить папку удалось, т.е. сервер почему-то рубит именно пользователей домена!

Смотри настройки безопасности домена, наличие явных запретов на шары.

to: ES
Посмотри на сервере в политиках безопасности - кому разрешен сетевой доступ к серверу (право Access this computer from network, Доступ к компьютеру из сети - в русском варианте) - судя по указанной тобой ошибке очень похоже, что у пользователя Sveta это право есть, а у пользователя alex - нету.
Посмотри - в какие группы входит твой пользователь Alex и проверь:
1. Есть ли хоть у одной из этих групп право на доступ к компу по сети (там, в принципе, может быть прописан и конкретный пользователь, а не группа) и
2. Нет ли этих групп (или этого пользователя) в праве Deny access from network (Отказ в доступе по сети в русском варианте) - название в английском точно не помню, а посмотреть щас негде.
Буду ждать результатов - а то уже прямо интересно, что это за глюк такой.

Всем привет!!!
где нить в инете есть хорошая документация по тому как правильно и быстро настроить Домен???? просто я работаю на фирме где в принципе домен не нужен но я хочу этому научится! Но мне нельзя что бы у меня сервер был не доступен на нем висит инет и о очень много расшареных папок !! Тоесть если сервер будет кому нибудь не доступен меня с гавном сэедят!!!!

x-staford
А что, новую ветку форума не открыть?
Кстати, мысль хорошая

xeel
из предыдущего моего сообщения видно, что у пользователя домена sveta тоже нету доступа, она получает доступ как локальный пользователь своего компьютера, а я даже как локальный пользователь не могу получить доступ.

А вот мои настройки:
Оснастка: "Политика безопасности контроллера домена"
Ветка: Назначение прав пользователей
"Доступ к компьютеру из сети": Администраторы, Все, Контроллеры домена предприятия, Пред-Windows 2000, Прошедшие проверку
"Отказ в доступе": SUPPORT_.....
Ветка: "Параметры безопасности"
Почти у всех записей указано значение "Не определено"
Вот интересная запись: "Член домена: всегда требуется цифровая подпись" "Включен"

Группы для Alex: Администраторы, Администраторы домена, Пользователи домена
Группы для Sveta: Пользователи домена

Но все равно, мне кажется надо найти различие, чем отличается пользователь домена от локальных пользователей других компьютеров.

x-staford

Создай себе сеть из виртуальных машин и экспериментируй сколько угодно ничего не боясь.

Попробуй определить кто и какие права имеет на расшаренную папку через разрешения NTFS.

xoxmodav
у меня не на столько мощная машина что бы запускать на ней несколько виртуальных компов!! уменя то от одного все начинает подвисать!!!!
А ветку я открою тока вы там пишите!!!!

to: xoxmodav, x-staford
Народ, ну если уж так хочется пообсуждать - откройте новую тему... А то с моей точки зрения - просто засираете довольно интересную тему - сбивают такие неожиданные посты в середине...
to: ES
1. Из твоего предыдущего сообщения не видно, что доменному пользователю Sveta отказано в доступе. Видно, что был указан неверный пароль. Правда, нам от этого не легче.
2. Ты не можешь попробовать завести еще одного админа в домене и учетку с тем же логином локально на компе и посмотреть что из этого выйдет?.. Идеально - сразу же завести там и там пользователя с правами, как у Sveta - чтобы было с чем сравнивать...
3. Можешь попробовать на одном из компов - членов домена расшарить папку, дать туда права администраторам домена и пользователям домена и попробовать с этой твоей рабочей станции туда зайти сначала под Alex, потом под Sveta... Хотя бы выясним - проблема с учеткой или же с настройками сервака...
Вообще - судя по правам - не должно таких проблем возникать... Херня какая-то :(

ребят, мешать вам небуду, если кто знает киньте ПМ, как отключить доступ пользователям на ресурсы домена тем кто невходит в него, заранее благодарен...
ES если неошибаюсь то доступ для пользователей недомена по умолчанию открыт, вспомни чтонить менял в политиках безопасности (домена\ контроллера)?
УДАЧИ:)!

Времени пока нет, через пару дней обязательно попробую

to: Minion
А что ты понимаешь под "ресурсами домена"?
Если расшаренные папки - то надо просто настроить права на шару... Если что-то другое - напиши что именно.

Отвечаю всем:

1) добавил нового пользователя на контроллере - alex2

2) в правах доступа на расшаренную папку прописал конкретно этого пользователя

3) пытаюсь подключиться со своего компа:

net use m: \\serverois\workdata /user:oismain\alex2

на запрос пароля - ввожу пароль, а потом ...

Системная ошибка 5.
Отказано в доступе

В сообщениях безопасности вроде отказов в доступе нет, наоборот есть запись что пользователь alex2 вошел в систему
Не пойму что за хрень...

Может быть это из-за того, что мой компьютер не является членом домена?

В этой команде у тебя просто допущена ошибка в имени домена.

Напиши пожалуйста конкретно:
1. Полное имя домена
2. NetBIOS имя домена
3. Имя контроллера домена (serverois?)
4. Операционная система на клиентских машинах

Сделай следущее и напиши результат поэтапно:
1. Отключи учётную запись "Гость".
2. Создай пользователя TestUser с паролем, удовлетворяющим вашу политику безопасности.
3. Проверь в свойствах - logon name должно быть TestUser@<имя домена>
4. Создай папку "TEST" и расшарь её только для пользователя "TestUser"
5. В политике Domain Controller Security Policy (Политика безопасности контроллеров домена) включи аудит доступа к объектам (Audit object access), аудит системных событий (Audit system events), и Audit account logon events на успех и отказ
6. Обнови GPO на контроллере домена путём выполнения команды "gpupdate /force"
7. Загрузись на клиентском компьютере под локальной учётной записью
8. Попытайся подключиться к серверу - контроллеру домена используя имя "TestUser@<имя домена>" и пароль заданный тобой (главное не ошибись, т.к. указанный тобой в одном из постов код ошибки 0xC000006A - Регистрация пользователя с ошибочным или недействительным паролем).

xeel ну ясно надо настроить всё равно имея имя и пароль этой учётки попасть на ресурс (шар) можно... ксожалению у создателя интересы противоположные:)... а вот я что то отрдактировал в политике бзопасности, и немогу на сервер попасть, ни участникам, ни незарегеным пользователем в домене... мне просто интересно, я много чего изменил в политиках, и немогу сказать от чего точно... но вот подскажите, а ?:) ЧТОБ только не членам домена был закрыт доступ на расшареные на сервере (и: или в домене), заранее спасибо всем:)

minion

Смотри настройки политики безопасности GPO на доменном уровне (Default Domain Policy, Default Domain Controllers Policy) в разделе "Computer Configuration -> Windows Settings -> Security Settings -> Local Policies". Только перед этим отключи все остальные созданные тобой новые GPO.