Anonymer Zugriff auf die auf Server 2008 R2 Enterprise gehostete SMB-Freigabe

13

Zuallererst habe ich diesen Beitrag und eine ganze Reihe von Nicht-SF-Beiträgen gelesen, die sich anscheinend mit demselben oder einem ähnlichen Problem befassen, aber ich konnte mein Problem immer noch nicht beheben.

Ich habe drei Maschinen in dieser Situation:

  • Ein Server mit Domänenbeitritt, auf dem Server 2008 R2 Enterprise ausgeführt wird ("Freigabeserver")
  • Ein nicht mit der Domäne verbundener Testserver, auf dem Server 2003 R2 SP2 ("Testserver") ausgeführt wird
  • Eine domänenverbundene Workstation mit XP Pro SP3 ("Workstation")

Der Freigabeserver macht eine Freigabe im Netzwerk verfügbar, auf die der Testserver zugreifen muss - dies ist eine Quell- / Symbolserver-Freigabe für unsere Debugging-Zwecke. Ich glaube, Visual Studio greift in diesem Fall einfach mit seinen eigenen Anmeldeinformationen auf die Freigabe zu. Dies bedeutet, dass auf die Freigabe anonym zugegriffen werden muss, da der Testserver nicht der Domäne angehört und es keine Möglichkeit gibt, die Domänenauthentifizierung bereitzustellen.

Ich habe viele Dinge versucht, um das Authentifizierungsfenster beim Zugriff auf die Freigabe zu umgehen:

  • Ich habe das Gastkonto auf dem Freigabeserver aktiviert und dem Gast vollständige Freigabe- / NTFS-Berechtigungen für die Freigabe erteilt.
  • Ich habe ANONYMOUS LOGON Vollfreigabe- / NTFS-Berechtigungen für die Freigabe erteilt.
  • Ich habe meine Freigabe zu "Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann" in LSP hinzugefügt.
  • Ich habe "Netzwerkzugriff: Beschränken des anonymen Zugriffs auf Named Pipes und Freigaben" in LSP deaktiviert.
  • Ich habe "Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer zulassen" in LSP aktiviert.
  • ANONYMOUS LOGON hinzugefügt, um in LSP auf diesen Computer vom Netzwerk aus zuzugreifen.
  • Das Gastkonto wurde zu "Zugriff auf diesen Computer über das Netzwerk" in LSP hinzugefügt.
  • Es wurde versucht, die Freigabe mit dem MMC-Snap-In "Freigabe- und Speicherverwaltung" bereitzustellen.

Leider wird beim Versuch, vom Testserver auf die Freigabe zuzugreifen, weiterhin die Eingabeaufforderung angezeigt, und ich muss manuell "Gast" eingeben.

Ich habe diesen Workflow auch unter Verwendung des lokalen Administratorkontos auf einer Arbeitsstation ausprobiert, und das Gleiche passiert mit und ohne aktiviertem XP Simple File Sharing.

Irgendeine Idee, warum ich diese Ergebnisse erhalte oder was ich anders hätte tun sollen?

bwerks
quelle
Ich glaube, Sie haben "Testserver" und "Workstation" in der Rechnerliste umgestellt, oder verfolge ich dies einfach nicht?
Charlesbridge
Ich habe diese Art von Verfahren oft durchgeführt. Einige deiner Schritte habe ich nicht. Was ich vermissen kann, ist, jedem Zugriff auf die Freigabe und das Dateisystem zu gewähren. Hilft das?
Jeremy
Ändert die Verwendung eines neueren Betriebssystems (z. B. Windows 7 oder Windows Server 2008) etwas in diesem Szenario von Arbeitsgruppen- und Domänen-Freigaben? Mir fällt auf, dass der Win2k3-Server verdammt alt ist und es sich möglicherweise um ein Handshake-Problem handelt.
Jeff Atwood
Möglicherweise müssen Sie die NTLMv3 / Kerberos-Einstellungen auf LM zurückstufen. Ich kann mich nicht erinnern und habe keine zur Hand.
Grizly
Wurden Sie beim Versuch, eine Verbindung zum C $ -Freigabelaufwerk herzustellen, aufgefordert?
Danno

Antworten:

4

Sie haben alles richtig gemacht, mit Ausnahme des lokalen Kontos, das auf die Freigabe zugreift, kann es nicht auf beiden Systemen sein. Wenn das Nicht-Domänenkonto, unter dem Ihre Anwendung ausgeführt wird, "Administrator" heißt, darf auf dem Domänenserver kein lokales Konto mit dem Namen "Administrator" vorhanden sein.

lllukej
quelle
2

Wenn der Benutzername, mit dem Sie sich anmelden, auf dem Server vorhanden ist, aber ein anderes Kennwort hat, werden Sie immer zur Eingabe des Kennworts aufgefordert, unabhängig davon, welche Gast- und anonymen Einstellungen Sie vorgenommen haben.

Versuchen Sie, sich mit einem Benutzernamen anzumelden, der weder auf dem Server noch in der Domäne vorhanden ist.

Die andere Option besteht darin, das Kennwort auf dem eigenständigen Server genau so festzulegen, wie es auf dem identischen benannten Benutzer in der Domäne festgelegt ist.

QueBall
quelle
1
Das ist eigentlich ein guter Punkt. Die Gastanmeldeinformationen (nicht das Passwort als solches) sind auf dem Testserver vorhanden und werden an den Freigabeserver weitergeleitet, was falsch ist und umgekehrt.
Grizly
1

Wie wäre es, ein Netzlaufwerk zuzuordnen und eine dauerhafte Verbindungssyntax zu verwenden?

net use H: \ Pfad \ zum \ Server \ PASSWORD_CLEAR_TXT / Benutzer: Domäne \ Benutzer / persistent: Ja

Wenn Sie es zu irgendeinem Zeitpunkt netto löschen möchten, verwenden Sie h: / delete

Nick O'Neil
quelle
Dies erfordert einen angemeldeten Benutzer, der nicht immer verfügbar ist.
NotMe
Nein, es sind ein Skript und ein Registrierungseintrag in \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run oder RunOnce
Grizly,
1

Möglicherweise vorübergehende Problemumgehung. Sie können auf dem "Freigabeserver" ein lokales Benutzerkonto (eine Freigabe erteilen \ ntfs-Berechtigungen) mit demselben Namen und Kennwort wie auf Ihrem "Testserver" für den App-Zugriff auf Freigaben erstellen.

Valeriy.N
quelle
0

Ich kann nicht sehen, dass Sie JEDERMANN zu den Netzwerkfreigabe- / Sicherheitsberechtigungen hinzugefügt haben. Gast (sobald aktiviert) sollte in dieser Gruppe enthalten sein. Wie hier beschrieben .

Auch beantwortet einige gute hier , in Zusammenhang mit einer ähnlichen Fragen (2003).

BoyMars
quelle
3
Soweit ich weiß, gilt die Gruppe "Jeder" nicht für dieses Szenario, da die Bedeutung von "Jeder" "Jeder authentifizierte Benutzer" ist, dh "Jeder" schließt ANONYMOUS LOGON standardmäßig explizit aus. Trotzdem habe ich aus Sicherheitsgründen die Einstellung "Alle Berechtigungen auf anonyme Benutzer anwenden lassen" aktiviert.
bwerks
0

Haben Sie diesen Artikel (unten) ausführlich durchgearbeitet? Es handelt sich nicht so sehr um eine Liste von Schritten, sondern um eine detaillierte Beschreibung der Funktionsweise.

http://www.minasi.com/newsletters/nws0312.htm

Brandon Langley
quelle
0

Haben Sie versucht, das Computerkonto explizit hinzuzufügen, dh Computername $ , um Berechtigungen für die Freigabe und über NTFS zu erhalten? Offensichtlich würde dies nicht mit Computern funktionieren, die nicht der Domäne angehören.

Dave P
quelle
0

Es wird immer angezeigt, bis Sie eine der beiden folgenden Aktionen ausführen. Beide erfüllen die gleiche Aufgabe, die Berechtigungsnachweise zwischenzuspeichern (die in diesem Fall ironischerweise keine Rolle spielen, aber immer noch vorhanden sein müssen).

Eine besteht darin, das Laufwerk zuzuordnen und die Zuordnung dauerhaft zu machen. Die andere Möglichkeit besteht darin, den Anmeldeinformations-Manager direkt zu öffnen und eine Anmeldung (eine beliebige Anmeldung) für den Server hinzuzufügen, zu dem Sie eine Verbindung herstellen. Der Zugriff auf den Anmeldeinformations-Manager erfolgt über die Systemsteuerung des Benutzers oder direkt über "Systemsteuerung \ Alle Systemsteuerungselemente \ Anmeldeinformations-Manager".

Bryansix
quelle