Lub: „Czy to jest coś? I jak mam sprawdzić, czy tak było?”
W środowisku bez kontrolera domeny podczas uzyskiwania dostępu do udziału w polu Windows Server 2008 R2 z komputera zdalnego bez pasującego konta użytkownika na serwerze (i łączenie się poprzez wpisywanie \\SERVERNAME\ShareName
z menu Start) obserwuję obecnie następujące zachowanie w ustawieniu „Udostępnianie chronione hasłem” (Zaawansowane ustawienia udostępniania):
Kiedy „udostępnianie chronione hasłem” jest włączony na wszystkie połączenia nie próbowali po maksymalnie 30 sekund:
Błąd logowania: użytkownikowi nie przyznano żądanego typu logowania na tym komputerze.
Z „udostępnianie chronione hasłem” okazało się , przyłącza do akcji anonimowy dostępnym są dozwolone, natomiast akcje uprawnień ograniczonego niepowodzeniem z:
Nie masz uprawnień dostępu do \ SERVERNAME \ ShareName. Skontaktuj się z administratorem sieci, aby poprosić o dostęp.
Wydaje się, że jest to oczekiwane zachowanie. Muszę mieć dostęp do niektórych udziałów przez anonimowe logowanie, więc musiałem zmienić to ustawienie z domyślnego na wyłączone .
JEDNAK jest tu trzeci przypadek. ( co? )
Jeśli próbujesz połączyć się z udziałem bez zmodyfikowany tego ustawienia (to znaczy, że jest ustawiony na ale nigdy go kliknięciu), połączenie zachowuje się podobnie do na razie nad tym, że trwa do 30 sekund, aby pokazać odpowiedź, ale następnie wyświetla okno dialogowe uwierzytelnienia :
Miałem przeczucie po tym, jak uderzyłem głową o ścianę przez kilka dni, i po prostu zreplikowałem to na serwerze bez istniejących udziałów: Utwórz udział do odczytu, spróbuj połączyć się i uzyskać okno dialogowe, zmień ustawienie, połącz się pomyślnie, zmień ustawienie z powrotem i otrzymaj inny komunikat o błędzie. (Przetestowałem je wszystkie na nowych systemach klienckich, więc nie było ryzyka buforowania).
Powtórzmy: kontrolowałem systemy klienckie. Wydaje się, że jest to całkowicie związane z serwerem.
Tak więc dla mnie jasne jest, że zmiana ustawienia „Udostępnianie chronione hasłem” powoduje zmianę więcej niż jednej rzeczy (klucz rejestru? Jestem natywnym komputerem Mac) za kulisami i że ustawienia domyślne, z którymi system jest dostarczany, NIE są do siebie dopasowane. z ustawieniem odzwierciedlonym w panelu sterowania (lub sam panel sterowania jest zepsuty i powinien zmieniać więcej rzeczy).
Pytanie brzmi: czy jest to zgodne z projektem, czy jest to błąd? W obu przypadkach, jakie „ukryte ustawienie” jest zmieniane lub pozostawione bez zmian? Jak można to wyśledzić? Brakuje mi nowych serwerów do przetestowania. :-(
źródło
Odpowiedzi:
To naprawdę wzbudziło moje zainteresowanie. Udało mi się powtórzyć twoje odkrycia w moim laboratorium z tym samym wzorem wyników, który opisujesz. Użyłem Procmon, aby zobaczyć, jakie zmiany zostały wprowadzone i prawie się poddałem, dopóki nie zobaczyłem:
To pokazuje, że lsass.exe (Local Security Authority) pisze do lokalnego SAM i wprowadza zmiany do wbudowanego konta gościa (dobrze znany RID 501). Rzeczywiście, kiedy ponownie przetestowałem twój scenariusz podczas oglądania statusu konta gościa, widzę, że jest on włączony, gdy wyłączone jest „Udostępnianie chronione hasłem”. Jednak gdy „Udostępnianie chronione hasłem” zostanie ponownie włączone, konto gościa nie zostanie ponownie wyłączone. Ręczne wyłączenie konta gościa przywraca pierwotną funkcjonalność: Zostaniesz poproszony o podanie poświadczeń (tj. Twojego trzeciego przypadku).
Nie jestem pewien, dlaczego tak się zachowuje. Szczerze mówiąc, nigdy wcześniej nie zmieniłem ustawienia „Udostępnianie chronione hasłem” (nawet nie zauważyłem tego, jeśli o to chodzi). Mam nadzieję, że to pomoże w twoim projekcie. Jeśli ktoś jest zainteresowany dalszym kopaniem, warto wiedzieć, czy takie zachowanie nadal występuje na serwerze 2012/2012 R2 ...
Aha i na twoje oryginalne pytania (czy to z założenia, czy to błąd?), Nie mam najmniejszego pojęcia ...
źródło
Jeśli poprawnie zrozumiałem twoje pytanie, poświadczenia udziału są zapisywane w Menedżerze poświadczeń pod panelem sterowania.
Aby wyświetlić okno dialogowe uwierzytelniania, po prostu usuń poświadczenie dotyczące tego udziału w Menedżerze poświadczeń.
Gdy zaznaczysz opcję „Zapamiętaj moje dane uwierzytelniające”, jest to zwykle zapisywane w Menedżerze poświadczeń, a jeśli to hasło jest nieprawidłowe, pojawi się błąd błędu logowania.
źródło
Może ci to nie pomóc, ale w innym przypadku - często mam połączenia, których moi użytkownicy nie mają dostępu do udziału (ich stare hasło jest buforowane przez system Windows) i mam to zrobić:
wykorzystanie netto * / D
źródło