Jak uzyskać ten udział systemu Windows z prośbą o zalogowanie?

14

Lub: „Czy to jest coś? I jak mam sprawdzić, czy tak było?”

W środowisku bez kontrolera domeny podczas uzyskiwania dostępu do udziału w polu Windows Server 2008 R2 z komputera zdalnego bez pasującego konta użytkownika na serwerze (i łączenie się poprzez wpisywanie \\SERVERNAME\ShareNamez menu Start) obserwuję obecnie następujące zachowanie w ustawieniu „Udostępnianie chronione hasłem” (Zaawansowane ustawienia udostępniania):

Kiedy „udostępnianie chronione hasłem” jest włączony na wszystkie połączenia nie próbowali po maksymalnie 30 sekund:

Błąd logowania: użytkownikowi nie przyznano żądanego typu logowania na tym komputerze.

Z „udostępnianie chronione hasłem” okazało się , przyłącza do akcji anonimowy dostępnym są dozwolone, natomiast akcje uprawnień ograniczonego niepowodzeniem z:

Nie masz uprawnień dostępu do \ SERVERNAME \ ShareName. Skontaktuj się z administratorem sieci, aby poprosić o dostęp.

Wydaje się, że jest to oczekiwane zachowanie. Muszę mieć dostęp do niektórych udziałów przez anonimowe logowanie, więc musiałem zmienić to ustawienie z domyślnego na wyłączone .

JEDNAK jest tu trzeci przypadek. ( co? )

Jeśli próbujesz połączyć się z udziałem bez zmodyfikowany tego ustawienia (to znaczy, że jest ustawiony na ale nigdy go kliknięciu), połączenie zachowuje się podobnie do na razie nad tym, że trwa do 30 sekund, aby pokazać odpowiedź, ale następnie wyświetla okno dialogowe uwierzytelnienia :

Udostępnianie okna dialogowego uwierzytelniania

Miałem przeczucie po tym, jak uderzyłem głową o ścianę przez kilka dni, i po prostu zreplikowałem to na serwerze bez istniejących udziałów: Utwórz udział do odczytu, spróbuj połączyć się i uzyskać okno dialogowe, zmień ustawienie, połącz się pomyślnie, zmień ustawienie z powrotem i otrzymaj inny komunikat o błędzie. (Przetestowałem je wszystkie na nowych systemach klienckich, więc nie było ryzyka buforowania).

Powtórzmy: kontrolowałem systemy klienckie. Wydaje się, że jest to całkowicie związane z serwerem.

Tak więc dla mnie jasne jest, że zmiana ustawienia „Udostępnianie chronione hasłem” powoduje zmianę więcej niż jednej rzeczy (klucz rejestru? Jestem natywnym komputerem Mac) za kulisami i że ustawienia domyślne, z którymi system jest dostarczany, NIE są do siebie dopasowane. z ustawieniem odzwierciedlonym w panelu sterowania (lub sam panel sterowania jest zepsuty i powinien zmieniać więcej rzeczy).

Pytanie brzmi: czy jest to zgodne z projektem, czy jest to błąd? W obu przypadkach, jakie „ukryte ustawienie” jest zmieniane lub pozostawione bez zmian? Jak można to wyśledzić? Brakuje mi nowych serwerów do przetestowania. :-(

windows-server-2008-r2 network-share server-message-block windows-authentication guest NReilingh
źródło
Co to jest lista ACL w folderze i jakie jest uprawnienie do udziału?
AWippler
Możesz użyć projektu o nazwie regshot, aby porównać dwie migawki rejestru (jedną po zainicjowaniu systemu, jedną po ustawieniu ustawienia, a trzecią po rozbrojeniu ustawienia). Przyjrzyj się również ustawieniom „domeny lokalnej / zasad bezpieczeństwa” i zaznacz ustawienie „Dostęp do tego komputera z sieci” (inaczej SeNetworkLogonRight ). Oto informacje o zmianach i informacje o ustawieniach .
mbrownnyc
@NReilingh: opublikowałeś nagrodę, czy kiedykolwiek byłeś w stanie ją rozgryźć?
charleswj81
@ charleswj81 Twoja odpowiedź była dokładnie tym, czego szukałem! Musiałem tylko znaleźć czas, żeby z tym usiąść. Zauważam teraz, że wykazy kont gości w panelu sterowania Zarządzaj kontami komputerów i w Menedżerze serwera nie zawsze wydają się być zsynchronizowane w odniesieniu do włączenia lub nie. Więc teraz mam trzy zmienne do przetestowania w odniesieniu do anonimowej i chronionej hasłem łączności: „Udostępnianie chronione hasłem” włączone lub wyłączone, konto gościa w Server Manager jest włączone lub wyłączone, a konto gościa w panelach sterowania jest włączone lub wyłączone.
NReilingh

Odpowiedzi:

11

To naprawdę wzbudziło moje zainteresowanie. Udało mi się powtórzyć twoje odkrycia w moim laboratorium z tym samym wzorem wyników, który opisujesz. Użyłem Procmon, aby zobaczyć, jakie zmiany zostały wprowadzone i prawie się poddałem, dopóki nie zobaczyłem:

zmodyfikowano konto gościa procmon

To pokazuje, że lsass.exe (Local Security Authority) pisze do lokalnego SAM i wprowadza zmiany do wbudowanego konta gościa (dobrze znany RID 501). Rzeczywiście, kiedy ponownie przetestowałem twój scenariusz podczas oglądania statusu konta gościa, widzę, że jest on włączony, gdy wyłączone jest „Udostępnianie chronione hasłem”. Jednak gdy „Udostępnianie chronione hasłem” zostanie ponownie włączone, konto gościa nie zostanie ponownie wyłączone. Ręczne wyłączenie konta gościa przywraca pierwotną funkcjonalność: Zostaniesz poproszony o podanie poświadczeń (tj. Twojego trzeciego przypadku).

Nie jestem pewien, dlaczego tak się zachowuje. Szczerze mówiąc, nigdy wcześniej nie zmieniłem ustawienia „Udostępnianie chronione hasłem” (nawet nie zauważyłem tego, jeśli o to chodzi). Mam nadzieję, że to pomoże w twoim projekcie. Jeśli ktoś jest zainteresowany dalszym kopaniem, warto wiedzieć, czy takie zachowanie nadal występuje na serwerze 2012/2012 R2 ...

Aha i na twoje oryginalne pytania (czy to z założenia, czy to błąd?), Nie mam najmniejszego pojęcia ...

charleswj81
źródło
Mogę potwierdzić, że jest to poprawne. Musiałem dzisiaj zainstalować nowy serwer W2K8 i mogłem to zreplikować, zanim dołączyłem do domeny. Konto gościa należy ręcznie wyłączyć. Jeśli tak się stanie, zachowanie jest tym, co uważam za normalne: po przekroczeniu limitu czasu użytkownik jest proszony o podanie poprawnych (z perspektywy serwera) poświadczeń. (PS: Nigdy nie rozumiałem, dlaczego ten cholerny czas oczekiwania jest tak długi To nie jest tak, jakby oryginalne poświadczenia magicznie staje się ważna w okresie limitu czasu Więc po co czekać..?)
Tonny
2

Jeśli poprawnie zrozumiałem twoje pytanie, poświadczenia udziału są zapisywane w Menedżerze poświadczeń pod panelem sterowania.

Aby wyświetlić okno dialogowe uwierzytelniania, po prostu usuń poświadczenie dotyczące tego udziału w Menedżerze poświadczeń.

Gdy zaznaczysz opcję „Zapamiętaj moje dane uwierzytelniające”, jest to zwykle zapisywane w Menedżerze poświadczeń, a jeśli to hasło jest nieprawidłowe, pojawi się błąd błędu logowania.

Zimna T.
źródło
Nie więc; Przetestowałem wszystkie trzy przypadki na świeżym systemie klienckim bez buforowanych danych uwierzytelniających. (I w tym przypadku, każde poświadczenie wszedłem byłby zapewniony dostęp). Tylko raz byłem kiedykolwiek widział tego okna uwierzytelniania jest, gdy „udostępnianie chronione hasłem” nie został poruszony.
NReilingh,
Miałem odwrotny problem (tutaj: serverfault.com/q/619027/175650 ), gdzie otrzymywałem monit, ale go nie chciałem. Okazało się, że zapisałem złe dane uwierzytelniające, a Twój post wskazał mi właściwy kierunek, aby je usunąć i rozwiązać problem. Dzięki!
SenorAmor
0

Może ci to nie pomóc, ale w innym przypadku - często mam połączenia, których moi użytkownicy nie mają dostępu do udziału (ich stare hasło jest buforowane przez system Windows) i mam to zrobić:

wykorzystanie netto * / D

ETL
źródło
Jak powiedziałem w pytaniu, kontrolowałem dla klienta. Użyłem świeżego systemu do każdego testu, więc nie było ryzyka buforowania referencji.
NReilingh,