什么是Windows共享的最低权限是匿名只读?

我在解决对Windows权限的困惑的漫长而艰苦的过程中,希望对以下内容有所了解。

我想提供一个Windows共享,以便networking上的任何匿名Windows计算机(我们不使用域控制器)都可以键入\\servername\sharename ,并对其中的文件具有只读访问权限。

我知道的:

  • “Everyone”组不包含“匿名”SID。 (奇怪的是,这篇文章并不适用于2008 R2 …)
  • 对文件本身有两个“级别”(可能不是最好的词)权限:共享权限和NTFS权限。 (即共享和存储pipe理 – >属性 – >权限)
  • 在没有域控制器的环境中操作有一些问题,但在多台机器上有相同名称的用户帐户。

我想我知道的是:

  • “使networking服务可被发现”应该不会影响正确许可的股票的可访问性。
  • 还必须configurationNTFS权限才能访问此共享 – 不仅仅是共享权限(?)(尽pipe共享和存储pipe理声称它们只适用于本地访问)。
  • 即使明确引用了本地用户帐户,“Everyone”组也不应被排除在访问权限之外,因为客户端计算机以与本地服务器相同的用户名身份login,将尝试以该用户身份进行身份validation,并被拒绝如果密码有差异。 ( *groan*

我不知道的是:

  • 有caching凭据或服务器响应有任何疑难解答吗? 每次尝试连接共享后,是否应该重新启动testing客户端工作站?
  • 如果“访客”帐户与共享或NTFS权限有任何关系?
  • 我是否正确地认为需要configuration“匿名login”和读取权限共享和NTFS权限? 同样的“每个人”组?

首先,build立对共享的匿名访问并不是什么坏事,你只需要在每个人中包含匿名(你自己实际链接到它):

  1. 打开Local Group Policypipe理器(gpedit)
  2. 计算机configuration
  3. Windows设置
  4. 安全设定
  5. 本地政策
  6. 安全选项 – Network access: Let Everyone permissions to apply to anonymous users从禁用到启用
  7. 更改Network access: Restrict anonymous access to Named Pipes and Shares为禁用
  8. Network access: Shares that can be accessed anonymously的共享 – 在共享中设置共享名称。

就股份本身而言。 将Share Permissions设置为“Everyone – 修改”和“pipe理员 – 完全控制”。 然后将NTFS权限设置为Administrators - Full ControlEveryone - <whatever rights needed>

这应该处理你的需要。

需要做三件事来为“Everyone”组下的匿名用户设置访问权限,这比明确使用“ANONYMOUS LOGON”更清晰:

1.创build文件共享

  • NTFS权限 :为“每个人”组设置“读取和执行”,“列出文件夹内容”和“读取”
  • 共享权限 :为“每个人”组设置“读取”

2.调整本地安全策略

打开“本地安全策略”,导航到安全设置 – >本地策略 – >安全选项,并设置:

  • Network access: Let Everyone permissions apply to anonymous users启用
  • Network access: Restrict anonymous access to Named Pipes and Shares禁用
  • 编辑Network access: Shares that can be accessed anonymously 的共享作为您创build的共享名称 。 (格式不明确,但不包括服务器名称,假设您需要多个名称,则这是一个以逗号分隔的列表。)

3.允许访问没有密码

  • 从控制面板的“networking和共享中心”中打开“高级共享设置”,或单击目录上的属性中的链接(在密码保护下)。
  • 将“密码保护共享”设置更改为closures。

其他说明:

  • NTFS和Share级别的用户都需要授予权限
  • 考虑你在一台机器上进行的任何testing,这个testing用户的名字与你的服务器上的一个名字相匹配是无用的(但是不需要重新启动一个真正的testing机器)