В этой статье, мы покажем, как разрешить анонимный доступ к общем сетевым папкам и принтерам на компьютере в рабочей группе или в домене Active Directory. Анонимный доступ к сетевой папке подразумевают, что для доступа к сетевому ресурсу пользователи не нужно выполнять аутентификацию (вводить пароль) и для доступа используется гостевой аккаунт.
По умолчанию при доступе к сетевой папке на удаленном компьютере появляется запрос имени пользователя и пароля (кроме случаев, когда оба компьютера находятся в одном домене, или в одной рабочей группе и на них используются одинаковые аккаунты пользователей с одинаковыми паролями). Анонимный доступ подразумевает, что при подключи к удаленному компьютеру не запрашивается пароль и доступ к общим ресурсам возможет без авторизации.
Настройка локальных политик анонимного доступа в Windows
Для анонимного доступа в Windows используется специальная встроенная учетная запись Гость (guest), которая отключена по-умолчанию.
Чтобы разрешить анонимный (без аутентификации) доступ к компьютеру, нужно включить учетную запись Guest и изменить некоторые параметры локальной политики безопасности Windows.
Откройте консоль редактора локальной GPO (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)
Настройте следующие политики:
- Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
- Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
- Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).
В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.
Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость или Everyone, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.
Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). Проверьте что во всех секциях (Private, Public, All networks) включены опциы Turn on file and printer sharing, сетевое обнаружение (см. статью о проблемах обнаружения компьютеров в рабочих группах) и отключите защиту папок паролем Turn off password protected sharing.
В Windows 11 эти опции находятся в разделе панели Settings -> Network and Internet -> Advanced network settings -> Advanced sharing settings.
Обновите настройки локальных групповых политик на компьютере командой:
gpupdate /force
Разрешить гостевой доступ к общей сетевой папке Windows
После того, как вы настроили политики гостевого доступа, нужно разрешить анонимный доступа к целевой сетевой папке на хосте Windows. Вам нужно изменить настройки безопасности сетевой папки Windows, к которой вы хотите предоставить общий анонимный доступ. Откройте свойства папки, перейдите на вкладку Безопасность (здесь настраиваются NTFS разрешений) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.
Также на вкладке Доступ (Sharing) нужно предоставить права доступа к сетевой шаре анонимным пользователям (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.
Теперь в локальной политике безопасности нужно указать имя сетевой папки, к которой разрешен анонимный доступ. Откройте консоль Local Security Policy (secpol.msc), перейдите в секцию Локальные политики -> Параметры безопасности. Затем в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) укажите имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).
Теперь вы можете анонимно подключиться к этому компьютеру с удаленного компьютера.
Нажмите клавишы Win+R и в окне укажите UNC (формат \\IPадрес\ИмяПапки, или \\NetBIOSимякомпьютера\ИмяПапки) путь к сетевой папке, которую вы хотите открыть.
Если вы все настроили правильно, перед вами появится список файлов в сетевой папке на удаленном компьютере.
Такой способ предоставления анонимного доступа работал до Windows 10 2004/Windows Server. В актуальных версиях Windows при доступе к общей папке все равно появляется запрос пароля. Чтобы подключиться к удаленной папке под анонимным пользователем нужно указать имя пользователя guest (пароль указывать не нужно).
Но это все равно не очень удобно.
В этом случае нужно дополнительно включить следующие локальные политики:
- Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. В параметре Network access: Sharing and security model for local accounts измените значение с Classic на Guest Only. Эта политика автоматически использует аккаунт Guest при сетевом доступе к компьютеру под локальной учетной записью (подразумевается что вы вошли в Windows под локальной учетной записью);
- Перейдите в раздел Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation. Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы). Эта политика разрешит сетевой доступ к общим папкам по протоколу SMBv2 под гостевой учетной записью. Если не включать этот параметр, то при подключении под Guest появится ошибка “Вы не можете получить доступ к удаленному компьютеру из-за того, что политики безопасности вашей организации могут блокировать доступ без проверки подлинности” (cм. статью).
Затем нужно указать, что аккаунт Guest нужно всегда использовать для доступа к сетевым ресурсам на указанно компьютере. Для этого нужно добавить в диспетчер учетных записей Windows имя (IP адрес компьютера) и имя пользователя, которое нужно использовать для подключения. Откройте командую строку и выполните команду:
cmdkey /add:192.168.13.200 /user:guest
Теперь при доступе к указанному IP, Windows всегда будет выполнять автоматический входа под сохраненной учетной записью (Guest в нашем случае)
Теперь вы можете проверить на удаленном компьютере, что клиент подключился к сетевой папке под записью guest (анонимно):
Get-SmbSession
Открыть анонимный доступ к общему сетевому принтеру
Чтобы разрешить анонимный доступ к сетевому принтеру на компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).
Затем на вкладке безопасность для группы “Все” отметить все галки.
Теперь вы сможете подключиться к общей папке (\\servername\share) и принтеру на доменном компьютере без ввода имени пользователя и пароля, т.е. анонимно.
Прошу прощения что не совсем в тему, но тут столкнулся с такой проблемой, вдруг сможете помочь:
есть два домена, между ними «накликано» доверие (именно накликано, так как пока в доверительные отношения глубоко не лез). Если открыта сетевая папка на каком-то ресурсе, то доступ можно дать всем или добавив разрешения для Everyone или для конкретной группы/пользователя из первого или второго домена. Но..
Но если общая папка создается по средством DFS Namespace то доступ из другого домена к ней не возможен ни при указании доступа для Всех (Everyone), ни при указании группы или пользователя из другого домена.
В сем может быть проблема и можно как-то ее решить?
Какой уровень аутентфикации задан при создании доверительных отношений между доменами: Selective Authentication или Forest Wide Authentication. Подозреваю что первый. Там есть нюансы с настройкой разрешения Allowed to Authenticate из чужого домена. Если возможно используйте второй режим
Доверие именно по Forest Wide Authentication
Приветствую! Я пытался совместить оба способа на одной машине вообще без представления, как это должно работать. Не получилось. Краеугольным параметром в моём случае стала модель общего доступа в групповых политиках.
Ставлю гостевую — Всех пускает анонимно, даже сетевой диск с шарой не подцепить (net use на админскую учётку с паролем)
Ставлю обычную — всегда спрашивает кто такой. Смешно то, что если представляешься беспарольным гостем, то пускает как положено))
т.к. учётка гостя включена и всё остальное тоже настроено. Ну т.е. нельзя прийти в гости совсем анонимно))
А вот как работает «Сетевой доступ: разрешать анонимный доступ к общим ресурсам» — мне совсем не очевидно. Имя шары добавил в список. Уже и задавал прямой путь \\комп\шара — всё равно просит аутентификацию. Можете пояснить принцип действия и вообще зачем нужен этот параметр, на какой случай? Я нагуглил только это, но там тоже никто ничего толком не знает, а в итоге вообще всё сводится опять к модели общего доступа.
Сетевой доступ: разрешать анонимный доступ к общим ресурсам — здесь имя шары.
Какие доступа указаны в разрешениях шары и в свойствах NTFS каталога.
Попробуйте в разрешения шары добавить Everyone , Guest и ANONYMOUS LOGON
Наверно еще нужно попробовать отключить политику: Network access: Restrict anonymous access to Named Pipes and Shares –> Disabled
Вот здесь может быть наоборот ?:
«Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.»
Сорри, перепутал.
В чем моежт быть проблема: есть домен, сервер и на нем общие папки. Если попробовать зайти в одну из этих папок из компа который не в домене — то не пускает и не спрашивает пароль. На другом сервере доступ нормальный — выходит окно с введением доменного пользователя и пароля. На проблемном сервере есть одна папка в которую пускает всех, там и сетевой доступ и безопасность прописана группа ВСЕ на чтение. Как бы путно настроить доступ и в остальные папки? Должно спрашивать имя и пароль.
Все сделал по этой инструкции, но все равно не пускает на компьютеры из локалки. Что еще можно попробовать?
А как настроить «Изменение расширенных параметров общего доступа» через политики?
нет , не работает(((( все шаг за шагом …. принтер все равно просит пароль(((((
Здравствуйте. Имеется 2 ПК. На одном w7 и открыт сетевой доступ к диску. На другом w10. Сначала мог зайти с 10 на 7, но в настоящее время требует пароль, хотя ни чего не ставил. При подключении другого ПК на w8 папки нормально открываются, значит проблема в клиенте т.е. на ПК с w10. Делал разные манипуляции, описанные в инете, но ни чего не помогает. Включал smb 1, делал сброс сетевых настроек, менял рабочую группу, но ни чего не помогает. Пробовал в поле логин написать гость и вход появлялся, но доступ работал некорректно.
«Отключить общий доступ с парольной защитой» в Центре управлениями сетями и общ доступом. После обнов бывает включается само. И смотри или на комп, на вход виндозе не поставил ли кто пароль. Нужно снять, чтоб не было той ерунды с паролями и админом.
Автор гений! Очень выручила статья. Тривиальная задача доступа к сетевым папкам в локальной сети win 11 между пк и ноутбуком через Wi-Fi вылилась в ребус на весь вечер. Папки по сети было видно, ноошибка прав доступа не давала их открыть. И это при том, что был третий пк со старой win 7 и он спокойно мог зайти в любую сетевую папку. Стандартные советы из поисковой выдачи не давали результата. Но описанные во второй части этой статьи действи помогли 🙂
Cпасибо, подключил наконец андроид телефон по смб, через cx проводник. Мучения через провод окончены.
До вчерашнего дня всё вот так и работало.
Медиаплейер на андроиде 7 нормально лазил в локалку домашнюю за видео в папках расшаренных.
И вот сегодня что-то сломалось — андроид перестал входить в шары анонимусом.
В винде ничего со вчера не менял, буквально перед выключением компа все еще дышало.