По умолчанию, при доступе к общей сетевой папке на сервере, включенном в домен Active Directory, с компьютеров из рабочей группы (не добавленных в домен) у пользователя появляется запрос на ввод пароля доменной учетной записи. Попробуем разобраться, как разрешить анонимный доступ к общим сетевым папкам и принтерам на доменном сервере с компьютеров рабочей группы без авторизации на примере Windows 10 / Windows Server 2016.
Локальные политики анонимного доступа
На сервере (компьютере), к которому вы хотите предоставить общий доступ неавторизованным пользователям нужно открыть редактор локальной групповой политики – gpedit.msc.
Перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)
Настройте следующие политики:
- Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
- Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
- Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).
В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.
Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.
Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). В секции “Все сети” должен быть выбрана настройка “Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках” и выбрать “Отключить парольную защиту (если вы доверяете всем устройствам в вашей сети)” (см. статью о проблемах обнаружения компьютеров в рабочих группах).
Настройка анонимного доступа к общей папке
Теперь нужно настроить разрешения доступа на общей папке, к который вы хотите предоставить общий доступ. Откройте свойства папки в настройках NTFS разрешений (вкладка Безопасность) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.
Также на вкладке Доступ нужно предоставить права анонимным пользователям на доступ к шаре (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.
Теперь в редакторе локальных политик в секции Локальные политики -> Параметры безопасности нужно в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) указать имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).
Предоставление анонимного доступа к общему сетевому принтеру
Чтобы разрешить анонимный доступ к сетевому принтеру на вашем компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).
Затем на вкладке безопасность для группы “Все” отметить все галки.
После выполнения этих действий вы сможете подключаться к общей папке (\\servername\share) и принтеру на доменном компьютере с компьютеров рабочей группы без ввода имени пользователя и пароля, т.е. анонимно.
Прошу прощения что не совсем в тему, но тут столкнулся с такой проблемой, вдруг сможете помочь:
есть два домена, между ними «накликано» доверие (именно накликано, так как пока в доверительные отношения глубоко не лез). Если открыта сетевая папка на каком-то ресурсе, то доступ можно дать всем или добавив разрешения для Everyone или для конкретной группы/пользователя из первого или второго домена. Но..
Но если общая папка создается по средством DFS Namespace то доступ из другого домена к ней не возможен ни при указании доступа для Всех (Everyone), ни при указании группы или пользователя из другого домена.
В сем может быть проблема и можно как-то ее решить?
Какой уровень аутентфикации задан при создании доверительных отношений между доменами: Selective Authentication или Forest Wide Authentication. Подозреваю что первый. Там есть нюансы с настройкой разрешения Allowed to Authenticate из чужого домена. Если возможно используйте второй режим
Доверие именно по Forest Wide Authentication
Приветствую! Я пытался совместить оба способа на одной машине вообще без представления, как это должно работать. Не получилось. Краеугольным параметром в моём случае стала модель общего доступа в групповых политиках.
Ставлю гостевую — Всех пускает анонимно, даже сетевой диск с шарой не подцепить (net use на админскую учётку с паролем)
Ставлю обычную — всегда спрашивает кто такой. Смешно то, что если представляешься беспарольным гостем, то пускает как положено))
т.к. учётка гостя включена и всё остальное тоже настроено. Ну т.е. нельзя прийти в гости совсем анонимно))
А вот как работает «Сетевой доступ: разрешать анонимный доступ к общим ресурсам» — мне совсем не очевидно. Имя шары добавил в список. Уже и задавал прямой путь \\комп\шара — всё равно просит аутентификацию. Можете пояснить принцип действия и вообще зачем нужен этот параметр, на какой случай? Я нагуглил только это, но там тоже никто ничего толком не знает, а в итоге вообще всё сводится опять к модели общего доступа.
Сетевой доступ: разрешать анонимный доступ к общим ресурсам — здесь имя шары.
Какие доступа указаны в разрешениях шары и в свойствах NTFS каталога.
Попробуйте в разрешения шары добавить Everyone , Guest и ANONYMOUS LOGON
Наверно еще нужно попробовать отключить политику: Network access: Restrict anonymous access to Named Pipes and Shares –> Disabled
Вот здесь может быть наоборот ?:
«Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.»
Сорри, перепутал.
В чем моежт быть проблема: есть домен, сервер и на нем общие папки. Если попробовать зайти в одну из этих папок из компа который не в домене — то не пускает и не спрашивает пароль. На другом сервере доступ нормальный — выходит окно с введением доменного пользователя и пароля. На проблемном сервере есть одна папка в которую пускает всех, там и сетевой доступ и безопасность прописана группа ВСЕ на чтение. Как бы путно настроить доступ и в остальные папки? Должно спрашивать имя и пароль.
Все сделал по этой инструкции, но все равно не пускает на компьютеры из локалки. Что еще можно попробовать?
А как настроить «Изменение расширенных параметров общего доступа» через политики?
нет , не работает(((( все шаг за шагом …. принтер все равно просит пароль(((((
Здравствуйте. Имеется 2 ПК. На одном w7 и открыт сетевой доступ к диску. На другом w10. Сначала мог зайти с 10 на 7, но в настоящее время требует пароль, хотя ни чего не ставил. При подключении другого ПК на w8 папки нормально открываются, значит проблема в клиенте т.е. на ПК с w10. Делал разные манипуляции, описанные в инете, но ни чего не помогает. Включал smb 1, делал сброс сетевых настроек, менял рабочую группу, но ни чего не помогает. Пробовал в поле логин написать гость и вход появлялся, но доступ работал некорректно.
«Отключить общий доступ с парольной защитой» в Центре управлениями сетями и общ доступом. После обнов бывает включается само. И смотри или на комп, на вход виндозе не поставил ли кто пароль. Нужно снять, чтоб не было той ерунды с паролями и админом.