Домен windows нет доступа
Вопрос
Здравствуйте!
такая ситуация:
есть доменный комп (win 2003 r2 SP2), выступающий в кач-ве файлового сервера.
есть недоменные машины (XP pro, SP2) с локальными пользователями.
Все локальные пользователи прописаны также на сервере. В лок. политиках безопасности доступ по сети для этих пользователей прописан. в NTFS на шарах доступ для локальных пользователей также прописан. При обращении с недоменной машины достучаться до сервера выдает список расшаренных папок, но при попытке зайти на какую-нибудь шару выдает окошко пользователь/пароль и не пускает в шару, пока не напишешь в окошке како-го -нибудь доменного пользователя. Т.е. локальный пользователь не может войти в шару.
Вот такая ситуевина. Может кто-нить что-нить подсказать?
Ответы
Все ответы
на машина с xp у пользователей пароли совпадают с локальными на сервере.. с доменными в домене?
попробуйте при приглашении к вводу пользователя/пароля указать локальных пользователей ( \имя_локального_пользователя)
на машина с xp у пользователей пароли совпадают с локальными на сервере.. с доменными в домене
Пароли совпадают у локальных на ХР и локальных на сервере. Пробовал также создать доменного пользователя с таким же паролем, тоже не помогает.
Еще варианты есть? 🙂
В любом случае Вам необходимо рыть в групповых политиках, которые применяются на сервера.
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является от ветом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Если они территориально распределены, то возможно проблема в том, что закрыт доступ по CIFS протоколу между сетями.
Как у Вас клиенты поключаются? Могут ли они зайти на другую машину, кроме Вашего сервера, к примеру на Вашу ?\\ ip вашей машины
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Еще заметил особенность: если попытаться подключить сетевой диск по нужному пути (\\192.168.2.100\shara) под другим именем и в имени указать тоже самое локальное имя, под которым вошел, то диск подключается 😕 Такое ощущение что он (лок. машина с ХР подсовывает не то имя при авторизации
Моя рекомендация — попробовать заново завести пользователя и там и там.
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Панель управления > Учетные записи пользователей > пользователь > управление сетевыми паролями
если машина находится с сервером в одной подсети — все работает «на ура». Как только перевожу машину в другую подсеть (на виртуалке экспериментирую) т.е. она начинает работать с сервером через шлюз — вот тогда вырисовывается борода. значит надо покопаться нв шлюзе. хотя между сетями открыт полный доступ. непонятно..
ещепоставил аудит на папку на нужного пользователя. смотрю логи при обращенни пользователя на сервер
1) пользователь входит, он его распознает, все успешно.
2) . пользователь производит выход из системы (обращение со шлюза)
3) с клинетской машины попытка анонимного входа
т.е.он входит, выходит и зачем-то входит под анонимом, тут его и отфутболивают, естественно
Тоесть, если в одной подсети, то всё заходит и т.п. ?
настройки сервера ipconfog /all
настройки виртуалки до перехода в другую подсеть ipconfig /all
настройки виртуалки после перевода в другую подсеть ipconfig /all
ip адрес Вашего шлюза (шлюз у Вас ISA или там к примеру cisco ?), который между подсетями
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Тоесть, если в одной подсети, то всё заходит и т.п. ?
настройки сервера ipconfog /all
настройки виртуалки до перехода в другую подсеть ipconfig /all
настройки виртуалки после перевода в другую подсеть ipconfig /all
ip адрес Вашего шлюза (шлюз у Вас ISA или там к примеру cisco ?), который между подсетями
значицца так, поехали.
шлюз по умолчанию 192.168.2.254
(Это сетевуха, к которой подключена и основная сеть и еще одна, 54-я)
клиент (недоменнаЯ машина) — настройка при которой все работает
клиент (недоменнаЯ машина) — настройка при которой НЕ все работает, но хотелось бы чтобы заработало 🙂
На шлюзе стоит ISA 2006, сети 192.168.2.0 и 192.168.54.0 обозначены как внутренние, есть правило, разрешающее между этими сетями весь траффик кроме DHCP запросов и ответов.
Windows Firewall включен на условном сервере?
Да, конечно, отключен, служба остановлена.
Попробуйте на клиент выставить
IP 192.168.54.100
mask 255.255.255.0
шлюз 192.168.54.100
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
А Windows Firewall включен ли на ДК он же ДНС ?
Возможно у Вас на сервере включен другой ФВ ?
Попробуйте на клиент выставить
IP 192.168.54.100
mask 255.255.255.0
шлюз 192.168.54.100
Если явыставлю на клиенте
IP 192.168.54.100
mask 255.255.255.0
шлюз 192.168.54.100
То как он «увидит» сервер, который находится в подсети 192,168,2,0?
это понятно. я же говорю — на сервере заведены еще и ЛОКАЛЬНЫЕ пользователи (такие же как на недоменных машинах, естественно с такими же паролями).У меня такое ощущение, что где-то в политиках запрещен доступ из сети недоменным пользователям, хотя в локальных политиках безопасности я их прописал четко
Вы лучше не гадайте, а включите аудит неудачных попыток входа в систему (если не включен). Тогда в журнале безопасности будет четко написано, кто, под какой учетной записью и почему не был допущен в систему.
Это уже было предложено и было сделано. читайте Выше.. 🙂
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Попробуйте на клиентской машине добавить сервер в доверенную зону: file:// и выставить опцию «Входить с текущим именем и паролем» (см. скрин)
1) Пуск -> Выполнить -> inetcpl.cpl
Вы сделали то, что я Вам предложил?
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Это уже было предложено и было сделано. читайте Выше.. 🙂
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Повторить не вредно, при том, что автор вопроса так этого и не сделал, а мы теперь, благодаря этому, здесь устраиваем соревнование телепатов.
Я, конечно, тоже могу поучаствовать (например — предложить завести пользователей с тем же паролями, но не локально, а в домене), но предпочитаю подаждать результатов диагностики.
О уточненные данные:
если машина находится с сервером в одной подсети — все работает «на ура». Как только перевожу машину в другую подсеть (на виртуалке экспериментирую) т.е. она начинает работать с сервером через шлюз — вот тогда вырисовывается борода. значит надо покопаться нв шлюзе. хотя между сетями открыт полный доступ. непонятно..
ещепоставил аудит на папку на нужного пользователя. смотрю логи при обращенни пользователя на сервер
1) пользователь входит, он его распознает, все успешно.
2) . пользователь производит выход из системы (обращение со шлюза)
3) с клинетской машины попытка анонимного входа
т.е.он входит, выходит и зачем-то входит под анонимом, тут его и отфутболивают, естественно
Автор уже делал это. Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Нет, тема не закрыта.
Если сообщение полезно, нажмите «Сообщение было информативным». Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите «Пометить как ответ».
Локальная политика безопасности — Конфигурация Windows — Параметры безопасности — Локальные политики — Назначение прав пользователя — Доступ к компьютеру из сети, там включи гостя и гостя домена, включи еще учетку гостя, права не забудь на папочку дать соответствующие, одинаковых пользователей бесполезно создавать
это попробую, надо только дождяться когда перегрузить сервер можно будет. НО там в политике я уже ЯВНО УКАЗЫВАЛ нужного локального пользователя.
Попробуйте на клиентской машине добавить сервер в доверенную зону: file:// и выставить опцию «Входить с текущим именем и паролем» (см. скрин)
1) Пуск -> Выполнить -> inetcpl.cpl
Возможно у Вас на сервере включен другой ФВ ?
Попробуйте на клиент выставить
IP 192.168.54.100
mask 255.255.255.0
шлюз 192.168.54.100
Попробовал, при таком раскладе клиент все-таки «не видит» сервера, а если шлюз оставить 54.254, то (как было сказано выше) сервер видит (при обращении \\server выдает список расшаренных папок)
Итог — продолжаю танцевать с бубном, о результатах отпишусь 🙂 еще запрос в техподдержку щас состряпаю.
У меня была такая проблемка всего один раз, только рабочая станция была в домене как и файловый сервер. На сервер заходил, а на расшаренную папку зайти не мог, требовало логин и пароль. Я тупо пересоздал шару и больше этого не повторялось. Для доменных сетей я обычно делаю так: Отключаю гостя, в политике позопастности и контроллера и домена: «Параметры безопастности» — «Сетевой доступ: Модель совместного доступа и безопастности для локальных учетных записей — Обычная». Добавляю группу которой разрешен вход по сети на шары: «Назначение прав пользователя» — «Доступ к компьютеру из сети». Включаю аудит в политике безопастности, а так же в на ресурсах файлового сервера. К примеру для запрещенной группы включаю аудит успеха к доступу к файлу или каталогу, для разрешенной наоборот отказ в чтении или записи, чтоб видеть ошибки. Пользователи обычно в AD, а не доменные машины вводят при запросе логин и пароль пользователя из AD.
