Анонимный доступ к общим папкам и принтерам без пароля

По умолчанию, при доступе к общей сетевой папке на сервере, включенном в домен Active Directory, с компьютеров из рабочей группы (не добавленных в домен) у пользователя появляется запрос на ввод пароля доменной учетной записи. Попробуем разобраться, как разрешить анонимный доступ к общим сетевым папкам и принтерам на доменном сервере с компьютеров рабочей группы без авторизации на примере Windows 10 / Windows Server 2016.

Локальные политики анонимного доступа

На сервере (компьютере), к которому вы хотите предоставить общий доступ неавторизованным пользователям нужно открыть редактор локальной групповой политики – gpedit.msc.

Перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)

Настройте следующие политики:

• Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
• Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
• Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).

В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.

Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.

Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). В секции “Все сети” должен быть выбрана настройка “Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках” и выбрать “Отключить парольную защиту (если вы доверяете всем устройствам в вашей сети)” (см. статью о проблемах обнаружения компьютеров в рабочих группах).

Настройка анонимного доступа к общей папке

Теперь нужно настроить разрешения доступа на общей папке, к который вы хотите предоставить общий доступ. Откройте свойства папки в настройках NTFS разрешений (вкладка Безопасность) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.

Также на вкладке Доступ нужно предоставить права анонимным пользователям на доступ к шаре (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.

Теперь в редакторе локальных политик в секции Локальные политики -> Параметры безопасности нужно в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) указать имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).

Предоставление анонимного доступа к общему сетевому принтеру

Чтобы разрешить анонимный доступ к сетевому принтеру на вашем компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).

Затем на вкладке безопасность для группы “Все” отметить все галки.

После выполнения этих действий вы сможете подключаться к общей папке (\\servername\share) и принтеру на доменном компьютере с компьютеров рабочей группы без ввода имени пользователя и пароля, т.е. анонимно.

Доступ без пароля windows 2003

здравствуйте, в сети используется workgroup, есть 2003 сервер, на нём созданы учётные записи которым прописан доступ в одну папку.
когда на клиентских машинах с ХР на борту заходишь на айпи сервера, бывает 2 сценария:
1) появляется окно, просит ввести логин и пароль. вводишь и разрешения корректно действуют.
2) открывается окно со списком расшаренных папок и принтеров, при этом доступны только папки которые доступны всем.

Вопрос, как добиться чтобы на всех машинах с ХР при обращении к ярлыку или айпишнику на сервер выводился запрос на логин и пароль?

Предположу, что закэшированы неверные учётные данные (несуществующее имя пользователя) и в связи с этим автоматически выдаётся гостевой доступ.

Прописать правильные данные для подключения:

net use \\server\Share$ (file://\\server\Share$) пароль /user:server\user /savecred

чтоб ни в чём не запутаться, получается строка:
net use \\ip или имя сервера\название папки$ пароль юзера /user:имя компьютера сервера\имя юзера /savecred

спасибо всем кто помог. но кажется кривость рук даёт о себе знать.
когда конекчусь с ХР на сервер, с помощью net use он пишет что сетевой путь не найден. хотя если сделать через «выполнить» то нормально открывает шары сервера. указываю шару \\192.168.25.8\папка$ с сохранением регистра.

и ещё, при использовании net use с другого компа выводит \\192.168.25.8\папка — такую строку. соединение ОК.
но при попытке net use \\192.168.25.8\папка /delete
опять таки путь не найден.
это происходит на второй ХР машине, при попытке применить net use \\192.168.25.8\папка * /user:user пишет:
Множественные подключения к серверу или разделяемым ресурсам одним пользователем с использованием более одного имени пользователя не разрешены. Отключите все предыдущие подключения к серверу или разделяемым ресурсам и повторите.

что ещё можно сделать?

надеюсь ещё не очень утомил, всё равно не выходит.

после net use * /delete /y пишет что всё прошло успешно, но после net use диск: \\92.168.25.8\папка * /user:user опять рассказывает про множественные подключения.

по ходу дела возник вопрос как по настоящему переименовать юзера в ХР? на сколько я понимаю если просто переименовать его в панеле управления то конектится он к серверам под старым именем. или я путаю?

на сколько я понимаю если просто переименовать его в панеле управления то конектится он к серверам под старым именем.
Если у вас виндовс версии home, то в панели управления у пользователя вы изменяете не поле «Пользователь», а «Полное имя» (т.е. которое отображается)

Если не ошибаюсь, нужно запустить control userpasswords2, выбрать свойства пользователя и там редактировать поле «Пользователь».

Для Professional версий всё можно сделать в оснастке «Локальные пользователи и группы»

Хорошая Книга велит пользоваться TCP/IP именем ПК для организации подключений, вместо IP адреса. Через адрес бывают плохие вещи.

Также можно на сервере посмотреть существующие подключения ОТ клиента.
net session \\client (file://\\client) /list
потом их передушить через
net session \\client (file://\\client) /delete

Если совсем честно, то переименовать пользователя локальногой можно, конечно, но SID-то останется.

Да и при подключении к серверу имя пользователя и пароль указываются отдельно, а не те, что имеются у вошедшего в систему.

Как разрешить удаленным пользователям доступ к сети в Windows Server 2003

В этой статье описывается настройка компьютера под управлением Windows Server 2003, чтобы разрешить удаленным пользователям устанавливать зашифрованный канал для корпоративной сети.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 323381

Аннотация

Пользователи могут подключаться к серверу удаленного доступа через подключение с подключением для телефонного подключения или vpn.

Для телефонного подключения требуется правильно настроенный модем сервера и клиентского компьютера. Клиент и сервер подключаются по аналоговым телефонным сетям. Для повышения безопасности телефонного подключения используйте шифрование данных, безопасность для входов в Windows и домен, политики удаленного доступа и безопасность при вызове.

VPN-подключение по открытой сети, например через Интернет, использует протокол PPTP, безопасность для входов и доменов, а также политики удаленного доступа для защиты передачи данных.

Сценарии, описанные в этой статье, предполагают следующие конфигурации:

• Для возможности подключения с подключением с подключением к телефонной сети модемы настраиваются на сервере.
• Для возможности VPN на сервере есть два сетевых адаптера, один из которых подключен непосредственно к Интернету.
• Для возможности VPN PPTP используется для VPN-туннеля.
• Протоколы маршрутов, такие как ПРОТОКОЛ Routing Information Protocol (MI) или Open Shortest Path First (OSPF), не настроены.

В следующих темах описывается настройка службы маршрутов и удаленного доступа в Windows Server 2003.

Включить службу маршрутов и удаленного доступа

Во время установки Windows Server 2003 служба маршрутов и удаленного доступа устанавливается автоматически. Однако по умолчанию эта служба отключена.

Включите службу маршрутов и удаленного доступа Windows Server 2003, чтобы разрешить подключения с подключением к коммюнику или VPN

Нажмите кнопку «Пуск», найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».

В каталоге консоли нажмите кнопку Your_Server_Name.

В правом нижнем углу значка сервера рядом с Your_Server_Name находится круг, содержащий стрелку, которая указывает, находится ли служба маршрутов и удаленного доступа вкл.:

• Если круг содержит красная стрелка, которая указывает на вниз, служба маршрутов и удаленного доступа не включена.
• Если круг содержит зеленую стрелку, которая указывает вверх, служба маршрутов и удаленного доступа включена.

Если служба маршрутов и удаленного доступа включена и необходимо перенастроить сервер, необходимо отключить службу маршрутов и удаленного доступа. Для этого выполните следующие действия:

1. Щелкните правой кнопкой мыши Your_Server_Name и выберите «Отключить маршрутику и удаленный доступ».
2. В диалоговом окне нажмите кнопку «Да».

Щелкните правой кнопкой мыши Your_Server_Name и выберите «Настройка и включить маршрутику и удаленный доступ», чтобы запустить мастер настройки сервера маршрутов и удаленного доступа.

Нажмите кнопку«Далее», выберите удаленный доступ (dial-up или VPN) и нажмите кнопку «Далее».

Выберите VPN или dial-up в зависимости от роли, которую вы хотите назначить этому серверу.

Under How do you want IP addresses to be assigned to remote clients?, click either Automatically or From a specific range of addresses, and then click Next.

Если вы нажали автоматически, перейдите к шагу 9.

Если вы щелкнули «Из определенного диапазона адресов», выполните следующие действия:

1. В диалоговом окне «Назначение диапазона адресов» нажмите кнопку «Новый».
2. В поле «Начните ip-адрес» введите первый адрес диапазона IP-адресов, который необходимо использовать.
3. В поле «Конечный IP-адрес» введите последний адрес диапазона IP-адресов, который вы хотите использовать, нажмите кнопку «ОК» и нажмите кнопку «Далее».

Нажмите кнопку «Нет», используйте маршрутику и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите кнопку «Далее».

Нажмите кнопку «Готово», чтобы включить службу маршрутов и удаленного доступа и настроить сервер в качестве сервера удаленного доступа.

Разрешение доступа всем пользователям или отдельным пользователям

Прежде чем пользователи смогут подключаться к серверу, необходимо настроить сервер так, чтобы он принял все клиенты удаленного доступа или предоставил разрешения на доступ по телефонной связи отдельным пользователям.

Чтобы разрешить серверу принимать все клиенты удаленного доступа, выполните следующие действия.

1. Нажмите кнопку «Пуск»,найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
2. Дважды щелкните Your_Server_Name и выберите «Политики удаленного доступа».
3. Щелкните правой кнопкой мыши «Подключения к серверу microsoft Routing and Remote Access» и выберите «Свойства».
4. Нажмите кнопку «Предоставить разрешение на удаленный доступ» и нажмите кнопку «ОК».

Чтобы предоставить индивидуальным пользователям разрешение на доступ к телефонной сети, выполните следующие действия.

1. В меню Пуск выберите пункт Администрирование и затем пункт Active Directory — пользователи и компьютеры.
2. Щелкните правой кнопкой мыши учетную запись пользователя, которую вы хотите разрешить удаленный доступ, а затем выберите «Свойства».
3. Перейдите на вкладку «Dial-in», выберите «Разрешить доступ» и нажмите кнопку «ОК».
4. Закройте диалоговое окно UserAccountProperties.

Устранение неполадок

Количество подключений к модему с подключением к коммюнингу зависит от количества модемов, установленных на сервере. Если на сервере установлен только один модем, можно одновременно установить только одно подключение модема.

Количество VPN-подключений зависит от количества пользователей, к которых вы хотите разрешить доступ одновременно. По умолчанию разрешено 128 подключений. Чтобы изменить это число, выполните следующие действия:

1. Нажмите кнопку «Пуск»,найдите пункт «Администрирование», а затем выберите пункты «Маршруты» и «Удаленный доступ».
2. Дважды щелкните Your_Server_Name, щелкните правой кнопкой мыши «Порты» и выберите пункт «Свойства».
3. В диалоговом окне «Свойства портов» выберите мини-порт WAN (PPTP) и нажмите кнопку «Настроить».
4. В поле «Максимальное количество портов» введите число VPN-подключений, которое необходимо разрешить.
5. Нажмите кнопку«ОК», нажмите кнопку «ОК» еще раз, а затем перейдите к маршруту и удаленному доступу.

—>