Системное администрирование, безопасность. Вопросы
доступа к
ресурсам компьютера по
сети (написано Aganava, действительно с 01.09.2004 по 31.12.2007, последнее обновление: 01.09.2004)
Не смотря на то,
что подобные вопросы подробно рассмотрены в любой литературе по ОС и неоднократно были подробно освещены в ответах, в форуме постоянно появляются вопросы о
доступе к
ресурсам компьютера по
сети.
В данном объявлении будут рассмотрены принципы организации
доступа и методы устранения наиболее часто встречающихся проблем
ОС
Windows Nt4, 2000 и ХР
В отличии от
Windows 9х и МЕ в этих системах прав такого понятия, как
доступ к ресурсу по паролю. Пользователь вводит пароль один раз, и получает
доступ ко всем
ресурсам, на которые у него есть соответствующие а
Проверка производится только по локальной базе пользователей компьютера, на котором расположен ресурс.
Теперь рассмотрим различные варианты
Гостевой
доступЭто
доступ для пользователя «Гость». Запомните,
что пользователем «Гость» считается любой пользователь который не найден в базе пользователей данного компьютера и
что он входит в группу «Все»
Чтобы обеспечить подобный
доступ необходимо
-разблокировать пользователя «Гость» (по-умолчанию в 2000 и ХР он заблокирован)
-задать этому пользователю пустой пароль
-проверить
что «Гость» отсутствует в локальной
политике ХР (2000) в разделе
Конфигурация компьютера Конфигурация
Windows параметры локальные
политики - назначение пользователя
Отказ в
доступе к компьютеру по
сети-проверить
что группа «Все» присутствует в локальной
политике ХР (2000) в разделе
Конфигурация компьютера Конфигурация
Windows параметры локальные
политики - назначение пользователя Доступ к компьютеру по
сетиПлюсом данного метода можно считать только простоту реализации. К недостаткам относится снижение уровня
сетиДоступ пользователей
Сначала необходимо ввести на компьютере учетную запись для соответствующего пользователя. Имя и пароль пользователя должны совпадать с
именем и паролем под которыми он залогинился на своем компьютере
Включить пользователя в одну из локальных групп своего компьютера (это не обязательное, но желательное условие выдавать а
доступа не лично пользователю, а группе, в которую он входит)
Далее, как и в случае с «Гость», надо проверить параметры
политики
Отказ в
доступе к компьютеру по
сети и Доступ к компьютеру по
сетиДля предоставления
доступа к
ресурсам ХР необходимо дополнительно отключить Simple Files Sharing
так же обратите внимание
что в
политике
Windows XP есть параметр "
Сетевой доступ: модель совместного
доступа и ..." с
двумя режимами Обычная и Гостевая
Часто Встречающиеся Вопросы
1.Что за пароль для IPC$ (
доступ с компьютера
Windows 9х к
ресурсам ХР и 2000) и
что делатьОзначает
что необходимо
на компьютере
Windows 9х
-выбрать «вход в
сеть Microsoft»
-ввести имя и пароль пользователя существующего на ХР (2000)
либо на компьютере ХР (2000) разрешить гостевой
доступ2.Все сделал на ХР а по
сети не пускает (этот же пользователь может зайти локально)
Проверить параметры
политики
Отказ в
доступе к компьютеру по
сети и Доступ к компьютеру по
сетиЕсли пароль у пользователя пустой изменить параметр
политики
Конфигурация компьютера Конфигурация
Windows параметры - локальные
политики - параметры - Ограничить ьзование пустого пароля только для консольного входа
3.Пользователь на ХР (2000) есть но все равно требует ввести пароль (
пишет «
Отказ в
доступе»)
Имя пользователя совпадает, а пароль прав. Синхронизируйте пароли (сделайте их одинаковыми) и проверьте не стоит ли «галочка» в «запомнить пароль» на компьютере с которого подключается ресурс. Вполне вас,
что там хранится старый пароль
4.Как разграничить
доступ к
ресурсам по паролю Одному и тому же пользователю надо предоставить чтение к одной папке на сервере и полный
доступ на другую. Т.е с
делать как было в
Windows 9х
По паролям это не с
делать. Подобные а регулируются либо ами на общий ресурс («на шару») либо ами на NTFS на сервере.
5. Нет
доступа к \\Station ("Возможно, у прав на ьзование
ресурса") но есть
доступ по ссылке \\Station\Resurs
-
Windows XP
Параметр политики "
Сетевой доступ: не
разрешать перечисление учетных записей SAM и
общих ресурсов анонимными пользователями"
перевести в
положение "
Отключено"
-
Windows 2000
В
политиках
Параметры - Локальные
политики -
Параметры - Дополнительные ограничения для анонимных подключений
установить в
положение "Положитесь на разрешения заданные по умолчанию"
То же самое достигается установкой параметра реестра RestrictAnonymous равной 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
значения
0 (Пусто) - Положитесь на разрешения заданные по умолчанию
1 - Не разрешает
перечисление учетных записей SAM и
общих ресурсов2 - Нет
доступа без явного разрешения анонимного
доступа
Дополнительно рекомендуется к прочтению
Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров и назначенных пользователей
Системное администрирование, безопасность. Прежде чем задать вопрос (написано Aganava, действительно с 07.08.2004 по 31.12.2006, последнее обновление: 07.08.2004)
Название темы должно содержать описание и операционной системы
В названии темы не допускается ьзование жаргонизмов (винда, фряха, компик и т.д.)
Допускаются сокращения (
Win, XP и т.д.)
Обязательно произведите поиск по конференции (не только в данном разделе, но и в соседних)
Подготовьтесь ответить на вопросы, связанные с настройками Вашей
сети, так например, если у Вас в
работе домена 2000/2003, то от Вас потребуется следующая информация:
1. Операционная система сервера и номер установленного SP
2. Операционные системы клиентов
3. Дополнительно установленные службы (
WINS DNS DHCP и т.д)
4. Результаты
работы утилит
-ipconfig /all с клиента и сервера
-netdiag и dcdiag со всех контроллеров домена
это утилиты из комплекта Support Tools (в русском переводе "средства поддержки")
для
Windows 2000 их нужно дополнительно скачать с сайта Microsoft (причем для разных SP они разные)
для SP4 качать отсюда (10М
microsoft.com/
windows2000/downloads/servicepacks/SP4/supporttools.asp
для
Windows 2003 установить с дистрибутива
для
Windows 2003 c СП1
Windows Server 2003 Service Pack 1 32-bit Support Tools (6 Mb)
Средства поддержки, входящие в состав пакета обновления 1 (SP1) для операционной системы
Windows Server 2003
Если netdiag выдает ошибку [FATAL] Failed to get system information of this machine, запустите службу удаленного уления реестром
5. изменения, внесенные Вами (остановленные службы, изменения в
политиках и т.д)
6. Ошибки из эвентлогов серверов и клиентов (полный текст и ID ошибки)
7. Какие шаги по устранению Вами уже были предприняты
Внимание никогда не публикуйте в форумах реальные внешние IP адреса. Такие адреса
принято писать «иксуя» первые 2 набора (ххх.ххх.104.87)
Далее несколько советов по устранению наиболее распространенных ошибок в настройках
1. ДНС
ДНС основа домена 2000/2003. Без него домен не
работает. Отсюда следует несколько выводов
-в домене обязательно должен быть свой внутренний ДНС, отвечающий требованиям домена (динамическое обновление, поддержка
записей SRV)
-все сервера и компьютеры члены домена должны иметь в настройках только внутренний ДНС, отвечающий за домен.
-Если необходимо
разрешение внешних
имен, то внешний ДНС указывается только в свойствах сервиса ДНС на закладке «Пересылка» (forwarding)
Соблюдение этих простых ил позволит устранить множество ошибок, таких как
-долгий вход в
сеть (до 5 минут)
-невассть регистрации в домене
-сбой в репликации
-непр
именение
политик
-ошибки «не найден ресурс»
-ошибки при введении (удалении) дополнительных контроллеров
Вопросы и ответы о службе DNS в
Windows 2000 и
Windows Server 2003
2. Multihomed (2 и более сетевых фейса) контроллер
Самая распространенная ошибка ДНС провайдера, указанный в свойствах внешней
сетевой карты
Active Directory Communication Fails on Multihomed Domain Controllers