Bagaimana cara saya mendapatkan share Windows ini untuk meminta login?

14

Atau: "Apakah ini suatu hal? Dan bagaimana saya memeriksa apakah itu benar?"

Dalam lingkungan tanpa Pengontrol Domain , ketika mengakses berbagi pada kotak Windows Server 2008 R2, dari komputer jarak jauh tanpa akun pengguna yang cocok di server , (dan menghubungkan dengan mengetik \\SERVERNAME\ShareNamedari menu Start) Saat ini saya mengamati perilaku berdasarkan pada pengaturan "Berbagi dilindungi kata sandi" (Pengaturan berbagi lanjutan):

Ketika "Password dilindungi berbagi" diaktifkan pada , semua koneksi berusaha gagal setelah sampai 30 detik dengan:

Gagal masuk: pengguna belum diberikan jenis masuk yang diminta di komputer ini.

Dengan "Password dilindungi berbagi" berbalik off , koneksi ke saham anonim diakses diperbolehkan, sementara saham izin-dibatasi gagal dengan:

Anda tidak memiliki izin untuk mengakses \ SERVERNAME \ ShareName. Hubungi administrator jaringan Anda untuk meminta akses.

Ini sepertinya perilaku yang diharapkan. Saya perlu memiliki bagian tertentu yang dapat diakses oleh login anonim, jadi saya harus mengubah pengaturan ini dari default ke off .

NAMUN, ada kasus ketiga di sini. ( whaaaaat? )

Jika Anda mencoba untuk menyambung ke saham tanpa modifikasi pengaturan ini (yaitu, sudah diatur untuk di tetapi Anda tidak pernah diklik itu), koneksi berperilaku mirip dengan di kasus di atas dalam hal itu memakan waktu sampai 30 detik untuk acara tanggapan, tetapi kemudian menampilkan dialog otentikasi :

Bagikan Dialog Otentikasi

Saya memiliki firasat ini setelah mengalahkan kepala saya di dinding selama beberapa hari, dan hanya mereplikasi ini di server tanpa berbagi yang ada: Buat share tanpa-baca, coba sambungkan dan dapatkan dialog, ubah pengaturan, sambungkan dengan sukses, ubah pengaturan kembali , dan dapatkan pesan kesalahan yang berbeda. (Menguji semua ini pada sistem klien baru sehingga tidak ada risiko caching.)

Untuk mengulangi: Saya telah mengendalikan sistem klien. Tampaknya ini sepenuhnya terkait dengan server.

Jadi, jelas bagi saya bahwa mengubah pengaturan "Berbagi dilindungi kata sandi" mengubah lebih dari satu hal (kunci registri? Saya Mac-asli) di belakang layar, dan bahwa pengaturan default yang dikirimkan sistem TIDAK semua cocok dengan pengaturan tercermin di panel kontrol (atau panel kontrol itu sendiri rusak dan harus mengubah lebih banyak hal).

Jadi pertanyaannya adalah: apakah ini desain, atau itu bug? Dan dalam kedua kasus, apa "pengaturan tersembunyi" yang sedang diubah atau dibiarkan tidak berubah? Bagaimana orang melacaknya? Saya kehabisan server baru untuk diuji. :-(

windows-server-2008-r2 network-share server-message-block windows-authentication guest NReilingh
sumber
Apa ACL pada folder dan apa izin pada share?
AWippler
Anda dapat menggunakan proyek yang disebut regshot untuk membandingkan dua snapshot dari registri (satu ketika sistem diinisialisasi, satu setelah pengaturan ditetapkan, dan yang ketiga setelah pengaturan tidak disetel). Lihat juga pengaturan "domain lokal / kebijakan keamanan" dan periksa pengaturan "Akses Komputer ini dari Jaringan" (alias SeNetworkLogonRight ). Inilah beberapa info tentang perubahan , dan inilah beberapa info tentang pengaturan .
mbrownnyc
@NReilingh: Anda memposting karunia, apakah Anda pernah bisa mengetahuinya?
charleswj81
@ charleswj81 Jawaban Anda persis seperti yang saya cari! Hanya harus menemukan waktu untuk duduk dengannya. Yang saya perhatikan sekarang adalah bahwa daftar Akun Tamu di panel kontrol Kelola Akun Komputer dan di Server Manager tampaknya tidak selalu selaras sehubungan dengan diaktifkan atau tidak. Jadi sekarang saya memiliki tiga variabel untuk diuji sehubungan dengan konektivitas anonim dan kata sandi: "Berbagi Proteksi Kata sandi" aktif atau tidak aktif, akun Tamu di Server Manager diaktifkan atau dinonaktifkan, dan akun Tamu di Panel Kontrol hidup atau mati.
NReilingh

Jawaban:

11

Ini benar-benar menggelitik minat saya. Saya dapat mereplikasi temuan Anda di lab saya dengan pola hasil yang sama dengan yang Anda jelaskan. Saya menggunakan Procmon untuk mencoba melihat perubahan apa yang dibuat dan hampir menyerah sampai saya melihat yang berikut:

akun tamu procmon diubah

Itu menunjukkan lsass.exe (Otoritas Keamanan Lokal) menulis ke SAM lokal dan membuat perubahan ke akun Guest built-in (RID 501 yang terkenal). Benar saja, ketika saya menguji ulang skenario Anda saat menonton status akun Tamu, saya melihatnya diaktifkan ketika "Berbagi dilindungi kata sandi" dinonaktifkan. Namun, ketika "Berbagi dilindungi kata sandi" diaktifkan kembali, akun tamu tidak dinonaktifkan lagi. Nonaktifkan akun tamu secara manual mengembalikan fungsi asli: Saya diminta untuk kredensial (yaitu kasus ketiga Anda).

Saya tidak yakin mengapa ini berperilaku seperti ini. Jujur saja, saya belum pernah mengubah pengaturan "Berbagi dilindungi kata sandi" sebelum hari ini (atau bahkan menyadarinya). Saya harap ini membantu proyek Anda. Jika orang lain tertarik untuk menggali lebih lanjut, akan menarik untuk mengetahui apakah perilaku ini masih ada di Server 2012/2012 R2 ...

Oh dan untuk pertanyaan awal Anda (Apakah ini desain atau bug?), Saya tidak tahu sama sekali ...

charleswj81
sumber
Saya dapat mengkonfirmasi bahwa ini benar. Saya harus menginstal server W2K8 yang baru hari ini dan bisa meniru ini sebelum saya bergabung ke domain. Akun Tamu harus dinonaktifkan secara manual. Jika itu dilakukan perilaku adalah apa yang saya anggap normal: Setelah batas waktu pengguna diminta untuk memberikan kredensial yang benar (dari perspektif server). (PS: Saya tidak pernah mengerti mengapa batas waktu berdarah begitu lama. Bukannya seolah-olah kredensial asli secara ajaib akan menjadi valid selama periode waktu habis. Jadi mengapa repot-repot menunggu?)
Tonny
2

Jika saya memahami pertanyaan Anda dengan benar, maka kredensial saham disimpan di Manajer Kredensial di bawah panel kontrol.

Untuk meminta kotak dialog otentikasi, cukup hapus kredensial yang berkaitan dengan share tersebut di bawah credential Manager.

Ketika Anda memeriksa 'Ingat kredensial saya', ini biasanya disimpan di bawah Credential Manager dan jika kata sandi ini salah maka Anda akan melihat kesalahan kegagalan masuk.

T dingin
sumber
Tidak juga; Saya menguji ketiga kasus pada sistem klien baru tanpa kredensial cache. (Dan dalam hal ini, kredensial apa pun yang saya masukkan akan memberikan akses.) Satu-satunya waktu saya pernah melihat dialog otentikasi ini adalah ketika "Berbagi dilindungi kata sandi" belum disentuh.
NReilingh
Punya masalah yang berlawanan (di sini: serverfault.com/q/619027/175650 ) di mana saya mendapatkan prompt tetapi tidak menginginkannya. Ternyata saya memiliki kredensial buruk yang disimpan, dan pos Anda menunjuk saya ke arah yang benar untuk menghapusnya dan menyelesaikan masalah saya. Terima kasih!
SenorAmor
0

Mungkin tidak membantu Anda tetapi jika itu terjadi - Saya sering memiliki panggilan yang tidak dapat diakses oleh pengguna saya (kata sandi lama mereka di-cache oleh Windows) dan saya minta mereka melakukan ini:

penggunaan bersih * / D

ETL
sumber
Seperti yang saya katakan dalam pertanyaan, saya mengendalikan klien. Saya menggunakan sistem baru untuk setiap tes sehingga tidak ada risiko caching kredensial.
NReilingh