В этой статье-заметке я расскажу основные тонкости по данному вопросу.
Небольшое пояснение
ОС Windows Nt4, 2000 и ХР
В отличии от Windows 9х и МЕ в этих системах нет такого понятия, как доступ к ресурсу по паролю. Пользователь вводит пароль один раз, и получает доступ ко всем ресурсам, на которые у него есть соответствующие права
Проверка прав производится только по локальной базе пользователей компьютера, на котором расположен ресурс.
Теперь рассмотрим различные варианты сетевого доступа (гостевой и пользовательский)…
Гостевой доступ
Это доступ для пользователя «Гость». Запомните, что пользователем «Гость» считается любой пользователь который не найден в базе пользователей данного компьютера и что он входит в группу «Все»
Чтобы обеспечить подобный доступ необходимо:
- Разблокировать пользователя «Гость» (по-умолчанию в 2000 и ХР он заблокирован)
- Задать этому пользователю пустой пароль
- Проверить что «Гость» отсутствует в локальной политике ХР (2000) в разделе
- Конфигурация компьютера – Конфигурация Windows – параметры безопасности – локальные политики – назначение прав пользователя – Отказ в доступе к компьютеру по сети
- Проверить что группа «Все» присутствует в локальной политике ХР (2000) в разделе: Конфигурация компьютера – Конфигурация Windows – параметры безопасности – локальные политики – назначение прав пользователя – Доступ к компьютеру по сети
Плюсом данного метода можно считать только простоту реализации. К недостаткам относится снижение уровня безопасности сети, так как любой компьютер в сети имеет доступ к шаре.
Доступ пользователей
Сначала необходимо ввести на компьютере учетную запись для соответствующего пользователя. Имя и пароль этого пользователя должны совпадать с именем и паролем под которыми он залогинился на своем компьютере
Включить этого пользователя в одну из локальных групп своего компьютера (это не обязательное, но желательное условие – выдавать права доступа не лично пользователю, а группе, в которую он входит)
Далее, как и в случае с «Гость», надо проверить параметры политики Отказ в доступе к компьютеру по сети и Доступ к компьютеру по сети
Для предоставления доступа к ресурсам ХР необходимо дополнительно отключить Simple Files Sharing
так же обратите внимание что в политике Windows XP есть параметр “Сетевой доступ: модель совместного доступа и безопасности…” с двумя режимами Обычная и Гостевая
Часто Встречающиеся Вопросы
1.Что за пароль для IPC$ (доступ с компьютера Windows 9х к ресурсам ХР и 2000) и что делать
Означает что необходимо на компьютере Windows 9х
-выбрать «вход в сеть Microsoft»
-ввести имя и пароль пользователя существующего на ХР (2000) либо на компьютере ХР (2000) разрешить гостевой доступ
2.Все сделал на ХР а по сети не пускает (этот же пользователь может зайти локально)
Проверить параметры политики Отказ в доступе к компьютеру по сети и Доступ к компьютеру по сети
Если пароль у пользователя пустой – изменить параметр политики
Конфигурация компьютера – Конфигурация Windows – параметры безопасности – локальные политики – параметры безопасности – Ограничить использование пустого пароля только для консольного входа
3.Пользователь на ХР (2000) есть но все равно требует ввести пароль (пишет «Отказ в доступе»)
Имя пользователя совпадает, а пароль нет. Синхронизируйте пароли (сделайте их одинаковыми) и проверьте не стоит ли «галочка» в «запомнить пароль» на компьютере с которого подключается ресурс. Вполне возможно, что там хранится старый пароль
4.Как разграничить доступ к ресурсам по паролю Одному и тому же пользователю надо предоставить чтение к одной папке на сервере и полный доступ на другую. Т.е сделать как было в Windows 9х
По паролям это не сделать. Подобные права регулируются либо правами на общий ресурс («на шару») либо правами на NTFS на сервере.
5. Нет доступа к \Station (“Возможно, у вас нет прав на использование этого сетевого ресурса”) но есть доступ по ссылке \StationResurs
– Windows XP
Параметр политики “Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями” перевести в положение “Отключено”
— Windows 2000
В политиках Параметры безопасности – Локальные политики – Параметры безопасности – Дополнительные ограничения для анонимных подключений
установить в положение “Положитесь на разрешения заданные по умолчанию”
То же самое достигается установкой параметра реестра RestrictAnonymous равной 0
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetContro lLSA
значения
0 (Пусто) – Положитесь на разрешения заданные по умолчанию
1 – Не разрешает перечисление учетных записей SAM и общих ресурсов
2 – Нет доступа без явного разрешения анонимного доступа
Удачи!
_______________