Como obtive esse compartilhamento do Windows para solicitar o login?

14

Ou: "Isso é uma coisa? E como eu verificaria se era?"

Em um ambiente sem um controlador de domínio , ao acessar um compartilhamento em uma caixa do Windows Server 2008 R2, de um computador remoto sem uma conta de usuário correspondente no servidor (e conectar-se digitando \\SERVERNAME\ShareNameno menu Iniciar), atualmente observo o seguinte comportamento com base na configuração "Compartilhamento protegido por senha" (Configurações avançadas de compartilhamento):

Quando "Compartilhamento protegido por senha" está ligado em , todas as tentativas de conexões falhar depois de até 30 segundos com:

Falha no logon: o usuário não recebeu o tipo de logon solicitado neste computador.

Com o "compartilhamento protegido por senha" desativado , as conexões com os compartilhamentos acessíveis por anônimo são permitidas, enquanto os compartilhamentos com permissão restrita falham com:

Você não tem permissão para acessar \ SERVERNAME \ ShareName. Entre em contato com o administrador da rede para solicitar acesso.

Este parece ser um comportamento esperado. Eu preciso ter certos compartilhamentos acessíveis por logons anônimos, então tive que alterar essa configuração do padrão para desativado .

No entanto, existe um terceiro caso aqui. (o que ? )

Se você tentar se conectar a um compartilhamento sem ter modificado essa configuração (isto é, ela é definida como on , mas você nunca clicou-lo), a conexão se comporta semelhante ao no caso acima na medida em que leva até 30 segundos para mostrar uma resposta, mas exibe uma caixa de diálogo de autenticação :

Caixa de diálogo Compartilhar autenticação

Tive esse palpite depois de bater minha cabeça contra a parede por alguns dias e apenas o repliquei em um servidor sem compartilhamentos existentes: crie um compartilhamento sem leitura, tente conectar-se e obter diálogo, altere a configuração, conecte-se com êxito, altere a configuração voltar e receber uma mensagem de erro diferente. (Testou tudo isso em sistemas novos do cliente, para não haver risco de armazenamento em cache.)

Para reiterar: eu controlei os sistemas clientes. Isso parece estar totalmente relacionado ao servidor.

Portanto, está claro para mim que alterar a configuração "Compartilhamento protegido por senha" está alterando mais de uma coisa (chave do registro? Sou nativo de Mac) nos bastidores e que as configurações padrão fornecidas pelo sistema NÃO coincidem todas com a configuração refletida no painel de controle (ou o próprio painel de controle está quebrado e deve estar mudando mais coisas).

Portanto, a pergunta é: isso é intencional ou é um bug? E, nos dois casos, qual é a "configuração oculta" que está sendo alterada ou deixada inalterada? Como alguém poderia rastrear isso? Estou ficando sem novos servidores para testar. :-(

windows-server-2008-r2  network-share  server-message-block  windows-authentication  guest 
NReilingh
fonte
O que é a ACL na pasta e qual é a permissão no compartilhamento?
precisa saber é o seguinte
Você pode usar um projeto chamado regshot para comparar dois instantâneos do registro (um quando o sistema é inicializado, um após a definição da configuração e um terceiro após a definição da definição). Observe também as configurações de "domínio local / diretiva de segurança" e verifique a configuração "Acessar este computador pela rede" (também conhecida como SeNetworkLogonRight ). Aqui estão algumas informações sobre alterações e algumas informações sobre configurações .
precisa saber é o seguinte
@NReilingh: você publicou a recompensa, já conseguiu descobrir?
charleswj81
@ charleswj81 Sua resposta foi exatamente o que eu estava procurando! Só tinha que encontrar tempo para sentar com ele. O que estou percebendo agora é que as listagens de conta de convidado no painel de controle Gerenciar contas de computador e no Gerenciador do servidor nem sempre parecem estar sincronizadas em relação à ativação ou não. Portanto, agora tenho três variáveis ​​para testar em relação à conectividade anônima e com senha: "Compartilhamento Protegido por Senha" ativado ou desativado, a conta Convidado no Server Manager sendo ativada ou desativada e a conta Convidado nos Painéis de Controle ativada ou desativada.
precisa saber é o seguinte

Respostas:

11

Isso realmente despertou meu interesse. Consegui replicar suas descobertas em meu laboratório com o mesmo padrão de resultados que você descreve. Usei o Procmon para tentar ver quais alterações foram feitas e quase desisti até ver o seguinte:

conta de convidado procmon modificada

Isso mostra lsass.exe (Autoridade de Segurança Local) gravando no SAM local e fazendo alterações na conta de Convidado interna (conhecido RID 501). Com certeza, quando testei novamente o seu cenário enquanto assistia ao status da conta Convidado, vejo-o ativado quando o "Compartilhamento protegido por senha" está desativado. No entanto, quando "Compartilhamento protegido por senha" é reativado, a conta de convidado não é desabilitada novamente. Desativar manualmente a conta de convidado restaura a funcionalidade original: sou solicitado a fornecer credenciais (ou seja, seu terceiro caso).

Não sei por que isso se comporta assim. Para ser sincero, eu nunca havia alternado a configuração "Compartilhamento protegido por senha" antes de hoje (ou até percebido). Espero que isso ajude com seu projeto. Se outra pessoa estiver interessada em aprofundar, seria interessante saber se esse comportamento ainda está presente no Server 2012/2012 R2 ...

Ah, e para as suas perguntas originais (isso é intencional ou é um bug?), Não faço a menor idéia ...

charleswj81
fonte
Eu posso confirmar que isso está correto. Eu tive que instalar um servidor W2K8 atualizado hoje cedo e poderia replicar isso antes de ingressar no domínio. A conta de convidado deve ser desativada manualmente. Se isso for feito, o comportamento é o que eu consideraria normal: Após um tempo limite, o usuário é solicitado a fornecer credenciais corretas (da perspectiva dos servidores). (PS: Eu nunca entendi por que tempo limite sangrenta é tão longa Não é como se as credenciais originais irá magicamente se tornar válida durante o período de tempo limite Então, por que se preocupar em espera..?)
Tonny
2

Se entendi sua pergunta corretamente, as credenciais dos compartilhamentos serão salvas no Credential Manager, no painel de controle.

Para solicitar a caixa de diálogo de autenticação, basta excluir a credencial relacionada a esse compartilhamento no Gerenciador de credenciais.

Quando você marca a opção 'Lembrar minhas credenciais', isso geralmente é salvo no Credential Manager e, se essa senha estiver errada, você verá o erro de falha de logon.

Cold T
fonte
Não é assim; Testei todos os três casos em um novo sistema de cliente sem credenciais em cache. (E, neste caso, qualquer credencial que entrou teria concedido o acesso.) A única vez que eu vi esse diálogo de autenticação é quando o "Compartilhamento protegido por senha" não tinha sido tocado.
NReilingh
Tive o problema oposto (aqui: serverfault.com/q/619027/175650 ) em que eu estava recebendo o prompt, mas não o queria. Acontece que eu tinha uma credencial ruim salva e sua postagem me apontou na direção certa para excluí-la e resolver meu problema. Obrigado!
SenorAmor 8/08
0

Pode não ajudá-lo, mas, caso isso aconteça - geralmente recebo chamadas de que meus usuários não conseguem acessar um compartilhamento (a senha antiga é armazenada em cache pelo Windows) e solicito que eles façam isso:

uso líquido * / D

ETL
fonte
Como eu disse na pergunta, eu controlei para o cliente. Usei um sistema novo para cada teste, para que não houvesse risco de armazenar credenciais em cache.
NReilingh
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.