В этой статье, мы покажем, как разрешить анонимный доступ к общем сетевым папкам и принтерам на компьютере в рабочей группе или в домене Active Directory. Анонимный доступ к сетевой папке подразумевают, что для доступа к сетевому ресурсу пользователи не нужно выполнять аутентификацию (вводить пароль) и для доступа используется гостевой аккаунт.
Содержание:
- Настройка локальных политик анонимного доступа в Windows
- Разрешить гостевой доступ к общей сетевой папке Windows
- Открыть анонимный доступ к общему сетевому принтеру
По умолчанию при доступе к сетевой папке на удаленном компьютере появляется запрос имени пользователя и пароля (кроме случаев, когда оба компьютера находятся в одном домене, или в одной рабочей группе и на них используются одинаковые аккаунты пользователей с одинаковыми паролями). Анонимный доступ подразумевает, что при подключи к удаленному компьютеру не запрашивается пароль и доступ к общим ресурсам возможет без авторизации.
В большинстве случае в целях безопасности не рекомендуется открывать анонимный доступ к сетевым папкам. Анонимный доступ позволяет любому неаутентифицированному пользователю прочитать, изменить или удалить данные в общей сетевой папке. Гостевой доступ рекомендуется использовать в исключительных случаях в защищенном периметре сети.
Настройка локальных политик анонимного доступа в Windows
Для анонимного доступа в Windows используется специальная встроенная учетная запись Гость (guest), которая отключена по-умолчанию.
Чтобы разрешить анонимный (без аутентификации) доступ к компьютеру, нужно включить учетную запись Guest и изменить некоторые параметры локальной политики безопасности Windows.
Откройте консоль редактора локальной GPO (gpedit.msc) и перейдите в раздел Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности (Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options)
Настройте следующие политики:
- Учетные записи: Состояние учётной записи ‘Гость’ (Accounts: Guest Account Status): Включен (Enabled);
- Сетевой доступ: разрешить применение разрешений “Для всех” к анонимным пользователям (Network access: Let Everyone permissions apply to anonymous users): Включен (Enabled);
- Сетевой доступ: Не разрешать перечисление учетных записей SAM и общих ресурсов (Network access: Do not allow anonymous enumeration of SAM accounts and shares): Отключен (Disabled).
В целях безопасности желательно также открыть политику “Запретить локальный вход” (Deny log on locally) в разделе Локальные политики -> Назначение прав пользователя и убедиться, что в политике указана учетная запись “Гость”.
Затем проверьте, что в этом же разделе в политике “Доступ к компьютеру из сети” (Access this computer from network) присутствует запись Гость или Everyone, а в политике “Отказать в доступе к этому компьютеру из сети” (Deny access to this computer from the network) учетка Гость не должна быть указана.
Также убедитесь, что включен общий доступ к сетевым папкам в разделе Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings -> Network & Internet -> Ethernet -> Change advanced sharing options). Проверьте что во всех секциях (Private, Public, All networks) включены опциы Turn on file and printer sharing, сетевое обнаружение (см. статью о проблемах обнаружения компьютеров в рабочих группах) и отключите защиту папок паролем Turn off password protected sharing.
В Windows 11 эти опции находятся в разделе панели Settings -> Network and Internet -> Advanced network settings -> Advanced sharing settings.
Обновите настройки локальных групповых политик на компьютере командой:
gpupdate /force
Разрешить гостевой доступ к общей сетевой папке Windows
После того, как вы настроили политики гостевого доступа, нужно разрешить анонимный доступа к целевой сетевой папке на хосте Windows. Вам нужно изменить настройки безопасности сетевой папки Windows, к которой вы хотите предоставить общий анонимный доступ. Откройте свойства папки, перейдите на вкладку Безопасность (здесь настраиваются NTFS разрешений) предоставьте права чтения (и, если нужно, изменения) для локальной группы «Все» («Everyone»). Для этого нажмите кнопку Изменить -> Добавить -> Все и выберите необходимые привилегии анонимных пользователей. Я предоставил доступ только на чтение.
Также на вкладке Доступ (Sharing) нужно предоставить права доступа к сетевой шаре анонимным пользователям (Доступ -> Расширенная настройка -> Разрешения). Проверьте, что у группы Все есть право на Изменение и Чтение.
Теперь в локальной политике безопасности нужно указать имя сетевой папки, к которой разрешен анонимный доступ. Откройте консоль Local Security Policy (secpol.msc), перейдите в секцию Локальные политики -> Параметры безопасности. Затем в политике “Сетевой доступ: разрешать анонимный доступ к общим ресурсам” (Network access: Shares that can be accessed anonymous) укажите имя сетевой папки, к которой вы хотите предоставить анонимный доступ (в моем примере имя сетевой папки – Share).
Теперь вы можете анонимно подключиться к этому компьютеру с удаленного компьютера.
Нажмите клавишы Win+R и в окне укажите UNC (формат \\IPадрес\ИмяПапки, или \\NetBIOSимякомпьютера\ИмяПапки) путь к сетевой папке, которую вы хотите открыть.
Если вы все настроили правильно, перед вами появится список файлов в сетевой папке на удаленном компьютере.
Такой способ предоставления анонимного доступа работал до Windows 10 2004/Windows Server. В актуальных версиях Windows при доступе к общей папке все равно появляется запрос пароля. Чтобы подключиться к удаленной папке под анонимным пользователем нужно указать имя пользователя guest (пароль указывать не нужно).
Но это все равно не очень удобно.
В этом случае нужно дополнительно включить следующие локальные политики:
- Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options. В параметре Network access: Sharing and security model for local accounts измените значение с Classic на Guest Only. Эта политика автоматически использует аккаунт Guest при сетевом доступе к компьютеру под локальной учетной записью (подразумевается что вы вошли в Windows под локальной учетной записью);
- Перейдите в раздел Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation. Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы). Эта политика разрешит сетевой доступ к общим папкам по протоколу SMBv2 под гостевой учетной записью. Если не включать этот параметр, то при подключении под Guest появится ошибка “Вы не можете получить доступ к удаленному компьютеру из-за того, что политики безопасности вашей организации могут блокировать доступ без проверки подлинности” (cм. статью).
Затем нужно указать, что аккаунт Guest нужно всегда использовать для доступа к сетевым ресурсам на указанно компьютере. Для этого нужно добавить в диспетчер учетных записей Windows имя (IP адрес компьютера) и имя пользователя, которое нужно использовать для подключения. Откройте командую строку и выполните команду:
cmdkey /add:192.168.13.200 /user:guest
Теперь при доступе к указанному IP, Windows всегда будет выполнять автоматический входа под сохраненной учетной записью (Guest в нашем случае)
Теперь вы можете проверить на удаленном компьютере, что клиент подключился к сетевой папке под записью guest (анонимно):
Get-SmbSession
Открыть анонимный доступ к общему сетевому принтеру
Чтобы разрешить анонимный доступ к сетевому принтеру на компьютере, нужно открыть свойства общего принтера в Панели управления (Панель управления\Оборудование и звук\Устройства и принтеры). На вкладке доступа отметьте опцию “Прорисовка задания печати на клиентских компьютерах” (Render print jobs on client computers).
Затем на вкладке безопасность для группы “Все” отметить все галки.
Теперь вы сможете подключиться к общей папке (\\servername\share) и принтеру на доменном компьютере без ввода имени пользователя и пароля, т.е. анонимно.
We have one folder on a Windows Server 2012 R2 that we want to share without passwords»
We need to provide the access of folder to another machine that is in same network but not in domain.
We need to share it without password verification.
asked Dec 8, 2015 at 4:05
Make sure all computers are connected to same LAN
1.start —> Run —> fsmgmt.msc
2.shared folders dialogue will open in that right-click
shares—>new share—>browse through the folder you want to share
and then in permissions Add Guest and change the permissions to access all then click ok
3.enter ip(shared pc ip) in the LAN computer pc
it should be open
answered Feb 29, 2016 at 8:18
User_3535User_3535
8261 gold badge13 silver badges31 bronze badges
1
- In the computer that has the share, browse to Settings >> Network & Internet >> Status >> Sharing Options (or browse to Control Panel\Network and Internet\Network and Sharing Center\Advanced sharing settings)
- Advanced Sharing Options Window pops up
- Choose the «All Networks» section so it opens the options
- Scroll down to «Password Protected Sharing»
- Choose the Option to «Turn Off Password Protected Sharing»
- Click «Save Changes»
This method is only suggested if you aren’t running a domain controller. I use this method on a Windows 2016 Server which has shares I need to access from PC’s that are not part of any network domain. If you are running a domain controller, you want to handle everything through group policy as this method will allow anyone on your network to access the share.
If doing the above alone does not give you access then you will also need to edit the share permisions to and add the «Everyone» group object. The permission you give «Everyone» will determine whether users who access the share can read or write to the share.
- Open Computer Management.
- If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.
- In the console tree, click System Tools, click Shared Folders, and then click Shares.
- In the details pane, right-click the shared folder, and then click Properties.
- On the Share Permissions tab, set the permissions you want:
- To assign permissions to a shared folder to a user or group, click Add.
- In the Select Users, Computers, or Groups dialog box, type «Everyone», and then click OK.
- Verify the permissions for the «Everyone Group» you just added.
- Click Okay
- Test
References:
Set Permissions for Shared Folders
How to Create Network File Shares with No Passwords in Windows 8
answered Jul 10, 2017 at 21:21
DamainmanDamainman
5159 silver badges21 bronze badges
enable guest access and share it with guest this should do it. Else you need to make sure everyone is part of the domain and that that share is available to all the domain users. Sharing it with the users group should do the trick.
answered Dec 8, 2015 at 4:13
4
Simply add the ‘Everyone’ in the security folder and provide read and write access then share the folder (or) Right-click the folder and select Share with Specific People and then add ‘Everyone’ with Read/Write this will allow every user can access that folder.
answered Mar 23, 2016 at 9:37
1
Анонимный доступ к доменной шаре без пароля
Возникла необходимость на момент миграции предоставлять пользователям, не находящимся в домене, доступ на доменные шары без авторизации и, соттветственно, ввода пароля. Общая папка располгается на Windows Server 2008 R2, в качестве клиентов выступает как Windows XP, так и Windows 7.
Собственно настройка:
- Включить на сервере учетную запись гостя;
- На папку, к которой требуется открыть общий доступ, дать права локальной группе Everyone на изменение (ну или какие Вам требуется);
- В консоли сервера выполнить gpedit.msc для запуска редактора локальной групповой политики;
- Перейти в “Computer Configuration” =>> “Windows Settings” =>> “Security Settings” =>> “Local Policies” =>> “Security Options”
- Изменить настройка “Network access: Do not allow anonymous enumeration of SAM accounts and shares” на “Disable”
- Изменить настройку “Network access: Let Everyone permissions apply to anonymous users” на “Enable”
- Для повышения безопасности также желательно перейти в “Computer Configuration” =>> “Windows Settings” =>> “Security Settings” =>> “Local Policies” =>> “User Right Assignment” и добавить пользователя Guest в параметр “Deny log on locally”
- gpupdate /force
Теперь при входе недоменных пользователей на шару этого сервера не будет запрашиваться логин/пароль
- Remove From My Forums
Доступ к папкам с паролем и без
-
Общие обсуждения
-
Доброго дня.
Возник вопрос. Как реализовать возможность разграниченного доступа к ресурсам на базе windows server «без домена«?
Суть вопроса.
На сервере есть папка, к которой могут подключаться все компьютеры сети без паролей и логинов. Это я сделал. все подключились, всё заработало.
Возникла необходимость создать на сервере папки, к которым могу иметь доступ по сети только Я. Пользователь на сервере создан, пароль тот же. Создал папку, указал пользователя. При попытке входа в папку, пишет, что Windows не может
получить доступ к… Разрешение на доступ отсутствует .Что и где еще нужно поправить, чтобы доступ был, либо пусть пароль спрашивает, но только у меня к этой папке, а не у всех ко всем.
-
Изменен тип
18 апреля 2017 г. 6:23
-
Изменен тип
Довольно знакомая ситуация: небольшой офис; 3-5 кое-каких компов, один из которых величают сервером т.к на нем установлена Windows Server 2000\2003\2008 и функций он выполняет как файлсвалка, ну и раздача интернета, чтобы картина не казалась совсем уж печальной) . Из-за небольших размеров конторы ни про какие домены речь даже и не идет. В общем, нужно просто открыть доступ к папке на сервере с разрешением изменений, чтобы все могли обмениваться файлами. Но это ж Server 2003 — для такого неадекватного использования он не совсем предназначен)
Если хочется просто доступа к папке без логинов, паролей и прочих лишних вопросов — приступим…
1. Жмем Пуск (Start)
2. Выполнить… (run)
3. Пишем gpedit.msc
4. конфигурация компьютера (Computer configuration)
5. конфигурация Windows (Windows settings)
6. параметры безопасности (Security settings)
7. локальные политики (Local policies)
8. параметры безопасности (Security options)
9. Учетные записи: ограничить использование пустых паролей только консольным входом (Accounts: Limit local account use of blank passwords to console logon only) выкл (disabled)
Теперь активируем учетную запись Гостя (guest) в системе:
Правая кнопка на Мой компьютер (My Computer) — > Управление (Manage) — > Системные утилиты (System tools) — > Локальные пользователи и группы (Local users and groups)— > Пользователи (Users) — > На вкладке Общие (General) свойств пользователя Гость (Guest) нужно убрать Account is disabled — > OK
Еще раз повторюсь, что метод, как и сама идея — мегонебезопасный и возможно даже неадекватный:), но опять-таки — иногда нужно и такое