Настройка анонимного доступа к CIFS/принтерам (сеть Windows)

[Евген]

Здравствуйте.

В кинетиках реализован анонимный доступ к шарам и принтерам, но он полностью перекрывает все остальные настройки прав.

Есть ли возможность добавить анонимного пользователя (гостевой аккаунт), на которого все подключения будут падать по дефолту, если нет данных авторизации?

Это также должно поправить недоразумение с недоступностью именованных устройств в сетевом окружении Windows 10 без необходимости давать полный доступ всем и на всё.

Возможно это неосуществимо, но попытка не пытка) Спасибо!)

 

[slomblobov]

Ваша идея понятна, но реализовать её весьма сложно по ряду причин. И самая вероятная из них состоит в том, что мы пока не готовы к смене концепции.

Анонимный доступ уже сам по себе весьма коряво работает в протоколе SMB. К тому же разные клиенты имеют разную реализацию, где-то "GUEST", где-то пользователь без имени. Но большинство клиентов ломится с именами учетной записи ОС.
И все указанные пользователи должны получать полный доступ если сервер настроен в режиме анонимного доступа. Сделано это для пользователей, которые в своей домашней сети не хотят заморачиваться с паролями.

Далее мы сталкиваемся с проблемой, как пускать существующих пользователей, если разрешен анонимный доступ. Допустим у нас есть пользователь "admin". Какой-нибудь "admin1" будет ходить на сервер без проблем, но для пользователя "admin" будет обязательным ввод правильного пароля. Выглядит просто, но на практике это постоянные грабли.

[Евген]

59 минут назад, vst сказал:

Анонимный доступ уже сам по себе весьма коряво работает в протоколе SMB

Но он разрешен и работает.

 

59 минут назад, vst сказал:

К тому же разные клиенты имеют разную реализацию, где-то "GUEST", где-то пользователь без имени. Но большинство клиентов ломится с именами учетной записи ОС.

Если учётка есть в кинетике - берем её права, учётки нет - fallback на гостя-анонима, сюда упадут все GUEST/ANONYMOUS и прочие невежды

 

1 час назад, vst сказал:

И все указанные пользователи должны получать полный доступ если сервер настроен в режиме анонимного доступа.

Разрешить анониму все по дефолту и он будет получать полный доступ, как сейчас сделано из коробки - ставишь SMB/TSMB или переключаешь их, и у тебя автоматом "Анонимный доступ" включается, чтобы те, кто не заморачивается и дальше не заморачивался

 

1 час назад, vst сказал:

Далее мы сталкиваемся с проблемой, как пускать существующих пользователей, если разрешен анонимный доступ. Допустим у нас есть пользователь "admin". Какой-нибудь "admin1" будет ходить на сервер без проблем, но для пользователя "admin" будет обязательным ввод правильного пароля. Выглядит просто, но на практике это постоянные грабли.

Наверное здесь и таится главная сложность - нужно разрешать всем то, что разрешено анониму, его права должны наследоваться другими, если они позволяют больше. Или сделать 2 переключаемых варианта системы авторизации - как есть и как в шапке.

 

Вот бы под рукой был код TSMB, та часть, где проверяются права. А так я просто спросил, да и понимаю, что есть более существенные задачи. Спасибо за ответ.

[slomblobov]

1 минуту назад, Евген сказал:

Вот бы под рукой был код TSMB, та часть, где проверяются права.

А мне бы как хотелось...