none
Windows Share - problém se sdílením v doméně (bez loginu)

    Dotaz

  • Dobrý den,

    chtěl bych vás požádat o pomoc při řešení problému se sdílením dat.

    Stav: Existuje sdílený share kde jsou nastavená příst. práva. Všechny pc jsou v doméně.

    K share mají přístup např. skupina "technici"

    Scénář:

    Pokud do pc uživatel se přihlásí k lokálnímu účtu -> zkusí otevřít share -> objeví se přihlašovací dialog pro ověření

    Pokud do pc uživatel se přihlásí k doméně -> a uživatel NEPATŘÍ do skupiny "technici" -> zkusí otevřít share -> objeví se chybová hláška:

    "Položka \\xx\yy není přístupná. Zřejmě nemáte dostatečná oprávnění pro přístup k této složce. Obraťe se ... Přístup odepřen"

    pokud uživatel PATŘÍ do skupiny soubory se normálně zobrazí a leze s nimi pracovat.

    Otázka:

    Lze nějakým nastavením zajistit aby i v tomto případě došlo k nabídce přihlašovacího dialogu pro ověření?

    Tento stav platí pro všechny Win (WinXP-Win7)

    Moc děkuji

    pondělí 25. června 2012 7:48

Odpovědi

  • Souhlas. Prihlasovaci dialog vyskoci jen v tom pripade, kdy je aktualni lokalni uzivatel neznamy pro sdilejici server.

    Snazim se pristoupit na sdileny zdroj, moje stanice pri pripojovani zdroje odesle moje aktualni credentilas. Server porovna uzivatelske credentials se svoji databazi.  Nastavaji tri moznosti:

    • uzivatele zna (napriklad jsme ve stejne domene, nebo se shoduji lokalni uzivatele) a nastavene opravneni umoznuje pristup = pristup ke zdroji povoli
    • uzivatele zna (viz stejna domena nebo stejny lokalni uzivatel) a opravneni neumoznuji pristup = pristup zamitne
    • uzivatele nezna ( NEROVNAJI se domeny, jsme kazdy z "jineho uzivatelskeho sveta", nebo napr. lokalni uzivatele) = vyzve k zadani credentials a cely proces se opakuje s jinymi credentials

    Co je na tom k nepochopeni? Takto se chovaji vsechny me zname systemy Linux nevyjimaje. Pokud chcete prihlasovaci dialog vzdy, musite postupovat podle vyse uvedenych pravidel = udelat disjuktni svety uzivatelskeho prostoru = lokalni uzivatele, dve nespolupracujici domeny apod. Nebo pouzit pro sdileni prostredku jiny system, napr. nejaky WEB system, ktery nebude pouzivat Windows ucet pro autentikaci = uzivatel bude nucen prihlasovat se vzdy.

    A nebo navrhovane nasdileni pod jinym uctem, coz je normalni operace, kterou pouzivam denne u svych zakazniku jsa pracujici na jejich stroji pod jejich uctem a potrebuji neco ze serveru, na co mam prava jen ja. Je-li technik technikem, urcite to zvladne :)


    pondělí 25. června 2012 22:08
  • Pokud je prihlaseny lokalni uzivatel a dochazi k pristupu na sitovy zdroj, pak se system "zepta". Nedela to pouze v pripade, kdy je na lokalni stanici i na serveru (kde je umisten zdroj) definovan stejny uzivatel.

    Je-li stanice v domene a pristupuje-li se na zdroj umisteny v teze domene, system se "nepta". Proc taky. On si vezme povereni aktualne prihlaseneho uzivatele, porovna s definovanymi pristupovymi opravnenimi na zdroji a podel toho povoli/zamitne pristup.

    Neuvedomuji, ze by na toto chovani existovala polozka v GPO. Ale samozrejme neznam vsechyn zpameti, takze to nemohu uplne vyloucit. :o)


    BB

    pondělí 25. června 2012 12:39

Všechny reakce

  • Nelze. Nejak nechapu logiku pozadavku. Mas share s nadefinovanymi pravy. K tomuto zdroji se pokousi pristoupit uzivatel, ktery zde prava nema. I kdyz by mu vyskocil jakysi dialog, tak tam zada jaky login?

    Neni proste jednodussi nastavit na sdilenem prostredku spravna opravneni?

    Jeste nejak nechapu, proc se na domenove stroje prihlasuji uzivatele lokalnimi ucty.


    BB

    pondělí 25. června 2012 7:58
  • Souhlas. Logika pozadavku je trochu zvracena. Jedine me napada, ze technik sedi na cizim stroji, prihlaseny je nekdo jiny a technik chce nejaka data ze sveho uloziste.

    Proc si nemuze technik pripojit jednotku jako jiny uzivatel standardnim zpusobem? Bud pres NET USE, nebo klikacim zpusobem v pruzkumniku.

    • Označen jako odpověď Tomáš Král pondělí 25. června 2012 9:51
    • Zrušeno označení jako odpověď Tomáš Král pondělí 25. června 2012 9:51
    pondělí 25. června 2012 8:44
  • přesně tak, to není zvrácený, ale realita.

    technik přijde na cizí pc, kde je přihlášen jiný uživatel v doméně.

    technik chce na svůj share,ale po zadání adresy linku ho tam systém nepustí, což je v pořádku, ale ani mu nenabídne možnost se přihlásit, rovnou jej odmítne, což je špatně.

    systém by mu v tomto případě měl nabídnou možnost přihlášení.

    vždyť o standardní způsob jde, toto chování je právě přes průzkumníka.

    celý problém je v tom, že systém nenabídne možnost zalogování, proč?

    pondělí 25. června 2012 9:55
  • jako "lokální uživatel" byl příklad, aby bylo demonstrováno, že se jedná o problém spojený s doménou. Protože systém v případě lokálního uživatel se chová srpávně a uživateli nabídne možnost loginu, pokud je ale uživatel zalogován v doméně tak k možnost loginu nedojde. 

    pondělí 25. června 2012 9:57
  • 1. Mapovani prikazem NET USE: parametr USER

    2. Mapovani pomoci GUI (Explorer): volba "Prihlasit se pomoci jineho uzivatelskeho jmena"

    Kde je problem?


    BB

    pondělí 25. června 2012 10:33
  • nechci připojovat share jako síťovou jednotku, proč.

    Potřebuji jen aby systém nabídl přihlašovací dialog.

    Toď vše.

    Nevím zda na to, že nedojde k nabídnutí možnosti přihlášení se může mít vliv nějakého nastavení na Domain controlleru, či nikoli?

    Pokud na to DC vliv nemá, pak to tedy systém není schopen nabídnou. Používá aktuálně přihlášeného usera a pokud k share nemá přístup pak jej odmítne. Avšak jak píši několikrát výše tak pokud se přihlási uživatel ne k doméně (tedy na lok. uživ. nebo jiná doména) pak mu systém možnosti přihlášení poskytne.

    Nějaký nastavení či právě DC na toto chování vliv mít musí.

    Děkuji

    pondělí 25. června 2012 12:15
  • Pokud je prihlaseny lokalni uzivatel a dochazi k pristupu na sitovy zdroj, pak se system "zepta". Nedela to pouze v pripade, kdy je na lokalni stanici i na serveru (kde je umisten zdroj) definovan stejny uzivatel.

    Je-li stanice v domene a pristupuje-li se na zdroj umisteny v teze domene, system se "nepta". Proc taky. On si vezme povereni aktualne prihlaseneho uzivatele, porovna s definovanymi pristupovymi opravnenimi na zdroji a podel toho povoli/zamitne pristup.

    Neuvedomuji, ze by na toto chovani existovala polozka v GPO. Ale samozrejme neznam vsechyn zpameti, takze to nemohu uplne vyloucit. :o)


    BB

    pondělí 25. června 2012 12:39
  • Souhlas. Prihlasovaci dialog vyskoci jen v tom pripade, kdy je aktualni lokalni uzivatel neznamy pro sdilejici server.

    Snazim se pristoupit na sdileny zdroj, moje stanice pri pripojovani zdroje odesle moje aktualni credentilas. Server porovna uzivatelske credentials se svoji databazi.  Nastavaji tri moznosti:

    • uzivatele zna (napriklad jsme ve stejne domene, nebo se shoduji lokalni uzivatele) a nastavene opravneni umoznuje pristup = pristup ke zdroji povoli
    • uzivatele zna (viz stejna domena nebo stejny lokalni uzivatel) a opravneni neumoznuji pristup = pristup zamitne
    • uzivatele nezna ( NEROVNAJI se domeny, jsme kazdy z "jineho uzivatelskeho sveta", nebo napr. lokalni uzivatele) = vyzve k zadani credentials a cely proces se opakuje s jinymi credentials

    Co je na tom k nepochopeni? Takto se chovaji vsechny me zname systemy Linux nevyjimaje. Pokud chcete prihlasovaci dialog vzdy, musite postupovat podle vyse uvedenych pravidel = udelat disjuktni svety uzivatelskeho prostoru = lokalni uzivatele, dve nespolupracujici domeny apod. Nebo pouzit pro sdileni prostredku jiny system, napr. nejaky WEB system, ktery nebude pouzivat Windows ucet pro autentikaci = uzivatel bude nucen prihlasovat se vzdy.

    A nebo navrhovane nasdileni pod jinym uctem, coz je normalni operace, kterou pouzivam denne u svych zakazniku jsa pracujici na jejich stroji pod jejich uctem a potrebuji neco ze serveru, na co mam prava jen ja. Je-li technik technikem, urcite to zvladne :)


    pondělí 25. června 2012 22:08