none
Гость не получает доступа к SYSVOL\DomainName.local RRS feed

  • Вопрос

  • Хочу сделать возможность входа под гостевой учётной записью на раб. станциях и чтоб при этом обрабатывались групповые политики. Но столкнулся с проблемой: политики не обрабатываются, т. к. гость почему-то не получает доступ к папке на сервере \SYSVOL\DomainName.local, где собственно и находятся политики. В правах на ресурс SYSVOL указываю гостя, даю ему все права на чтение, то же самое указываю в безопасности для папки windows\sysvol\sysvol. В результате из-под гостя получаю доступ к ресурсу SYSVOL, вижу папку в нём DomainName.local, а зайти в неё не могу: "У вас нет прав доступа..."
    Подозрение, что есть какая-то хитрая политика, запрещающая гостю доступ к папке домена. Но просмотрев политики, ничего такого не нашел.
    Если же создать внутри SYSVOL свою папку, то гость её открывает без проблем.

    Как решить эту проблему? (О/с Windows 2003 server sp2)

    13 декабря 2010 г. 13:27

Ответы

  • Дело в том, что по умолчанию гостевые учетные записи не входят в группу "Authenticated Users" ("Прошедшие проверку"), и именно эта группа, опят же, по умолчанию, числится в списке контроля дотсупа ОГП, как имеющая права чтения и применения.
    В Вашем случае необходимо назначить в список контроля доступа с правами чтения и применения группу "Evreyone" ("Все"), либо только группу "Domain Guests", чтобы ОГП применялся исключительно на гостевые учетные записи.

    P.S. Кроме разрешений на "папку домена", в первую очередь, требуются разрешения на соответствующие объекты каталога. Настоятельно рекомендую восстановить штатные списки контроля доступа на SYSVOL!

    • Предложено в качестве ответа AndricoRusEditor 14 декабря 2010 г. 9:09
    • Помечено в качестве ответа Vinokurov YuriyModerator 20 декабря 2010 г. 9:30
    13 декабря 2010 г. 19:07
    Отвечающий

Все ответы

  • Чтобы политика действовала на пользователя - ее нужно привязать к OU, например, в котором пользователь располагается.

    В вашем случае, как я понял доменной учетной записи для  пользователя нет, соответственно политика действовать не будет.

    13 декабря 2010 г. 13:45
    Отвечающий
  • Дело в том, что по умолчанию гостевые учетные записи не входят в группу "Authenticated Users" ("Прошедшие проверку"), и именно эта группа, опят же, по умолчанию, числится в списке контроля дотсупа ОГП, как имеющая права чтения и применения.
    В Вашем случае необходимо назначить в список контроля доступа с правами чтения и применения группу "Evreyone" ("Все"), либо только группу "Domain Guests", чтобы ОГП применялся исключительно на гостевые учетные записи.

    P.S. Кроме разрешений на "папку домена", в первую очередь, требуются разрешения на соответствующие объекты каталога. Настоятельно рекомендую восстановить штатные списки контроля доступа на SYSVOL!

    • Предложено в качестве ответа AndricoRusEditor 14 декабря 2010 г. 9:09
    • Помечено в качестве ответа Vinokurov YuriyModerator 20 декабря 2010 г. 9:30
    13 декабря 2010 г. 19:07
    Отвечающий
  • Дело в том, что по умолчанию гостевые учетные записи не входят в группу "Authenticated Users" ("Прошедшие проверку"), и именно эта группа, опят же, по умолчанию, числится в списке контроля дотсупа ОГП, как имеющая права чтения и применения.
    Дмитрий, не затруднит ли дать линк в технет? Сильно подозревал, что так оно и есть, но не нашёл статей это документально подтверждающих, к сожалению.
    14 декабря 2010 г. 8:01
    Отвечающий
  • Дмитрий, не затруднит ли дать линк в технет? Сильно подозревал, что так оно и есть, но не нашёл статей это документально подтверждающих, к сожалению.

    Тоже стало интересно, вот что пишут по первой части вопроса(надеюсь, Дмитрий не против):

    http://technet.microsoft.com/en-us/library/cc780850(WS.10).aspx

    Authenticated Users (S-1-5-11)

    Includes all users and computers whose identities have been authenticated. Authenticated Users does not include Guest even if the Guest account has a password.

    14 декабря 2010 г. 8:35
  • Authenticated Users (S-1-5-11)
    Includes all users and computers whose identities have been authenticated. Authenticated Users does not include Guest even if the Guest account has a password.
    надо больше спать, видимо... с пристрастием смотрел именно эту статью, а слона то и не приметил :)
    14 декабря 2010 г. 9:09
    Отвечающий
  • В Вашем случае необходимо назначить в список контроля доступа с правами чтения и применения группу "Evreyone" ("Все"), либо только группу "Domain Guests", чтобы ОГП применялся исключительно на гостевые учетные записи.

    В том-то и дело, что добавление в список группы "Все", группы "Гости домена", даже самого "Гостя" со всеми правами на чтение - не даёт эффекта: Гость домена по прежнему может заходить только в папку Sysvol и видит внутри неё папку domainName.local, но не может попасть внутрь последней: "Нет доступа к \\ServerName\SYSVOL\DomainName.local ..."
    14 декабря 2010 г. 15:21
  • Гостям и не нужно "попадать" в папку "\DomainName", гостям необходим доступ к папкам "\Policies\{GUID}", хранящим шаблоны ОГП.

    14 декабря 2010 г. 19:07
    Отвечающий
  • Тааак. Вот смотрю, где находится это "\Policies\{GIUD}".  А находится оно по адресу: C:\WINDOWS\sysvol\domain\Policies. Но ведь эта папка не расшарена! Расшарены папки только  C:\WINDOWS\sysvol\sysvol и C:\WINDOWS\sysvol\sysvol\DomainName.local\SCRIPTS. Может ли в таком случае гость попасть в policies? Правда у пользователей домена политики применяются, значит как-то они туда попадают. Как же туда пустить гостя?
    15 декабря 2010 г. 18:12
  • Юрий, не обязательно иметь разрешение на доступ к контейнерному объекту, если есть доступ к его содержимому. Это поведение подсистемы безопасности диктуется типовой политикой безопасности Windows, наделяющей привилегией "bypass traverse checking" всех пользователей системы.

    Советую не менять это поведение. :)
    15 декабря 2010 г. 18:43
    Отвечающий
  • Уффф... Ничего не понятно.

    Сделаю шаг назад.

    Во-первых, папку \Policies\ с длинными идентификаторами внутри я вижу как в c:\windows\sysvol\sysvol\DomainName.local\ (который расшарен , но я не могу настроить доступ туда гостю домена), так и в C:\WINDOWS\sysvol\domain\, который не расшарен . Какой из них нужен для того, чтобы получать политики?

    Во-вторых,

    не обязательно иметь разрешение на доступ к контейнерному объекту, если есть доступ к его содержимому

    это значит, что все пользователи могут гулять по файловой системе сервера, только потому, что у них есть доступ к её содержимому (пользователи домена - права на чтение)? Я правильно понимаю? Если да, то каким образом? Каков путь к этому содержимому, если у меня нет доступа до расшаренных папок, например?

    16 декабря 2010 г. 14:23
  • Юрий, нет необходимости изменять разрешения общего доступа ("Share Permissions") на папке "SYSVOL", чтобы гости домена могли обратится к содержимому, т.к. по умолчанию, группа "Everyone" имеет прао чтения в "Share Permissions".

    По умолчанию, в папке "%systemroot%\SYSVOL\sysvol\" находится точка монтирования "mount point" с именем "<имя домена>", указывающая на "%systemroot%\SYSVOL\sysvol\<имя домена>". Это нормально.
    Читайте: http://support.microsoft.com/kb/324175/en-us.

    Еще раз повторю. Нет необходимости "вручную" изменять права доступа на содержимое "SYSVOL"!

    // <...> это значит, что все пользователи могут гулять по файловой системе сервера <...>
    Нет, не значит. Читайте: http://technet.microsoft.com/en-us/magazine/2005.11.howitworksntfs.aspx.

    16 декабря 2010 г. 18:52
    Отвечающий
  • "По умолчанию, в папке "%systemroot%\SYSVOL\sysvol\" находится точка монтирования "mount point" с именем "<имя домена>", указывающая на "%systemroot%\SYSVOL\sysvol\<имя домена>". Это нормально. Читайте: http://support.microsoft.com/kb/324175/en-us."

    Про mount point не знал. Спасибо. Вот и причина нашлась: для Everyone не задан доступ к папке windows\sysvol\Domain, по-этому гость не получает доступа к sysvol\DomainName. Ещё раз спасибо за ответы.

    22 декабря 2010 г. 20:18