none
Доступ к общим ресурсам сервера с ПК, не входящего в домен RRS feed

  • Вопрос

  • Имеется домен, в котором несколько DC (DC1, DC2 ..) и несколько обычных серверов (FS1, FS2 и т.д.), входящих в этот домен. На всех установлена Windows Server 2012 Datacenter либо Windows Server 2012 R2 Standard.
    В сети есть компьютеры, которые не входят в домен, но учетки их пользователей заведены в AD.
    На DC1, DC2 .. и FS1, FS2 .. есть папки, к которым открыт общий доступ. Разрешения - все на чтение и запись. В безопасности тоже всем разрешена запись и чтение.
    Проблема следующая.
    Если на компьютере, не входящем в домен, через проводник зайти на контроллер, например DC1, набрав в адресе "\\dс1", то мы сразу увидим общие ресурсы этого сервера dс1.
    Но если в проводнике задать адрес не контроллера, а обычного сервера принадлежащего домену (задать в адресе "\\fs1", то возникнет окно с запросом логина и пароля.
    Непонятно почему это происходит. Сервер FS1 входит в домен и по идее пользователям должен быть разрешен доступ к ресурсам этого сервера.
    При этом если в окно ввести свой логин и пароль, то доступ открывается без проблем.
    18 января 2016 г. 9:36

Ответы

  • Описываемое вами поведение - by design, и вы не преодолеете его, пока не введете компьютеры в домен. Когда недоменный компьютер, на котором локальный пользователь вошел в систему, подключается по сети к другому компьютеру, то он пытается аутентифицироваться на нем под своей локальной учетной записью, иными словами обращение идет к локальной базе SAM удаленного компьютера. Если там оказывается предусмотрительно созданный пользователь с тем же именем и паролем, то аутентификация происходит прозрачно, в ином случае следует запрос логина и пароля. При подключении к домен-контроллеру проверка происходит в отношении локальной копии доменной базы учетных записей (другой на домен-контроллере нет), и поэтому вам кажется, что пользователь успешно аутентифицируется в домене.
    18 января 2016 г. 10:09
    Модератор
  • Вам уже достаточно подробно ответил osr_ - если Вы залогинены на не доменном компьютере под пользователем, для которого в домене существует "аналогичная" - с такими же именем и паролем - учётная запись, Вы попадёте на контроллер домена "прозрачно", потому что он аутентифицирует Вас в AD по этой учётной записи.

    А вот любой компьютер/сервер - не контроллер домена - имеет локальную базу учётных записей (вне зависимости от того, в домене оно, или нет), и будет пытаться аутентифицировать вас по ней (локальной), а вовсе не в AD (а в AD только тогда, когда Вы явно укажите домен для аутентификации при вводе логина).

    Для подключения с не доменных компьютеров к рядовым доменным системам, или заводите на каждой из них совпадающие учётные записи (также, как в одноранговой сети), или явно указывайте для подключения доменный эккаунт (когда/если спросят :)).


    S.A.

    18 января 2016 г. 16:50

Все ответы

  • Включите на рядовом сервере аудит неудачных попыток входа и посмотрите в дурнале событий Безопасность, с каким именем пытается получить доступ пользователь с недоменного компьютера. Обратите внимание на имя домена - мне кажется наиболее вероятным, что в качестве имени домена рядовой сервер подставляет своё имя сервера и пытается проверить наличие учётной записи в базе локальных пользователей.

    Слава России!

    18 января 2016 г. 10:06
  • Описываемое вами поведение - by design, и вы не преодолеете его, пока не введете компьютеры в домен. Когда недоменный компьютер, на котором локальный пользователь вошел в систему, подключается по сети к другому компьютеру, то он пытается аутентифицироваться на нем под своей локальной учетной записью, иными словами обращение идет к локальной базе SAM удаленного компьютера. Если там оказывается предусмотрительно созданный пользователь с тем же именем и паролем, то аутентификация происходит прозрачно, в ином случае следует запрос логина и пароля. При подключении к домен-контроллеру проверка происходит в отношении локальной копии доменной базы учетных записей (другой на домен-контроллере нет), и поэтому вам кажется, что пользователь успешно аутентифицируется в домене.
    18 января 2016 г. 10:09
    Модератор
  • Да, в качестве имени домена подставляется даже не имя рядового сервера, а имя компьютера, с которого производится вход.
    Но почему не происходит то же самое, когда входим на контроллер домена?
    Имеет ли смысл установить на рядовой сервер Доменные службы Active Directory?

    18 января 2016 г. 11:21
  • Нет, не имеет.

    Лучше научите пользователей на недоменных компьютерах запоминать логин и пароль для доступа к серверу.


    Слава России!

    18 января 2016 г. 11:58
  • Если на компьютере, не входящем в домен, через проводник зайти на контроллер, например DC1, набрав в адресе "\\dс1", то мы сразу увидим общие ресурсы этого сервера dс1.

    что-то вы изменили на контроллере домена или были сохранены учётные данные при первом входе.
    контроллер домена по умолчанию должен спрашивать учётные данные при доступе с недоменных компьютеров.

    Непонятно почему это происходит. Сервер FS1 входит в домен и по идее пользователям должен быть разрешен доступ к ресурсам этого сервера.
    доступ к ресурсам предоставляется не на основании принадлежности к домену, а на основании общих прав и NTFS прав
    18 января 2016 г. 12:02
    Модератор
  • что-то вы изменили на контроллере домена или были сохранены учётные данные при первом входе.
    контроллер домена по умолчанию должен спрашивать учётные данные при доступе с недоменных компьютеров.


    Я тоже подумал сначала, что машинально сохранил учетку при первом входе. Для чистоты эксперимента взял ноут, который точно никогда не подключался к этому контроллеру, завел его учетку в AD и попробовал войти. Вошел сразу без проблем.


    • Изменено Andrey-Gusev 18 января 2016 г. 12:35
    18 января 2016 г. 12:35
  • проверьте, что на контроллере домена выключена учётная запись "гость". с включённой пускает без предложения логина и пароля.

    18 января 2016 г. 12:46
    Модератор
  • проверьте, что на контроллере домена выключена учётная запись "гость". с включённой пускает без предложения логина и пароля.

    Гость, естественно, отключен. Доступа на сервер нет, пока я не заведу в AD учетку такую же как на ПК.

    • Изменено Andrey-Gusev 18 января 2016 г. 13:28
    18 января 2016 г. 13:27
  • Гость, естественно, отключен.

    чтобы быть уверенным, покажите вывод следующих команд Powershell
    с контроллера домена:

    Get-ADUser Guest | Select Name, Enabled | fl
    или
    Get-ADUser Гость | Select Name, Enabled | fl
    с сервера:
    Get-WmiObject -Class Win32_UserAccount -Filter  "LocalAccount='True'" | Select Name, Disabled | fl
    на сервер можете зайти по RDP с имеющейся учётной записью доменного администратора


    18 января 2016 г. 14:14
    Модератор
  • Гость, естественно, отключен.

    чтобы быть уверенным, покажите вывод следующих команд Powershell
    с контроллера домена:

    Get-ADUser Guest | Select Name, Enabled | fl
    или
    Get-ADUser Гость | Select Name, Enabled | fl
    с сервера:
    Get-WmiObject -Class Win32_UserAccount -Filter  "LocalAccount='True'" | Select Name, Disabled | fl
    на сервер можете зайти по RDP с имеющейся учётной записью доменного администратора


    С контроллера:

    Get-ADUser Гость | Select Name, Enabled | fl

    Name    : Гость
    Enabled : False

    ---------------------

    С сервера:

    Get-WmiObject -Class Win32_UserAccount -Filter  "LocalAccount='True'" | Select Nam
    e, Disabled | fl

    Name     : Администратор
    Disabled : False

    Name     : Гость
    Disabled : True

    18 января 2016 г. 16:48
  • Вам уже достаточно подробно ответил osr_ - если Вы залогинены на не доменном компьютере под пользователем, для которого в домене существует "аналогичная" - с такими же именем и паролем - учётная запись, Вы попадёте на контроллер домена "прозрачно", потому что он аутентифицирует Вас в AD по этой учётной записи.

    А вот любой компьютер/сервер - не контроллер домена - имеет локальную базу учётных записей (вне зависимости от того, в домене оно, или нет), и будет пытаться аутентифицировать вас по ней (локальной), а вовсе не в AD (а в AD только тогда, когда Вы явно укажите домен для аутентификации при вводе логина).

    Для подключения с не доменных компьютеров к рядовым доменным системам, или заводите на каждой из них совпадающие учётные записи (также, как в одноранговой сети), или явно указывайте для подключения доменный эккаунт (когда/если спросят :)).


    S.A.

    18 января 2016 г. 16:50