none
Алгоритм сетевого доступа к папкам RRS feed

  • Вопрос

  • Предположим, оба (клиент 10.0.0.2 и сервер 10.0.0.1) компьютера работают под XP SP2.
    На клиенте: Пуск..Выполнить: \\10.0.0.1
    Что происходит дальше?
    Хотелось бы увидеть блок-схему.
    Я попробую описать как я себе вижу этот процесс. Пусть профи поправят меня.
    Сначала посылается запрос на предмет открытости TCP-139. Если таковой закрыт, то дальше говорить неочем. Если же он открыт, то происходит отправка учетных данных клиента. Под учетными данными я понимаю имя пользователя под которым работают в данный момент на клиентской машине.
    Далее сервер проверяет наличие этого имени пользователя у себя в групповых политиках. Если это имя пользователя (или хотябы одна из групп к которой он принадлежит) присутствует в параметре "Разрешить доступ к компьютеру по сети" и одновременно отсутствует в "Отклонить доступ к компьютеру по сети", то пользователю дается доступ к ресурсу сервера ICP$. Дальше, наверное, идет запрос имения пользователя и пароля. Если будет передан правильный пароль для указанного имени пользователя, то будет дан сетевой доступ. О правах NTFS забываем, так как это отдельный вопрос. Считаем что права NTFS даны всем полные.
    Про остальное сказать не могу. Хотелось бы еще узнать что же такое "Гостевой доступ".
    Спасибо.
    2 ноября 2006 г. 18:08

Ответы

Все ответы

  • Спасибо, но я не очень силен в английском. Поэтому задал свой вопрос именно на этом форуме.
    2 ноября 2006 г. 19:29
  •  Venchik написано:
    Предположим, оба (клиент 10.0.0.2 и сервер 10.0.0.1) компьютера работают под XP SP2.
    На клиенте: Пуск..Выполнить: \\10.0.0.1
    Что происходит дальше?
    Хотелось бы увидеть блок-схему.
    Я попробую описать как я себе вижу этот процесс. Пусть профи поправят меня.
    Сначала посылается запрос на предмет открытости TCP-139. Если таковой закрыт, то дальше говорить неочем. Если же он открыт, то происходит отправка учетных данных клиента. Под учетными данными я понимаю имя пользователя под которым работают в данный момент на клиентской машине.
    Далее сервер проверяет наличие этого имени пользователя у себя в групповых политиках. Если это имя пользователя (или хотябы одна из групп к которой он принадлежит) присутствует в параметре "Разрешить доступ к компьютеру по сети" и одновременно отсутствует в "Отклонить доступ к компьютеру по сети", то пользователю дается доступ к ресурсу сервера ICP$. Дальше, наверное, идет запрос имения пользователя и пароля. Если будет передан правильный пароль для указанного имени пользователя, то будет дан сетевой доступ. О правах NTFS забываем, так как это отдельный вопрос. Считаем что права NTFS даны всем полные.
    Про остальное сказать не могу. Хотелось бы еще узнать что же такое "Гостевой доступ".
    Спасибо.

    Сразу скажу, что WinXP/W2k3 должны в первую очередь обращаются через SMB (Server Message Block, порт 445), и уж потом по Netbios (порт 139).

    3 ноября 2006 г. 6:31
  • ОК, спасибо! С портами ясно, хотя у меня и без 445 работает. Ну да ладно. Меня больше интересует все, что после портов.
    3 ноября 2006 г. 6:38
  • Цель-то вопроса какая? Обучение или проблема есть конкретная?

    Мне на практике всегда хватало следующих данных. При подключении к сетевой папке:

    1)Первым делом идёт проверка, а нет ли уже подключения к какому-то ресурсу этой машины. если есть - используется токен этого подключения. на этом этапе самая частая проблема выглядит так: человек открыл сетевое окружение, автоматом залогинился как гость (смотри ниже), а потом пытается подключиться под конкретным именем - и обламывается. multiply connection to a server or shared resource by the same user, using more than one user name, are not allowed. Проблема решается полным отключением всех шар и сетевых соединений, я обычно пользую net use для вывода списка и net use \\server\ipc$ /delete для отключения

    2) Дальше идет попытка подключиться с текущими учетными данными - посылается логин и хеш пароля. Для успеха нужно, чтобы на сервере существовал юзер с таким логином и паролем.

    3) Дальше идет попытка подключиться как гость. Тут иногда возникают проблемы в имени гостя - русская XP может пытаться подключиться как Гость, а на сервере это называется Guest; или на сервере гостя переименовали.

    4)Если ничего не получилось, то запрашиваются логин и пароль к серверу.

    3 ноября 2006 г. 7:55
  • Проблема была в том, что иногда получалось так:
    открываешь какой-то комп в сети, а он тебе сразу: нет доступа...обратитесь к админу. точного текста не помню.
    Наверное, дело в том, что лог, пас пользователя на клиенте небыли найдены на сервере (пункт 2 Вашего поста). А учетная запись Гость, наверняка, была отключена. Но Вы нигде не упомянули групповые политики. А они тоже играют какую-то роль.
    3 ноября 2006 г. 8:10
  • Когда вы обращаетесь к сетевому ресурсу, доступные варианты авторизации следующие:

    - На DC авторизация может проводится только через Active Directory

    - Рядовой сервер в домене - через AD или SAM. При логине необходимо указать, через что авторизуемся (имя_домена\учетная_запись (AD) или имя_компьютера\учетная_запись (SAM)).

    - Сервер или рабочая станция в рабочей группе - авторизация через SAM (локальная база безопасности).

    Учетная запись Guest используется для анонимного доступа к компьютеру. Через групповую или локальную политику безопасноти можно установить, какие ограничения действуют на учетную запись Guest.

    Относительно к вашему вопросу можно добавить, что в групповой/локальной политике можно установить ограничение на доступ к компьютеру из сети для определенных групп пользователей или учетных записей.

    Для того, чтобы в рабочей группе при подключении к сетевым ресурсам не надо было дополнительно вводить логин/пароль требуется чтобы и на сервере и на клиенте имя и пароль пользователя совпадали.

    Второй вариант - включение учетной записи Guest.

    Для общеобразовательных вопросо рекоммендую www.osp.ru. Немало об учетной записи Guest вы почерпнете воспользовавшись поиском - http://www.osp.ru/search.html?pd=&words=Guest

    3 ноября 2006 г. 8:22
  • Вот эта статья наиболее подходит в качестве ответа на ваш вопрос:

    Network access validation algorithms and examples for Windows Server 2003, Windows XP, and Windows 2000

    http://support.microsoft.com/kb/103390

    http://www.microsoft.com/technet/archive/winntas/support/acdenid2.mspx

    22 ноября 2006 г. 17:43