¿Cómo conseguí este recurso compartido de Windows para solicitar el inicio de sesión?

14

O: "¿Es esto una cosa? ¿Y cómo comprobaría si lo fuera?"

En un entorno sin un controlador de dominio , cuando accedo a un recurso compartido en un cuadro de Windows Server 2008 R2, desde una computadora remota sin una cuenta de usuario coincidente en el servidor (y conectando escribiendo \\SERVERNAME\ShareNamedesde el menú Inicio) actualmente observo el siguiente comportamiento basado en la configuración "Uso compartido protegido por contraseña" (Configuración de uso compartido avanzado):

Cuando "compartido con protección por contraseña" se convirtió en , todos los intentos de conexión fallan después de un máximo de 30 segundos con:

Error de inicio de sesión: al usuario no se le ha otorgado el tipo de inicio de sesión solicitado en esta computadora.

Con "Compartir con contraseña protegida" desactivado , se permiten conexiones a recursos compartidos accesibles anónimamente, mientras que los recursos compartidos restringidos con permiso fallan con:

No tiene permiso para acceder a \ SERVERNAME \ ShareName. Póngase en contacto con su administrador de red para solicitar acceso.

Este parece ser el comportamiento esperado. Necesito tener ciertos recursos compartidos accesibles mediante inicios de sesión anónimos, por lo que tuve que cambiar esta configuración de la predeterminada a desactivada .

SIN EMBARGO, hay un tercer caso aquí. ( whaaaaat? )

Si intenta conectarse a un recurso compartido sin haber modificado este ajuste (es decir, que se establece en el pero nunca se ha hecho clic ella), la conexión se comporta similar a la de caso anterior en que se tarda hasta 30 segundos para mostrar una respuesta, pero luego muestra un diálogo de autenticación :

Compartir cuadro de diálogo de autenticación

Tuve este presentimiento después de golpearme la cabeza contra la pared durante unos días, y solo lo repliqué en un servidor sin recursos compartidos existentes: cree un recurso compartido que no sea de lectura, intente conectarse y obtener un diálogo, cambie la configuración, conéctese con éxito, cambie la configuración atrás , y recibe un mensaje de error diferente. (Probé todo esto en sistemas de clientes nuevos para que no hubiera riesgo de almacenamiento en caché).

Para reiterar: he controlado para los sistemas del cliente. Esto parece estar completamente relacionado con el servidor.

Entonces, es claro para mí que cambiar la configuración de "Uso compartido protegido por contraseña" está cambiando más de una cosa (¿clave de registro? Soy nativo de Mac) detrás de escena, y que la configuración predeterminada con la que se entrega el sistema NO coincide. con la configuración reflejada en el panel de control (o el panel de control en sí está roto y debería estar cambiando más cosas).

Entonces la pregunta es: ¿es esto por diseño, o es un error? Y en cualquier caso, ¿cuál es la "configuración oculta" que se cambia o se deja sin cambios? ¿Cómo rastrearía eso? Me estoy quedando sin servidores nuevos para probar. :-(

windows-server-2008-r2  network-share  server-message-block  windows-authentication  guest 
NReilingh
fuente
¿Cuál es la ACL en la carpeta y cuál es el permiso en el recurso compartido?
AWippler
Puede usar un proyecto llamado regshot para comparar dos instantáneas del registro (una cuando se inicializa el sistema, una después de establecer la configuración y una tercera después de que la configuración no esté establecida). También eche un vistazo a la configuración de "dominio local / política de seguridad" y marque la opción "Acceder a esta computadora desde la red" (también conocido como SeNetworkLogonRight ). Aquí hay información sobre los cambios , y aquí hay información sobre la configuración .
mbrownnyc
@NReilingh: publicaste la recompensa, ¿alguna vez pudiste resolverlo?
charleswj81
@ charleswj81 ¡Su respuesta fue exactamente lo que estaba buscando! Solo tenía que encontrar el tiempo para sentarme con él. Lo que estoy notando ahora es que los listados de la cuenta de invitado en el panel de control Administrar cuentas de computadora y en el Administrador del servidor no siempre parecen estar sincronizados con respecto a si están habilitados o no. Así que ahora tengo tres variables para probar con respecto a la conectividad anónima y con contraseña: "Compartir con contraseña protegida" activado o desactivado, la cuenta de invitado en el Administrador del servidor está habilitada o deshabilitada, y la cuenta de invitado en los paneles de control está activada o desactivada.
NReilingh

Respuestas:

11

Esto realmente despertó mi interés. Pude replicar sus hallazgos en mi laboratorio con el mismo patrón de resultados que usted describe. Utilicé Procmon para intentar ver qué cambios se realizan y casi me di por vencido hasta que vi lo siguiente:

cuenta de invitado procmon modificada

Eso muestra que lsass.exe (Autoridad de seguridad local) escribe en el SAM local y realiza cambios en la cuenta de invitado integrada (conocido RID 501). Efectivamente, cuando volví a probar tu escenario mientras miraba el estado de la cuenta de invitado, lo veo habilitado cuando "Compartir con contraseña protegida" está deshabilitado. Sin embargo, cuando se vuelve a habilitar "Compartir con contraseña protegida", la cuenta de invitado no se vuelve a deshabilitar. Deshabilitar manualmente la cuenta de invitado restaura la funcionalidad original: se me solicitan las credenciales (es decir, su tercer caso).

No estoy seguro de por qué esto se comporta así. Para ser honesto, nunca antes había activado la configuración de "uso compartido protegido por contraseña" antes (ni siquiera me di cuenta, de hecho). Espero que esto ayude con tu proyecto. Si alguien más está interesado en investigar más, sería interesante saber si este comportamiento todavía está presente en el Servidor 2012/2012 R2 ...

Ah, y a sus preguntas originales (¿Es esto por diseño o es un error?), No tengo la menor idea ...

charleswj81
fuente
Puedo confirmar que esto es correcto. Tuve que instalar un servidor W2K8 recientemente y podría replicar esto antes de unirlo al dominio. La cuenta de invitado debe deshabilitarse manualmente. Si eso se hace, el comportamiento es lo que yo consideraría normal: después de un tiempo de espera, se solicita al usuario que proporcione las credenciales correctas (desde la perspectiva de los servidores). (PD: Nunca he entendido por qué ese tiempo de espera sangriento es tan largo. No es como si las credenciales originales fueran mágicamente válidas durante el período de tiempo de espera. Entonces, ¿por qué molestarse en esperar?)
Tonny
2

Si he entendido su pregunta correctamente, las credenciales de los recursos compartidos se guardan en el Administrador de credenciales en el panel de control.

Para abrir el cuadro de diálogo de autenticación, simplemente elimine la credencial relacionada con ese recurso compartido en el Administrador de credenciales.

Cuando marca la casilla 'Recordar mis credenciales', esto generalmente se guarda en el Administrador de credenciales y si esta contraseña es incorrecta, verá el error de falla de inicio de sesión.

T fría
fuente
No es así; Probé los tres casos en un nuevo sistema de cliente sin credenciales en caché. (Y en este caso, cualquiera que hubiera entrado credencial otorgado acceso.) La única vez que he nunca visto que esto es de diálogo de autenticación cuando el "protegido por contraseña compartir" no se ha tocado.
NReilingh
Tuve el problema opuesto (aquí: serverfault.com/q/619027/175650 ) donde recibí el mensaje pero no lo quería. Resultó que tenía una mala credencial guardada, y tu publicación me indicó la dirección correcta para eliminarla y resolver mi problema. ¡Gracias!
SenorAmor
0

Es posible que no lo ayude, pero en caso de que lo haga, a menudo recibo llamadas para que mis usuarios no puedan acceder a un recurso compartido (Windows almacena en caché su contraseña anterior) y les pido que hagan esto:

uso neto * / D

ETL
fuente
Como dije en la pregunta, controlé por el cliente. Utilicé un sistema nuevo para cada prueba, por lo que no había riesgo de almacenamiento en caché de credenciales.
NReilingh
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.