이 Windows 공유에 로그인을 요청하는 방법은 무엇입니까?

14

또는 : "이것입니까? 어떻게되었는지 확인 하시겠습니까?"

도메인 컨트롤러가없는 환경 에서 서버에 일치하는 사용자 계정이없는 원격 컴퓨터에서 Windows Server 2008 R2 상자의 공유에 액세스 할 때 (및 \\SERVERNAME\ShareName시작 메뉴에서 입력하여 연결 ) 현재 다음 동작을 기반으로합니다. "암호로 보호 된 공유"설정 (고급 공유 설정)에서 :

"암호로 보호 된 공유는"켜지면 모든 연결 시도는 30 초까지 후 실패 :

로그온 실패 :이 컴퓨터에서 사용자에게 요청 된 로그온 유형이 부여되지 않았습니다.

"암호로 보호 된 공유"를 해제 하면 익명 액세스 가능한 공유에 대한 연결이 허용되지만 권한이 제한된 공유는 실패합니다.

\ SERVERNAME \ ShareName에 액세스 할 수있는 권한이 없습니다. 액세스를 요청하려면 네트워크 관리자에게 문의하십시오.

이것은 예상 된 동작입니다. 익명 로그온으로 특정 공유에 액세스 할 수 있어야하므로이 설정을 기본값에서 off 로 변경해야 했습니다 .

그러나 세 번째 경우가 있습니다. ( whaaaaat? )

당신이 공유에 연결하려고하면 이 설정을 수정하지 않고 (즉,이로 설정 있지만, 당신이 그것을 클릭 적이), 연결이 유사 동작 이 쇼에 최대 30 초가 소요한다는 점에서 위의 경우 응답 하지만 인증 대화 상자가 표시됩니다 .

인증 공유 대화 상자

나는 며칠 동안 벽에 머리를 두드리고 나서이 직감을 가지고 있었고 기존 공유가없는 서버에서 이것을 복제했습니다. back 및 다른 오류 메시지가 나타납니다. (신규 클라이언트 시스템에서이 모든 것을 테스트하여 캐싱의 위험이 없었습니다.)

반복해서 : 나는 클라이언트 시스템을 통제했다. 이것은 전적으로 서버 관련 인 것으로 보입니다.

따라서 "비밀번호 보호 공유"설정을 변경하면 장면 뒤에서 하나 이상의 항목 (레지스트리 키? Mac 기본)이 변경되고 시스템과 함께 제공되는 기본 설정이 모두 일치하지는 않습니다. 제어판에 설정이 반영된 경우 (또는 제어판 자체가 손상되어 더 많은 것을 변경해야 함).

질문은 이것입니다 : 이것은 의도적 인 것입니까, 아니면 버그입니까? 두 경우 모두 변경되거나 변경되지 않은 "숨겨진 설정"은 무엇입니까? 어떻게 추적할까요? 테스트 할 새로운 서버가 부족합니다. :-(

windows-server-2008-r2  network-share  server-message-block  windows-authentication  guest 
닐링
소스
폴더의 ACL은 무엇이며 공유에 대한 권한은 무엇입니까?
AWippler
regshot 이라는 프로젝트를 사용 하여 레지스트리의 두 스냅 샷을 비교할 수 있습니다 (하나는 시스템을 초기화 할 때, 설정을 설정 한 후 한 번, 설정을 설정 해제 한 후 한 번). 또한 "로컬 도메인 / 보안 정책"설정을보고 "네트워크에서이 컴퓨터에 액세스"설정 (일명 SeNetworkLogonRight )을 확인하십시오. 여기 변경에 대한 약간의 정보가 , 그리고 여기에 설정에 대한 몇 가지 정보입니다 .
mbrownnyc
@NReilingh : 현상금을 게시했습니다. 알아낼 수 있습니까?
charleswj81
@ charleswj81 당신의 대답은 내가 찾던 것과 정확히 일치했습니다! 그냥 앉을 시간을 찾아야했습니다. 내가 지금 주목하고있는 것은 컴퓨터 계정 관리 제어판과 서버 관리자의 게스트 계정 목록이 항상 활성화 여부와 동기화되어있는 것은 아니라는 것입니다. 이제 익명 및 비밀번호 연결에 대해 테스트 할 세 가지 변수가 있습니다. "비밀번호 보호 공유"설정 또는 해제, 서버 관리자의 게스트 계정 활성화 또는 비활성화, 제어판의 게스트 계정 활성화 또는 비활성화.
NReilingh

답변:

11

이것은 정말로 나의 관심을 끌었다. 실험실에서 찾은 것과 동일한 패턴의 결과로 결과를 복제 할 수있었습니다. 나는 Procmon을 사용하여 변경 사항이 무엇인지 확인하고 다음을 볼 때까지 거의 포기했습니다.

procmon 손님 계정 수정

lsass.exe (Local Security Authority)가 로컬 SAM에 쓰고 내장 게스트 계정 (잘 알려진 RID 501)을 변경하는 것을 보여줍니다. 게스트 계정의 상태를 보면서 시나리오를 다시 테스트했을 때 "비밀번호 보호 공유"가 비활성화되면 활성화 된 것으로 보입니다. 그러나 "암호로 보호 된 공유"를 다시 활성화하면 게스트 계정이 다시 비활성화되지 않습니다. 게스트 계정을 수동으로 비활성화하면 원래 기능이 복원됩니다. 자격 증명을 묻는 메시지가 나타납니다 (예 : 세 번째 경우).

왜 이것이 이렇게 동작하는지 잘 모르겠습니다. 솔직히 말해서, 나는 오늘 전에 "암호로 보호 된 공유"설정을 토글 한 적이 없었습니다. 이것이 귀하의 프로젝트에 도움이되기를 바랍니다. 다른 사람이 더 파기를 원한다면이 동작이 여전히 Server 2012/2012 R2에 있는지 아는 것이 흥미로울 것입니다 ...

오 그리고 당신의 원래 질문 (디자인에 의한 것입니까, 아니면 버그입니까?)에 대해, 나는 조금도 생각하지 않았습니다 ...

찰스 지 81
소스
이것이 올바른지 확인할 수 있습니다. 오늘 일찍 W2K8 서버를 새로 설치해야했으며 도메인에 가입하기 전에이를 복제 할 수있었습니다. Guest 계정은 수동으로 비활성화해야합니다. 이것이 완료되면 동작은 정상적인 것으로 간주됩니다. 시간 초과 후 사용자에게 서버 관점에서 올바른 자격 증명을 제공하라는 메시지가 표시됩니다. (PS : 블러디 타임 아웃이 왜 그렇게 긴지 이해하지 못했습니다. 타임 아웃 기간 동안 원래 자격 증명이 마술처럼 유효하게되는 것 같지 않습니다. 따라서 왜 대기합니까?)
Tonny
2

귀하의 질문을 올바르게 이해했다면 공유 자격 증명이 자격 증명 관리자의 제어판 아래에 저장됩니다.

인증 대화 상자를 표시하려면 자격 증명 관리자에서 해당 공유와 관련된 자격 증명을 삭제하면됩니다.

'내 자격 증명 기억'을 확인하면 일반적으로 자격 증명 관리자에 저장되며이 암호가 틀리면 로그온 실패 오류가 표시됩니다.

콜드 T
소스
그렇습니다. 캐시 된 자격 증명이없는 새로운 클라이언트 시스템에서 세 가지 사례를 모두 테스트했습니다. (이 경우, 입력 한 모든 자격 증명 나는 액세스 권한을 부여했을 것이다.) 내가 한 유일한 시간 지금 은 "암호로 보호 된 공유는"터치되지 않은 경우이 인증 대화 상자를 볼 수있다.
NReilingh
프롬프트가 표시되었지만 원하지 않는 반대 문제 (여기 : serverfault.com/q/619027/175650 )가 있습니다. 잘못된 자격 증명이 저장되었다는 사실이 밝혀졌으며 귀하의 게시물이 올바른 삭제 방향을 지적하여 문제를 해결했습니다. 감사!
SenorAmor
0

도움이되지는 않지만 도움이 될 수 있습니다. 사용자가 공유에 액세스 할 수없는 전화가 자주 있으며 (이전 비밀번호는 Windows에 의해 캐시 됨)이 작업을 수행합니다.

순 사용 * / D

ETL
소스
질문에서 말했듯이 클라이언트를 제어했습니다. 각 테스트마다 새로운 시스템을 사용했기 때문에 자격 증명을 캐싱 할 위험이 없었습니다.
NReilingh
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.