Компьютер без проверки подлинности на доменном компьютере для использования общих ресурсов SMB / CIFS

5045
Adambean

Короче говоря : один из моих домашних серверов имеет общий ресурс под названием « Профили », в котором у каждого здесь есть своя папка (доступ к которой у них есть только), которую они могут использовать для синхронизации или резервного копирования своего профиля Windows, наряду с другими личными файлами. они хотят, чтобы резервная копия на другом компьютере была мгновенно доступна или синхронизирована при необходимости. Пользователи могут в значительной степени использовать свою личную папку в этом общем ресурсе по своему усмотрению, так как она находится на диске с несколькими ТБ.

Однако есть компьютер, не входящий в домен, поскольку он работает под управлением Windows XP Home. Это не мой компьютер, поэтому я не могу менять ОС, однако мне бы хотелось, чтобы он имел доступ к общим ресурсам SMB / CIFS, хранящимся на этом сервере, с целью резервного копирования его личных файлов (или, в идеале, везде в домене)., При попытке использовать общий ресурс в домене всегда происходит сбой, даже если пользователь существует в активном каталоге с правильным паролем, совпадающим с паролем локального пользователя на компьютере, не являющемся членом.

До того, как я использовал Active Directory в домашних условиях, пользователи могли прозрачно проходить проверку подлинности на других компьютерах с помощью трюка «создать пользователя с одним и тем же паролем на нескольких компьютерах». Это больше не работает с момента прибытия Active Directory.

Я также пробовал сопоставлять общие ресурсы как буквы дисков, используя «Вход в систему под другим именем», указав различные компьютеры, такие как имя компьютера сервера, имя домена NetBIOS и DNS-имя домена перед именем пользователя как «\», но ни один Работа.

2

2 ответа на вопрос

1
Adambean

Оказывается, в домене была политика использования только NTLMv2 (как и следовало ожидать для обеспечения более высокой безопасности), из которых Windows XP не будет использовать по умолчанию. Мне пришлось внести следующие изменения в реестр на компьютере, не являющемся членом, чтобы использовать NTLMv2. Локальная политика безопасности недоступна для внесения этого изменения, так как это домашняя версия Windows XP.

Путь к реестру: HKLM \ System \ CurrentControlSet \ Control \ Lsa Имя параметра: LmCompatibilityLevel

Значение по умолчанию: 0 (клиенты используют аутентификацию LM и NTLM, но они никогда не используют безопасность сеанса NTLMv2. Контроллеры домена принимают аутентификацию LM, NTLM и NTLMv2.)

Обязательное значение: 5 (Клиенты используют только аутентификацию NTLMv2, и они используют безопасность сеанса NTLMv2, если сервер поддерживает это. Контроллер домена отклоняет ответы аутентификации LM и NTLM, но принимает NTLMv2.)

Подробнее об этой настройке

Компьютер, не являющийся членом, теперь мгновенно получает доступ к общим ресурсам SMB / CIFS в домене, используя классический прием «создать того же локального пользователя в домене с тем же паролем».

1
STTR

Поведение хранимых имен пользователей и паролей

ОТНОСИТСЯ К

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional

Похожие вопросы