- fileserver1(server2012)加入域 1 并托管一个名为 share1 的共享文件夹
- share1 的共享和安全权限设置为“所有人”(完全控制)。
- 计算机 1(win11)已加入域 2,并使用当地的用户,名为user1。
user1 想要访问 share1 但会出现密码提示,并且必须使用 domain1 凭据才能访问共享。
用户 1 是否可以直接访问 share1,而不使用任何凭据?
答案1
用户 1 是否可以直接访问 share1,而不使用任何凭据?
不可以。即使“所有人”也仅限于经过身份验证的用户 - 即使同一个域 1 中的客户端(使用他们的域帐户)也通过 Kerberos 使用他们的隐式域凭据访问共享,而不是“无凭据”。
无论计算机的域成员身份如何,本地帐户都默认通过 NTLM 发送其本地凭据 - 如果服务器也有相应的本地帐户,则会接受这些凭据。如果服务器上没有匹配的帐户,则客户端必须指定一些可用的自定义凭据。
(本地帐户能出现提示时指定域凭据 - 您可以为此目的在 domain1 上创建一个帐户。如果您将用户名指定为user@REALM
,它甚至会使用 Kerberos。)
答案2
访问 Windows 中的共享需要两组凭据:
- 共享权限
- 文件夹权限。
您已设置共享权限为“所有人”(完全控制),因此第一个要求得到满足,并且 user1 被允许尝试访问底层文件夹。
但是,文件服务器不知道 computer1 上的 user1 帐户,因此要求 user1 使用文件服务器已知的帐户来验证身份。一旦验证成功,服务器就可以评估指定帐户是否具有该文件夹的权限以及具有哪些权限。
这种双重权限系统是 Windows 下共享工作的正常方式。