为什么具有对域控制器上所有共享的读取权限?

为什么具有对域控制器上所有共享的读取权限?

我遇到了域控制器的问题。它有几个共享,只有域管理员和用户才能看到。只有这些组才能添加到SharingWindows SecurityXP能够查看这些共享并访问它们。

我在想一个特殊的组策略会导致这种情况。有什么想法吗?

答案1

另外需要指出的是,Windows 服务器服务在访问共享时并不关心域成员身份。只要提供授权用户的用户名和密码,即可授予访问权限。

当尝试通过 GUI 访问共享或通过“net use”命令映射驱动器时,可以明确提供用户名/密码,或者如果当前本地 Windows XP 用户的本地用户名和密码恰好与服务器上的有效用户匹配,则可以通过自动 NTLMv2 交换隐式提供用户名/密码。

答案2

这取决于你所说的“仅可见”的具体含义;浏览计算机的行为不同于被允许访问其共享,无论是只读的还是完全控制的。

考虑到这一点,共享实际上有 3 个安全级别:浏览、读取访问和完全控制。

检查组策略应用程序(安装并使用 GPMC,它比旧的蹩脚系统好很多),验证整个自上而下的 DACL 树以查找共享的物理位置,并检查所有有权访问该共享的用户和组的确切应用程序和包含情况。分享(不是实际位置)。

除非您想像您所说的那样阻止人们浏览共享,否则共享访问通常应保留为每个人 - 完全控制;实际访问控制最好通过文件系统完成。

相关内容