将 Windows 共享设为匿名只读的最低权限是多少？

Question

我正处于解决我对 Windows 权限的困惑的漫长而艰巨的过程中，并且很想弄清楚以下内容。

我想提供一个 Windows 共享，这样网络上的任何匿名 Windows 计算机（我们不使用域控制器）都可以键入\\servername\sharename并对其中的文件具有只读访问权限。

我知道的：

• “Everyone”组不包括“匿名”SID。（虽然奇怪的是，那篇文章并不“适用”于 2008 R2 ......）
• 文件本身的权限有两个“级别”（可能不是最好的词）：共享权限和 NTFS 权限。（即共享和存储管理 -> 属性 -> 权限）
• 有一些陷阱约没有域控制器，但用在多台机器相同名字的用户帐户的环境中运行。

我想我知道的：

• “使网络服务可发现”不应影响正确许可共享的可访问性。
• 还必须配置 NTFS 权限才能访问此共享——不仅仅是共享权限！(?)（尽管共享和存储管理声称它们仅适用于本地访问。）
• “Everyone”组不应被排除在访问权限之外，即使它明确引用本地用户帐户，因为以与服务器本地用户相同的用户名登录的客户端计算机将尝试以该用户身份进行身份验证，并被拒绝如果密码不同。( *groan*)

我不知道的：

• 是否存在与缓存凭据或服务器响应有关的问题？每次尝试连接到共享后，我是否应该重新启动我的测试客户端工作站？
• “来宾”帐户是否应该与此有关，无论是共享权限还是 NTFS 权限？
• 我在观察需要配置“匿名登录”与读取权限纠正BOTH共享和NTFS权限？“所有人”组也一样吗？

Answer 1

需要完成三件事才能为“Everyone”组下的匿名用户设置访问权限，这比显式使用“ANONYMOUS LOGON”更清晰：

1. 创建文件共享

• NTFS 权限：为“Everyone”组设置“读取和执行”、“列出文件夹内容”和“读取”
• 共享权限：为“Everyone”组设置“读取”

2、调整本地安全策略

打开“本地安全策略”，导航至安全设置 -> 本地策略 -> 安全选项，然后设置：

• Network access: Let Everyone permissions apply to anonymous users-启用
• Network access: Restrict anonymous access to Named Pipes and Shares-残疾人
• 编辑Network access: Shares that can be accessed anonymously为您创建的共享的名称。（格式不明确，但不包括服务器名称，如果您需要多个服务器名称，则推测这是一个以逗号分隔的列表。）

3.允许无密码访问

• 从控制面板中的“网络和共享中心”或单击目录上的“属性”中的链接（在“密码保护”下）打开“高级共享设置”。
• 将“密码保护共享”设置更改为关闭。

其他注意事项：

• 需要为用户授予 NTFS 和共享级别的权限
• 考虑一下您在以用户名与服务器上的用户名匹配的用户身份登录的计算机上所做的任何测试都是无用的（但无需重新启动真正的测试计算机）