我是如何让这个 Windows 共享提示登录的？

Question

或者：“这是一个东西吗？我如何检查它是否存在？”

在没有域控制器的环境中，当从服务器上没有匹配用户帐户的远程计算机访问 Windows Server 2008 R2 机器上的共享时，（并通过\\SERVERNAME\ShareName从“开始”菜单键入内容进行连接）我目前观察到以下行为基于在“密码保护共享”设置（高级共享设置）上：

当“密码保护共享”打开时，所有尝试的连接在最多 30 秒后失败，并显示：

登录失败：用户没有被授予在这台计算机上请求的登录类型。

关闭“密码保护共享”后，允许连接到匿名可访问共享，而权限限制共享失败：

您无权访问 \SERVERNAME\ShareName。请联系您的网络管理员以请求访问。

这似乎是预期的行为。我需要匿名登录可以访问某些共享，因此我必须将此设置从默认更改为off。

然而，这里还有第三种情况。（哇哦？）

如果您在未修改此设置的情况下尝试连接到共享（即，它设置为打开但您从未单击过它），则连接的行为类似于上述打开情况，因为最多需要 30 秒才能显示一个响应，然后它显示一个身份验证对话框：

在我的头撞墙几天后，我有这种预感，只是在没有现有共享的服务器上复制它：创建非读取共享，尝试连接并获取对话框，更改设置，连接成功，更改设置back，并得到不同的错误信息。（在新的客户端系统上测试了所有这些，所以没有缓存的风险。）

重申：我已经控制了客户端系统。这似乎完全与服务器有关。

因此，我很清楚更改“密码保护共享”设置在幕后改变了不止一件事（注册表项？我是 Mac 本地人），并且系统附带的默认设置并不完全匹配设置反映在控制面板中（或者控制面板本身坏了，应该改变更多的东西）。

所以问题是：这是设计使然，还是错误？在这两种情况下，正在更改或保持不变的“隐藏设置”是什么？如何追踪呢？我要测试的新服务器用完了。:-(

Answer 1

这真的引起了我的兴趣。我能够在我的实验室中以您描述的相同结果模式复制您的发现。我使用 Procmon 来尝试查看进行了哪些更改并几乎放弃，直到我看到以下内容：

这显示 lsass.exe（本地安全机构）写入本地 SAM 并对内置来宾帐户（众所周知的 RID 501）进行更改。果然，当我在查看访客帐户状态的同时重新测试您的场景时，我看到它在禁用“密码保护共享”时启用。但是，当重新启用“密码保护共享”时，不会再次禁用访客帐户。手动禁用来宾帐户可恢复原始功能：系统提示我输入凭据（即您的第三种情况）。

我不确定为什么会这样。老实说，在今天之前，我什至从未切换过“密码保护共享”设置（就此而言，甚至没有注意到它）。我希望这对您的项目有所帮助。如果其他人有兴趣进一步挖掘，那么了解这种行为是否仍然存在于 Server 2012/2012 R2 上会很有趣...

哦，对于您最初的问题（这是设计使然还是错误？），我没有任何想法......