Theo mặc định, khi người dùng cố gắng truy cập vào thư mục chia sẻ mạng trên máy chủ được tham gia vào miền Active Directory từ máy tính nhóm làm việc, lời nhắc nhập thông tin đăng nhập tài khoản miền sẽ xuất hiện. Hãy xem xét cách bật quyền truy cập chưa xác thực (ẩn danh) vào các thư mục hoặc máy in được chia sẻ trên máy chủ miền từ máy tính nhóm làm việc trong Windows 10 / Windows Server 2016.
Chính sách nhóm truy cập ẩn danh cục bộ
Mở Local Group Policy Editor (gpedit.msc) trên máy chủ / máy tính mà bạn muốn cho phép truy cập ẩn danh.
Đi tới phần GPO sau: Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật . Định cấu hình các chính sách sau:
- Tài khoản:Trạng thái Tài khoản Khách: Đã bật
- Quyền truy cập mạng:Cho phép mọi người quyền áp dụng cho người dùng ẩn danh: Đã bật
- Truy cập mạng:Không cho phép liệt kê ẩn danh các tài khoản SAM và chia sẻ: Đã tắt
Vì lý do bảo mật, hãy đảm bảo rằng Khách tài khoản được chỉ định trong Từ chối đăng nhập cục bộ chính sách theo Chính sách địa phương -> Chuyển nhượng quyền của người dùng .
Sau đó, hãy đảm bảo rằng Khách cũng được chỉ định trong phần Truy cập máy tính này từ mạng trong cùng một phần và Từ chối quyền truy cập vào máy tính này từ mạng chính sách không được có Khách như giá trị.
Đồng thời đảm bảo rằng chia sẻ thư mục mạng được bật trong Windows ( Cài đặt -> Mạng &Internet -> Ethernet -> Thay đổi tùy chọn chia sẻ nâng cao) . Trong Tất cả các mạng , chọn các tùy chọn Bật chia sẻ để bất kỳ ai có quyền truy cập mạng đều có thể đọc và ghi tệp trong thư mục Công khai và Tắt chia sẻ được bảo vệ bằng mật khẩu nếu bạn tin tưởng tất cả các thiết bị trong mạng của mình (tham khảo bài viết “Không thể xem máy tính trên mạng của tôi”.)
Cho phép Truy cập Ẩn danh vào Thư mục Chia sẻ trên Windows
Sau đó, bạn phải cấu hình quyền truy cập vào thư mục mạng mà bạn muốn chia sẻ. Mở thuộc tính thư mục, truy cập Bảo mật và kiểm tra quyền NTFS của thư mục hiện tại. Nhấn Chỉnh sửa -> và chỉ định quyền Đọc (và Sửa đổi nếu cần) cho Mọi người Nhóm địa phương. Để thực hiện, hãy nhấp vào Chỉnh sửa -> Thêm -> Mọi người và chọn đặc quyền truy cập thư mục cho người dùng ẩn danh. Tôi đã cấp quyền chỉ đọc.
Trong tab Chia sẻ, cho phép người dùng ẩn danh truy cập vào thư mục được chia sẻ (Chia sẻ -> Cài đặt Nâng cao -> Quyền). Đảm bảo rằng Mọi người nhóm có Thay đổi và Đọc quyền.
Trong Chính sách cục bộ -> Tùy chọn bảo mật phần Local Group Policy Editor bật chính sách Truy cập mạng:Các chia sẻ có thể được truy cập ẩn danh . Tại đây, bạn phải chỉ định tên thư mục chia sẻ mà bạn muốn cho phép truy cập ẩn danh (trong ví dụ của tôi, đó là thư mục Share1, Distr và Docs).
Làm cách nào để Bật quyền truy cập ẩn danh vào máy in dùng chung?
Để cho phép truy cập ẩn danh vào máy in được chia sẻ trên máy tính của bạn, hãy mở thuộc tính máy in được chia sẻ trong Bảng điều khiển -> Phần cứng và Âm thanh -> Thiết bị và Máy in. Kiểm tra các tùy chọn Kết xuất lệnh in trên máy tính khách trên tab Chia sẻ.
Sau đó, kiểm tra tất cả các quyền cho Mọi người nhóm trên máy in Bảo mật tab.
Sau đó, bạn sẽ có thể kết nối với thư mục được chia sẻ của mình (\\ server-name \ sharedfolder) và máy in trên máy tính / máy chủ miền từ các máy tính của nhóm làm việc mà không cần nhập thông tin đăng nhập của bạn, i. e. ẩn danh.
Trong Windows 10 1709 hoặc mạng mới hơn, quyền truy cập vào thư mục chia sẻ qua giao thức SMBv2 trong tài khoản khách bị hạn chế theo mặc định và bạn có thể thấy lỗi sau:'Bạn không thể truy cập thư mục chia sẻ này vì chính sách bảo mật của tổ chức bạn chặn quyền truy cập của khách chưa được xác thực '. Xem bài viết này.