我最近感兴趣的是允许客户帐户networking访问与我正在进行的研究项目相关。
这是在Windows服务器操作系统上。
哗众取宠真是太神奇了……人们吓坏了,说这是多么不安全,以及如何不pipe我的需要或想要怎样才能有更好的方式。
显然这是一个坏主意,在任何情况下都不应该问这个问题。
这似乎是FUD
环顾networking,当其他人问起周围的解决scheme时,是build立一个有限的用户帐户。 现在,这似乎是一个更糟糕的解决scheme。
如果无论出于何种原因(有很多,试图回答某个特定的原因并不能帮助任何人,也不会帮助社区),有人决定在服务器操作系统上有匿名访问的访客帐户,是不是他们使用build立在客人帐户?
为完全相同的目的而创build的有限帐户将以完全相同的方式使用,但内置的来宾帐户已被locking到更大的程度。 事实上,使用内置的访客帐户与networking访问似乎比为同一目的创build一个有限的帐户更安全。
那么,为什么要为被认为不安全的内置访客帐户启用networking访问,为什么会引起这样的恐慌和FUD?
编辑:为了清楚我指的是login时,来宾帐户启动从机器的networking连接,而不是使用来宾帐户远程访问任何东西
来宾帐户的目的是控制对某些操作系统设施的匿名访问。 如果我想允许匿名访问SMB分享,我将启用Guest帐户,
启用该帐户可以更改操作系统的行为。 来宾是一个用户帐户,但其启用/禁用状态充当一个标志,说:“嘿,当这个帐户启用允许任何人有任何凭据作为这个上下文进行身份validation。
“FUD”来自微软历史上对安全性的不良处理,并且允许匿名用户在OS的较早版本中进行不必要的广泛访问。 尽pipeWindows Server 2003和更新版本的Windows在这方面做得比较好,但这个社区还是有些不好意思。
在我看来,使用操作系统内置的Guest帐户来达到预期目的没有任何问题。
我个人倾向于反对使用匿名SMB文件共享。 我会导出你想要与HTTP共享的文件,或者,如果他们需要读/写WebDAV。 我倾向于认为启用匿名访问的可写入文件夹是不负责任的。
编辑:
如果您希望“访客”通过Windows服务器操作系统(W2K3和W2K8口味)中的SMB访问共享文件夹,则您需要:
“Users”和“Authenticated Users”内置组不包含“Guest”(虽然“Everyone”),所以大多数默认文件夹ACL将不允许访客访问。 我会明确地添加“客人”,而不是“所有人”,以便视觉上非常清楚我允许“访客”访问此文件夹。 (你不必使用“Guests”组,但是一般情况下最好是使用权限组而不是个人用户。当你join域名时,请注意“DOMAIN \ Domain Guests”嵌套在你的域名计算机的本地“客人”组)。