Сетевой доступ к Windows XP Pro

[abram4]

Сетевой доступ к Windows XP Pro. Попытка рассмотреть некоторые из проблем сетевого доступа к расшаренным ресурсам и найти их решение. Из-за повышенной безопасности настройка доступа стала сложнее чем в ранних Windows. А это вызывает ряд вопросов типа "Windows не пускает ..." или "Спрашивают какой-то пароль IPC$ ". Если есть вопросы - обсудим здесь. Есть полезные  дополнения - тащим сюда.

[Bandit]

а собственно вопрос. 95 система не пускает в папку которая расшарена, доступ дан учетной записи администратор. в другие папки допустим если открыть для vasu все нормально.

[abram4]

Можно поподробнее ? Кто кого и куда не пускает ? А то 95 уже подзабыта изрядно. Но, насколько я помню, механизм управления шарами там был вообще никакой.

[SiONYX]

Если я не ошибаюсь, то в XP, в отличие от предудущих версий NT-подобных систем в группу ВСЕ не входит запись Гость. Поэтому, если доступ к папке открыт для ВСЕх, то гость все равно не сможет зайти.

(для связи: sionyx at yandex.ru)

[abram4]

Если я не ошибаюсь, то в XP, в отличие от предудущих версий NT-подобных систем в группу ВСЕ не входит запись Гость. Поэтому, если доступ к папке открыт для ВСЕх, то гость все равно не сможет зайти.

[snapback]1745[/snapback]

SiONYX, спасибо за ценное примечание  Действительно, Гости в группу Все по умолчанию не входят. Насколько я понимаю, это правило записано в реестре в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\everyoneincludesanonymous
Можно включить Гостей в группу Все вручную через Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - Параметры безопасности - Сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям - Включен.
Однако, смысла в этом немного, ИМХО. По крайней мере, для маленьких бездоменных сетей. А вот учитывать, что правила для Всех на Гостя не распространяются, несомненно надо. Еще раз спасибо, SiONYX  

:ps: Я давеча получил еще порцию принципиальных замечаний по статье, так что в плане уже стоит серьезная доработка.

:ps: Эхх ... помог бы кто  

[Guest]

Вопрос!  Есть прога - подключается к базе, которая в свою очередь лежит на отдельном компе. Нужно сделать следующее - дать возможность работать программе в этой базе, но по сети пользователям изменять (удалять, копировать) нельзя было бы.  Система под 2000 НТФС (где лежит база)... Настроил на запретудаления, но как настроить запрет копирования?

Заранее спасибо.

[-=\SeaWolF/=-]

Для незарегистрированного посетителя
чего парится
есть такая команда NET USE
[devicename | *] [\\computername\sharename[\volume] [password | *]]
       [/USER:[domainname\]username]
       [/USER:[dotted domain name\]username]
       [/USER:[username@dotted domain name]
       [/SMARTCARD]
       [/SAVECRED]
       [[/DELETE] | [/PERSISTENT:{YES | NO}]]

NET USE {devicename | *} [password | *] /HOME

NET USE [/PERSISTENT:{YES | NO}]

Если есть доступ на чтение то скопирован сможет по любому
Если давать запрет на чтение то именть файл пользователь не может
Приоритет запрета выше чем доступа (Можешь сам в премишенах посметреть если не веришь)
Однако в некоторых ситуациях прокатывает когда установленно только "запись" - но далеко не всегда... зависит от ПО

Или если программа работает с сетью(сетвая) настроить ее через групповые политики (gpedit.msc) или вообсе создай свою консоль
mmc Думаю это не сложно запустить mmc и где не понятно нажать F1

Есть возможность попробовать программу испольховать как службу (опять не знаю что за ПО) и от этого плясать

Или вообще использовать Сервер Терминалов (Те работать с программой напрямую на сервере)

И еще  я немног о сомневаю насчет 2000
но в 2003 можно сделать просто вот так - выставив особые разрешения

[Guest]

Для незарегистрированного посетителя
чего парится
есть такая команда NET USE
[devicename | *] [\\computername\sharename[\volume] [password | *]]
[/USER:[domainname\]username]
[/USER:[dotted domain name\]username]
[/USER:[username@dotted domain name]
[/SMARTCARD]
[/SAVECRED]
[[/DELETE] | [/PERSISTENT:{YES | NO}]]

NET USE {devicename | *} [password | *] /HOME

NET USE [/PERSISTENT:{YES | NO}]

Я канечно извиняюсь - но вот это вот что?   =)
И что с промощью этого делается?

Пользователи могут быть как зарегиными так и нет (еще не решил)..
Система 2000 prof,
Система пользователя - xp sp2.

Прога не сетевая...х.з какая (ехешник на одном компе - база на другом) работает ...

[Guest]

Ставил эти особые разрешения... не помогают - копирование идет, ну понятно - чтение ведь есть..

[-=\SeaWolF/=-]

ок кажись понял уровень твоего состояния и работы с программой
Особые разрешеня работают с Доменом а в случае Рабочей группы
НТ вообще дырка ходячая.....
Поищи в нете пограмму bat2exe, даже не ищи вот тут возьми http://www.computing.net/dos/wwwboard/forum/9854.html
Настрой для программы место от куда она будет брать БД
убери шару вообще с компа (там где БД)
создай пектный файл
такого плана:

examle.bat

Код Выделить Развернуть


@ECHO OFF
REM Подключаем через скрыте сетевые ресурсы
NET USE Z: \\SERVER\C$\DBDIR /USER:SERVERADMIN ADMINPASS
REM Запускаем программу и ждем ее завершения
START /WAIT PROGRAMM.EXE
REM Удаляем/Закрываем Шару после работы программы
NET USE Z: /DELETE


Далее с помощью программы bat2exe сделай ее екзешником
Ну и запускай не программу а это екзешник

Далее воспользуся чем-то вроде запрета всего кроме пограммы
(подобных утилит тоже полно в сети) либо какойнить кеубоард локер
Для запрета CTRL+ALT+DEL и ALT+TAB, ALT+ESC, ALT+SPASE

[d555]

Прочитал про настройку сетевого доступа, но что то возникли проблемы (http://wiki.compowiki.info/SetevojjDostupKWindowsXPPro2)
Когда отключил учетную запись ГОСТЬ, то пароль все равно не спрашивает.
И открываю доступ и даю права на папки, но все равно доступа нет.
Что может быть...?
Сделал все так, как описанно в данной статье.

И можно ли проверять все это со своего же компа?

[abram4]

d555, а ту статью, с которой топик начинается, тоже прочитал? Там немного по-другому, подлиннее и поподробнее чуток.

И можно ли проверять все это со своего же компа?

[snapback]2283[/snapback]

В общем-то проверить все не получится. Но если комп достаточно мощный, то можно поставить прогу VirtualPC и внутри нее еще один (или больше) виртуальных компов, между которыми организовать сеть и делать все проверки почти как в реале  

З.Ы.
С первым постом на нашем форуме!  

[d555]

abram4 - ту статью я тоже прочитал.
А проверял я с ноута.
У меняя сеть через роутер D-Link DI-604
Почему то все решилось, еще раз перепроверил и все пошло, но только осталось одно НО. Если я с ноута захожу на свой комп(папку), вписываю логин и пароль...все заходит нормально, доступ есть, а вот НО заключается в том, что если я потом закрываю это окно, и потом опять его открываю, то мне уже не надо вводить пароль, а хотелось бы.
Просто на ноуте одна учетная запись, без пароля (ставить его не буду).
И еще, была такая проблемма, что не мог ничего печатать, говорил что нет доступа к принтеру.
Что мне сделать, что-бы при повторном доступе к компу 1, он всегда спрашивал пароль.
И что сделать или прописать что-бы принтер был доступен, даже если я не вводил пароль и логин, для доступа к папкам?
Может на КОМП 1 создать такую же запись ( с именем пользователя и без пароля как на НОУТЕ?), что бы принтер печатал.
КОНФИГУРАЦИЯ:
Комп 1 (Windows XP PRO SP2)
Ноутбук (Windows XP Home)
DI-604
HP LaserJet 1100 (подключен к компу 1)

[abram4]

Почему то все решилось, еще раз перепроверил и все пошло,

[snapback]2355[/snapback]

Ну, уже хорошо

то мне уже не надо вводить пароль, а хотелось бы.
Просто на ноуте одна учетная запись, без пароля (ставить его не буду).
...
Что мне сделать, что-бы при повторном доступе к компу 1, он всегда спрашивал пароль.

[snapback]2355[/snapback]

Вот, самое трудное в таких вещах - это решать нестандартные задачи :D Ну почему бы не поставить пароль и идти по проторенной дорожке? ... нет же, "нормальные герои всегда идут в обход" ©Айболит-66
Теперь придется в политиках паролей разбираться ...

Может на КОМП 1 создать такую же запись ( с именем пользователя и без пароля как на НОУТЕ?), что бы принтер печатал.

[snapback]2355[/snapback]

Я не понял, а что же ты тогда вообще сделал для расшарки? Или ты расшаривал папки ноутбука?

И что сделать или прописать что-бы принтер был доступен, даже если я не вводил пароль и логин, для доступа к папкам?

[snapback]2355[/snapback]

А сам принтер расшарен? И на ноутбуке добавлен? Файрвол какой-нить случаем порт 515 не блокирует? IP адресация статическая (какие адреса?) или раутер через DHCP адреса раздает?

[d555]

Есть общая расшаренная папка, и есть папки для двух пользователей (расшарены на комп 1)
адреса дает DHCP на роутере, но они постоянные
А порт..сейчас посмотрю.

[d555]

порт вроде не блокируется, ведь при общем доступе, ну когда там галочка стоит, он работате, и все нормально

[tankist]

d555, посмотри в свойствах принтера на закладке "безопасность" есть ли там разрешение печатать для группы "Все"

[Delimiter]

После нескольких часов игры с пользователями и групами мне так и не удалось поставить нормальный доступ к компьютерам в рабочей групе тем кому нужно, и запретить всем остальным.. а нужно всего ничего - запретить одному комьпютеру заходить на шары всех остальных, тогда как все остальные свободно заходять на шары каждый к каждому. Исходя из этой статьи http://wiki.compowiki.info/SetevojjDostupKWindowsXPPro2, выходит что на каждом компе нужно дублировать учетные записи юзверей остальных компов, чтобы можно было добавлять ик к доступу к компьютеру из сети... 10 компов - это 10 никому не нужных пользователей на каждом.. шото нет желания этого делать и нет уверенности что это поможет..) впечатление такое, что если на доступ из сети есть гость, тогда есть доступ, причем для всех, если нет, тогда тоступа нет ни для кого... Подскажите, как всетаки поставить доступ кому надо, и можно ли это сделать на уровне пользователей и груп без хитроумных батников и левого софта..?

[abram4]

можно ли это сделать на уровне пользователей и груп без хитроумных батников и левого софта..?

[snapback]2641[/snapback]

Можно, инструмент имеется, остальное  - дело техники. В общем, мне кажется, тут логическую задачу надо решать. На всех десяти компах расписывать 10 учеток я бы тоже не стал. Может, проще создать группу и в нее внести 9  разрешенных компов. Для запрещенного компа создать другую группу и дать ей либо гостевые права, либо еще меньшие, например право только на чтение какой-либо пустой папки . Надо экспериментировать и отработать методику на 2-3 компах, потом решение перенести на остальные.

[Delimiter]

Тогда здесь надо решать логическую задачу устройства винды Как добавить в группу разрешенные компы, если в список членов группы мона добавить только локальные группы или пользователей? Создать на каждом компе одинаковую группу, и добавить туда локальных пользователей? И хрен из этого, если дать этой группе доступ из сети и убрать гостя из доступа, всеравно нет доступа. Почему все так тупо сделано, и почему нельзя несколькими кликами разрешить или запретить доступ тому-то и тому-то, чтоб не перечитывать пол форумов инета, я удивляюси...  :idontno:  :newconfus: