Powershell、NAS 访问和权限?问题
Powershell, NAS access & Permissions? issues
我最近 运行 了解 Microsoft here 概述的“SMB2 和 SMB3 中的来宾访问”问题,我正试图了解该问题的全部范围。
据我所知,这只会影响 NAS 访问等,因为域成员计算机上的共享不会作为来宾访问。但是,我在我的 NAS 上有一个帐户,具有匹配的名称和密码,并且权限处理得当。意思是,在没有概述问题的 Windows 构建中,我可以访问用户有权访问的文件夹,而我无法访问用户无权访问的文件夹。这似乎我不是以访客身份访问 NAS,而是使用用户凭据。那么,有人可以解释一下幕后实际发生的事情吗?
另外,我被提醒注意这个问题,因为客户看到了这种行为,而 Microsoft 概述的“修复”对他们不起作用。他们的场景略有不同,因为他们以我不熟悉的方式使用 Azure,基本上是将组策略或至少权限与 Azure 同步。但是上面 Microsoft 的信息 linked 根本没有提到 Azure,所以不确定基于 Azure 的组策略版本能够做什么。
最后,在我的 Windows 10 Enterprise VM 上访问 Synology NAS 时,我不仅失去了对 NAS 的 PowerShell 访问权限,还失去了 Explorer。我收到 link.
中提到的错误
You can't access this shared folder because your organization's
security policies block unauthenticated guest access. These policies
help protect your PC from unsafe or malicious devices on the network.
但对于该客户,问题并未出现在 Explorer 中,仅(据我们所知)出现在 PowerShell 中。在 PowerShell 中,它表现为测试路径在有效路径上失败,我们可以在资源管理器中访问它。这是否表明存在其他问题,我的 Google-Fu 让我误入歧途?
• 你所指的文档基本上是Windows各个版本对SMB 2和SMB 3支持的官方文档。请参考以下 table 以了解整个文档的摘要:-
• 该文档暗示从采用对 SMB 2 和 3 的支持开始,访问远程网络共享的默认访客帐户身份验证不是 possible/is denied 并且在某些情况下,当实际用户凭据输入时,将被授予 作为访客用户的访问权限(对该网络共享的文件具有最少的权限)询问未验证。该文档还指出 table 中上述 Windows 版本不支持 SMB 1。在上面 table 中,某些版本的 Windows 10 需要更新是针对较早前来宾帐户 的规定行为,而某些版本的 Windows 10 在不需要更新的情况下,管理员有权允许来宾用户访问远程网络共享。
• 此外,在各种版本的 Windows 中默认禁用来宾用户登录,因为它们 不支持签名和加密等标准安全功能 因此容易受到 man-in-middle 攻击。因此,如果您想在网络中的所有系统或网络中的部分系统上集中启用不安全的来宾登录,那么您可以通过组策略启用相同功能,如下面 link 中所述: -
以上启用不安全来宾登录的设置是针对 on-premises 环境描述的,而组策略中的相同设置也可以通过 Azure AD 域服务组策略选项在 Azure 中启用或设置。为此,您将需要一个由 Azure AD 域服务管理的 域 和一个作为 DC[=36= 加入它的 Windows 服务器虚拟机] 域环境。有关在 Windows Server VM 中设置组策略管理服务器的更多详细信息,请参阅下面的 link 了解更多详细信息,然后按照上面 link 中所述进行相同的设置。为 Azure AD 托管域启用不安全的来宾登录后,您将不会再遇到同样的问题,然后您将能够使用具有来宾访问权限的 powershell。
我最近 运行 了解 Microsoft here 概述的“SMB2 和 SMB3 中的来宾访问”问题,我正试图了解该问题的全部范围。 据我所知,这只会影响 NAS 访问等,因为域成员计算机上的共享不会作为来宾访问。但是,我在我的 NAS 上有一个帐户,具有匹配的名称和密码,并且权限处理得当。意思是,在没有概述问题的 Windows 构建中,我可以访问用户有权访问的文件夹,而我无法访问用户无权访问的文件夹。这似乎我不是以访客身份访问 NAS,而是使用用户凭据。那么,有人可以解释一下幕后实际发生的事情吗?
另外,我被提醒注意这个问题,因为客户看到了这种行为,而 Microsoft 概述的“修复”对他们不起作用。他们的场景略有不同,因为他们以我不熟悉的方式使用 Azure,基本上是将组策略或至少权限与 Azure 同步。但是上面 Microsoft 的信息 linked 根本没有提到 Azure,所以不确定基于 Azure 的组策略版本能够做什么。
最后,在我的 Windows 10 Enterprise VM 上访问 Synology NAS 时,我不仅失去了对 NAS 的 PowerShell 访问权限,还失去了 Explorer。我收到 link.
中提到的错误You can't access this shared folder because your organization's security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
但对于该客户,问题并未出现在 Explorer 中,仅(据我们所知)出现在 PowerShell 中。在 PowerShell 中,它表现为测试路径在有效路径上失败,我们可以在资源管理器中访问它。这是否表明存在其他问题,我的 Google-Fu 让我误入歧途?
• 你所指的文档基本上是Windows各个版本对SMB 2和SMB 3支持的官方文档。请参考以下 table 以了解整个文档的摘要:-
• 该文档暗示从采用对 SMB 2 和 3 的支持开始,访问远程网络共享的默认访客帐户身份验证不是 possible/is denied 并且在某些情况下,当实际用户凭据输入时,将被授予 作为访客用户的访问权限(对该网络共享的文件具有最少的权限)询问未验证。该文档还指出 table 中上述 Windows 版本不支持 SMB 1。在上面 table 中,某些版本的 Windows 10 需要更新是针对较早前来宾帐户 的规定行为,而某些版本的 Windows 10 在不需要更新的情况下,管理员有权允许来宾用户访问远程网络共享。
• 此外,在各种版本的 Windows 中默认禁用来宾用户登录,因为它们 不支持签名和加密等标准安全功能 因此容易受到 man-in-middle 攻击。因此,如果您想在网络中的所有系统或网络中的部分系统上集中启用不安全的来宾登录,那么您可以通过组策略启用相同功能,如下面 link 中所述: -
以上启用不安全来宾登录的设置是针对 on-premises 环境描述的,而组策略中的相同设置也可以通过 Azure AD 域服务组策略选项在 Azure 中启用或设置。为此,您将需要一个由 Azure AD 域服务管理的 域 和一个作为 DC[=36= 加入它的 Windows 服务器虚拟机] 域环境。有关在 Windows Server VM 中设置组策略管理服务器的更多详细信息,请参阅下面的 link 了解更多详细信息,然后按照上面 link 中所述进行相同的设置。为 Azure AD 托管域启用不安全的来宾登录后,您将不会再遇到同样的问题,然后您将能够使用具有来宾访问权限的 powershell。