ตามค่าเริ่มต้น เมื่อผู้ใช้พยายามเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันบนเครือข่ายบนเซิร์ฟเวอร์ที่เข้าร่วมโดเมน Active Directory จากคอมพิวเตอร์ในเวิร์กกรุ๊ป พร้อมท์ให้ป้อนข้อมูลประจำตัวของบัญชีโดเมนจะปรากฏขึ้น มาพิจารณาวิธีเปิดใช้งานการเข้าถึงโฟลเดอร์หรือเครื่องพิมพ์ที่แชร์โดยไม่ผ่านการตรวจสอบสิทธิ์ (แบบไม่ระบุตัวตน) บนเซิร์ฟเวอร์โดเมนจากคอมพิวเตอร์เวิร์กกรุ๊ปใน Windows 10 / Windows Server 2016
จากมุมมองด้านความปลอดภัย ไม่แนะนำให้เปิดใช้งานการเข้าถึงเครือข่ายแบบไม่ระบุชื่อสำหรับบัญชีผู้เยี่ยมชม ยิ่งกว่านั้นคุณไม่ควรทำเช่นนี้กับ AD Domain Controllers ดังนั้น ก่อนที่จะเปิดใช้งานการเข้าถึงแบบไม่ระบุชื่อ ให้ลองใช้วิธีที่ถูกต้องมากขึ้น – เข้าร่วมคอมพิวเตอร์เวิร์กกรุ๊ปกับโดเมนของคุณ หรือสร้างบัญชีโดเมนสำหรับผู้ใช้ทั้งหมดในเวิร์กกรุ๊ป
นโยบายกลุ่มการเข้าถึงแบบไม่ระบุชื่อในเครื่อง
เปิดตัวแก้ไขนโยบายกลุ่มภายใน (gpedit.msc) บนเซิร์ฟเวอร์/คอมพิวเตอร์ ซึ่งคุณต้องการเปิดใช้งานการเข้าถึงแบบไม่ระบุชื่อ
ไปที่ส่วน GPO ต่อไปนี้:การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย . กำหนดค่านโยบายต่อไปนี้:
- บัญชี:สถานะบัญชีแขก: เปิดใช้งาน
- การเข้าถึงเครือข่าย:ให้สิทธิ์ทุกคนมีผลกับผู้ใช้ที่ไม่ระบุชื่อ: เปิดใช้งาน
- การเข้าถึงเครือข่าย:ไม่อนุญาตให้มีการนับบัญชี SAM และการแชร์แบบไม่ระบุตัวตน: พิการ
เพื่อความปลอดภัย ตรวจสอบให้แน่ใจว่า Guest มีการระบุบัญชีใน ปฏิเสธการเข้าสู่ระบบในเครื่อง นโยบายภายใต้ นโยบายท้องถิ่น -> การกำหนดสิทธิ์ผู้ใช้ .
จากนั้นตรวจสอบให้แน่ใจว่า แขก ยังระบุไว้ใน เข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย นโยบายในส่วนเดียวกัน และ ปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย นโยบายไม่ควรมี Guest เป็นมูลค่า.
ตรวจสอบให้แน่ใจด้วยว่าเปิดใช้งานการแชร์โฟลเดอร์เครือข่ายใน Windows ( การตั้งค่า -> เครือข่ายและอินเทอร์เน็ต -> อีเธอร์เน็ต -> เปลี่ยนตัวเลือกการแชร์ขั้นสูง) . ใน ทุกเครือข่าย ให้เลือกตัวเลือก เปิดการแชร์ เพื่อให้ทุกคนที่สามารถเข้าถึงเครือข่ายสามารถอ่านและเขียนไฟล์ในโฟลเดอร์สาธารณะ และ ปิดการแชร์ที่ป้องกันด้วยรหัสผ่าน หากคุณเชื่อถืออุปกรณ์ทั้งหมดในเครือข่ายของคุณ (ดูบทความ “ไม่เห็นคอมพิวเตอร์ในเครือข่ายของฉัน”)
อนุญาตให้เข้าถึงโฟลเดอร์ที่ใช้ร่วมกันบน Windows โดยไม่ระบุชื่อ
จากนั้นคุณต้องกำหนดค่าการอนุญาตเพื่อเข้าถึงโฟลเดอร์เครือข่ายที่คุณต้องการแชร์ เปิดคุณสมบัติของโฟลเดอร์ไปที่ ความปลอดภัย และตรวจสอบสิทธิ์ NTFS ของโฟลเดอร์ปัจจุบัน กด แก้ไข -> และกำหนดสิทธิ์ในการอ่าน (และแก้ไขหากจำเป็น) ให้กับ ทุกคน กลุ่มท้องถิ่น ในการดำเนินการ ให้คลิกแก้ไข -> เพิ่ม -> ทุกคน และเลือกสิทธิ์การเข้าถึงโฟลเดอร์สำหรับผู้ใช้ที่ไม่ระบุชื่อ ฉันให้สิทธิ์แบบอ่านอย่างเดียวแล้ว
ในแท็บการแชร์ ให้ผู้ใช้ที่ไม่ระบุชื่อสามารถเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันได้ (แชร์ -> การตั้งค่าขั้นสูง -> สิทธิ์) ตรวจสอบให้แน่ใจว่าทุกคน กลุ่มมี เปลี่ยนแปลง และ อ่าน สิทธิ์
ในนโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย ส่วนของ Local Group Policy Editor เปิดใช้งานนโยบาย การเข้าถึงเครือข่าย:การแชร์ที่สามารถเข้าถึงได้โดยไม่ระบุชื่อ . ที่นี่ คุณต้องระบุชื่อโฟลเดอร์ที่ใช้ร่วมกันที่คุณต้องการเปิดใช้งานการเข้าถึงแบบไม่ระบุชื่อ (ในตัวอย่างของฉัน คือโฟลเดอร์ Share1, Distr และ Docs)
จะเปิดใช้งานการเข้าถึงเครื่องพิมพ์ที่ใช้ร่วมกันโดยไม่ระบุชื่อได้อย่างไร
ในการเปิดใช้งานการเข้าถึงแบบไม่ระบุชื่อไปยังเครื่องพิมพ์ที่ใช้ร่วมกันบนคอมพิวเตอร์ของคุณ ให้เปิดคุณสมบัติเครื่องพิมพ์ที่ใช้ร่วมกันในแผงควบคุม -> ฮาร์ดแวร์และเสียง -> อุปกรณ์และเครื่องพิมพ์ ตรวจสอบตัวเลือก แสดงผลงานพิมพ์บนคอมพิวเตอร์ไคลเอนต์ บนแท็บการแบ่งปัน
จากนั้นตรวจสอบการอนุญาตทั้งหมดสำหรับทุกคน กลุ่มบนเครื่องพิมพ์ ความปลอดภัย แท็บ
หลังจากนั้น คุณจะสามารถเชื่อมต่อกับโฟลเดอร์ที่ใช้ร่วมกันของคุณ (\\server-name\sharedfolder) และเครื่องพิมพ์บนคอมพิวเตอร์โดเมน/เซิร์ฟเวอร์จากคอมพิวเตอร์เวิร์กกรุ๊ปโดยไม่ต้องป้อนข้อมูลประจำตัวของคุณ เช่น อี โดยไม่ระบุชื่อ
ใน Windows 10 1709 หรือใหม่กว่าการเข้าถึงเครือข่ายไปยังโฟลเดอร์ที่ใช้ร่วมกันบนโปรโตคอล SMBv2 ภายใต้บัญชีผู้เยี่ยมชมจะถูกจำกัดโดยค่าเริ่มต้น และคุณสามารถเห็นข้อผิดพลาดต่อไปนี้:'คุณไม่สามารถเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันนี้ได้เนื่องจากนโยบายความปลอดภัยขององค์กรของคุณบล็อกการเข้าถึงของผู้เยี่ยมชมที่ไม่ได้รับอนุญาต '. ดูบทความนี้