«Microsoft Windows XP Professional: документация Resource Kit» показана в
Часть II, глава 6:

Простой обмен и ForceGuest

Когда компьютер под управлением Windows XP Professional не присоединен к домену, простая модель общего доступа принципиально отличается от модели, использовавшейся в предыдущих версиях Windows. По умолчанию все пользователи, подключающиеся к таким компьютерам по сети, вынуждены использовать гостевую учетную запись; это называется ForceGuest.

Как работает ForceGuest

На компьютерах под управлением Windows 95 и Windows 98 можно указать общие пароли только для чтения и полного доступа: любой пользователь, подключающийся к общему ресурсу, может ввести соответствующий пароль и получить указанный уровень доступа. Однако эта модель паролей на уровне общих ресурсов небезопасна, поскольку пароли общих ресурсов передаются в виде открытого текста и могут быть перехвачены кем-либо, имеющим физический доступ к сети.

На компьютерах под управлением Windows 2000, не присоединенных к домену, на двух компьютерах должны быть созданы идентичные учетные записи пользователей с совпадающими паролями (для обеспечения прозрачного общего доступа) или пользователь должен ввести имя пользователя и пароль при подключении. Windows 2000 также требует, чтобы вы предоставили разрешения учетной записи пользователя на компьютере, на котором размещается общий ресурс, на общий ресурс, а также на файлы и каталоги, к которым предоставлен общий доступ, или чтобы вы включили гостевую учетную запись. Однако использование гостевой учетной записи может привести к более широкому, чем предполагалось, доступу к общему ресурсу, поскольку группа «Все» (которая разрешает гостевой доступ) широко используется в системных разрешениях по умолчанию.

По умолчанию на компьютерах под управлением Windows XP Professional, не присоединенных к домену, все входящие сетевые подключения принудительно используют гостевую учетную запись. Это означает, что входящее соединение, даже если указаны имя пользователя и пароль, имеет доступ к общему ресурсу только на уровне гостя. Из-за этого либо учетная запись пользователя «Гость», либо группа «Все» (единственная группа, к которой принадлежит учетная запись «Гость») должны иметь разрешения на общий ресурс, а также на общие каталоги и файлы. Это также означает, что, в отличие от Windows 2000, вам не нужно настраивать соответствующие учетные записи пользователей на компьютерах для обмена файлами. Поскольку Windows XP Professional поддерживает анонимные подключения и сильно ограничивает использование группы «Все» в разрешениях файловой системы, предоставление группе «Все» доступа к общим папкам не создает проблемы безопасности, которая возникает на компьютерах под управлением Windows 2000.

ForceGuest включен по умолчанию, но его можно отключить в Windows XP Professional, отключив локальную политику безопасности . Доступ к сети: принудительный вход в сеть с использованием локальных учетных записей для аутентификации в качестве гостя. Напротив, на компьютерах под управлением Windows XP Professional, присоединенных к домену, параметры общего доступа и безопасности по умолчанию такие же, как и в Windows 2000. Аналогичным образом, если параметр политики ForceGuest на компьютере под управлением Windows XP Professional, не присоединенном к домену, отключен, то компьютер ведет себя как в Windows 2000.

Общий доступ к файлам и папкам с помощью простого пользовательского интерфейса общего доступа

Чтобы упростить настройку общего доступа и снизить вероятность неправильной настройки, в Windows XP Professional используется простой пользовательский интерфейс общего доступа. Простой пользовательский интерфейс общего доступа появляется, если ForceGuest включен; традиционные вкладки общего доступа и безопасности отображаются, если ForceGuest отключен.

На компьютерах под управлением Windows XP Professional, которые не присоединены к домену, ForceGuest включен по умолчанию. Чтобы получить доступ к традиционным вкладкам общего доступа и безопасности и управлять разрешениями вручную на этих компьютерах, откройте Проводник Windows или Мой компьютер, щелкните меню Сервис, щелкните Параметры папки, перейдите на вкладку Вид и снимите флажок Использовать простой общий доступ к файлам (рекомендуется). коробка. Обратите внимание, что изменения, сделанные вручную, нельзя отменить с помощью простого пользовательского интерфейса общего доступа, и хотя вы можете внести то, что кажется разумным изменением разрешений, результирующие разрешения могут не работать должным образом, если впоследствии будет включен ForceGuest.

Используя простой пользовательский интерфейс общего доступа, вы можете создать или удалить общий ресурс и установить разрешения для общего ресурса. Когда действует простой общий доступ, для общих файлов и папок автоматически устанавливаются соответствующие разрешения. При использовании простого интерфейса общего доступа добавляются следующие разрешения:

• Поделиться разрешениями
• Права доступа к файлам
• Разрешить другим изменять мои файлы
• Не позволять другим изменять мои файлы

Когда используется модель безопасности только для гостей, на вкладке «Общий доступ» есть только три параметра:

• Расшарьте эту папку в сети. Предоставляет группе «Все» права на чтение папки и ее содержимого.
• Поделиться именем. Имя общего ресурса в сети.
• Разрешить другим пользователям изменять мои файлы. Предоставляет группе «Все» разрешения «Полный доступ» к папкам и разрешения «Изменение» файлов.

Общий доступ к корневому каталогу диска

Вы можете создать общий ресурс в корне системного диска, но простой общий доступ не регулирует права доступа к файлам на таких общих ресурсах. Для общего ресурса, созданного в корне, простой пользовательский интерфейс общего доступа отображается на странице свойств, а общий доступ добавляется в контекстное меню значка системного диска в проводнике Windows. Есть две важные причины, по которым рекомендуется не открывать общий доступ к корневому каталогу системного диска:

• По умолчанию группе «Все» предоставляются только права на чтение в корне системного диска, поэтому общего доступа к корню системного диска недостаточно для большинства задач удаленного администрирования.
• Совместное использование корня системного диска небезопасно — по сути, оно предоставляет любому, кто может подключиться к компьютеру, доступ к информации о конфигурации системы. Для максимальной безопасности рекомендуется предоставлять общий доступ только к папкам в вашем профиле пользователя и только к той информации, к которой вы хотите, чтобы другие имели доступ.

Давайте посмотрим на это поближе.
Я создал на своем диске C: папку «JHTEST». Чтобы можно было посмотреть в свойствах этого
папку вкладку «Безопасность», я должен перезагрузиться и нажать F8-эй (до того, как получить
стартовый экран Windows XP), чтобы перейти в « »,
где вы выбираете загрузку в «Безопасном режиме»:

	При отображении «Свойства» диск или папка (в этом примере C:JHTEST) в « », затем Windows XP Home (и Windows XP Professional с « » включен) отобразит вкладку « », позволяющую просмотреть/изменить параметры безопасности на диске отформатирован в нтфс. По умолчанию группа «Администраторы» имеет «Полный контроль» cacls
	«Ограниченные пользователи» (члены UserGroup «Пользователи») имеют право только на чтение. (как теперь по умолчанию в Windows XP) cacls
	Когда эта папка теперь « » (невозможно в безопасном режиме) с помощью « » (вкладка: Общий доступ, раздел «Общий доступ к сети и безопасность») затем также Настройки безопасности такой папки модифицированы. В этом примере другим пользователям разрешено изменять файлы.
	Процесс «расшаривания» папки также добавил группу пользователей « » в список разрешений, дающий разрешение на чтение/запись/изменение (включая Удалить). cacls

Поскольку использование « » вызывает активацию учетной записи « » и поскольку
« » по умолчанию является членом группы пользователей « », доступ к общим папкам возможен
из сети всеми, независимо от имени пользователя и пароля, используемых на удаленном
система.

Проверка безопасности через «cacls»:
Если вы не хотите загружаться в «Безопасном режиме», вы можете проверить настройки безопасности с помощью
программа командной строки «cacls»:
Безопасность папки C:JHTEST, еще не предоставленной в общий доступ,
отображается через командное окно: «cacls C:jhtest»:

Безопасность папки C:JHTEST, доступ к которой разрешен без разрешения на изменение файлов,
отображается через командное окно: «cacls C:jhtest», предоставляя разрешение «Чтение» (R)
в группу пользователей «Все»:

Безопасность папки C:JHTEST, к которой предоставлен общий доступ с разрешением на изменение файлов,
отображается через командное окно: «cacls C:jhtest», что дает разрешение «Полный доступ» (C)
в группу пользователей «Все»:

Для получения дополнительной информации о « », пожалуйста, используйте информацию онлайн-справки ( )
Отображает или изменяет строки управления доступом (ACL) к файлам
Имя файла CACLS [/T] [/E/ [/C] [/G пользователь:разрешение] [/R пользователь […]] [/P пользователь:разрешение […]] [/D пользователь […]]