หรือ: "นี่คือสิ่งหรือไม่และฉันจะตรวจสอบว่ามันเป็นอย่างไร"

ในสภาพแวดล้อมที่ไม่มี Domain Controllerเมื่อเข้าถึงการแชร์ในกล่อง Windows Server 2008 R2 จากคอมพิวเตอร์ระยะไกลที่ไม่มีบัญชีผู้ใช้ที่ตรงกันบนเซิร์ฟเวอร์ (และการเชื่อมต่อโดยการพิมพ์\\SERVERNAME\ShareNameจากเมนู Start) ปัจจุบันฉันสังเกตพฤติกรรมดังต่อไปนี้ตาม ในการตั้งค่า "การป้องกันด้วยรหัสผ่าน" (การตั้งค่าการแบ่งปันขั้นสูง):

เมื่อ "รหัสผ่านที่ใช้ร่วมกันได้รับการคุ้มครอง" จะถูกเปิดในการเชื่อมต่อทุกความพยายามที่ล้มเหลวหลังจากได้ถึง 30 วินาทีกับ:

การเข้าสู่ระบบล้มเหลว: ผู้ใช้ไม่ได้รับประเภทการเข้าสู่ระบบที่ร้องขอที่คอมพิวเตอร์เครื่องนี้

ด้วย "รหัสผ่านป้องกันร่วมกัน" เปิดปิดการเชื่อมต่อเป็นหุ้นที่ไม่ระบุชื่อที่สามารถเข้าถึงได้รับอนุญาตขณะที่หุ้นที่ได้รับอนุญาตที่ จำกัด ล้มเหลวด้วย:

คุณไม่ได้รับอนุญาตให้เข้าถึง \ SERVERNAME \ ShareName ติดต่อผู้ดูแลระบบเครือข่ายของคุณเพื่อขอการเข้าถึง

สิ่งนี้ดูเหมือนจะเป็นพฤติกรรมที่คาดหวัง ฉันจำเป็นต้องมีหุ้นบางอย่างสามารถเข้าถึงได้โดยการเข้าสู่ระบบที่ไม่ระบุชื่อเพื่อให้ฉันได้เปลี่ยนการตั้งค่านี้จากการเริ่มต้นที่จะออก

อย่างไรก็ตามมีกรณีที่สามอยู่ที่นี่ ( whaaaaat? )

หากคุณพยายามเชื่อมต่อกับการใช้ร่วมกันโดยไม่มีการแก้ไขการตั้งค่านี้ (นั่นคือมันถูกตั้งค่าเป็นเปิดแต่คุณไม่เคยคลิก) การเชื่อมต่อจะทำงานคล้ายกับในกรณีด้านบนซึ่งใช้เวลาถึง 30 วินาทีในการแสดง การตอบกลับแต่จะแสดงกล่องโต้ตอบการตรวจสอบความถูกต้อง :

ฉันมีลางสังหรณ์หลังจากตีหัวกับกำแพงเป็นเวลาสองสามวันและเพิ่งทำซ้ำสิ่งนี้บนเซิร์ฟเวอร์ที่ไม่มีการแชร์ที่มีอยู่: สร้างการแชร์แบบไม่อ่านอ่านลองเชื่อมต่อและรับกล่องโต้ตอบเปลี่ยนการตั้งค่าเชื่อมต่อสำเร็จเปลี่ยนการตั้งค่ากลับมาและได้รับข้อความแสดงข้อผิดพลาดอื่น (ทดสอบสิ่งเหล่านี้ทั้งหมดในระบบไคลเอนต์ที่สดใหม่ดังนั้นจึงไม่มีความเสี่ยงของการแคช)

เพื่อย้ำ: ฉันได้ควบคุมสำหรับระบบไคลเอนต์ สิ่งนี้ดูเหมือนจะเกี่ยวข้องกับเซิร์ฟเวอร์ทั้งหมด

ดังนั้นเป็นที่ชัดเจนสำหรับฉันว่าการเปลี่ยนการตั้งค่า "การป้องกันด้วยรหัสผ่านร่วมกัน" กำลังเปลี่ยนแปลงมากกว่าหนึ่งอย่าง (คีย์รีจิสตรีใช่ไหมฉันเป็น Mac-native) อยู่เบื้องหลังและการตั้งค่าเริ่มต้นที่ระบบจัดส่งมาด้วย ด้วยการตั้งค่าที่แสดงในแผงควบคุม (หรือแผงควบคุมเสียเองและควรเปลี่ยนแปลงสิ่งต่าง ๆ เพิ่มเติม)

ดังนั้นคำถามคือ: นี่คือจากการออกแบบหรือมันเป็นข้อบกพร่อง? และในทั้งสองกรณีอะไรคือ "การตั้งค่าที่ซ่อนอยู่" ที่กำลังถูกเปลี่ยนแปลงหรือไม่เปลี่ยนแปลง? หนึ่งจะติดตามที่ลงได้อย่างไร ฉันหมดเซิร์ฟเวอร์ใหม่เพื่อทดสอบ :-(

นี่ทำให้ฉันสนใจจริงๆ ฉันสามารถทำซ้ำสิ่งที่คุณค้นพบในห้องทดลองของฉันด้วยรูปแบบผลลัพธ์เดียวกันกับที่คุณอธิบาย ฉันใช้ Procmon เพื่อลองดูว่ามีการเปลี่ยนแปลงอะไรบ้างและเกือบจะยอมแพ้จนกว่าฉันจะเห็นสิ่งต่อไปนี้:

ที่แสดง lsass.exe (Local Security Authority) เขียนไปยัง SAM ท้องถิ่นและทำการเปลี่ยนแปลงไปยังบัญชี Guest ภายใน (รู้จัก RID 501) แน่นอนว่าเมื่อฉันทดสอบสถานการณ์ของคุณอีกครั้งในขณะที่ดูสถานะของบัญชี Guest ฉันเห็นว่าเปิดใช้งานเมื่อ "การป้องกันด้วยรหัสผ่านร่วมกัน" ถูกปิดใช้งาน อย่างไรก็ตามเมื่อ "เปิดใช้งานการแบ่งปันด้วยการป้องกันด้วยรหัสผ่าน" บัญชีผู้เยี่ยมชมจะไม่ถูกปิดใช้งานอีกครั้ง ปิดใช้งานบัญชี Guest ด้วยตนเองคืนค่าการทำงานดั้งเดิม: ฉันได้รับการพร้อมท์สำหรับข้อมูลประจำตัว (เช่นกรณีที่สามของคุณ)

ฉันไม่แน่ใจว่าทำไมมันถึงเป็นแบบนี้ ตามจริงแล้วฉันไม่เคยสลับการตั้งค่า "การป้องกันด้วยรหัสผ่านร่วมกัน" ก่อนหน้านี้ในวันนี้ (หรือแม้แต่สังเกตว่าเป็นเรื่องนั้น) ฉันหวังว่านี่จะช่วยได้ในโครงการของคุณ ถ้ามีคนอื่นสนใจขุดเพิ่มเติมมันจะน่าสนใจถ้ารู้ว่าพฤติกรรมนี้ยังคงปรากฏบนเซิร์ฟเวอร์ 2012/2012 R2 ...

โอ้และสำหรับคำถามดั้งเดิมของคุณ (นี่คือจากการออกแบบหรือเป็นข้อผิดพลาดหรือไม่) ฉันไม่ได้คิดเพียงเล็กน้อย ...

หากฉันเข้าใจคำถามของคุณถูกต้องข้อมูลประจำตัวของการแชร์จะถูกบันทึกไว้ในตัวจัดการข้อมูลประจำตัวภายใต้แผงควบคุม

เพื่อให้กล่องโต้ตอบการรับรองความถูกต้องเพียงลบข้อมูลรับรองที่เกี่ยวข้องกับการแบ่งปันนั้นภายใต้ตัวจัดการข้อมูลรับรอง

เมื่อคุณตรวจสอบ 'จดจำข้อมูลประจำตัวของฉัน' มักจะถูกบันทึกไว้ภายใต้ตัวจัดการข้อมูลประจำตัวและถ้ารหัสผ่านนี้ผิดคุณจะเห็นข้อผิดพลาดการเข้าสู่ระบบล้มเหลว

อาจไม่ช่วยคุณ แต่ในกรณีนี้ - ฉันมักจะโทรมาว่าผู้ใช้ของฉันไม่สามารถเข้าถึงการแชร์ได้ (รหัสผ่านเก่าของพวกเขาถูกแคชโดย Windows) และฉันได้ให้พวกเขาทำสิ่งนี้:

ใช้สุทธิ * / D