有时候,公司内部为安全起见,客户端计算机在访问服务器或共享文件夹时;都需要输入用户名和密码,尤其对于非域用户。这确实对保障信息安全有很明显的好处,但对某些情形则显得操作特别复杂,例如访问共享打印服务器;这样客户端必须每次都输入用户名和密码。这样我们就需要对此打印服务器做特殊处理,允许匿名访问此服务器。
假设情形:
某大公司网络组织为:一个大域和多个小域,各个域之间没有信任关系,每个域的域策略都设定为不允许匿名访问;除此之外,还有一部分计算机在WorkGroup组中;
公司在大域中新架设了一台打印服务器,且希望整个公司的计算机都可以访问此打印服务器。
这样就存在以下三种情形:
a. 大域内的计算机可以直接访问此打印服务器,无需身份验证
b. 小域内计算机需要身份验证
c. WorkGroup中计算机需要身份验证
对b, c两种情形我们有三种解决方案
a. 对于非大域内的每个用户,在大域内建立域账号;这样用户在身份验证时输入各自的域账号即可
b. 在打印服务器上建立一个公用共享打印账号,用户在身份验证时输入公用共享账号即可
c. 新建一个OU及建立匹配的域策略,将此打印服务器拖入此OU下;修改域策略允许匿名访问;这样用户无需身份验证
a方案很明显在信息保密性上有很大的优势;但对如此多的域账号进行维护,则会大大增加IT Helpdesk成本,公司总要考虑这样的问题。
b方案具有可行性,用户身份验证略有复杂;但如果公司想通过ISO27001或信息安全审核的话,这会成为很大的漏洞,极有可能造成审核不通过;
c方案明显成本最低,影响面最小,在信息安全审核方面也没有大的影响;只不过要做好后续的安全控制,对匿名访问权限的开启要做严格的控制,非特殊原因不能随便开启。
a, b方案就不详细描述了,正常设置即可。下面说一下c方案如何进行设置:
Step1: 打开域控制机器中账号及计算机管理;在管理工具中选择AD账号及计算机管理,或运行中输入dsa.msc
Step2: 新建OU, 命名为EnableAnonymousAccess, 将此打印服务器拖拽入此OU下
Step3: 打开域策略管理工具,或在运行中输入gpmc.msc
Step4: 新建域策略,并进行安全配置
启动Guest账号,
修改访问限制
将“Net Access: Do not allow anonymous enumeration of SAM accounts and shares”设置为disabled
将“Network Access: sharing and security model for local accounts”设置为not Defined 或Guest only-Local user auther…
Step5:将打印服务器强制刷新域策略gp_update/force或重启, 获取最新的AD策略
Step6:非域客户端做连接测试
