É possível que o usuário Guest perca a participação de todos?

Question

É possível que o usuário Guest perca a participação de todos?

#1 resposta do (2 votos)

2

Parece que o usuário "Guest", sob determinadas circunstâncias, está logado sem a participação no grupo "Everyone" Built-in no Windows Server 2003. Eu gostaria de saber mais detalhadamente por que e quando esse pode ser o caso .

Plano de fundo: uma fila de impressora foi configurada em uma máquina Server 2003 que foi configurada para acesso de convidado. A fila da impressora tem um Todos: Imprimir ACE. Em geral, o acesso Convidado parece estar funcionando e os usuários (qualquer usuário) podem imprimir na fila.

Periodicamente (e normalmente apenas por um período de tempo limitado), os usuários que se conectam à fila como Convidado recebem um erro "Acesso negado". A auditoria foi ativada para a fila de impressão específica. O log de segurança mostra que os logins dos usuários são bem-sucedidos (e os rastreamentos de rede mostram conexões bem-sucedidas para IPC $), mas o acesso de impressora subsequente é registrado como uma "Falha de auditoria":

Object Open:
    Object Server:  Spooler
    Object Type:    Printer
    Object Name:    MultiCa_Print
    Handle ID:  10201568
    Operation ID:   -
    Process ID: -
    Image File Name:    928
    Primary User Name:  C:\WINDOWS\system32\spoolsv.exe
    Primary Domain: SERVER1$
    Primary Logon ID:   DRUCKABRECHNUNG
    Client User Name:   (0x0,0x3E7)
    Client Domain:  Gast
    Client Logon ID:    SERVER1
    Accesses:   (0x1,0x6E468485)
    Privileges: DELETE
            READ_CONTROL
            WRITE_DAC
            WRITE_OWNER
            Full Control
            Print

    Restricted Sid Count:   -
    Access Mask:    0

A participação no domínio DRUCKABRECHNUNG (aparentemente uma vez um domínio no estilo Samba NT4) parece estar extinta, pois o nome do domínio não pode ser resolvido para uma lista de CDs, embora eu precise fazer mais pesquisas sobre isso para ser capaz de fazer uma declaração definitiva. A participação no domínio ainda é um pouco de mistério, toda a comunicação entre o servidor de impressão eo DC está indo e voltando é o que parece ser um ciclo interminável de pedidos e respostas NetrLogonSamLogon seriais (pedido - > 110 ms - > resposta - > pedido - > 110 ms - > resposta)

Suspeito que a associação ao domínio seja, pelo menos, um gatilho, se não a causa. O que me interessa é uma explicação plausível de por que as autorizações para a fila de impressão seriam negadas devido aos fatos que

a) as autenticações parecem funcionar como esperado e
b) o grupo "Todos" deve cobrir, bem, todos, incluindo Convidado, em todos os momentos.

windows-server-2003 access-control-list

por the-wabbit 05.06.2014 / 17:52

1 resposta

Tags windows-server-2003 access-control-list

YUM, “patchlevel” e a rua DTAP no redhat / centos Apache: escopo para variáveis ambientais

score 2 · Answer 1

Quando tivemos um problema parecido um tempo atrás (pessoas a quem foi negado acesso a uma fila de impressão à qual o Everyone tinha acesso) e abriram um caso de suporte da Microsoft, [eventualmente] acabamos em isso ser causado pelo grupo Everyone não incluindo Anonymous no Server 2003 e XP .

Eu esqueço precisamente qual foi a falha em nosso caso particular que fez com que alguns de nossos usuários não fossem autenticados, mas o que quer que fosse, a autenticação estava ocorrendo em algum lugar, fazendo com que os usuários fossem tratados como usuários não autenticados ( Anonymous ) e ter seu acesso negado nessa base.

O fato de você ter um domínio extinto, que presumivelmente não pode autenticar os usuários, me faz pensar que a mesma coisa está acontecendo com você. Eles não podem ser autenticados, portanto, estão sendo tratados como usuários não autenticados ( Anonymous ) e não têm acesso nessa base.