Acesso de leitura a todos os compartilhamentos em um controlador de domínio, por quê?

Outra coisa a mencionar é que o serviço de servidor do Windows não se preocupa com a participação no domínio quando os compartilhamentos são acessados. Desde que o nome de usuário e a senha de um usuário autorizado sejam fornecidos, o acesso é concedido.

O nome de usuário / senha pode ser fornecido explicitamente ao tentar acessar um compartilhamento via GUI ou mapear uma unidade através do comando "net use" ou implicitamente via uma troca NTLMv2 automatizada se o nome de usuário local e a senha do Windows XP local atual usuário acontece para coincidir com um usuário válido no servidor.

Depende do que exatamente você quer dizer com "apenas visível"; o ato de navegar em um computador é diferente de ter permissão para acessar suas ações, seja somente leitura ou sob controle total.

Com isso em mente, há três níveis de segurança em um compartilhamento: navegação, acesso de leitura e controle total.

Verifique o aplicativo da política de grupo (instale e use o GPMC, ele supera o antigo sistema de milhas por uma milha e meia), verifique toda a árvore DACL de cima para baixo para a localização física do seu compartilhamento e verifique a aplicação e inclusão exatas de todos os usuários e grupos que têm acesso ao compartilhamento (não ao local físico).

A menos que você queira, como você disse, impedir que as pessoas acessem um compartilhamento, o compartilhamento de acesso normalmente deve ser deixado em Everybody - Full Control; o controle de acesso real é melhor feito através do sistema de arquivos.