На компьютерах, работающих под управлением операционных систем Microsoft® Windows Server® 2008 R2, Windows® 7, Windows Server® 2008, Windows Vista®, Windows Server® 2003 и Windows XP, по умолчанию в группу «Все» больше не входят анонимные пользователи. Это изменение уменьшает количество сетевых ресурсов, доступных по умолчанию анонимным пользователям, и упрощает для сетевых администраторов управление доступом анонимных пользователей.

Применение ограничения анонимного доступа

Заданный по умолчанию отказ доступа для анонимных пользователей упрощает администраторам задачу настройки безопасной системы.

Стандартные списки управления доступом (ACL), которые в предыдущих версиях Windows предоставляли группе «Все» доступ к ресурсам, потенциально подвергая их атаке, после модернизации операционной системы компьютера до операционной системы Windows Windows Server 2008, Windows Vista или более поздней версии больше не предоставляют подобный доступ анонимным пользователям.

Анонимные пользователи не могут случайно получить доступ к ресурсам в отличие от прошлых времен, когда администраторы могли не знать, что анонимные пользователи входят в группу «Все».

Это изменение влияет на анонимных пользователей, пытающихся получить доступ к ресурсам, размещенным на компьютерах, работающих под управлением операционных систем Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP. После обновления операционной системы компьютера с Windows 2000 до любой из указанных выше версий ресурсы со списками управления доступом, предоставляющими доступ всем пользователям (но не группе «Анонимный вход» в явном виде), становятся недоступны анонимным пользователям. В большинстве случаев это правильное ограничение анонимного доступа.

Тем не менее, можно предоставить анонимный доступ к выбранным общим каталогам и файлам, добавляя группу «Анонимный вход» в избирательные списки управления доступом (DACL), защищающие эти ресурсы. Кроме того, группе «Анонимный вход» следует предоставить права пользователя «Обход перекрестной проверки». Для получения дополнительных сведений см. Обход перекрестной проверки для анонимных пользователей.

В некоторых ситуациях может быть трудно определить, к каким ресурсам необходимо предоставить анонимный доступ, или изменить разрешения для всех нужных ресурсов. В этом случае можно настроить Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP так, чтобы разрешить анонимный доступ для группы «Все». Для получения дополнительных сведений см. Разрешение анонимного доступа для группы «Все».

Обход перекрестной проверки для анонимных пользователей

Процедура, описанная в данном разделе, относится к Windows 7 и Windows Vista.

Чтобы обойти перекрестную проверку для анонимных пользователей
  1. Нажмите клавишу Пуск, введите gpedit.msc в поле Начать поиск, а затем нажмите клавишу ВВОД.

  2. В дереве консоли Редактор локальной групповой политики последовательно откройте узлы Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, а затем выберите элемент Назначение прав пользователя.

  3. В области сведений щелкните правой кнопкой мыши Обход перекрестной проверки, а затем щелкните Свойства.

  4. Щелкните Добавить пользователя или группу.

  5. В поле Введите имена выбираемых объектов диалогового окна Выбор: пользователи, компьютеры или группы введите Анонимный вход.

  6. Щелкните Проверка имен, чтобы убедиться в правильности ввода, а затем нажмите кнопку ОК.

    Примечание

    Это действие нельзя выполнить с помощью командной строки.

Разрешение анонимного доступа для группы «Все»

Процедура, описанная в данном разделе, относится к Windows 7 и Windows Vista.

Чтобы разрешить анонимный доступ для группы «Все»
  1. Нажмите клавишу Пуск, введите gpedit.msc в поле Начать поиск, а затем нажмите клавишу ВВОД.

  2. В дереве консоли Редактор локальной групповой политики последовательно откройте узлы Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, а затем выберите элемент Параметры безопасности.

  3. В области сведений щелкните правой кнопкой мыши элемент Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям и выберите пункт Свойства.

  4. Чтобы разрешить использование разрешений группы «Все» для анонимных пользователей, щелкните Разрешен.

    - Или -

    Чтобы запретить использование разрешений группы «Все» для анонимных пользователей, щелкните Отключен.

  5. Нажмите кнопку ОК.

    Примечание

    Это действие нельзя выполнить с помощью командной строки.