Ограничение доступа по сети без предложения ввести логин и пароль
 

Здравствуйте.
Существует одноранговая архитектура сети (Рабочие группы), состоящая из множества компьютеров. В ней, у двух компьютеров открыт доступ друг-другу к определенным папкам и принтеру по принципу создания на обоих компьютерах учетных записей и настройкой локальной политики.
Однако есть проблема: в сетевом окружении любой пользователь сети может ввести логин (одно из имен созданных учетных записей на двух ПК) и в дальнейшем путем подбора пароля получить доступ к папкам разрешенным общим доступом и безопасностью для данной учетной записи.
Нужно: запретить всем остальным компьютерам сети, на которых не созданы соответствующие учетные записи, вывод окна с предложением ввести логин и пароль для доступа к ПК, т.е. всем остальным должно выдаваться окно «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…» Как это сделать?
Настройки параметров безопасности на данный момент:
- на обоих ПК созданы дополнительные учетные записи с паролем, имена которых соответствуют имени учетной записи другого ПК, с принадлежностью к группе Гости. (Пир этом свои учетные записи на этих ПК - без пароля).
- встроенная учетная запись Гостя (Guest) отключена
- в «Локальные политики-Назначение прав пользователя-Отказ в доступе к компьютеру из сети» оставлены только Администраторы и Опытные пользователи, т.е. кроме группы Гости. (Пробовал добавить Пользователи, но тогда закрывается доступ и для настроенных ПК).
- в «Локальные политики-Назначение прав пользователя-Доступ к компьютеру из сети» оставлены только своя и созданная учетная записи и группа Администраторы.
- в «Локальные политики-Назначение прав пользователя-Отклонить локальный вход» прописаны SUPPORT и Гости.
- в «Локальные политики-Параметры безопасности-Сетевой доступ: модель совместного доступа и безопасность для локальных учетных записей» установлено "Обычная - локальные пользователи удостоверяются как они сами".
- в «Локальные политики-Параметры безопасности-Учетные записи: ограничить использование пустых паролей только для консольного входа» параметр включен.
- в папках общего доступа выставлены параметры безопасности с разрешением только для своей и созданной учетной записи и группы Администраторы.

Прошу помочь в решении данной проблемы.

P.S. Поиск по форуму ответа на данный вопрос не дал. Основополагающие статьи XP пускает к себе юзера когда и Вопросы доступа к ресурсам компьютера по сети, а также многие другие прочитаны, но ответа не найдено.

Пароль, угадываемый подбором - не пароль. А администратор, ставящий такой пароль - не администратор.

Если хотите извращаться, - надеюсь, вам говорит что-нибудь слово "брандмауэр".

Нужно поднять домен, в политике безопасности задать блокировку учётной записи при заданном числе неверных попыток авторизации.

Angry Demon,
Извращения тут не причём, ответ должен крыться где-то на поверхности, как раз таки настоящий профессионал его должен знать, так как вход с некоторых компьютеров, при имеющихся выше настройках, достигает нужного результата, т.е при попытке войти из сети, чужому ПК выдается окно «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…», а вот с других - предлагает ввести логин и пароль.
Вот поэтому и возник вопрос: почему так происходит и как добиться нужного результата во всех случаях?
Кроме того, для чего тогда существует этот способ настройки ограничения доступа по сети с созданием дополнительных учетных записей на всех доверенных ПК? Если с любого компьютера (с любой учетной записью) можно ввести логин и пароль от необходимой учетной записи сети и войти в неё, а при необходимости поставить галочку "запомнить пароль" и иметь доступ всегда.
Iska,
Доменная структура не подходит для данной сети.

Именно причём. Вы путаете цель и средства.

Цель и средства описаны в первом сообщении, которые логично изложены. Наводящие вопросы указаны в четвертом сообщении.
Многое хочется написать на Ваши комментарии по тексту, но это не относится к теме и уж точно не помогут решить поставленный вопрос.
Ещё раз повторю вопросы:
1) Есть ли возможность, если да, то как с помощью учетных записей и настроек локальной политики в одноранговой архитектуре сети (Рабочие группы) добиться ограничения доступа без возможности ввести логин и пароль с компьютеров сети, на которых не созданы соответствующие учетные записи, т.е. всем остальным должно выдаваться окно «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…»
2) Почему и от чего зависит выдача разных сообщений при попытке войти на ПК с разных компьютеров (учетных записей) сети: либо уведомление «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…», либо предложение ввести логин и пароль для доступа, учитывая тот факт, что указанные в первом сообщении настройки параметров безопасности остаются неизменными?

1. Account Lockout домена не требует. Это всё там же, в Local GPO.
2. От устной передачи пароля никакая технология не защитит, примите во внимание.
3. Стандартных технических средств, ограничивающих учётные записи их местонахождением, в рабочей группе не существует. Но вы можете сконфигурировать firewall, чтобы службы File and Printer Sharing компьютера А были доступны только компьютеру Б.
4. Разумеется, при этом безопасность компьютера А в равной степени зависит от безопасности компьютера Б. К А можно будет попасть через Б, если тот слабо защищён.
5. Разные сообщения вызваны таки разными настройками политик или разными проблемами разрешения имени. Предзадать текст сообщения неможно.

Это, в общем-то, костыль. Такие решения нужны для простых задач (т.е. в данном случае - просто дать доступ). Гибкие настройки и допиливания под себя у подобных решения обычно сильно ограничено или отсутствует совсем (как вот сейчас).

Не в обиду остальным, но сообщение WindowsNT первое, которое можно считать конструктивным.
WindowsNT,
1. Согласен. Настроил.
2. Дело, даже не в передаче пароля и его подборе. Мой вопрос по настройке возник после того, как я обнаружил, что на одних компьютерах сети вход полностью запрещен, а на других предлагается ввести логин и пароль. Поэтому ожидал услышать здесь на форуме ответ профессионала в настройках локальной политики. Ведь я не зря очень подробно расписал в первом сообщении имеющиеся мои настройки, потому что, как я подозреваю, данная ситуация в какой-то мере связана с настройками "Отказ в доступе к компьютеру из сети". Так, прописанные мною в этом разделе Администраторы и Опытные пользователи получают отказ в виде стандартного сообщения «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…», а остальные, которым предлагается ввести логин и пароль относятся к другим группам. Однако с другой стороны я сомневаюсь в таком выводе, так как при добавлении в этот раздел группы "Пользователи", не смотря на то, что настроенные между двумя ПК учетные записи относятся к группе "Гости" происходит запрет на общий доступ как к папкам, так и к принтеру. Кроме того, запрет этот выглядит следующим образом: сначала предлагается ввести логин и пароль, но после правильного ввода выводится сообщение «Нет доступа к … Возможно, у Вас нет прав на использование этого сетевого ресурса… Вход в систему не произведен…». Хотя раньше я настраивал этот же раздел с добавлением к имеющимся группам группы "Пользователи" и всё работало. Значит сейчас, что-то не так настроено. А где и почему, не могу понять.
3, 4. С firewall-ом всё понятно, но пока не нужен. Хочу разобраться с имеющимися настройками.
5. В этом я и хочу разобраться: при взаимодействии каких настроек происходит разный доступ. А по поводу текста сообщения, то это стандартное сообщение Windows при отказе в доступе, которое выдается некоторым ПК сети без возможности ввести логин и пароль. Такое же сообщение выдается, когда полностью закрыт доступ из сети для всех.

И тем не менее, для начала хочется услышать ответы на поставленные Пусть даже в виде: "Да", "Нет", "Не знаю". Но подробный ответ всегда предпочтительнее.

Есть другие настройки по ограничению доступа в одноранговой сети?
Значит только настройками локальной политики решить вопрос не получится?

P.S. Ещё раз оговорюсь: главная цель вопроса не состоит в том, что бы любыми путями достичь доступ только конкретным пользователям с жесткой блокировкой всех остальных. Я не параноик. Цель стоит в том, чтобы разобраться в настройках одноранговой архитектуре сети (Рабочие группы) и понять почему имеет место быть разным видам предоставления прав доступа при одних и тех же настройках, и как можно правильно "усилить/обезопасить" ограниченный доступ между пользователями сети путем изменения "локальных политик безопасности".

Только вот они не одни и те же.
А наличие\отсутствие запроса на ввод пароля может быть просто из-за имен учетных записей. Если на "сервере", где папка расшарена, есть допустим пользователь user с паролем 1234, а потом к этой папке пытается законнектится другой пк с учеткой user но паролем 1111 - будет выдан запрос ввести правильный пароль. А если учётка этого компьютера будет называться user1 и на сервере такой учётки нет и гостевой доступ запрещен - вот тогда будет ошибка "доступа нет".

Перепроверил. Да, так и есть.
Получается остались два вопроса:
1) Почему блокируется вход с настроенных ПК при добавление в раздел "Отказ в доступе к компьютеру из сети" группы "Пользователи"? Ведь созданным для входа учетным записям присвоена группа "Гости", которым доступ разрешен и не отказан.
2) Какие ещё существуют или необходимо сделать настройки "локальных политик безопасности", кроме приведенных в первом сообщении, для создания грамотного ограниченного доступа между пользователями сети?

Не знаю что за раздел "отказ в доступе к компьютеру из сети" о котором ты говоришь, но вообще если юзер попадает под оба критерия (доступ есть и доступа нет) - запрет имеет приоритет.Для грамотного контроля доступа нужен домен, а все вот эти танцы - костыль, тут как не пляши - грамотно не получится.

"Панель управления-Администрирование-Локальная политика безопасности-Локальные политики-Назначение прав пользователя-Отказ в доступе к компьютеру из сети"
Созданные учетные записи относятся к группе "Гости", которые прописаны в доступе. В отказе на доступ их нет. Почему их допуск ограничивается при блокировке группы "Пользователи"?

Может у тебя гостевой доступ запрещен.

Доступ разрешён. Без добавления в отказ группы "Пользователи" все работает.

И когда ты добавляешь кого-то в группу "гости" он ведь не состоит одновременно в двух группах: гости и пользователи, верно?

Честно говоря даже не верится что оно так работает... в понедельник на своем сервере попробую.

Да, только в группе Гости