Странное поведение учетной записи.
 

Есть домен. Файловый сервер (datasever) находится в домене.

Из них есть два, которые имеют пользователя marketing с локальными правами администратора, без пароля. Один в домене, другой нет.
На сервере есть локальная запись marketing, она имеет права группы Users, в домене тоже есть, имеет те же права.

Есть общая папка Users на сервере, доступна для всех, в ней лежит папка master (имя администратора). Права доступа к ней - dataserver\master, domain\master и creator_owner (special permissions). Есть другие папки, закрытые для всех, кроме отдельных пользователей. НО !

с обоих компьютеров безо всяких проблем можно зайти в любые сетевые папки, со всеми правами.

Обнаружив этот симптом - решил не менять, пока не разберусь в чем дело. Ведь всё настроено правильно, правда не мной.

Где может быть проблема?

появилась новая информация :




На сервере делаю папку. Присваиваю ей доступ только встроенной учетки админа (master). Разумеется, пользователь marketing там никоим боком не имеется. Расшариваю, опять же с правами ТОЛЬКО для master'а.

И marketing абсолютно безпроблемно заходит в эту папку с другого компа... Без пароля... Удручающе...

Что значит эта фраза? Объясни нормальным языком.

Объясняю:

На сервере (который в домене) есть папка. Есть встроенная учетная запись администратора (master). Есть локальный пользователь marketing в группе "Пользователи".
Есть компьютер, на котором человек сидит под логином marketing.

Так вот если я ставлю NTFS-права этой папке только master'у, расшариваю её с правами ТОЛЬКО для master'a, то marketing без проблем в неё входит и меняет что хочет.
То же самое с C$ и D$, с другими папками где есть master.

Исходя из этого делаю вывод - на разных ПК имеются локальные учётные записи с пустым паролем и одинаковым именем. Проверка прав происходит не по доменному SID, а используя локальную идетификацию - если не ошибаюсь по имени и соотвествию пароля. Следовательно для твоего сервера локальный пользователь с именем "master" (и правами администратора на сервере) и пустым паролем приравнивается к локальной учётной записи "master" с пустым паролем другого ПК.

Интереса ради можешь им задать сначала одинаковый пароль и проверить права доступа, а затем разный и опять таки проверить. Результаты выкладывай здесь.

xoxmodav
Так оно и есть (я про идентификацию). НО !

Ведь на сервере учетная запись master c паролем, а на локальной машине - marketing без пароля, и при этом он беспрепятственно заходит.

Так исходя из твоих же слов на сервере есть и учётная запись marketing, имеющая административные привилегии и пустой пароль. Поведай нам, как ты задаёшь разрешения на сетевой ресурс.

Вот наглядная иллюстрация что и как:

Может ты сождаешь папку под учетной записью marketing на сервере, а у тебя строят права создателя папки creator_owner (special permissions). Вот и он и пускает пользователя merketing в эту папку.....

babki
НЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕТ )

Я под мастером создаю, и ты прекрасно видишь, что никакого CREATOR_OWNER там нету :)

Давай тогда ещё раз по порядку:

1. Какие локальные пользователи есть на сервере DATASERVER?
2. Какими локальными привилегиями они обладают?
3. Какие локальные пользователи есть на рабочей станции?
4. Какими локальными привилегиями они обладают?
5. В домене ENTONDOM есть пользователи со схожими именами - marketing и master?
6. На рабочей станции ты заходишь под локальным пользователем?
7. На каталог, который делаешь сетевым ресурсом наследование прав разрываешь?

xoxmodav
1. Много обычных пользователей и единственная учетная запись администратора DATASERVER\MASTER
2. Пользователи - обычные пользователи (в том числе и marketing)
3. master (администратор), marketing (администратор)

5. Есть пользователи с точно такими же именами. У marketing'a есть пароль, права в домене - пользователь домена. Никаких политик, ничего.
6. Под локальным marketing'ом
7. Конечно же да. Могу прислать скрин.

На самом деле есть две пользовательских машины с локальным marketing'ом, одна в домене, другая нет. Симптомы абсолютно идентичны.

Упрости задачу - удали или заблокируй для начала доменные записи marketing и master.

Ответь ещё на парочку вопросов:
1. На сервере и рабочей станции у marketing и master пароли одинаковые? Проверь.
2. Попробуй заблокировать на сервере локальную учётную запись marketing - проверь.
3. Попробуй удалить на сервере локальную учётную запись marketing - проверь.
4. Попробуй на сервере локальной учётной записи marketing задать пароль, на рабочей станции - не задавай - проверь.

xoxmodav

Доменная запись marketing есть группа. Заблокировать не могу, да и отношения она не имеет к этим компьютерам.
Создал новую машину с локальным marketing'ом - ведет себя КАК ПОЛОЖЕНО. Заблокировал - нет доступа.

1. Пароль у master на сервере и станции одинаковый. Он **************. Пароль у marketing на сервере и станции одинаковый. Его нету (без пароля). Пароли у master и marketing, разумеется, различаются.
2. Заблокировал marketing, без перезагрузки сервера, с перезагрузкой локальной машины. Всё равно заходит на сервер, безо всяких проблем пишет в master'ские папки. Переименовал, отключил marketing на сервере, перезагрузил сервер, перезагрузил рабочую станцию - безрезультатно.
3. Безрезультатно.
4. Безрезультатно.

На сервере зашел в менеджер сессий - компьютер pc19 (исследуемая машина) заходит на сервер с логином master. Тогда всё поведение сервера и разрешений логично и обоснованно.
Вопрос - почему она так делает, никаких нет_юзов нету. Машина даже не в домене, политики домена (хотя и там их нету), на нее не действуют.

Что-то я потерял нить рассуждений, fantik если не трудно - выложи следующие скриншоты:

1. Локальные пользователи сервера.
2. Локальные пользователи рабочей станции.
3. Настройки расшаренной папки (Sharing).
4. Настройки разрешений NTFS этой же папки.

xoxmodav

Можно, я лучше словами поясню, что происходит? Просто сейчас разобрался со всякими вещами, отпала масса вопросов :

Есть компьютер, на котором создан аккаунт marketing. Из-под этой учетки на сервер заходит под master'ом (видно из предыдущего скриншота). Обе учетки локальные, к домену отношения не имеют.

Если блокировать на сервере marketing или на локальной машине master - всё равно пускает. Если блокировать на сервере master - то не пускает.

Настройки папки на сервере, в которую пускает, и NTFS, и Шаринг - только локальный master.

Соответственно, вопрос : Почему из-под пользователя marketing на сервер заходит как master???

Самое интересное, что у тебя я гляжу с двух компьютеров уже под master заходят... Заходить могут под marketing, а приложения (тот же Total Commander) запускать от учётной записи master.

Я просто теряюсь - всё как в тумане... :(
Если не трудно - выложи скриншоты.

xoxmodav

С одного компьютера сижу я, под мастером, с другого создал учетку маркетинга, проверил, заходит под ней (всё как должно быть). Третий компьютер (PC19) - там залогинен marketing, а по сети (не какой-то программой, а именно по расшаренным ресурсам) лазит как master. С ним-то и проблемы.

Скриншоты разрешений на папку - выше, они не менялись. Если убрать оттуда master@ENTONDOM, ничего не изменится.

Скриншоты пользователей на сервере и на рабочей станции :