Windows Workgroup Network without Passwords or Accounts (Ελληνική Έκδοση)

Σενάριο:

Πριν από μερικές μέρες, συζητώντας με ένα φίλο προέκυψε το εξής:

Συνδέουμε δυο υπολογιστές peer-to-peer (είτε με καλώδιο crossover, είτε μέσω switch) και θέλουμε να μοιράσουμε αρχεία. Υπό Κ.Σ. (κανονικές συνθήκες) θα ακολουθήσουμε τους κανόνες ενός Workgroup.

Δηλαδή:

1. Θα δημιουργήσουμε πανομοιότυπους λογαριασμούς χρηστών (User Accounts) με το ίδιο όνομα χρήστη (Username) και τον ίδιο κωδικό πρόσβασης (Password) και στους δυο υπολογιστές που συνδέσαμε.
2. Θα “μοιράσουμε” (File & Folder Sharing) τους φακέλους και τα αρχεία που θέλουμε, δίνοντας πρόσβαση (Share Permissions) μόνο στους χρήστες που δημιουργήσαμε προηγουμένως

Όλα ωραία και καλά. Και η αλήθεια είναι, πως αυτή είναι η επίσημη διαδικασία για όλα τα δίκτυα τύπου Workgroup ή Peer-to-Peer, από δυο μέχρι δέκα υπολογιστές που είναι το θεωρητικό όριο του Workgroup λόγω του ότι τα Windows Client (λέγε με 2000 Professional, XP Pro, Vista Business κλπ.) υποστηρίζουν μέχρι δέκα ταυτόχρονες (concurrent) συνδέσεις.

Υπάρχουν όμως κάποια πρακτικά θεματάκια που υπό συνθήκες είναι ενοχλητικά:

• Όσο πληθαίνουν οι υπολογιστές, τόσο πληθαίνουν και τα User Accounts σε κάθε υπολογιστή και οι αλλαγές στα Permissions
• Αν χρησιμοποιείς Welcome Screen αντί για Logon Screen, εμφανίζονται όλο και περισσότερα εικονίδια με ονόματα χρηστών
• Όσοι χρήστες δεν έχουν Password στα Windows (λέγε με κενό κωδικό πρόσβασης ή Blank Password) δεν έχουν πρόσβαση σε μοιρασμένα αρχεία και φακέλους, οπότε τους “δίνουμε” και ένα Password

Έστω όμως ότι βρισκόμαστε σε ένα ελεγχόμενο περιβάλλον από πλευράς φυσικής ασφάλειας (ένα γραφείο που δεν μπαινοβγαίνει κόσμος, test περιβάλλον, οικιακό δίκτυο κλπ) ή πολύ απλά ο “ιδιοκτήτης” του δικτύου δεν θέλει ούτε να ακούσει για χρήστες, κωδικούς πρόσβασης κλπ. (σας θυμίζει τίποτε;) Είναι το κλασσικό PC το οποίο μετά την εκκίνηση, το Λειτουργικό “μπαίνει κατευθείαν” στο περιβάλλον.

Τα Windows από default επιτρέπουν την τοπική πρόσβαση (Local Access) ή αλλιώς από κονσόλα σε ένα User που έχει κενό Password ακόμη κι αν αυτός είναι ο Administrator. Αυτή η ρύθμιση ορίζεται από την τοπική πολιτική ασφαλείας (Local Security Policy) την οποία θα βρείτε μεσα στα εργαλεία διαχείρισης του συστήματος (Administrative Tools).

Διαδικασία:

Αν λοιπόν ανοίξουμε το Local Security Policy, από αριστερά που είναι οι κατηγορίες, πηγαίνουμε Security Settings -> Local Policies -> Security Options. Δεξιά, η τρίτη ρύθμιση λέει: Accounts: Limit local account use of blank passwords to console logon only και δίπλα λέει Enabled. Αν αυτό γίνει Disabled τότε επιτρέπεται η πρόσβαση στο σύστημα από λογαριασμούς που δεν έχουν κωδικό πρόσβασης και ΕΚΤΟΣ της κονσόλας (δηλαδή από το δίκτυο).

Αυτό λύνει και ένα άλλο μυστήριο. Όταν σε ένα περιβάλλον Workgroup μοιράζουμε ένα φάκελο με Permissions Everyone και προσπαθεί κάποιος χρήστης από το δίκτυο να “δει” τα αρχεία, παραδόξως δεν τα βλέπει. Και όντως παραδόξως διότι το User Group Everyone, κανονικά περιλαμβάνει και όσους είναι εκτός των προσδιορισμένων Local User Groups (αυτά που λέγαμε παραπάνω). Στην πράξη όμως δεν λειτουργεί αν δεν κάνουμε και αυτή τη μικρή “επέμβαση” στο Local Security Policy που προαναφέρθηκε.

Επίλογος:

Την επόμενη φορά λοιπόν που θέλουμε να μοιράσουμε αρχεία γρήγορα και εύκολα, χωρίς να χρειάζεται να μπλέκουμε με δημιουργία λογαριασμών χρηστών, Permissions κλπ. (μιας και δεν τίθεται θέμα Security στο σενάριο που αναφέρθηκε) ξέρουμε πλέον ποια ρύθμιση πρέπει να πειράξουμε και γιατί.

Επίσημες Πληροφορίες:

Microsoft Technet: Understanding Logon and Authentication