非ドメインサーバーからAD接続されたPCへのWindowsファイル共有

ラボにはいくつかのWindowsサーバーがあり、オフィスのPCからWindowsサーバーに接続する必要がある場合があります。ラボサーバーはドメインではなくワークグループの一部ですが、オフィスのPCはすべてADドメインの一部です。

ラボサーバーでファイル共有を有効にできます。また、共有のアクセス許可を "全員"（読み取りアクセス）に設定しています。ただし、オフィスのPCからサーバーの共有に接続するには、ユーザーは資格情報を提供する必要があります。サーバーはドメインの一部ではないため、ユーザーはそのサーバー上の一連のローカル資格情報を知っている必要があります。

ユーザー用に1つ以上の追加のローカルアカウントを設定したり、そのサーバー上の「実際の」ローカルアカウントの資格情報を共有したりすることは避けたいです。この構成でファイル共有の実際のパブリック（非資格）ブラウジングを許可する人はいますか？

これはgpedit.msc、サーバー上の2つのローカルセキュリティポリシー（）の変更で行われます。どちらも次の場所にあります。

Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options

Accounts: Limit local account use of blank passwords to console logon only = DISABLED

Network Access: Let Everyone permissions apply to anonymous users = ENABLED

実行しgpupdate /force、再試行してください。動作しない場合は、サーバーを再起動してみてください。それが必要かどうかはわかりません。

端的に言えば、「全員」には「認証済みユーザー」のみが含まれます。ユーザー名/パスワードなしで接続するときは、匿名を使用しています。また、空白のパスワードを許可しない限り、デフォルトではパスワードなしでネットワーク経由でリソースにアクセスできません。これらのオプションは両方ともサーバーのセキュリティを大幅に低下させることに注意してください。ただし、これはラボ/非本番環境のように聞こえるので、問題のようには聞こえません。