вы не можете получить доступ к этой общей папке так как политики безопасности вашей организации

Определение: Сообщение Windows «вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации» означает, что доступ к SMB-ресурсу (общей папке) отклонён из‑за настроек групповых политик, параметров безопасности, прав доступа или сетевых ограничений, требующих аутентификации/шифрования, несовместимых с текущими настройками клиента или сервера. Чаще всего задействованы: запрет гостевого доступа, требования подписи SMB, несоответствие уровня аутентификации (Kerberos/NTLM), права входа по сети, а также брандмауэр и правила «deny».

Контекст и смысл сообщения 🔒

SMB (Server Message Block) — протокол, через который Windows открывает общие папки. Когда политики безопасности организации усиливают требования (например, выключают гостевой доступ без пароля, требуют цифровую подпись или запрещают устаревшие протоколы), клиент, не соответствующий этим требованиям, получает отказ с формулировкой о блокировке политиками организации. Это не «сломанный» ресурс: система ожидает безопасную схему доступа (аутентификацию, подпись, шифрование), правильные права и корректную сетевую конфигурацию. 😊

Типовые причины проблемы 🧩

• Отключён гостевой доступ к SMB2/3 (Windows 10/11 по умолчанию), ресурс настроен как «Guest» без пароля.
• Различные требования к SMB-подписи: сервер «требует», клиент «не подписывает» (или наоборот).
• Политики «Network security: LAN Manager authentication level» и «Restrict NTLM» запрещают текущий способ аутентификации.
• Права безопасности: «Access this computer from the network» не включают нужную группу; действует «Deny access…» для пользователя/группы.
• Несоответствие разрешений NTFS/Share или включён «Доступ на основе перечисления» скрывающий папку.
• Брандмауэр блокирует SMB (профиль сети, правила «File and Printer Sharing (SMB-In)» выключены).
• Старые NAS требуют SMB1 или гостевой доступ; на клиентах SMB1 отключён и небезопасен. ⚠️
• Проблемы доверия домена/времени: Kerberos отклонён из‑за рассинхронизации или неверного SPN/DNS.

Симптомы и диагностика 🧪

Признаки: окно с ошибкой при входе на \серверобщая_папка, невозможность перечисления ресурсов в проводнике, код 0x80070035/0x80004005, отказ маппинга диска. Начните с базовой диагностики:

• Проверка сетевого стека и имени: ping, nslookup, test-netconnection.
• Просмотр журналов: Event Viewer — «Microsoft-Windows-SMBClient/Connectivity», «Security» (4625, 5140), «System» (SMB, Kerberos).
• Сбор политик: rsop.msc, gpresult /h report.html, secpol.msc.
• Проверка SMB-конфигурации клиента/сервера.

ping server
nslookup server
Test-NetConnection -ComputerName server -Port 445

# Клиент SMB
Get-SmbClientConfiguration | fl RequireSecuritySignature, EnableInsecureGuestLogons, EnableSMB1Protocol

# Сервер SMB
Get-SmbServerConfiguration | fl RequireSecuritySignature, EncryptData, EnableSMB1Protocol

# Проверка доступа/учётных данных
net use * /delete /y
net use \servershare /user:DOMAINuser

Матрица причин и решений 📜

Сценарий/признак	Где проверить	Безопасное решение	Временный обход/риски
Запрет гостевого доступа (Guest)	gpedit.msc → Сеть → Станция отправки Lanman	Создать именной аккаунт, выдать минимальные права, использовать NTLM/Kerberos	Включить «Enable insecure guest logons» (риск перехвата) ⚠️
SMB подпись требуется на сервере	Get-SmbServerConfiguration RequireSecuritySignature	Включить подпись на клиенте	Отключить требование на сервере (не рекомендуется)
Клиент требует подпись, сервер не поддерживает	Get-SmbClientConfiguration RequireSecuritySignature	Включить подпись на сервере	Снять требование на клиенте (снижение безопасности)
Ограничен NTLM/уровень LM	secpol.msc → Local Policies → Security Options	Разрешить NTLMv2, обновить устройство/прошивку NAS	Разрешить устаревшие схемы (риск MITM/relay)
Запрет входа по сети (User Rights)	secpol.msc → User Rights Assignment	Добавить группу в «Access this computer from the network»	Убрать пользователя из «Deny access…»
Неверные NTFS/Share разрешения	icacls, Computer Management → Shared Folders	Выдать Read/Change по принципу минимума прав	Временное добавление в группу (с отслеживанием)
Брандмауэр блокирует 445/TCP	wf.msc, профили сети	Включить «File and Printer Sharing (SMB-In)»	Временно отключить профиль (небезопасно)
Старый NAS с SMB1	Документация NAS, тест протоколов	Обновить до SMB2/3	Включить SMB1 временно (высокий риск) ⚠️
Проблемы времени/Kerberos	w32tm /query /status	Синхронизировать время, проверить SPN/DNS	Временный NTLM fallback (если политика разрешает)
Remote UAC с локальным админом	HKLM…LocalAccountTokenFilterPolicy	Использовать доменный/обычный аккаунт	Изменить реестр (с оговорками по рискам)

Пошаговый алгоритм устранения 🛠️

1. Проверить сетевую связанность и имя: 445/TCP доступен, DNS разрешает верное имя, время синхронизировано.
2. Попробовать явную аутентификацию: net use \servershare /user:DOMAINuser и убедиться, что пароль верный.
3. Считать применённые политики: rsop.msc или gpresult, зафиксировать параметры SMB, NTLM, подписи.
4. На сервере проверить права: разрешения общей папки и NTFS, исключить записи «Deny».
5. Сопоставить требования подписи/шифрования: RequireSecuritySignature и EncryptData на сервере и клиенте.
6. Если ресурс ожидал гостя — перевести на именной доступ; если это невозможно, оценить риск и только затем временно разрешить гостя.
7. На NAS/устройствах IoT включить SMB2/3, выключить SMB1; при отсутствии — план миграции/замены.
8. Переподключить сессию: net use * /delete /y, затем новое подключение; проверка журналов событий.

Настройки клиента Windows (примерные команды) 🖥️

# Подпись SMB на клиенте
Get-SmbClientConfiguration | fl RequireSecuritySignature
Set-SmbClientConfiguration -RequireSecuritySignature $true -Force

# Небезопасный гостевой вход (не рекомендуется)
# Групповая политика: Конфигурация компьютера → Адм. шаблоны → Сеть → Станция отправки Lanman → «Включить небезопасные гостевые входы»
# Эквивалент в реестре:
reg add HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters ^
 /v AllowInsecureGuestAuth /t REG_DWORD /d 1 /f

# Уровень LM/NTLM (через политику безопасности)
secpol.msc  # Security Options → Network security: LAN Manager authentication level → "Send NTLMv2 response only. Refuse LM & NTLM"

Настройки сервера/хоста ресурса 📁

# Требование подписи на сервере (в домене обычно включено)
Get-SmbServerConfiguration | fl RequireSecuritySignature
Set-SmbServerConfiguration -RequireSecuritySignature $true -Force

# Проверка доступа к общей папке
Get-SmbShare
Get-SmbShareAccess -Name "share"

# Права NTFS
icacls D:Sharesshare

# Брандмауэр
Set-NetFirewallRule -DisplayGroup "File and Printer Sharing" -Enabled True

Права входа по сети и отрицательные права 🌐

Проверьте «Local Security Policy → User Rights Assignment»: «Access this computer from the network» должно включать нужные группы (например, Authenticated Users, Domain Users, файл-серверные группы). «Deny access to this computer from the network» не должно содержать ваши группы/пользователей. Любая запись «Deny» приоритетнее «Allow».

Особые сценарии и подводные камни ✅

• Рабочие группы: включите «Классическая» модель общего доступа для локальных учётных записей, создайте пользователей с паролями на обоих узлах.
• Azure AD/Intune: MDM-политики могут запрещать NTLM и гостя; используйте учетные записи Microsoft Entra ID с SSO к файловому ресурсу, подключенному к домену.
• NAS/Samba: убедитесь, что включён SMB2/3 и совместимая аутентификация; отключите «guest ok = yes» или создайте валидного пользователя.
• Старые МФУ/сканеры: проверьте обновления прошивки; если поддерживается только SMB1/гость — планируйте замену устройства. Не включайте SMB1 на постоянной основе ⚠️
• VPN/зерки: профили брандмауэра могут переключаться на Public и блокировать 445; добавьте нужные правила для профиля.

Лучшие практики безопасности 🔐

Используйте именованные учётные записи с минимально необходимыми правами, храните пароли в диспетчере учетных данных, применяйте подпись SMB и по возможности шифрование SMB3. Отключите гостевой доступ там, где он не обязателен, и контролируйте NTLM, отдавая приоритет Kerberos. Избегайте «обходов» вроде включения SMB1 или небезопасного гостя без жёсткой временной метки отката. Регулярно проверяйте журналы событий на предмет отказов в доступе и несоответствий политик, проводите аудит прав на общих ресурсах и групповых политик.

Чек‑лист быстрой проверки 🧭

• 445/TCP открыт? Test-NetConnection -Port 445 успешен? 🙂
• Явные учётные данные работают? net use \servershare /user:…
• Время/домен в порядке? w32tm /query /status без отклонений.
• SMB-подпись согласована на клиенте и сервере?
• Гость выключен, а ресурс настроен под именованный доступ?
• Нет «Deny access to this computer from the network» для вашей группы?
• Права Share + NTFS соответствуют минимальным требованиям?
• Устройство не пытается использовать SMB1/устаревший NTLM? Запрещайте устаревшие протоколы по умолчанию.

Снипы и документы для ориентира (без активных ссылок) 📚

• Документ Microsoft: «Guest access in SMB2 is disabled by default in Windows 10, version 1709»
• Групповые политики: «Computer Configuration → Administrative Templates → Network → Lanman Workstation»
• Security Options: «Network security: LAN Manager authentication level», «Microsoft network client/server: Digitally sign communications»
• Event ID: 5140 (File Share), 4625 (An account failed to log on), журналы «Microsoft-Windows-SMBClient/Connectivity»
• Best Practices: «SMB Security Enhancements in Windows 10/11»

FAQ по смежным темам

Почему при вводе правильного пароля доступ всё равно не предоставляется?

Такое случается, когда пароль корректный, но политика безопасности блокирует сам механизм аутентификации. Например, сервер требует Kerberos, а клиент подключается по NTLM, либо доменное доверие повреждено. Иногда действует «Deny access to this computer from the network» для вашей группы, и это перекрывает любые разрешения. Ещё один частый случай — конфликт подписи SMB: одна сторона «требует», другая — «не поддерживает». Проверьте журналы событий 4625 с подтипом отказа, чтобы увидеть причину (несовпадение протокола, ограничение входа и т. п.). Убедитесь в синхронизации времени, корректности DNS и отсутствии кэшированных неверных учётных данных. При необходимости очистите сессии командой net use * /delete /y и попробуйте снова. Если задействованы политики «Restrict NTLM», убедитесь, что сервер включён в список исключений или переведите соединение на Kerberos.

Можно ли включить гостевой доступ, чтобы «заработало как раньше»?

Технически можно, но это ухудшает безопасность и открывает возможность неаутентифицированного доступа к данным. Современные версии Windows намеренно отключают гостевой доступ по SMB2/3 именно по этой причине. Более правильный путь — создать отдельную учётную запись с минимальными правами и применить аудит. Если устройство не поддерживает аутентификацию (некоторые старые сканеры/NAS), оцените обновление прошивки или замену оборудования. В исключительных случаях допустим временный «AllowInsecureGuestAuth» с записью обоснования и планом отката. Проведите сегментацию сети и ограничьте доступ ACL-ами на межсетевом экране. Обязательно информируйте ответственных за ИБ и задокументируйте риск. В обозримой перспективе стремитесь к отказу от гостевого доступа повсеместно.

Чем отличаются права Share и NTFS и как их правильно сочетать?

Права Share применяются на уровне общей папки при доступе по сети, а права NTFS — на файловой системе к объектам внутри. Эффективное право — это пересечение (минимум) из двух наборов. Практика: на Share давайте «Read/Change» на группы доступа, а детализацию выполняйте NTFS-наследованием внутри структуры. Избегайте разрешений на индивидуальных пользователей, используйте группы. Проверяйте отсутствия «Deny», если они не являются осознанной мерой, так как «Deny» перебивает «Allow». Пользуйтесь инструментами icacls и Effective Access в GUI для верификации. Аудитируйте изменения и храните шаблоны прав в системе управления конфигурацией. Так вы упростите сопровождение и уменьшите ошибки при расширении структуры.

Почему при подключении по VPN перестали открываться общие папки?

VPN часто меняет профиль сети на Public, а значит, локальный брандмауэр может блокировать SMB-входящие или исходящие. Также маршрутизация и правила split-tunneling могут не пропускать трафик к сегменту файлового сервера. Проверьте, что правила «File and Printer Sharing (SMB-In)» активны для нужного профиля. Уточните, не включены ли политики, запрещающие небезопасные протоколы при внешних соединениях, что может влиять на NTLM. Проверьте DNS-суффиксы и поиск доменных имён, возможно требуется FQDN. Иногда VPN-клиент фильтрует локальные бродкасты, и обнаружение по NetBIOS перестаёт работать — используйте прямой путь \fqdnshare. Если в организации принята микросегментация, запросите в Network/SEC команду актуальные ACL для порта 445.

Что делать, если доступ нужен устройству, поддерживающему только SMB1?

SMB1 признан небезопасным и по умолчанию выключен в современных системах. Правильный путь — обновить устройство до поддержки SMB2/3 или заменить его. Если бизнес-процесс критичен и альтернатив нет, внедрите изоляцию: отдельный VLAN, строго ограниченный межсетевым экраном список источников/получателей, мониторинг IDS/IPS. Включайте SMB1 только на выделенном промежуточном узле-шлюзе, не на рабочих станциях сотрудников. Настройте аудит и сроки вывода из эксплуатации такого решения. Пересмотрите процессы сканирования/выгрузки файлов, возможно, устройство умеет отправлять по FTP/HTTPS/WebDAV — это безопаснее. Используйте подписи и актуальные криптопакеты везде, где это возможно. Помните, что включение SMB1 даже временно должно быть зафиксировано в реестре изменений и сопровождаться планом миграции.