《2022年用户权限分配详解宣贯 .pdf》由会员分享,可在线阅读,更多相关《2022年用户权限分配详解宣贯 .pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、当共享和访问出现问题时请考虑以下的步骤:1.检查 guest 账户是否开启XP默认情况下不开启guest 账户,因此些为了其他人能浏览你的计算机,请启用guest 账户。同时,为了安全请为guest 设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。2.检查是否拒绝Guest 用户从网络访问本机当你开启了 guest 账户却还是根本不能访问时,请检查设置是否为拒绝guest 从网络访问计算机,因为XP默认是不允许guest 从网络登录的,所以 即使开了 guest 也一样不能访问。在开启了系统Guest 用户的情况下解除对 Guest 账号的限制,点击
2、“开始运行”,在“运行”对话框中输入“GPEDIT.MSC”,打开组策略编辑器,依次选择“计算机配置Windows设置安全设置本地策略用户权利指派”,双击“拒绝从网络访问这台计算机”策略,删除里面的“GUEST”账号。这样其他用户就能够用Guest 账号通过网络访问使用 Windows XP 系统的计算机了。3.改网络访问模式XP默认是把从网络登录的所有用户都按来宾账户处理的,因此即使管理员从网络登录也只具有来宾的权限,若遇到不能访问的情况,请尝试更改网络的访问模式。打开组策略编辑器,依次选择“计算机配置Windows 设置安全设置本地策略安全选项”,双击“网络访问:本地账号的共享和安全模式”
3、策略,将默认设置“仅来宾本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。这样即使不开启guest,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码,可以通过输入你要访问的计算机内已经的账户和密码来登录。若不对访问模式进行更改,也许你连输入用户名和密码都办不到,computernameguest为灰色不可用。即使密码为空,在不开启guest 的情况下,你也不可能点确定登录。改成经典模式,最低限度可以达到像2000 里没有开启guest 账户情况时一样,可以输入用户名和密码来登录你要进入的计
4、算机。也许你还会遇到一种特殊的情况,请看接下来的。4.一个值得注意的问题我们可能还会遇到另外一个问题,即当用户的口令为空时,即使你做了上述的所有的更改还是不能进行登录,访问还是会被拒绝。这是因为,在系统“安全选项”中有“账户:使用空白密码的本地账户只允许进行控制台登录”策略默认是启用的,根据Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网络访问使用 Windows XP 的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中,找到“使用空白密码的本地账户只允许进行控制台登录”项,停用就可以,否则即使开了guest 并改成经典模式还是不能登录。经过以上的更改基本
5、就可以访问了,你可以尝试选择一种适合你的方法。下面在再补充点其它可能会遇到的问题。5.网络邻居不能看到计算机可能经常不能在网络邻居中看到你要访问的计算机,除非你知道计算机的名字或者IP 地址,通过搜索或者直接输入 computername或IP。请按下面的操作解决:启动“计算机浏览器”服务。“计算机浏览器服务”在网络上维护一个计算机更新列表,并将此列表提供给指定为浏览器的计算机。如果停止了此服务,则既不更新也不维护该列表。137/UDP-NetBIOS 名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是 TCP/IP 上的NetBIOS(NetBT)协议族的一部分
6、,它在基于NetBIOS 名称访问的网络上提供主机名和地址映射方法。138/UDP-NetBIOS 数据报,NetBIOS 数据报是 TCP/IP 上的 NetBIOS(NetBT)协议族的一部分,它用于网络登录和浏览。139/TCP-NetBIOS 会话服务,NetBIOS 会话服务是TCP/IP 上的 NetBIOS(NetBT)协议族的一部分,它用于服务器消息块(SMB)、文件共享和打印。请设置防火墙开启相应的端口。一般只要在防火墙中允许文件夹和打印机共享服务就可以了。6.关于共享模式对共享 XP 默认只给予来宾权限或选择允许用户更改“我的文件”。Windows 2000 操作系统中用户
7、在设置文件夹的共享属性时操作非常简便,只需用鼠标右击该文件夹并选择属性,就可以看到共享设置标签。而名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 9 页 -在 Windows XP 系统设置文件夹共享时则比较复杂,用户无法通过上述操作看到共享设置标签。具体的修改方法如下:打开“我的电脑”中的“工具”,选择“文件夹属性”,调出“查看”标签,在“高级设置”部分滚动至最底部将“简单文件共享(推 荐)”前面的选择取消,另外如果选项栏里还有“Mickey Mouse”项也将其选择取消。这样修改后用户就可以象使用Windows 2000 一样对文件夹属性进行方便修改了。7.关于用网络邻居访问
8、不响应或者反应慢的问题在 WinXP和 Win2000 中 浏览网上邻居时系统默认会延迟30 秒,Windows 将使用这段时间去搜寻远程计算机是否有指定的计划任务(甚至有可能到Internet中搜寻)。如果搜寻时网络时没有反应便会陷入无限制的等待,那么10 多分钟的延迟甚至报错就不足为奇了。下面是具体的解决方法。A.关掉 WinXP的计划任务服务(Task Scheduler)可以到“控制面板/管理工具/服务”中打开“TaskScheduler”的属性对话框,单击“停止”按钮停止该项服务,再将启动类型设为“手动”,这样下次启动时便不会自动启动该项服务了。B.删除注册表中的两个子键到注册表中找
9、到主键“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerRemoteComputerNameSpace”删除下面的两个子健:和。其中,第一个子健决定网上邻居是否要搜索网上的打印机(甚至要到Internet中去搜寻),如果网络中没有共享的打印机便可删除此键。第二个子健则决定是否需要查找指定的计划任务,这是网上邻居很慢的罪魁祸首,必须将此子健删除。8、关闭一切防火墙和杀毒软件9、开启和关闭有关网络访问的服务。10、把那台不能访问的计算机重装系统,然后按以上9 条配置好。总结不能访问主要是由于XP 默认不开启 guest
10、,而且即使开了guest,XP默认是不允许guest 从网络访问计算机的。还有就是那个值得注意的问题。相信一些不考虑安全的地方或是电脑公司给人做系统密码都是空的,但这样是不允许登录的。只要试过以上的方法,相信是不会再有问题的提示:你可能没有权限使用网络资源,请与这台服务器的管理员.同事的电脑已经打开了贵宾权限还是不行;公司电脑统一都是XP系统1.在工具-文件夹选项-查看,将使用简单文件共享前面的勾勾去掉2.在控制面板-用户帐号,将 guest 帐户启用 (这个你已经做了,但是记得互访的双方都要)3.运行 gpedit.msc,windows设置-安全设置-本地策略-用户权利指派左边框会出现一个
11、 拒绝从网络访问这台计算机 项把 guest 用户删除掉就可以了,在 从网络中访问这台计算机 中添加对方机器名,添加 guest 用户4.在 注 册 表 里 做 一 些 修 改 如 下:开 始运 行regedit回 车,找 到 下 列 路 径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa右边 RestrictAnonymous的值是否为0,如果不是就改为0 希望你也能成功解决问题近来常有提问局域网内winXP 的访问问题,现将个人的一点经验总结如下:一、启用 guest 来宾帐户;二、控制面板管理工具本地安全策略本地策略用户权利指派里,“
12、从网络访问此计算机”中加入 guest 帐户,而“拒绝从网络访问这台计算机”中删除guest 帐户;三、我的电脑工具文件夹选项查看去掉“使用简单文件共享(推荐)”前的勾;四、设置共享文件夹;五、控制面板管理工具本地安全策略本地策略安全选项里,把“网络访问:本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”(可选,此项设置可去除访问时要求输入密码的对话框,也可视情况设为“经典-本地用户以自己的身份验证”);六、右击“我的电脑”“属性”“计算机名”,该选项卡中有没有出现你的局域网工作组名称,如“work”等。然后单击“网络ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机
13、是商名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 9 页 -业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,如“work”,再次单击“下一步”按钮,最后单击“完成”按钮完成设置。一般经过以上步骤,基本可以解决。如果不行,再往下看:七、检查本地连接是否被禁用,右击“本地连接”“启用”;八、关闭网络防火墙;九、检查是否启用了域,是否加入了该域并检查域设置;十、检查是否关闭了server服务;十一、检查本地连接IP、子网掩码、网关及DNS设置是否有误;十二、“本地连接”属性常规,检查是否安
14、装了“Microsoft网络文件和打印机共享”、“Microsoft网络客户端”以及TCP/IP 协议;十三、某些局域网游戏和软件须安装NetBEUI 协议。而且网上有文章说,在小型局域网中,微软在WinXP中只支持的TCP/IP 协议和 NWLink IPX/SPX/NetBIOS 兼容协议表现不尽如人意,在小型局域网(拥有200 台左右电脑的网络)中 NetBEUI 是占用内存最少、速度最快的一种协议。安装方法:放 入Windows XP 安 装 光 盘,到“valueaddMsft et etbeui”目 录 下 将Netnbf.inf复 制C:WindowsINF中;将 Nbf.sys
15、复制到 C:WindowsSystem32Drivers中;开始控制面板网上邻居”“网络连接”“本地连接”(就是你目前使用中的局域网连接)上按右键“属性”“常规”“安装”“通讯协议”“添加”,此时就可以看到“NetBEUI Protocol”这一项(此项原来是没有的),选取 NetBEUI 之后,按确定就OK了。十四、作为网络浏览服务器的电脑由于病毒、配置低运行慢以及死机等原因导致网络上的计算机列表得不到更新,使得某些机器有时候在网上邻居中找不到。解决办法:最简单的办法是重启各种网络设备和电脑,或者关闭个别有上述问题的电脑上的网络浏览服务器功能,方法如下:win2000/XP下禁用 Compu
16、ter Browser服务十五、给系统打上补丁。WinXP访问网上邻居的速度较慢,这是WinXP的一个 Bug,当我们打开网上邻居时,操作系统首先会从计划任务中进行查找,因此就大大影响了访问的速度,除非您已经安装了SP1补丁才不会存在这个问题。可以手工解决这一问题。从注册表中找到“HKEY_LOCAL_MACHINE SOFTWARE NameSpace”,这里有一个名为“”的子键,该子键指向“计划任务(Scheduled Tasks)”,将它直接删除即可。十六、先卸载网卡驱动,重启再重装;十七、硬件问题,检查网卡、网线、集线器、路由器等,在检查之前,最好先重启一下网络设备(集线器、交换机、路
17、由器)看能否解决;十八、病毒(木马)原因。升级病毒库安全模式下全盘杀毒。提示xxx 无法访问,你可能没有权限使用网络资源建立网上邻居,我能看到他的共享,他访问我的计算机时,提示xxx 无法访问,你可能没有权限使用网络资源现在总结一下:(1)安装 NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。(2)开启 guest 账号:右击我的电脑管理 用户有个guest,双击之去掉 账户已停用 前面的勾。(3)右击我的电脑属性 计算机名,查看该选项卡中出现的局域网工作组名称(4)使用 winxp 防火墙的例外:winxp 防火墙在默认状态下是全
18、面启用的,这意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于windows防火墙默认状态下名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 9 页 -是禁止 文件与打印机共享的,所以,启用了防火墙,往往不能共享打印,解决办法是:进入 本地连接 窗口,点 高级 设置 例外 在程序与服务下勾选 文件和打印机共享。(5)删除 拒绝从网络上访问这台计算机 项中的 guest 账户:运行组策略(gpedit.msc)本地计算机计算机配置 windows设置 安全设置本地策略用户权利指派拒绝从网络访问这台计算机。如果其中有guest,则将其删除。(原因是:有时xp 的 gues
19、t 是不允许访问共享的)(6)取消 使用简单文件共享 方式:资源管理器工具 文件夹选项查看 去掉 使用简单文件共享(推荐)前面的勾。(7)工作组名称一致。(8)勾选 Microsoft网络的文件和打印机共享。(9)运行服务策略Services.msc。启动其中的 Clipbook Server(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动,然后再使用其他程序在你的网络上发布信息。(10)win98的计算机无法访问win2000/winxp的计算机,原因是:win2000/winxp的计算机中的 guest 用户被禁用了或者win2000/winx
20、p采用 NTFS 分区格式,设置了权限控制。一般要允许win98 访问的话,win2000/winxp里的安全控制里不要将everyone的账号组删除。注意:a、如果您没有加入域并想查看 安全 选项卡,则设置显示 安全 选项卡:资源管理器工具 文件夹选项查看 去掉 使用简单文件共享(推荐)前面的勾。b、查看文件和文件夹的有效权限:资源管理器右击要查看有效权限该文件或文件夹 属性 单击 安全 选项卡 高级 有效权限 选择 在 名称 框中键入用户或组的名称,然后单击 确定 。选中的复选框表示用户或组对该文件或文件夹的有效权限。c、只能在格式化为使用NTFS 的驱动器上设置权限。局域网共享故障的分析
21、与排除IPC、Server 服务与共享故障IPC(Internet Process Connection),IPC 是 NT 以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现 无法访问网络邻居 的故障。在 Windows NT以后的系统里,IPC 是依赖于Server 服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。要确认 IPC 和 Server
22、服务是否正常,可以在命令提示符里输入命令net share,如果 Server服务未开启,系统会提示 没有启动Server 服务。是否可以启动?(Y/N)Y:,回车即可以启动 Server 服务。如果 Server 服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为 IPC$的共享,否则用户依然无法正常使用共享资源。除了Server服务以外,还有两个服务会对共享造成影响,分别是Computer Browser 和TCP/IP NetBIOS Helper Service,前者用于保存和交换局域网内计算机的NetBIOS 名称和共享资源列表,当一个程序需要访问另一台计算机的共享资源时
23、,它会从这个列表里查询目标计算机,一旦该服务被禁止,IPC 就认定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源了;后者主要用于在TCP/IP 上传输的NetBIOS 协议(NetBT)和 NetBIOS 名称解析工作,NetBT 协议为跨网段实现NetBIOS 命令传输提供了载体,正因如此,早期的黑客入侵教材里 关于 139 端口的远程入侵 才能实现,因为NetBIOS协议被TCP 封装起来通过Internet传输到对方机器里处理了,同样对方也是用相同途径实现数据传输的,否则黑客们根本无法跨网段使用网络资源映射指令net use。虽然对于本地局域网来说,NetBT 协议并
24、非任何时候都会用到,但通常还是留着它比较好。如果这两个服务异常终止,局域网内的共享可能就无法正常使用,这时候我们可以通过执行名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 9 页 -程序 services.msc 打开服务管理器,在里面查找Computer Browser 和 TCP/IP NetBIOS Helper Service服务并点击 启动 即可。系统安全策略与共享故障熟悉Windows系统的用户或多或少都会接触到 组策略 (gpedit.msc),这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限,但是这里的设置失误也会影响到局域网共
25、享资源的使用。由于 IPC 本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数 计算机配置 Windows配置 安全设置 本地策略 用户权利指派 里的 拒绝从网络访问这台计算机,在Windows 2000系统里默认是不做任何限制的,可是自从XP 出现后,这个部分就默认多了两个帐户,一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389 用户名,另一个则是我们局域网共享的基本成员guest!许多使用XP 系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方法也很容易,只要从列表里移除Guest
26、帐户就可以了。除了与帐户相关的策略,这里还有几个与NetBIOS 和 IPC 相关的组策略设置,它们是位于 计算机配置Windows配置安全设置 本地策略安全选项 里的 对匿名连接的额外限制 (默认为 无),对于 XP 以上的系统,这里还有 不允许 SAM 账户和共享的匿名枚举(默认为 已停用 )、本地账户的共享和安全模式(默认为 仅来宾 ),其中 对匿名连接的额外限制 的设置是可以直接扼杀共享功能的,当它被设置为 不允许枚举 时,其他计算机就无法获取共享资源列表,如果它被设置为 没有显式匿名权限就无法访问 的话,这台计算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。
27、权限与共享的冲突如今的局域网普遍建立在Windows 2000 以上的系统架构上运行,而且IPC 的作用本来就是为了提供身份验证,因而共享始终离不开权限的影子,何况如果系统不会把文件共享的访问身份设置为最小权限的来宾帐户的话,别有用心的访问者就能轻易夺取管理员级别了。但是也正因为这样,一些时候权限反而会成为阻挠共享顺利进行的罪魁祸首。细心的用户如果点击了共享资源属性里的 权限 界面,可能会发现系统已经自动给这里添加了Everyone权限,这是个特殊权限,它的存在是为了让用户能访问被标记为 公有 的文件,这也是一些程序正常运行需要的访问权限,任何人都能正常访问被赋予Everyone权限的文件,包
28、括来宾组成员。但是有时候这个理论会因某种原因而产生混乱,进而导致来宾组成员丧失了访问权限,这时候,用户只能手工为它添加一个guest 的访问权限了。在一些系统上,甚至要添加Users或Administrators权限才能实现文件共享,但是对于这种权限指派已经严重混乱的系统,小金建议还是重新安装一个算了。对于 Windows XP 系统,它默认是仅仅给共享显示一个简单的界面而已,如果你要自定义更多东西,就必须进入 控制面板 的 文件夹选项 里,取消 使用简单文件共享 的勾,而且这里还涉及到NTFS 分区 安全 页设置的显示。随着 Windows XP 的逐步推进以及安全概念的推广,越来越多用户开
29、始使用NTFS 格式作为自己的硬盘分区,这样就在IPC 的用户身份验证模式上又增加了一种权限限制:NTFS权限。一些刚接触NTFS 分区的用户经常会发现,自己机器的共享和来宾帐户都开了,但是别人无论怎么访问都提示 权限不足 ,即使给共享权限里添加了来宾帐户甚至管理员帐户也无效,这是为什么?归根究底还是因为在NTFS这部分被拦截了,用户必须理清一个概念,那就是无论你对某个项目的权限做了什么改动,都是磁盘权限最大,因为它是实现文件访问的 最 后 一 层 防 卫,系 统 不 允 许 任 何 继 承 权 限 超 越 它,如 果 一 个 文 件 夹 的 权 限 只 有SYSTEM ,那么即使你当前登录的
30、身份为管理员,你一样无法打开这个文件夹。而用于共享身份识别的IPC 更是只有Guest 权限,更是无法突破NTFS 限制的。因此要获得正常的访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键-属性-安名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 9 页 -全,在里面添加Guest 和 Everyone权限并设置相应的访问规则(完全控制、可修改、可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。防火墙与共享的矛盾现在基本上已经没有一台计算机是不曾安装网络防火墙和病毒防火墙的了,可是用户在众多的墙里享受安全特性的时候,偶尔也会发现局域网共享莫名其妙的
31、失败了,如果用户留意到防火墙正在闪烁的报警状态,也许会发现日志上记录着 计算机 x.x.x.x 试图访问本机139 NetBIOS端口,该操作已被拦截,这是为什么?因为防火墙把NetBIOS的通讯给拦截掉了,别忘记 NetBIOS 可是局域网通讯的基础。防火墙此举是为了阻止前面提到的利用NetBT进行的 139入侵 模式攻击,虽然防火墙规则里可能写着 允许局域网资源共享,但是可能这条规则没被选中,或者防火墙没能认出这是一个局域网。知道了缘由,解决起来也就容易多了,对于有原配规则设置的防火墙,只要勾上 允许局域网资源共享 ,就能让 NetBIOS 协议正常通讯了,如果没有,就自己建立一个规则:协
32、议方向为 入,协议选择 TCP ,端口范围134139,标志位 SYN ,满足时的规则为 通行 即可。一些XP 系统内置的Windows防火墙 ICF 往往会掐了自家共享的脖子,如果是这样,就把它关掉,因为ICF 始终比不过专门的防火墙,更别指望靠它抵挡一切入侵了。特殊的共享故障在一小部分机器里,网络共享是艰难的,它们怎么做也看不到对方的计算机和资源列表,但是使用一些局域网管理工具如LANExplorer、LANetAdmin等却能看到一切,对于这种计算机,只能通过直接输入资源名称或把对方共享资源通过net use 命令给映射过来作为虚拟盘符才能工作,对于这种机器,我们也束手无策,只能这么凑合
33、着使用了修改 hkey_local_machinesystemcurrentcontrolsetlsa右边的 restrictanonymous值为 0,然后重启电脑建立网上邻居,我能看到他的共享,他访问我的计算机时,提示 xxx 无法访问,你可能没有 权限使用网络资源现在总结一下:(1)安装 NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。(2)开启 guest 账号:右击我的电脑管理 用户有个 guest,双击之去掉“账户已停用”前面的勾。(3)右击我的电脑属性 计算机名,查看该选项卡中出现的局域网 工作组名称(4)使用 win
34、xp 防火墙的例外:winxp 防火墙在默认状态下是全面启用的,这意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于 windows防火墙默认状态下是禁止“文件与打印机共享的”,所以,启用了防火墙,往往不能共享打印,解决办法是:进入“本地连接”窗口,点“高级”“设置”“例外”在程序与服务下勾选“文件和打印机共享”。(5)删除“拒绝从网络上访问这台计算机”项中的guest账户:运行组策略(gpedit.msc)本地计算机计算机配置 windows 设置 安全设置 本地策略用户权利指派拒绝从网络访问这台计算机。如果其中有 guest,则将其删除。(原因是:有时 xp 的 guest
35、是不允许访问共享的)(6)取消“使用简单文件共享”方式:资源管理器 工具 文件夹选项查看 去掉“使用简单文件共享(推荐)”前面的勾。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 9 页 -(7)工作组名称一致。(8)勾选“Microsoft网络的文件和打印机共享”。(9)运行服务策略“Services.msc”。启动其中的“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动,然后再使用其他程序在你的网络上发布信息。(10)win98 的计算机无法访问win2000/winxp 的计算机,原因是:win2
36、000/winxp的计算机中的 guest 用户被禁用了或者win2000/winxp 采用 NTFS分区格式,设置了权限控制。一般要允许win98 访问的话,win2000/winxp 里的安全控制里不要将 everyone 的账号组删除。注意:a、如果您没有加入域并想查看“安全”选项卡,则设置显示“安全”选项卡:资源管理器工具 文件夹选项查看 去掉“使用简单文件共享(推荐)”前面的勾。b、查看文件和文件夹的有效权限:资源管理器右击要查看有效权限该文件或文件夹“属性”单击“安全”选项卡“高级”“有效权限”“选择”在“名称”框中键入用户或组的名称,然后单击“确定”。选中的复选框表示用户或组对该
37、文件或文件夹的有效权限。c、只能在格式化为使用 NTFS 的驱动器上设置权限。局域网共享故障的分析与排除IPC、Server 服务与共享故障IPC(Internet Process Connection),IPC 是 NT以上的 系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。在 Windows NT以后的系统里,IPC 是依赖于 Server 服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域
38、网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。要确认 IPC 和 Server 服务是否正常,可以在命令提示符里输入命令net share,如果 Server 服务未开启,系统会提示“没有启动 Server 服务。是否可以启动?(Y/N)Y:”,回车即可以启动Server 服务。如果 Server 服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。除了 Server服务以外,还有两个服务会对共享造成影响,分别是“Computer Browser”和“TCP/IP NetBIOS Helper Service”
39、,前者用于保存和交换局域网内计算机的 NetBIOS名称和共享资源列表,当一个程序需要访问另一台计算机的共享资源时,它会从这个列表里查询目标计算机,一旦该服务被禁止,IPC就认定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源了;后者主要用于在 TCP/IP 上传输的 NetBIOS协议(NetBT)和 NetBIOS名称解析工作,NetBT协议为跨网段实现NetBIOS命令传输提供了载体,正因如此,早期的黑客入侵教材里“关于139 端口的远程入侵”才能实现,因为 NetBIOS协议被 TCP封装起来通过 Internet传输到对方机器里处理了,同样对方也是用相同途径实现数据
40、传输的,否则黑客们根本无法跨网段使用网络资源映射指令“net use”。虽然对于本地局域网来说,NetBT 协议并非任何时候都会用到,但通常还是留着它比较好。如果这两个服务异常终止,局域网内的共享可能就无法正常使用,这时候我们可名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 9 页 -以通过执行程序“services.msc”打开服务管理器,在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服务并点击“启动”即可。系统安全策略与共享故障熟悉 Windows系统的用户或多或少都会接触到“组策略”(gpedit.msc),这
41、里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限,但是这里的设置失误也会影响到局域网共享资源的使用。由于 IPC 本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数“计算机配置 Windows配置 安全设置 本地策略 用户权利指派”里的“拒绝从网络访问这台计算机”,在Windows 2000系统里默认是不做任何限制的,可是自从 XP出现后,这个部分就默认多了两个帐户,一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389 用户名,另一个则是我们局域网共享的基本成员guest
42、!许多使用 XP系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方法也很容易,只要从列表里移除“Guest”帐户就可以了。除了与帐户相关的策略,这里还有几个与NetBIOS和 IPC相关的组策略设置,它们是位于“计算机配置 Windows配置 安全设置 本地策略 安全选项”里的“对匿名连接的额外限制”(默认为“无”),对于XP以上的系统,这里还有“不允许SAM 账户和共享的匿名枚举”(默认为“已停用”)、“本地账户的共享和安全模式”(默认为“仅来宾”),其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的,当它被设置为“不允许枚举”时,其他计算机就无法获取共享资源列表,
43、如果它被设置为“没有显式匿名权限就无法访问”的话,这台计算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。权限与共享的冲突如今的局域网普遍建立在Windows 2000以上的系统架构上运行,而且IPC 的作用本来就是为了提供身份验证,因而共享始终离不开权限的影子,何况如果系统不会把文件共享的访问身份设置为最小权限的来宾帐户的话,别有用心的访问者就能轻易夺取管理员级别了。但是也正因为这样,一些时候权限反而会成为阻挠共享顺利进行的罪魁祸首。细心的用户如果点击了共享资源属性里的“权限”界面,可能会发现系统已经自动给这里添加了“Everyone”权限,这是个特殊权限,它的存在是
44、为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限,任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。但是有时候这个理论会因某种原因而产生混乱,进而导致来宾组成员丧失了访问权限,这时候,用户只能手工为它添加一个“guest”的访问权限了。在一些系统上,甚至要添加“Users”或“Administrators”权限才能实现文件共享,但是对于这种权限指派已经严重混乱的系统,小金建议还是重新安装一个算了。对于 Windows XP系统,它默认是仅仅给共享显示一个简单的界面而已,如果你要自定义更多东西,就必须进入“控制面板”的“文件夹选项”里,取消“使用
45、简单文件共享”的勾,而且这里还涉及到NTFS分区“安全”页设置的显示。随着 Windows XP的逐步推进以及安全概念的推广,越来越多用户开始使用NTFS格式作为自己的硬盘分区,这样就在 IPC 的用户身份验证模式上又增加了一种权限限制:NTFS 权限。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 9 页 -一些刚接触 NTFS分区的用户经常会发现,自己机器的共享和来宾帐户都开了,但是别人无论怎么访问都提示“权限不足”,即使给共享权限里添加了来宾帐户甚至管理员帐户也无效,这是为什么?归根究底还是因为在NTFS这部分被拦截了,用户必须理清一个概念,那就是无论你对某个项目的权限做了
46、什么改动,都是磁盘权限最大,因为它是实现文件访问的最后一层防卫,系统不允许任何继承权限超越它,如果一个文件夹的权限只有“SYSTEM”,那么即使你当前登录的身份为管理员,你一样无法打开这个文件夹。而用于共享身份识别的IPC更是只有Guest 权限,更是无法突破NTFS限制的。因此要获得正常的访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键-属性-安全,在里面添加 Guest 和 Everyone 权限并设置相应的访问规则(完全控制、可修改、可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。防火墙与共享的矛盾现在基本上已经没有一台计算机是不曾安装网络防火墙和病毒
47、防火墙的了,可是用户在众多的墙里享受安全特性的时候,偶尔也会发现局域网共享莫名其妙的失败了,如果用户留意到防火墙正在闪烁的报警状态,也许会发现日志上记录着“计算机 x.x.x.x 试图访问本机 139 NetBIOS 端口,该操作已被拦截”,这是为什么?因为防火墙把NetBIOS的通讯给拦截掉了,别忘记 NetBIOS可是局域网通讯的基础。防火墙此举是为了阻止前面提到的利用NetBT 进行的“139 入侵”模式攻击,虽然防火墙规则里可能写着“允许局域网资源共享”,但是可能这条规则没被选中,或者防火墙没能认出这是一个局域网。知道了缘由,解决起来也就容易多了,对于有原配规则设置的防火墙,只要勾上“
48、允许局域网资源共享”,就能让 NetBIOS协议正常通讯了,如果没有,就自己建立一个规则:协议方向为“入”,协议选择“TCP”,端口范围 134139,标志位“SYN”,满足时的规则为“通行”即可。一些 XP系统内置的 Windows防火墙 ICF 往往会掐了自家共享的脖子,如果是这样,就把它关掉,因为 ICF 始终比不过专门的防火墙,更别指望靠它抵挡一切入侵了。特殊的共享故障在一小部分机器里,网络共享是艰难的,它们怎么做也看不到对方的计算机和资源列表,但是使用一些局域网管理工具如LANExplorer、LANetAdmin等却能看到一切,对于这种计算机,只能通过直接输入资源名称或把对方共享资源通过net use命令给映射过来作为虚拟盘符才能工作,对于这种机器,我们也束手无策,只能这么凑合着使用了修改 hkey_local_machinesystemcurrentcontrolsetlsa右边的 restrictanonymous 值为 0,然后重启电脑。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 9 页 -