XP 默认情况下不开启 guest 账户,因此些为了其他人能浏览你的计算机,请启用 guest 账户。同时,为了 安全请为 guest 设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之 间的互相访问。 2. 检查是否拒绝 Guest 用户从网络访问本机
当你开启了 guest 账户却还是根本不能访问时,请检查设置是否为拒绝 guest 从网络访问计算机,因为 XP 默认是不允许 guest 从网络登录的, 所以 即使开了 guest 也一样不能访问。 在开启了系统 Guest 用户的情 况下解除对Guest账号的限制,点击“开始-运行”,在“运行”对话框中输入
“GPEDIT.MSC ,打开组
策略编辑器,依次选择“计算机配置-Windows设置-安全设置-本地策略-用户权利指派”,双击“拒 绝从网络访问这 台计算机”策略,删除里面的“ GUEST账号。这样其他用户就能够用 络访问使用 Windows XP 系统的计算机了。 3. 改网络访问模式
XP 默认是把从网络登录的所有用户都按来宾账户处理的, 因此即使管理员从网络登录也只具有来宾的权限, 若遇到不能访问的情况,请尝试更改网络的访问模
式。打开组策略编辑器,依次选择“计算机配置
Guest账号通过网
-Windows 设置-安全设置-本地策略-安全选项”,双击“网络访问:本地账号的共享和安全模式”策 略, 将默认设置“仅来宾—本地用户以来宾身份验证”,更改为“经典:本地用户以自己的身份验证”。
这样即使不开启 guest ,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密 码为你要访问的计算机内已经的账户和密码。若访问网络时需要账户和密码,可以通过输入你要访问的计 算机内已经的账户和密码来登录。
若不对访问模式进行更改,也许你连输入用户名和密码都办不到,
\\computername\\guest 为灰色不可用。
即使密码为空,在不开启 guest 的情况下,你也不可能点确定登录。改成经典模式,最低限度可以达到像 2000 里没有开启 guest 账户情况时一样,可以输入用户名和密码来登录你要进入的 遇到一种特殊的情况,请看接下来的。 4. 一个值得注意的问题
我们可能还会遇到另外一个问 题,即当用户的口令为空时, 即使你做了上述的所有的更改还是不能进行登 录,访问还是会被拒绝。这是因为,在系统“安全选项”中有“账户:使用空白密码的本 行控制台登录”策略默认是启用的,根据
地账户只允许进 计算机。也许你还会
Windows XP安全策略中拒绝优先的原则,密码为空的用户通过网
络访问使用 Windows XP 的计算机时便会被禁止。我们只要将这个策略停用即可解决问题。在安全选项中, 找到“使用空白密码的本地账户只允许进行控制台登录” 项, 停用就可以, 否则即使开了 guest 并改成经 典模式还是不能登录。经过以上的更改基本就可以访问了,你可以尝试选择一种适合你的方法。下面在再 补充点 其它可能会遇到的问题。
5. 网络邻居不能看到计算机
可能经常不能在网络邻居中看到你要访问的计算机,除非你 知道计算机的名字或者 IP 地址,通过搜索或 者直接输入\\computername或\\IP。请按下面的操作解决:启动“计算机浏览器”服务。“计算机浏览
器
服务”在网络上维护一个计算机更新列表, 并将此列表提供给指定为浏览器的计算机。 如果停止了此服务, 则既不更新也不维护该列表。
137/UDP--NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的 NetBIOS(NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。
138/UDP--NetBIOS 数据报, NetBIOS 数据报是 TCP/IP 上的 NetBIOS(NetBT) 协议族的一部分,它用于网络 登录和浏览。
139/TCP--NetBIOS 会话服务, NetBIOS 会话服务是 TCP/IP 上的 NetBIOS(NetBT) 协议族的一部分,它用于 服务器消息 块(SMB)、文件共享和打印。请设置防火墙开启相应的端口。一般只要在防火墙中允许文件夹 和打印机共享服务就可以了。 6. 关于共享模式
对共享XP默认只给予来宾权限或选择允许用户更改“我的文件”。
Windows 2000操作系统中用户在设置
文件夹的共享属性时操作非常简便, 只需用 鼠标右击该文件夹并选择属性, 就可以看到共享设置标签。而 在Windows XP系统设置文件夹共享时则比较复杂,用户无法通过上述操作看到共享设置标
签。具体的修
改方法如下:打开“我的电脑”中的“工具”, 选择“文件夹属性”,调出“查看”标签,在“高级设置” 部分滚动至最底部将“简单文件共享 (推荐)”前面的选择取消,另外如果选项栏里还有“ Mickey Mouse” 项也将其选择取消。这样修改后用户就可以象使用 Windows 2000 一样对文件夹属性进行方便修改了。 7、 关于用网络邻居访问不响应或者反应慢的问题
在WinXP和Win2000中 浏览网上邻居时系统默认会延迟 30秒,Windows将使用这段时间去搜寻远程计算 机是否有指定的计划任务(甚至有可能到 Internet 中搜寻)。如果 搜寻时网络时没有反应便会陷入无限 制的等待,那么 10 多分钟的延迟甚至报错就不足为奇了。下面是具体的解决方法。 A. 关掉 WinXP的计划任务服务(Task Scheduler )
可以到“控制面板/管理工具/服务”中打开“ Task Scheduler ”的属性对话框,单击“停止”按钮停止该 项服务,再将启动类型设为“手动”,这样下次启动时便不会自动启动该项服务了。 B. 删除注册表中的两个子键 到
注
册
表
中
找
到
主
键
“HKEY_LOCAL_MACHI\\NSEOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RemoteComputer\\NameS pace”
删除下面的两个子健:和。 其中,第一个子健决定网上邻居是否要搜索网上的打印机(甚至要到 Internet 中去搜寻),如果网络中没
有共享的打印机便可删除此键。第二个子健则决定是否需要查找指定的计划任务,这是网上邻居很慢的罪 魁祸首,必须将此子健删除。 8、 关闭一切防火墙和杀毒软件 9、 开启和关闭有关网络访问的服务。
10、 把那台不能访问的计算机重装系统,然后按以上 总结
不能访问主要是由于 XP默认不开启guest,而且即使开了 guest,XP默认是不允许guest从网络访问计算 机的。还有就是那个值得注意的问题。 相信一些不考虑安全的地方或是电脑公司给人做系统密码都是空的, 但这样是不允许登录的。只要试过以上的方法,相信是不会再有问题的 提示:你可能没有权限使用网络资源 ,请与这台服务器的管理员 同事的电脑已经打开了贵宾权限还是不行;公司电脑统一都是 XP系统 1. 在工具 ->文件夹选项 ->查看, 将\"使用简单文件共享 \"前面的勾勾去掉
2. 在控制面板 ->用户帐号 , 将 guest 帐户启用 ( 这个你已经做了,但是记得互访的双方都要 ) 3. 运行\"gpedit.msc\设置-安全设置-本地策略-用户权利指派
左边框会出现一个 \" 拒绝从网络访问这台计算机 \" 项把 guest 用户删除掉就可以了 , 在 \" 从网络中访问这台计算机 \" 中添加对方机器名 ,添加 guest 用户 4. 在注册表里做一些修改如下:开始 运行 regedit 回车,找到下列路径
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa 右边 RestrictAnonymous 的值是否为 0,如 果不是就改为 0
希望你也能成功解决问题
近来常有提问局域网内 winXP的访问问题,现将个人的一点经验总结如下:
一、 启用 guest 来宾帐户;
二、 控制面板-管理工具-本地安全策略-本地策略-用户权利指派里,“从网络访问此计算机”中 加入 guest 帐户,而“拒绝从网络访问这台计算机”中删除 guest 帐户;
三、 我的电脑-工具-文件夹选项-查看-去掉“使用简单文件共享(推荐)”前的勾; 四、 设置共享文件夹;
五、 控制面板-管理工具-本地安全策略-本地策略-安全选项里,把“网络访问:本地帐户的共享 和安全模式”设为“仅来宾 -本地用户以来宾的身份验证” (可选,此项设置可去除访问时要求输入密码的 对话框,也可视情况设为“经典 -本地用户以自己的身份验证”);
六、右击“我的电脑”-“属性”-“计算机名”,该选项卡中有没有出现你的局域网工作组名称,
9 条配置好。
如“work”等。然后单击“网络 ID”按钮,开始“网 络标识向导”:单击“下一步”,选择“本机是商 业网络的
一部分, 用它连接到其他工作着的计算机”;单击“下一步”, 选择“公司使用没有域的网络”; 单击“下一步”按钮,然后输入你的局域网的工作组名,如“ work”,再次单击“下一步”按钮,最后单 击“完成”按钮完成设置。
一般经过以上步骤,基本可以解决。如果不行,再往下看: 七、 检查本地连接是否被禁用,右击“本地连接”宀“启用”; 八、 关闭网络防火墙;
九、检查是否启用了域,是否加入了该域并检查域设置; 十、检查是否关闭了 server 服务; 十^一、检查本地连接IP、子网掩码、网关及 DNS设置是否有误; 十二、“本地连接”-属性-常规,检查是否安装了“ Microsoft “Microsoft 网络客户端”以及 TCP/IP 协议;
十三、某些局域网游戏和软件须安装 NetBEUI 协议。而且网上有文章说,在小型局域网中,微软在
WinXP中只支持的TCP/IP协议和NWLink IPX/SPX/NetBIOS兼容协议表现不尽如人意,在小型局域网 (拥有 200 台左右电脑的网络 )中 NetBEUI 是占用内存最少、速 度最快的一种协议。
安装方法:
① 放 入 Windows XP 安 装 光 盘 , 到 “valueaddMsft et etbeui ” 目 录 下 将 Netnbf.inf 复 制 C:\\Windows\\INF 中;
② 将 Nbf.sys 复制到 C:\\Windows\\System32\\Drivers 中;
③ 开始-控制面板-网上邻居”-“网络连接”-“本地连接” (就是你目前使用中的局域网连接
)
网络文件和打印机共享”、
上按右键-“属性”-“常规”-“安装”-“通讯协议”-- “添加”,此时就可以看到“ NetBEUI Protocol ”这一项
(此项原来是没有的),选取NetBEUI之后,按确定就 0K了。
十四、作为网络浏览服务器的电脑由于病毒、配置低运行慢以及死机等原因导致网络上的计算机列表 得不到更新,使得某些机器有时候在网上邻居中找不到。
解决办法:最简单的办法是重启各种网络设备和电脑,或者关闭个别有上述问题的电脑上的网络浏览 服务器功能 , 方法如下:
win2000/XP 下禁用 Computer Browser 服务
十五、给系统打上补丁。 WinXP访问网上邻居的速度较慢,这是 WinXP的一个Bug,当我们打开网上邻 居时,操作系统首先会从计划任务中进行查找,因此就大大影响了访问的速度,除非您已经安装了 丁才不会存在这个问题。
可以手工解决这一问题。从注册表中找到“ \\HKEY_LOCAL_MACHINE\\ SOFTWARE
为“”的子键,该子键指向“计划任务
NameSpac”e , 这里有 一个名
(Scheduled Tasks )”,将它直接删除即可。
SP1补
十六、先卸载网卡驱动,重启再重装; 十七、硬件问题,检查网卡、网线、集线器、路由器等,在检查之前,最好先重启一下网络设备
器、交换机、路由器 ) 看能否解决;
十八、病毒 ( 木马) 原因。升级病毒库安全模式下全盘杀毒。
( 集线
提示 xxx 无法访问,你可能没有权限使用网络资源 建立网上邻居,我能看到他的共享,他访问我的计算机时,提示
xxx 无法访问,你可能没 有权限使用网络资源 现在总结一下:
(1)安装 NWlink IPX/SPX/NetBIOS Compatible Transport Protocol
协议。
(2) 开启guest账号:右击我的电脑 管理用户有个guest,双击之去掉―^户已停用 前面的 勾。 (3) 右击我的电脑 属性 计算机名,查看该选项卡中出现的局域网工作组名称
(4) 使用 winxp 防火墙的例外: winxp 防火墙在默认状态下是全面启用的,这意味着运行 计算机的所有网络连接,难于实现网上邻居共享。同时,由于 windows 防火墙默认状态下 是禁止 哎件与打印机共享的II所以,启用了防火墙,往往不能共享打印,解决办法是:进 入甘地连接窗口,点—高级”股置例外I在程序与服务下勾选 哎件和打印机共享 。 (5)
删除—拒绝从网络上访问这台计算机 项中的guest账户:运行
组策略(gpedit.msc )本 地计算机 计算机配置 \\windows 设置 安全设置 本地策略 用户权利指派 拒绝从网络访问这 台计算机。如果其中有 guest ,则将其删除。(原因是:有时 xp 的 guest 是不允许访问共 享的)
(6) 取消—使用简单文件共享 方式:资源管理器 工具 文件夹选项 查看 去掉—使用简单文件共 享(推荐)前面的勾。
( 7) 工作组名称一致。 (8)
勾选一Microsoft网络的文件和打印机共享 。
(9) 运行服务策略 ― Services.msc 。启动其中的 ― Clipbook Server 文(件夹服务器 ):这个服务 允许你们网络上的其他用户看到你的文件夹。 当然有时你可把它改为手动启动,然后再使用 其他程序在你的网络上发布信息。 (10) win98 的计算机无法访问 win2000/winxp 的计算机,原因是: win2000/winxp 的计算 机中的 guest 用户被禁用了或者 win2000/winxp 采用 NTFS 分区格式,设置了权限控制。 一般要允许 win98 访问的话,
win2000/winxp 里的安全控制里不要将 everyone 的账号组删 除。
注意:a、如果您没有加入域并想查看
—安全 选项卡,则设置显示 喪全 选项卡:资源管理器
前面的勾。b、查看文件和文件夹
—属性I I单击喪全选项卡—高
工具文件夹选项 查看去掉—使用简单文件共享(推荐) 的有效权限:资源管理器 右击要查看有效权限该文件或文件夹
级 ―有效权限 ―选择 在―名称 框中键入用户或组的名称,然后单击 ―确定 。选中的复选框表 示用户或组对该文件或文件夹的有效权限。 置权限。
局域网共享故障的分析与排除
c、只能在格式化为使用 NTFS的驱动器上设
IPC 、 Server 服务与共享故障
IPC (Internet Process Connection ), IPC 是 NT 以上的系统为了让进程间通信而开放的命 名管道 ,可以通过
验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共 享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现 问网络邻居 的故障。
在 Windows NT 以后的系统里, IPC 是依赖于 Server 服务运行的,一些习惯了单机环境的 用户可能会关闭这个服务 ,这样的后果就是系统将无法提供与局域网有关的操作, 用户无法 查看别人的计算机,也无法为自己发布任何共享。
要确认 IPC 和 Server 服务是否正常 ,可以在命令提示符里输入命令 net share ,如果 Server 服务未开启,系统会提示 ―没有启动 Server 服务。是否可以启动 ? (Y/N) [Y]: ,回车即可以 启动 Server 服务。如果 Server 服务已开启,系统会列出当前的所有共享资源列表,其中至 少要有名为一IPC$的共享,否则用户依然无法正常使用共享资源。
除了 Server 服务以外,还有两个服务会对共享造成影响,分别是 ― Computer Browser 和 —TCP/IP NetBIOS
―无法访
Helper Service
,前者用于保存和交换局域网内计算机的
NetBIOS名称
和共享资源列表 ,当一个程序需要访问另一台计算机的共享资源时 ,它会从这个列表里查询 目标计算机,一旦该服务被禁止, IPC 就认定当前没有可供访问的共享资源,用户自然就没 法访问其他计算机的共享资源了 ;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT )
和 NetBIOS 名称解析工作, NetBT 协议为跨网段实现 NetBIOS 命令传输提供了载体,正因 如此,早期的黑客入侵教材里 一关于 139 端口的远程入侵 才能实现,因为 NetBIOS 协议被 TCP 封装起来通过 Internet 传输到对方机器里处理了,同样对方也是用相同途径实现数据 传输的,否则黑客们根本无法跨网段使用网络资源映射指令
一
net used虽然对于本地局域网
来说, NetBT 协议并非任何时候都会用到,但通常还是留着它比较好。
如果这两个服务异常终止 ,局域网内的共享可能就无法正常使用, 这时候我们可以通过执行 程序一services.msc 打开服务管理器,在里面查找
一Computer Browser II和一TCP/IP NetBIOS
Helper Service 服务并点击■启动即可。
系统安全策略与共享故障
熟悉 Windows系统的用户或多或少都会接触到
一组策略(gpedit.msc ),这里实际上是提
,但是这里
供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限 的设置失误也会影响到局域网共享资源的使用。
由于 IPC 本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏
偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数
配置-安全设置 -本地策略 -用户权利指派I里的一拒绝从网络访问这台计算机
讨算机配置 -Win dows
,在
Windows 2000 系统里默认是不做任何限制的,可是自从 XP 出现后,这个部分就默认多了 两个帐户,一个是用于
远程协助(也就是被简化过的终端服务)身份登录的 另一个则是我们局域网共享的基本成员 guest !
许多使用 XP 系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方 法也很容易,只要从列表里移除
一 Guest帐户就可以了。
3389 用户名,
除了与帐户相关的策略,这里还有几个与 NetBIOS 和 IPC 相关的组策略设置,它们是位于 一计算机配置 -
Windows 配置 - 安全设置 - 本地策略 - 安全选项 里的 一对匿名连接的额 外限制 (默认为 一无 ),对于 XP
以上的系统,这里还有 一不允许 SAM 账户和共享的匿名枚 举 (默认为 一已停用 )、 一本地账户的共享和安全模式 (默认为 一仅来宾 ),其中 一对匿名连 接的额外限制 的设置是可以直接扼杀共享功能的, 当它被设置为 一不允许枚举 时,其他计算 机就无法获取共享资源列表,如果它被设置为 一没有显式匿名权限就无法访问 的话,这台计 算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。 权限与共享的冲突
如今的局域网普遍建立在 Windows 2000 以上的系统架构上运行,而且 IPC 的作用本来就 是为了提供身份验证 ,因而共享始终离不开权限的影子, 何况如果系统不会把文件共享的访 问身份设置为最小权限的来宾帐户的话, 别有用心的访问者就能轻易夺取管理员级别了 。但 是也正因为这样,一些时候权限反而会成为阻挠共享顺利进行的罪魁祸首。
细心的用户如果点击了共享资源属性里的 一权限 界面,可能会发现系统已经自动给这里添加 了一 Everyone权限,这是个特殊权限,它的存在是为了让用户能访问被标记为 件,这也是一些程序正常运行需要的访问权限,任何人都能正常访问被赋予 的文件,包括来宾组成员。
但是有时候这个理论会因某种原因而产生混乱 ,进而导致来宾组成员丧失了访问权限, 这时 候,用户只能手工为它添加一个
一guest的访问权限了。在一些系统上,甚至要添加
一Users I I £有的文 一Everyone权限
或一Administrators权限才能实现文件共享,但是对于这种权限指派已经严重混乱的系统, 小金建议还是重新安装一个算了。
对于 Windows XP 系统,它默认是仅仅给共享显示一个简单的界面而已,如果你要自定义 更多东西,就必须进入 一控制面板 的 一文件夹选项 里,取消 一使用简单文件共享 的勾,而且这 里还涉及到 NTFS 分区 一安全 页设置的显示。
随着 Windows XP 的逐步推进以及安全概念的推广,越来越多用户开始使用
NTFS 格式作
为自己的硬盘分区,这样就在 IPC 的用户身份验证模式上又增加了一种权限限制: NTFS 权限。
一些刚接触 NTFS 分区的用户经常会发现,自己机器的共享和来宾帐户都开了,但是别人 无论怎么访问都提示 一权限不足 ,即使给共享权限里添加了来宾帐户甚至管理员帐户也无 效,这是为什么?归根究底还是因为在 NTFS 这部分被拦截了,用户必须理清一个概念, 那就是无论你对某个项目的权限做了什么改动 ,都是磁盘权限最大 ,因为它是实现文件访问 的 最 后 一 层 防 卫 , 系 统 不 允 许 任 何 继 承 权 限 超 越 它 , 如 果 一 个 文 件 夹 的 权 限 只 有 —SYSTEM,那么即使你当前登录的身份为管理员,你一样无法打开这个文件夹。而用于共 享身份识别的 IPC 更是只有 Guest 权限,更是无法突破 NTFS 限制的。因此要获得正常的 访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键
---属性 -- 安
全,在里面添加 Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读 取等),如果没有其他故障因素,你就会发现共享正常开启访问了。 防火墙与共享的矛盾
现在基本上已经没有一台计算机是不曾安装网络防火墙和病毒防火墙的了 的墙里享受安全特性的时候,偶尔也会发现局域网共享莫名其妙的失败了, 防火墙正在闪烁的报警状态,也许会发现日志上记录着
,可是用户在众多 如果用户留意到
甘算机x.xxx试图访问本机139 -
NetBIOS端口,该操作已被拦截
I;这是为什么?因为防火墙把
NetBIOS的通讯给拦截掉
NetBT
;但是可能
了,另U忘记NetBIOS可是局域网通讯的基础。防火墙此举是为了阻止前面提到的利用 进行的一139入侵 模式攻击,虽然防火墙规则里可能写着 这条规则没被选中,或者防火墙没能认出这是一个局域网。
―允许局域网资源共享
知道了缘由,解决起来也就容易多了,对于有原配规则设置的防火墙,只要勾上 —允许局域
网资源共享;就能让NetBIOS协议正常通讯了,如果没有,就自己建立一个规则:协议方 向为—< I;协议选择一
TCP;端口范围134 —139,标志位一SYN,满足时的规则为 ―通行 即 可。一些XP系统内置的 Windows防火
墙ICF往往会掐了自家共享的脖子,如果是这样, 就把它关掉,因为ICF始终比不过专门的防火墙,更别指望靠它抵挡一切入侵了。 特殊的共享故障
在一小部分机器里,网络共享是艰难的,它们怎么做也看不到对方的计算机和资源列表,但 是使用一些局域网管理工具如
LANExplorer、LANetAdmin等却能看到一切,对于这种计算
net use命令给映射过来作为虚拟盘
右边的 restrictanonymous 值为 0,
机,只能通过直接输入资源名称或把对方共享资源通过
符才能工作,对于这种机器,我们也束手无策,只能这么凑合着使用了 修改 hkey_local_machine\\system\\currentcontrolset'lsa 然后重启电脑
建立网上邻居,我能看到他的共享,他访问我的计算机时,提示xxx无法访问, 你可能没有权限使用网络资源 现在总结一下:
(1) 安装 NWIink IPX/SPX/NetBIOS Compatible Tran sport Protocol 协议。 (2) 开启guest账号:右击我的电脑 管理 用户有个guest,双击之去掉“账户 已停用”前面的勾。
(3) 右击我的电脑 属性 计算机名,查看该选项卡中出现的 局域网工作组名称 (4) 使用winxp防火墙的例外:winxp防火墙在默认状态下是全面启用的,这 意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于windows 防火墙默认状态下是禁止“文件与打印机共享的”, 所以,启用了防火墙,往往 不能共享打印,解决办法是:进入“本地连接”窗口,点“高级” “设置” “例 外”在程序与服务下勾选“文件和打印机共享”。
(5) 删除“拒绝从网络上访问这台计算机”项中的 guest账户:运行组策略
(gpedit.msc )本地计算机计算机配置\\windows设置安全设置本地策略用 户权利指派 拒绝从网络访问这台计算机。如果其中有guest,则将其删除。(原 因是:有时xp的guest是不允许访问共享的)
(6) 取消“使用简单文件共享”方式:资源管理器 工具 文件夹选项 查看 去掉 “使用简单文件共享(推荐)”前面的勾。 (7) 工作组名称一致。
(8) 勾选“ Microsoft网络的文件和打印机共享”。
(9) 运行服务策略“ Services.msc ”。启动其中的“ Clipbook Server ” (文件夹 服务器):这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可 把它改为手动启动,然后再使用其他程序在你的网络上发布信息。
(10) win98的计算机无法访问 win2000/winxp的计算机,原因是:win2000/winxp 的计算机中的guest用户被禁用了或者 win2000/winxp采用NTFS分区格式,设 置了权限控制。一般要允许 win98访问的话,win2000/winxp里的安全控制里不 要将
everyone的账号组删除。
注意:a、如果您没有加入域并想查看“安全”选项卡,则设置显示“安全”选 项卡:资源管理器工具文件夹选项查看去掉“使用简单文件共享(推荐)” 前面的勾。b、查看文件和文件夹的有效权限: 资源管理器 右击要查看有效权限 该文件或文件夹 “属性” 单击“安全”选项卡 “高级” “有效权限” “选 择”在“名称”框中键入用户或组的名称,然后单击“确定”。选中的复选框 表示用户或组对该文件或文件夹的有效权限。 c、只能在格式化为使用NTFS的 驱动器上设置权限。
局域网共享故障的分析与排除
IPC、Server服务与共享故障
IPC(Internet Process Connection ) , IPC 是 NT 以上的 系统为了让进程间通 信而开放的命名管道,可以通过验证用户名和密码获得相应的权限, 在远程管理 计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果 它被关闭,计算机就会出现“无法访问网络邻居”的故障。
在Windows NT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单 机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有 关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。 要确认IPC和Server服务是否正常,可以在命令提示符里输入命令 net share, 如果Server服务未开启,系统会提示“没有启动Server服务。是否可以启动? (Y/N) [Y]: ”,回车即可以启动Server服务。如果Server服务已开启,系统会 列出当前的所有共享资源列表,其中至少要有名为“ IPC$”的共享,否则用户依 然无法正常使用共享资源。
除了 Server服务以外,还有两个服务会对共享造成影响,分别是“ Computer Browser”和“ TCP/IP NetBIOS Helper Service ”,前者用于保存和交换局域网 内计算机的NetBIOS名称和共享资源列表,当一个程序需要访问另一台计算机的 共享资源时,它会从这个列表里查询目标计算机,一旦该服务被禁止, IPC就认 定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源 了;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT)和NetBIOS名称解 析工作,NetBT协议为跨网段实现NetBIOS命令传输提供了载体,正因如此,早 期的黑客入侵教材里“关于139端口的远程入侵”才能实现,因为NetBIOS协议 被TCP封装起来通过In ternet传输到对方机器里处理了,同样对方也是用相同 途径实现数据传输的,否则黑客们根本无法跨网段使用网络资源映射指令“ n et use”。虽然对于本地局域网来说,NetBT协议并非任何时候都会用到,但通常 还是留着它比较好。
如果这两个服务异常终止,局域网内的共享可能就无法正常使用, 这时候我们可 以通过执行程序“ services.msc ”打开服务管理器,在里面查找“ Computer Browser ”和“ TCP/IP NetBIOS Helper Service ” 服务并点击“启动”即可。 系统安全策略与共享故障
熟悉Windows系统的用户或多或少都会接触到“组策略” (gpedit.msc ),这里 实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功 能和用户权限,但是这里的设置失误也会影响到局域网共享资源的使用。
由于 IPC 本身就是用于身份验证的, 因此它对计算机账户的配置特别敏感, 而组 策略里偏偏就有很多方面的设置是针对计算机账户的, 其中影响最大的要数“计 算机配置-Windows配置-安全设置-本地策略-用户权利指派”里的 “拒绝从网络访问这台计算机”,在 Windows 2000 系统里默认是不做任何限制 的,可是自从XP出现后,
这个部分就默认多了两个帐户,一个是用于远程协助 (也就是被简化过的终端服务)身份登录的 3389 用户名,另一个则是我们局域 网共享的基本成员 guest! 许多使用XP系统的用户无法正常开启共享资源的访问权限,正是这个项目的限 制,解决方法也很容易,只要从列表里移除“ Guest”帐户就可以了。
除了与帐户相关的策略,这里还有几个与NetBIOS和IPC相关的组策略设置,它 们是位于“计算机配置 -Windows配置-安全设置-本地策略-安全选 项”里的“对匿名连接的额外限制”(默认为“无”),对于 XP以上的系统, 这里还有“不允许SAM账户和共享的匿名枚举”(默认为“已停用”)、“本地 账户的共享和安全模式” (默认为“仅来宾”) ,其中“对匿名连接的额外限制” 的设置是可以直接扼杀共享功能的, 当它被设置为“不允许枚举”时, 其他计算 机就无法获取共享资源列表, 如果它被设置为“没有显式匿名权限就无法访问” 的话,这台计算机就与共享功能彻底告别了, 所以有时候实在找不出故障, 不妨 检查一下该项目。
权限与共享的冲突
如今的局域网普遍建立在 Windows 2000以上的系统架构上运行,而且IPC的作 用本来就是为了提供身份验证, 因而共享始终离不开权限的影子, 何况如果系统 不会把文件共享的访问身份设置为最小权限的来宾帐户的话, 别有用心的访问者 就能轻易夺取管理员级别了。 但是也正因为这样, 一些时候权限反而会成为阻挠 共享顺利进行的罪魁祸首。
细心的用户如果点击了共享资源属性里的“权限”界面, 可能会发现系统已经自 动给这里添加了“ Everyone”权限,这是个特殊权限,它的存在是为了让用户能 访问被标记为“公有”的文件, 这也是一些程序正常运行需要的访问权限, 任何 人都能正常访问被赋予“ Every one ”权限的文件,包括来宾组成员。 但是有时候这个理论会因某种原因而产生混乱, 进而导致来宾组成员丧失了访问 权限,这时候,用户只能手工为它添加一个“ guest ”的访问权限了。在一些系 统上,甚至要添加
“ Users”或“Administrators ”权限才能实现文件共享,但 是对于这种权限指派已经严重混乱的系统,小金建议还是重新安装一个算了。 对于Windows XP系统,它默认是仅仅给共享显示一个简单的界面而已,如果你 要自定义更多东西, 就必须进入“控制面板”的“文件夹选项”里, 取消“使用 简单文件共享”的勾,而且这里还涉及到 NTFS分区“安全”页设置的显示。
随着Windows XP的逐步推进以及安全概念的推广,越来越多用户开始使用 NTFS 格式作为自己的硬盘分区,这样就在IPC的用户身份验证模式上又增加了一种权 限限制:NTFSR限。
一些刚接触NTFS分区的用户经常会发现,自己机器的共享和来宾帐户都开了, 但是别人无论怎么访问都提示“权限不足”,即使给共享权限里添加了来宾帐户 甚至管理员帐户也无效,这是为什么?归根究底还是因为在 NTFS这部分被拦截 了,用户必须理清一个概念,那就是无论你对某个项目的权限做了什么改动, 都 是磁盘权限最大,因为它是实现文件访问的最后一层防卫, 系统不允许任何继承 权限超越它,如果一个文件夹的权限只有“ SYSTEM,那么即使你当前登录的身 份为管理员,你一样无法打开这个文件夹。而用于共享身份识别的IPC更是只有 Guest权限,更是无法突破 NTFS限制的。因此要获得正常的访问权限,除了做 好共享目录的权限设置工作以外,还在共享目录上单击右键 ---属性----安全, 在里面添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、 可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。
防火墙与共享的矛盾
现在基本上已经没有一台计算机是不曾安装网络防火墙和病毒防火墙的了, 可是 用户在众多的墙里享受安全特性的时候,偶尔也会发现局域网共享莫名其妙的失 败了,如果用户留意到防火墙正在闪烁的报警状态,也许会发现日志上记录着
“计算机x.x.x.x 试图访问本机139 - NetBIOS端口,该操作已被拦截”,这 是为什么?因为防火墙把 NetBIOS的通讯给拦截掉了,别忘记NetBIOS可是局域 网通讯的基础。防火墙此举是为了阻止前面提到的利用 NetBT进行的“ 139入 侵”模式攻击,虽然防火墙规则里可能写着“允许局域网资源共享”, 但是可能 这条规则没被选中,或者防火墙没能认出这是一个局域网。
知道了缘由,解决起来也就容易多了,对于有原配规则设置的防火墙,只要勾上 “允许局域网资源共享”,就能让NetBIOS协议正常通讯了,如果没有,就自己 建立一个规则:协议方向为“入”,协议选择“ TCP,端口范围134—139,标 志位“ SYN,满足时的规则为“通行”即可。 一些XP系统内置的 Windows防火 墙ICF往往会掐了自家共享的脖子,如果是这样,就把它关掉,因为ICF始终比 不过专门的防火墙,更别指望靠它抵挡一切入侵了。
特殊的共享故障
在一小部分机器里,网络共享是艰难的, 它们怎么做也看不到对方的计算机和资源列表, 是使用一些局域网管理工具如
但
LANExplorer、LANetAdmin等却能看到一切,对于这种计算
net use命令给映射过来作为虚拟盘
机,只能通过直接输入资源名称或把对方共享资源通过
符才能工作,对于这种机器,我们也束手无策,只能这么凑合着使用了
修改 hkey_local_machine\\system\\currentcontrolset'lsa 右边的 restrictanonymous 值为 0,然后重 启电脑。
因篇幅问题不能全部显示,请点此查看更多更全内容