工作組環(huán)境中網(wǎng)絡(luò)訪問

1、假設(shè)網(wǎng)絡(luò)中有兩臺(tái)計(jì)算機(jī)，并滿足以下條件：一臺(tái)計(jì)算機(jī)名為Client，另一臺(tái)計(jì)算機(jī)名為Server，假定Client（客戶機(jī)）要訪問Server（服務(wù)器）上的資源假設(shè)：Client采用Windows Server 2003或者Windows XP Professional；Server采用Windows XP Professionalu協(xié)議和端口、組件和服務(wù)：工作在網(wǎng)絡(luò)的底層。u用戶身份驗(yàn)證：你說你是Tom，你真的是Tom嗎？ Client需要提供用戶名和密碼，向Server證明自己的身份。u安全策略審核：我已經(jīng)知道你是Tom了，現(xiàn)在我看看能否給你“入場(chǎng)券”？u權(quán)限檢查：最終能否成功訪問成功，取

2、決于共享資源的權(quán)限設(shè)置。只有以上因素全部滿足，那么只有以上因素全部滿足，那么Client才能夠順利地訪問才能夠順利地訪問Server。u文件和打印共享可以在TCP/IP、或者其他協(xié)議（例如NetBEUI）上很好地工作。u如果要走TCP/IP協(xié)議，可以借助兩種方式：一種是通過傳統(tǒng)的NetBT。另一種是TCP/IP上的SMB直接承載。u為什么要使用TCP/IP上的SMB直接承載？u什么情況下必須使用NetBT？不需要經(jīng)過NetBT層，簡(jiǎn)化了SMB傳輸通信；可以關(guān)閉不需要的NetBT端口；消除了由于NetBIOS名字解析而產(chǎn)生的廣播。網(wǎng)絡(luò)中具有Windows 95/98、Windows NT等舊版操

3、作系統(tǒng)；如果網(wǎng)絡(luò)中沒有部署自己的DNS服務(wù)器，則必須啟用NetBT，以確保名字解析正常。如果確實(shí)需要禁用NetBT，則只能用 ServerIPAddress的形式訪問。如何禁用/啟用NetBT？DemoDemou在運(yùn)行對(duì)話框里輸入以下地址并回車hcp:/system/netdiag/dglogs.htm或者在運(yùn)行對(duì)話框里輸入以下命令并回車NETSH DIAG GUIu例如圖中TcpipNetbiosOption表示NetBT的配置情況：uTcpipNetbiosOption0表示默認(rèn)配置，根據(jù)DHCP選項(xiàng)設(shè)置NetBT的是否啟用uTcpipNetbiosOption=1，啟用NetBTuTcp

4、ipNetbiosOption=2，禁用NetBTu好處：NetBEUI協(xié)議的系統(tǒng)開銷更??；NetBEUI協(xié)議可以繞過Windows防火墻的限制，無需對(duì)Windows防火墻進(jìn)行配置，就可以實(shí)現(xiàn)文件和打印機(jī)共享。u缺點(diǎn)：不能跨路由；與Internet不兼容。u網(wǎng)絡(luò)組件Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享：可以給局域網(wǎng)用戶提供資源共享服務(wù)；Microsoft網(wǎng)絡(luò)客戶端：可以訪問局域網(wǎng)的資源共享。u服務(wù)：Computer BrowserWorkstationServerTCP/IP NetBIOS Helper要實(shí)現(xiàn)共享，必須啟用以下網(wǎng)絡(luò)組件和系統(tǒng)服務(wù)：系統(tǒng)服務(wù)和網(wǎng)絡(luò)組件之間的邏輯關(guān)系：u如果停

5、止server服務(wù)，計(jì)算機(jī)描述會(huì)無法接受輸入，同時(shí)windows xp登陸時(shí)的歡迎屏幕上也看不到相應(yīng)計(jì)算機(jī)描述信息。u計(jì)算機(jī)描述信息受server服務(wù)影響，具體由：HKEY_LOCAL MACHINESYSTEMControlSet001Serviceslarmanserverparameters注冊(cè)表項(xiàng)下的srvcomment鍵值所控制。unet config server命令：在命令提示符窗口用該命令對(duì)Server服務(wù)進(jìn)行配置。unet config server /SRVCOMMENT:”text”可以設(shè)置計(jì)算機(jī)描述unet config server /hidden:yes可以在網(wǎng)上鄰

6、居瀏覽列表里隱藏該計(jì)算機(jī)。其他計(jì)算機(jī)須知道其計(jì)算機(jī)名或IP地址才可以訪問。 注意：該計(jì)算機(jī)要等到30分鐘左右，才能從網(wǎng)上鄰居瀏覽列表中刪除。u客戶機(jī)總是優(yōu)先用自己的登錄帳戶進(jìn)行驗(yàn)證。例如：如果Client計(jì)算機(jī)的當(dāng)前登錄帳戶是test，那么Client首先會(huì)嘗試以test身份向Server提交驗(yàn)證請(qǐng)求。u由服務(wù)器決定是否將客戶機(jī)的用戶身份映射為guest帳戶。對(duì)于用戶身份驗(yàn)證，需要牢記以下兩條準(zhǔn)則：對(duì)于用戶身份驗(yàn)證，需要牢記以下兩條準(zhǔn)則：u所有網(wǎng)絡(luò)用戶都被識(shí)別成guest用戶。u等效于本地安全策略、安全選項(xiàng)、“網(wǎng)絡(luò)訪問：本地帳戶的共享和安全模式”選項(xiàng)設(shè)置為“僅來賓：本地用戶以來賓身份驗(yàn)證”。特

7、點(diǎn)：u確認(rèn)啟用簡(jiǎn)單文件共享模式。u如果服務(wù)器配置了簡(jiǎn)單文件共享，客戶機(jī)會(huì)被映射為guest用戶，并以guest用戶的身份進(jìn)入下一關(guān)“安全策略審核”。u如果沒有配置過簡(jiǎn)單文件共享，則會(huì)彈出灰色用戶名（ guest ）的身份驗(yàn)證對(duì)話框，無論輸入什么密碼都無效。簡(jiǎn)單文件共享的用戶身份驗(yàn)證步驟：簡(jiǎn)單文件共享的用戶身份驗(yàn)證步驟：、客戶機(jī)以當(dāng)前登錄的用戶（、客戶機(jī)以當(dāng)前登錄的用戶（Admin）和密碼（）和密碼（pass），到服），到服務(wù)器處驗(yàn)證，如果服務(wù)器上存在相同的用戶（務(wù)器處驗(yàn)證，如果服務(wù)器上存在相同的用戶（Admin）和密碼）和密碼（pass） ，則客戶機(jī)以，則客戶機(jī)以Admin身份進(jìn)入下一關(guān)身份進(jìn)

8、入下一關(guān)“安全策略審核安全策略審核”、如果服務(wù)器上存在相同的用戶名、如果服務(wù)器上存在相同的用戶名（Admin），但密碼不同；或如果服務(wù)器），但密碼不同；或如果服務(wù)器上不存在相同的用戶名，且上不存在相同的用戶名，且guest用戶被用戶被禁用，則彈出對(duì)話框，必須輸入禁用，則彈出對(duì)話框，必須輸入server上上的未被禁用的某個(gè)用戶名及密碼。的未被禁用的某個(gè)用戶名及密碼。、如果服務(wù)器上不存在相同的用戶名，、如果服務(wù)器上不存在相同的用戶名，而且服務(wù)器上的而且服務(wù)器上的guest用戶未被禁用，則用戶未被禁用，則客戶機(jī)以客戶機(jī)以guest身份進(jìn)入下一關(guān)。身份進(jìn)入下一關(guān)。假定：客戶機(jī)以當(dāng)前登錄的用戶（假定：客

9、戶機(jī)以當(dāng)前登錄的用戶（Admin）和密碼（）和密碼（pass），），到服務(wù)器處驗(yàn)證。到服務(wù)器處驗(yàn)證。u策略：本地策略、安全選項(xiàng)、策略：本地策略、安全選項(xiàng)、“帳戶：使用空白密碼帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄的本地帳戶只允許進(jìn)行控制臺(tái)登錄”u策略：本地策略、用戶權(quán)利指派、策略：本地策略、用戶權(quán)利指派、“拒絕從網(wǎng)絡(luò)訪問拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)這臺(tái)計(jì)算機(jī)”u策略：本地策略、用戶權(quán)利指派、策略：本地策略、用戶權(quán)利指派、“允許從網(wǎng)絡(luò)訪問允許從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)這臺(tái)計(jì)算機(jī)”三條重要的安全策略：u策略：本地策略、安全選項(xiàng)、“帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄”u策略：本地策略、

10、用戶權(quán)利指派、“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”u策略：本地策略、用戶權(quán)利指派、“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”一、客戶機(jī)以guest用戶身份接受安全策略審核：u策略：本地策略、安全選項(xiàng)、“帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄”u策略：本地策略、用戶權(quán)利指派、“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”u策略：本地策略、用戶權(quán)利指派、“從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”二、客戶機(jī)以非guest用戶身份接受安全策略審核：例如：1、本地策略、安全選項(xiàng)、“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模式”2、本地策略、安全選項(xiàng)、“網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉”需要了解更詳細(xì)的有關(guān)本地安全策略的信息，及其對(duì)網(wǎng)絡(luò)的影響，可參考微軟知

11、識(shí)庫(kù)文章：http:/ /configure /cfg %windir%repairsecsetup.inf /dbsecsetup.sdb /areas USER_RIGHTS /verbose2、恢復(fù)安全選項(xiàng)secedit /configure /cfg %windir%repairsecsetup.inf /dbsecsetup.sdb /areas SECURITYPOLICY /verbose3、有關(guān)secedit命令的幫助信息，可以在運(yùn)行對(duì)話框中輸入以下地址查看：Ms-its:%windir%Help ntcmds.chm:/secedit_cmds.htmu對(duì)于禁用簡(jiǎn)單文件共享的Windows XP Professional 和Windows 2003來說，客戶機(jī)要能夠訪問服務(wù)器上的某個(gè)共享資源，必須滿足共享權(quán)限和NTFS權(quán)限。權(quán)限檢查流程：權(quán)限檢查流程：（2）為什