论文部分内容阅读
公司的规模不断扩大,局域网中的主机数量也激增到近百台,受领导的指派,局域网的维护管理就落到了笔者的肩头。局域网的优势在于资源共享,在实际运维过程中,笔者经常遇到各共享访问方面的问题,也时常帮助用户们解决此类故障。从排查出的种种问题来看,影响资源访问的主要问题还是集中在共享模式上。看来,只好从了解共享模式人手,结合实际的案例,才可以让大家排除险阻,顺利地享用各种网络资源。
了解Windows共享访问模式
Windows的共享模式分为来宾模式和经典模式,前者自动将来访者的共享访问账户映射为Guest账户,并允许来访者以宾客账户身份访问共享资源。后者会对来访者的身份进行强制验证,如果验证失败,就不允许其访问共享资源,这对于安全性较高的场合较为合适。
当启用了来宾模式后,来访者会借助于本机的Gues!账户进行访问,Guest账户是不需要密码的,其优点是可以提高访问效率。当然,前提是必须激活本地的Guest账户,否则在访问时仍然会弹出身份验证窗口,而且在其中输入任何账户名和密码,都无法正常进行共享登录。在CMD窗口中执行“net user guest/active:yes”命令,就可以激活Guest账户(如图1)。运行“net user Ruest/active:no”命令,则会禁用Guest账户。
当启用了经典模式时,系统会自动检测在本机中是否存在和来访者相同的账户名和密码,如果存在,共享登录动作就会顺利通过。如果本地的账户和来访者使用的账户一致,但是两者的密码不同的话,则必须在身份验证窗口中输入与之对应的本地账户的密码,才可以访问共享资源。如果本地不存在相同的账户和密码信息,但是已经激活了Guest账户的话,那么共享访问就会使用Guest账户实施,否则功能访问就会失败。
共享登录为何被拒绝
笔者使用Administrator账户登录本机后,通过网络邻居搜索内网中的某台文件服务器,在搜索结果中可以浏览该机上的所有共享文件夹,当双击某个共享文件夹时,系统没有弹出共享登录对话框,而是冷冰冰显示拒绝登录的信息。
笔者判断,没有弹出共享登录对话框,就已经说明共享登录已经通过了身份认证,因为文件服务器也存在Administrator账户。之所以出现登录失败的问题,只能说明该机中的Administrator账户密码为空。而Windows对于密码为空的账户,默认只允许其访问控制台窗口,不能执行别的操作,包括访问共享资源。针对这种情况,笔者到该文件服务器上运行“lusrmgr.msc”程序,在窗口左侧选择“用户”项,在右侧的Administrator账户的右键菜单上点击“设置密码”项,为其设置和笔者主机上Administrator账户相同的密码。之后再次访问,就可以顺利登录到该服务器上,自由访问共享资源了。当然,也可以设置不同的密码,这样,在访问时笔者就必须输入Administrato账户名和与该服务器对应的密码方可。
当然,每个来访者账户名在服务器未必存在,都按照上述方法手工定制,未免太过繁琐。为了访问上的便利,可以在该服务器上先激活Guest账户。之后运行“secpol.msc”程序,在本地安全设置窗口左侧选择“安全设置”→“本地策略”→“安全选项”分支,在窗口右侧双击“网络访问:本地账户的共享和安全模式”项,在弹出窗口(如图2)中选择“仅来宾一本地账户以来宾身份验证”项。之后,所有的来访者就可以快捷顺利地访问该服务器上的共享资源了。其实,对于WindowsXP来说,如果在文件夹选项窗口中的“查看”面板中选择“简单文件共享”项,就相当于将共享模式调整为“仅来宾一本地账户以来宾身份验证”模式。如果取消该项选择的话,就相当于将共享模式调整为“经典一本地用户以自己的身份验证”模式。
破解共享信息失踪之谜
内网中有一台主机,其共享模式已经设置为“经典一本地用户以自己的身份验证”模式,别的主机用户通过网上邻居窗口搜索到了该机,在身份验证窗口中输入正确的账户名和密码后,虽然共享登录顺利通过,但是却找不到该机上的共享资源。实际上该机已经开启了多个共享资源项目。
从原理上说,在经典模式下,只要通过了安全认证,就可以访问所有的共享资源。之所以出现以上故障,其原因在于该机中的隐藏共享资源IPC$被停用了。在默认状态下,通过网上邻居可以访问目标机的共享内容,主要是该机安装了“Microsoft网络的安全和打印机共享”组件,系统会自动生成隐藏的共享IPC$。借助于该对象,才可以浏览该机的共享资源列表信息,让共享访问得以顺利进行。如果目标机隐藏的共享IPC$服务被停用的话,自然会造成上述无法显示共享资源的故障。解决的方法很简单,将隐藏的共享IPC$服务激活即可。这必须以管理员身份登录系统,在CMD窗口中执行“net share IPC$”命令,当系统出现确认提示,就说明共享IPC$服务恢复正常(如图3)。以后不管是通过网上邻居,还是利用URL地址方式访问该机,就会显示对应的共享资源信息了。
由共享权限引发的故障
当笔者通过网络邻居访问同事的主机时,当双击其提供的F盘共享项目时,发现系统没有弹出身份验证窗口,而是直接出现没有共享访问权限的提示。当对该机进行检查时,发现其处于“仅来宾一本地账户以来宾身份验证”模式,按照常理,该情况下的共享访问应该非制顺利才对。
经过对来宾模式工作原理的分析,笔者认为,在来宾模式下,访问者实际上是以Guest账户的身份,访问同事主机中的共享资源的。之所以出现没有访问权限的问题,很可能是同事主机没有针对该共享文件夹,为Guest账户分配合适的权限所致。之后笔者在该机中选择F盘共享项目,在其属性窗口中的“安全”面板(如图4)中点击“添加”按钮,之后依次点击“高级”“立即搜索”按钮,将Guest账户添加进来。在“组或用户名称”栏中选择Guest账户,在权限列表中的“允许”列中勾选“读取和运行”“列出文件夹目录”“读取”等项目,为Guest账户合理的分配权限。果然,之后再次执行访问该机中的F盘共享项目,可以顺利进行访问了。当然,在来宾模式下,共享访问的安全性问题是比较突出的。为了安全起见,笔者在该同事主机中启用了“经典一本地用户以自己的身份验证”模式,之后再次执行相同的访问操作时,必须在身份验证窗口中输入合适的账户名和密码才行。
了解Windows共享访问模式
Windows的共享模式分为来宾模式和经典模式,前者自动将来访者的共享访问账户映射为Guest账户,并允许来访者以宾客账户身份访问共享资源。后者会对来访者的身份进行强制验证,如果验证失败,就不允许其访问共享资源,这对于安全性较高的场合较为合适。
当启用了来宾模式后,来访者会借助于本机的Gues!账户进行访问,Guest账户是不需要密码的,其优点是可以提高访问效率。当然,前提是必须激活本地的Guest账户,否则在访问时仍然会弹出身份验证窗口,而且在其中输入任何账户名和密码,都无法正常进行共享登录。在CMD窗口中执行“net user guest/active:yes”命令,就可以激活Guest账户(如图1)。运行“net user Ruest/active:no”命令,则会禁用Guest账户。
当启用了经典模式时,系统会自动检测在本机中是否存在和来访者相同的账户名和密码,如果存在,共享登录动作就会顺利通过。如果本地的账户和来访者使用的账户一致,但是两者的密码不同的话,则必须在身份验证窗口中输入与之对应的本地账户的密码,才可以访问共享资源。如果本地不存在相同的账户和密码信息,但是已经激活了Guest账户的话,那么共享访问就会使用Guest账户实施,否则功能访问就会失败。
共享登录为何被拒绝
笔者使用Administrator账户登录本机后,通过网络邻居搜索内网中的某台文件服务器,在搜索结果中可以浏览该机上的所有共享文件夹,当双击某个共享文件夹时,系统没有弹出共享登录对话框,而是冷冰冰显示拒绝登录的信息。
笔者判断,没有弹出共享登录对话框,就已经说明共享登录已经通过了身份认证,因为文件服务器也存在Administrator账户。之所以出现登录失败的问题,只能说明该机中的Administrator账户密码为空。而Windows对于密码为空的账户,默认只允许其访问控制台窗口,不能执行别的操作,包括访问共享资源。针对这种情况,笔者到该文件服务器上运行“lusrmgr.msc”程序,在窗口左侧选择“用户”项,在右侧的Administrator账户的右键菜单上点击“设置密码”项,为其设置和笔者主机上Administrator账户相同的密码。之后再次访问,就可以顺利登录到该服务器上,自由访问共享资源了。当然,也可以设置不同的密码,这样,在访问时笔者就必须输入Administrato账户名和与该服务器对应的密码方可。
当然,每个来访者账户名在服务器未必存在,都按照上述方法手工定制,未免太过繁琐。为了访问上的便利,可以在该服务器上先激活Guest账户。之后运行“secpol.msc”程序,在本地安全设置窗口左侧选择“安全设置”→“本地策略”→“安全选项”分支,在窗口右侧双击“网络访问:本地账户的共享和安全模式”项,在弹出窗口(如图2)中选择“仅来宾一本地账户以来宾身份验证”项。之后,所有的来访者就可以快捷顺利地访问该服务器上的共享资源了。其实,对于WindowsXP来说,如果在文件夹选项窗口中的“查看”面板中选择“简单文件共享”项,就相当于将共享模式调整为“仅来宾一本地账户以来宾身份验证”模式。如果取消该项选择的话,就相当于将共享模式调整为“经典一本地用户以自己的身份验证”模式。
破解共享信息失踪之谜
内网中有一台主机,其共享模式已经设置为“经典一本地用户以自己的身份验证”模式,别的主机用户通过网上邻居窗口搜索到了该机,在身份验证窗口中输入正确的账户名和密码后,虽然共享登录顺利通过,但是却找不到该机上的共享资源。实际上该机已经开启了多个共享资源项目。
从原理上说,在经典模式下,只要通过了安全认证,就可以访问所有的共享资源。之所以出现以上故障,其原因在于该机中的隐藏共享资源IPC$被停用了。在默认状态下,通过网上邻居可以访问目标机的共享内容,主要是该机安装了“Microsoft网络的安全和打印机共享”组件,系统会自动生成隐藏的共享IPC$。借助于该对象,才可以浏览该机的共享资源列表信息,让共享访问得以顺利进行。如果目标机隐藏的共享IPC$服务被停用的话,自然会造成上述无法显示共享资源的故障。解决的方法很简单,将隐藏的共享IPC$服务激活即可。这必须以管理员身份登录系统,在CMD窗口中执行“net share IPC$”命令,当系统出现确认提示,就说明共享IPC$服务恢复正常(如图3)。以后不管是通过网上邻居,还是利用URL地址方式访问该机,就会显示对应的共享资源信息了。
由共享权限引发的故障
当笔者通过网络邻居访问同事的主机时,当双击其提供的F盘共享项目时,发现系统没有弹出身份验证窗口,而是直接出现没有共享访问权限的提示。当对该机进行检查时,发现其处于“仅来宾一本地账户以来宾身份验证”模式,按照常理,该情况下的共享访问应该非制顺利才对。
经过对来宾模式工作原理的分析,笔者认为,在来宾模式下,访问者实际上是以Guest账户的身份,访问同事主机中的共享资源的。之所以出现没有访问权限的问题,很可能是同事主机没有针对该共享文件夹,为Guest账户分配合适的权限所致。之后笔者在该机中选择F盘共享项目,在其属性窗口中的“安全”面板(如图4)中点击“添加”按钮,之后依次点击“高级”“立即搜索”按钮,将Guest账户添加进来。在“组或用户名称”栏中选择Guest账户,在权限列表中的“允许”列中勾选“读取和运行”“列出文件夹目录”“读取”等项目,为Guest账户合理的分配权限。果然,之后再次执行访问该机中的F盘共享项目,可以顺利进行访问了。当然,在来宾模式下,共享访问的安全性问题是比较突出的。为了安全起见,笔者在该同事主机中启用了“经典一本地用户以自己的身份验证”模式,之后再次执行相同的访问操作时,必须在身份验证窗口中输入合适的账户名和密码才行。