组策略解决共享访问五大稀奇难题

1、为了充分发挥网络作用，现在许多单位的重要信息都开始发布到局域网中，单位中的所有员工都可以通过共享访问方式来快速、及时浏览它们。然而许多员工在尝试访问单位共享信息的时候，经常会遭遇一些稀奇古怪的共享访问麻烦，甚至会碰到一些莫名其妙的共享访问故障，面对这些共享访问麻烦、故障，许多员工常常手无足措，根本不知道该如何进行有效应对!其实对于许多共享访问麻烦或故障来说，我们只要巧妙地修改系统组策略，就能轻易将它们给解决了!共享难题1、无法输入共享访问帐号名称在单位局域网网络中，当员工尝试从自己的工作站系统中去访问另外局域网中的另外一台工作站中的重要共享信息时，系统屏幕上可能会出现一个共享访问登录设置框，原

2、本员工只要正确输入共享访问帐号名称以及密码信息，就能打开对方工作站的共享文件夹窗口，并进行共享资源的访问了;可实际上，有的员工会发现用户名信息有时无法输入，那样的话员工就不能使用自己的共享访问帐号来访问目标共享资源了。面对类似这种现象的共享访问难题时，我们该采取什么办法来帮助这位员工正确输入自己的帐号名称进行共享访问呢?一旦不幸遇到这样的共享访问难题时，多半是员工本地工作站系统的组策略没有设置正确引起的，这个时候我们只要按照如下步骤来编辑组策略就可以了：首先在本地工作站系统桌面中单击“开始”按钮，从弹出的“开始”菜单中选择“运行”命令，进入本地工作站的系统运行框，在其中直接输入“gpedit.

3、msc”字符串命令，并单击回车键，打开系统组策略编辑界面;其次在该组策略编辑界面左侧显示区域，选中“计算机配置”分支项目，再用鼠标依次选择该分支项目下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”子项，在对应“安全选项”子项的右侧列表区域中，用鼠标双击“网络访问：本地帐户的共享和安全模式”项目，打开如图1所示的“网络访问：本地帐户的共享和安全模式”组策略属性窗口。 在该属性窗口中，仔细检查“经典本地用户以自己的身份验证”选项是否被选中，要是发现该选项没有被选中的话，我们就应该及时将它选中，同时单击该属性窗口中的“确定”按钮，那样的话无法输入共享访问帐号名称的难题就能被顺利

4、地解决了。共享难题2、非法用户随意进行共享访问很多场合下，单位领导都希望只有特殊权限的员工才能通过局域网网络访问到单位发布出来的重要共享信息，而不希望单位普通员工甚至有一定权限的高级用户随意访问重要的共享信息。但实际上，一旦我们把重要共享信息发布到网络中后，在默认状态下基本上所有局域网员工都能访问到这些重要的共享信息;那么我们能否经过合适限制，让普通员工或非法用户不能随意访问局域网中的重要共享信息呢?答案是肯定的，我们可以通过编辑系统组策略中的相关选项参数，来禁止非法用户随意进行共享访问：首先在保存有共享资源的工作站系统桌面中单击“开始”按钮，从弹出的“开始”菜单中选择“运行”命令，进入本地工

5、作站的系统运行框，在其中直接输入“gpedit.msc”字符串命令，并单击回车键，打开系统组策略编辑界面;其次在该组策略编辑界面左侧显示区域，选中“计算机配置”分支项目，再用鼠标依次选择该分支项目下面的“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”子项，在对应“用户权利指派”子项的右侧列表区域中，用鼠标双击“从网络访问此计算机”项目，打开如图2所示的“从网络访问此计算机”组策略属性窗口;下面再在该属性窗口中，将Guest、EVEryone之类的默认访问帐号依次选中并执行删除操作，之后再单击对应属性窗口中的“添加用户或组”按钮，进入“选择用户或组”设置对话框，在其中将特殊权

6、限的员工帐号逐一添加进来，在相关帐号正确导入后再单击“确定”按钮，如此一来局域网中的非法用户就不能通过网络访问对应工作站中的重要共享资源了。 共享难题3、匿名用户访问内容无法限制在缺省状态下，安装了Windows XP系统的工作站能够允许员工以匿名帐号访问该工作站中的许多共享信息，很明显这会影响本地工作站中的信息安全。那么我们能否对匿名用户的访问权限进行适当限制，让匿名帐号只能访问我们事先分配给它们的指定共享内容呢?答案是肯定的!例如，假设我们要求匿名帐号只能访问本地工作站中的“X:share”共享文件夹，而不能访问其他共享文件夹时，我们可以按照如下步骤来设置系统的组策略参数：首先在保存有共享

7、资源的工作站系统桌面中单击“开始”按钮，从弹出的“开始”菜单中选择“运行”命令，进入本地工作站的系统运行框，在其中直接输入“gpedit.msc”字符串命令，并单击回车键，打开系统组策略编辑界面;其次在该组策略编辑界面左侧显示区域，选中“计算机配置”分支项目，再用鼠标依次选择该分支项目下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”子项，在对应“安全选项”的右侧显示区域中，用鼠标双击“网络访问：可匿名访问的共享”组策略选项，打开如图3所示的“网络访问：可匿名访问的共享”选项设置界面; 下面再在该设置窗口中，将本地工作站缺省允许访问的共享资源一一删除;紧接着，将我们事先指定

8、的“X:share”共享文件夹路径填写在这里，再单击“确定”按钮，如此一来单位员工日后以匿名帐号访问本地工作站系统时，只能看到“X:share”共享文件夹中的资源了。当然，在将“X:share”文件夹的访问权限向匿名帐号开放之前，我们还需要对目标共享文件夹的访问属性进行修改，让其访问权限调整为“读取”，以便保证匿名帐号不能随意修改或删除目标共享文件夹中的内容。大家知道，在缺省状态下匿名帐号拥有的访问权限几乎与Everyone帐号是相同的，也就是说我们要是赋予了EVEryone帐号相对高一些的访问权限时，那么匿名帐号的访问权限也会随之提高，很明显这会给共享资源的安全访问带来不小的挑战。为了保证共

9、享资源的安全性，我们完全可以通过如下设置操作，来禁止使用匿名帐号：首先在本地工作站系统桌面中单击“开始”按钮，从弹出的“开始”菜单中选择“运行”命令，进入本地工作站的系统运行框，在其中直接输入“gpedit.msc”字符串命令，并单击回车键，打开系统组策略编辑界面;其次在该组策略编辑界面左侧显示区域，选中“计算机配置”分支项目，再用鼠标依次选择该分支项目下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”子项，在对应“安全选项”的右侧列表区域中，用鼠标双击“网络访问：让每个人权限应用于匿名用户”组策略选项，在其后出现的组策略属性窗口中看看“网络访问：让每个人权限应用于匿名用户

10、”是否处于启用状态，如果该组策略选项被启动的话，我们应该将它调整为“已停用”，并单击“确定”按钮结束组策略属性设置操作。共享难题4、共享访问痕迹无法及时捕获许多心术不正的单位员工在访问局域网中的目标共享文件夹时，可能会对目标共享文件夹做出不利的举动出来，可惜的是系统在默认状态下不会自动对共享访问操作进行追踪、记录，那么我们就无法在第一时间捕捉到非法共享访问痕迹，这样的话我们就不能及时采取对应措施来保护共享资源的访问安全性。其实，要让本地工作站系统自动捕获共享访问痕迹，我们只要按照如下操作设置一下系统组策略参数就可以了：首先在本地工作站系统中依次单击“开始”/“程序”/“附件”/“Windows

11、资源管理器”命令，在弹出的资源管理器窗口中，用鼠标右键单击目标共享文件夹，从弹出的右键菜单中执行“属性”命令，进入目标共享资源的属性界面;在该属性界面中单击“安全”标签，再单击对应标签页面中的“高级”按钮，打开目标共享资源的高级安全对话框;在该安全对话框中单击“审核”标签，再单击其后页面中的“添加”按钮。下面，我们从用户帐号列表窗口中，选中那些能够访问目标共享资源的所有用户帐号，再单击“确定”按钮;当屏幕出现审核选项设置对话框时，我们可以根据实际需要挑选一些失败和成功的审核选项，再单击“确定”按钮结束目标共享资源的属性设置操作。下面在本地工作站系统桌面中单击“开始”按钮，从弹出的“开始”菜单中

12、选择“运行”命令，进入本地工作站的系统运行框，在其中直接输入“gpedit.msc”字符串命令，并单击回车键，打开系统组策略编辑界面;其次在该组策略编辑界面左侧显示区域，选中“计算机配置”分支项目，再用鼠标依次选择该分支项目下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”子项，在对应“审核策略”子项的右侧列表区域中，用鼠标双击“审核对象访问”组策略选项，打开如图4所示的“审核对象访问”属性设置窗口; 之后，选中该属性设置窗口中的“成功”或“失败”选项，再单击一下“确定”按钮;我们日后一旦发现目标共享资源遇到非法访问现象时，只要打开本地工作站系统的日志记录，通过查看标识号为

13、560、562、564之类的事件日志记录，就能找到非法访问痕迹了。 共享难题5、特权帐号受到非法偷窃使用一些非法攻击者或黑客有时会利用系统管理员帐号的SID标识，来得到系统管理员的用户名信息，之后再用系统管理员的真实帐号尝试去访问目标工作站系统中的共享资源，最终获得对应工作站的所有访问权限，很显然一旦特权帐号受到非法偷窃使用，那么对应系统中的共享访问安全性将会受到极大挑战。为了保护共享资源的访问安全性，我们可以想办法阻止非法攻击者或黑客利用SID标识来获取系统管理员的用户名称信息，下面的方法其实就是通过修改系统组策略来完成的：首先在本地工作站系统桌面中单击“开始”按钮，从弹出的“开始”菜单中选择“运行”命令，进入本地工作站的系统运行框，在其中直接输入“gpedit.msc”字符串命令，并单击回车键，打开系统组策略编辑界面;其次在该组策略编辑界面左侧显示区域，选中“计算机配置”分支项目，再用鼠标依次选择该分支项目下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”子项，在对应“安全选项”子项的右侧列表区域中，用鼠标双击“网络访问：允许匿名SID/名称转换