工作组环境中网络访问

1、假设网络中有两台计算机，并满足以下条件：一台计算机名为Client，另一台计算机名为Server，假定Client（客户机）要访问Server（服务器）上的资源假设：Client采用Windows Server 2003或者Windows XP Professional；Server采用Windows XP Professionalu协议和端口、组件和服务：工作在网络的底层。u用户身份验证：你说你是Tom，你真的是Tom吗？ Client需要提供用户名和密码，向Server证明自己的身份。u安全策略审核：我已经知道你是Tom了，现在我看看能否给你“入场券”？u权限检查：最终能否成功访问成功，取

2、决于共享资源的权限设置。只有以上因素全部满足，那么只有以上因素全部满足，那么Client才能够顺利地访问才能够顺利地访问Server。u文件和打印共享可以在TCP/IP、或者其他协议（例如NetBEUI）上很好地工作。u如果要走TCP/IP协议，可以借助两种方式：一种是通过传统的NetBT。另一种是TCP/IP上的SMB直接承载。u为什么要使用TCP/IP上的SMB直接承载？u什么情况下必须使用NetBT？不需要经过NetBT层，简化了SMB传输通信；可以关闭不需要的NetBT端口；消除了由于NetBIOS名字解析而产生的广播。网络中具有Windows 95/98、Windows NT等旧版操

3、作系统；如果网络中没有部署自己的DNS服务器，则必须启用NetBT，以确保名字解析正常。如果确实需要禁用NetBT，则只能用 ServerIPAddress的形式访问。如何禁用/启用NetBT？DemoDemou在运行对话框里输入以下地址并回车hcp:/system/netdiag/dglogs.htm或者在运行对话框里输入以下命令并回车NETSH DIAG GUIu例如图中TcpipNetbiosOption表示NetBT的配置情况：uTcpipNetbiosOption0表示默认配置，根据DHCP选项设置NetBT的是否启用uTcpipNetbiosOption=1，启用NetBTuTcp

4、ipNetbiosOption=2，禁用NetBTu好处：NetBEUI协议的系统开销更小；NetBEUI协议可以绕过Windows防火墙的限制，无需对Windows防火墙进行配置，就可以实现文件和打印机共享。u缺点：不能跨路由；与Internet不兼容。u网络组件Microsoft网络的文件和打印机共享：可以给局域网用户提供资源共享服务；Microsoft网络客户端：可以访问局域网的资源共享。u服务：Computer BrowserWorkstationServerTCP/IP NetBIOS Helper要实现共享，必须启用以下网络组件和系统服务：系统服务和网络组件之间的逻辑关系：u如果停

5、止server服务，计算机描述会无法接受输入，同时windows xp登陆时的欢迎屏幕上也看不到相应计算机描述信息。u计算机描述信息受server服务影响，具体由：HKEY_LOCAL MACHINESYSTEMControlSet001Serviceslarmanserverparameters注册表项下的srvcomment键值所控制。unet config server命令：在命令提示符窗口用该命令对Server服务进行配置。unet config server /SRVCOMMENT:”text”可以设置计算机描述unet config server /hidden:yes可以在网上邻

6、居浏览列表里隐藏该计算机。其他计算机须知道其计算机名或IP地址才可以访问。 注意：该计算机要等到30分钟左右，才能从网上邻居浏览列表中删除。u客户机总是优先用自己的登录帐户进行验证。例如：如果Client计算机的当前登录帐户是test，那么Client首先会尝试以test身份向Server提交验证请求。u由服务器决定是否将客户机的用户身份映射为guest帐户。对于用户身份验证，需要牢记以下两条准则：对于用户身份验证，需要牢记以下两条准则：u所有网络用户都被识别成guest用户。u等效于本地安全策略、安全选项、“网络访问：本地帐户的共享和安全模式”选项设置为“仅来宾：本地用户以来宾身份验证”。特

7、点：u确认启用简单文件共享模式。u如果服务器配置了简单文件共享，客户机会被映射为guest用户，并以guest用户的身份进入下一关“安全策略审核”。u如果没有配置过简单文件共享，则会弹出灰色用户名（ guest ）的身份验证对话框，无论输入什么密码都无效。简单文件共享的用户身份验证步骤：简单文件共享的用户身份验证步骤：、客户机以当前登录的用户（、客户机以当前登录的用户（Admin）和密码（）和密码（pass），到服），到服务器处验证，如果服务器上存在相同的用户（务器处验证，如果服务器上存在相同的用户（Admin）和密码）和密码（pass） ，则客户机以，则客户机以Admin身份进入下一关身份进

8、入下一关“安全策略审核安全策略审核”、如果服务器上存在相同的用户名、如果服务器上存在相同的用户名（Admin），但密码不同；或如果服务器），但密码不同；或如果服务器上不存在相同的用户名，且上不存在相同的用户名，且guest用户被用户被禁用，则弹出对话框，必须输入禁用，则弹出对话框，必须输入server上上的未被禁用的某个用户名及密码。的未被禁用的某个用户名及密码。、如果服务器上不存在相同的用户名，、如果服务器上不存在相同的用户名，而且服务器上的而且服务器上的guest用户未被禁用，则用户未被禁用，则客户机以客户机以guest身份进入下一关。身份进入下一关。假定：客户机以当前登录的用户（假定：客

9、户机以当前登录的用户（Admin）和密码（）和密码（pass），），到服务器处验证。到服务器处验证。u策略：本地策略、安全选项、策略：本地策略、安全选项、“帐户：使用空白密码帐户：使用空白密码的本地帐户只允许进行控制台登录的本地帐户只允许进行控制台登录”u策略：本地策略、用户权利指派、策略：本地策略、用户权利指派、“拒绝从网络访问拒绝从网络访问这台计算机这台计算机”u策略：本地策略、用户权利指派、策略：本地策略、用户权利指派、“允许从网络访问允许从网络访问这台计算机这台计算机”三条重要的安全策略：u策略：本地策略、安全选项、“帐户：使用空白密码的本地帐户只允许进行控制台登录”u策略：本地策略、

10、用户权利指派、“拒绝从网络访问这台计算机”u策略：本地策略、用户权利指派、“从网络访问这台计算机”一、客户机以guest用户身份接受安全策略审核：u策略：本地策略、安全选项、“帐户：使用空白密码的本地帐户只允许进行控制台登录”u策略：本地策略、用户权利指派、“拒绝从网络访问这台计算机”u策略：本地策略、用户权利指派、“从网络访问这台计算机”二、客户机以非guest用户身份接受安全策略审核：例如：1、本地策略、安全选项、“网络访问：本地账户的共享和安全模式”2、本地策略、安全选项、“网络访问：不允许SAM账户和共享的匿名枚举”需要了解更详细的有关本地安全策略的信息，及其对网络的影响，可参考微软知

11、识库文章：http:/ /configure /cfg %windir%repairsecsetup.inf /dbsecsetup.sdb /areas USER_RIGHTS /verbose2、恢复安全选项secedit /configure /cfg %windir%repairsecsetup.inf /dbsecsetup.sdb /areas SECURITYPOLICY /verbose3、有关secedit命令的帮助信息，可以在运行对话框中输入以下地址查看：Ms-its:%windir%Help ntcmds.chm:/secedit_cmds.htmu对于禁用简单文件共享的Windows XP Professional 和Windows 2003来说，客户机要能够访问服务器上的某个共享资源，必须满足共享权限和NTFS权限。权限检查流程：权限检查流程：（2）为什