注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

jasonyang9的博客

随便写写

 
 
 

日志

 
 

关于Windows系统网上邻居资源共享的验证机制  

2013-07-13 10:00:36|  分类: software |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 利用Windows的网上邻居进行资源共享是经常用到的功能,但微软想将其验证机制做的非常“傻瓜式”,加之相关的文档资料也少之又少,导致在实际操作中会遇到莫名其妙的故障。更让人迷惑的是,有时一些相同的故障,解决起来却不一样。
网上邻居的2种工作模式
其实,Windows(以Windows XP和Windows Server 2003系统为例)网上邻居有2种工作模式。第1种是所谓的“经典”模式(即:组策略中的“经典 - 本地用户以自己的身份验证”,或文件夹选项中未勾选“使用简单文件共享(推荐)”复选框,这2处的设置其实映射到同一个注册表值)。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 组策略中的“网络访问:本地账户的共享和安全模式”属性
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 文件夹选项中的“使用简单文件共享(推荐)”
第2种是所谓的“仅来宾”模式(即:组策略中的“仅来宾 - 本地用户以来宾身份验证”,或文件夹选项中勾选了“使用简单文件共享(推荐)复选框,同样,这2处的设置其实映射到同一个注册表值)。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 组策略中的“网络访问:本地账户的共享和安全模式”属性
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 文件夹选项中的“使用简单文件共享(推荐)”
网上邻居在这2种工作模式下的验证流程和设置是不同的,引起无法访问共享资源的故障原因也不相同,只有从访问模式出发,才能搞清楚问题的症结在哪里,以便快速排除访问故障。
这2种模式中,“经典”模式比较复杂,它允许对共享访问用户的权限以及帐号进行安全设置,确保共享资源访问操作的安全性。“仅来宾”模式则要简单得多,该模式不会对共享访问用户的帐号进行审查(全部验证为“Guest”账户),也不允许对共享资源设置访问权限(或者说仅能设置非常简单的访问权限)。显然,将“仅来宾”模式应用在信任用户之间是恰当的。
2种访问模式的验证过程
“仅来宾”模式
将网上邻居工作模式设置成“仅来宾 - 本地用户以来宾身份验证”模式,任何共享用户访问服务器上的共享资源时,用户账户都会被自动映射为“Guest”。正常情况下,Windows系统不需要用户输入任何用户名和密码就能顺利登录系统,共享资源访问效率极高。
但这个模式要求服务器事先将“Guest”帐号启用,如果服务器上没有启用“Guest”帐号,则在访问共享资源时将弹出身份验证对话框。问题在于,在这个对话框中,无法修改访问用户名称(灰色“Guest”),输入任何密码都无法通过验证。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 “仅来宾”模式下,“Guest”帐号未开启
那么是不是只要开启“Guest”帐号就能顺利通过验证呢?至少还有一条组策略通会对验证造成阻碍,这就是“拒绝从网络访问这台计算机”。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 拒绝从网络访问这台计算机
如果“Guest”帐号在这条组策略配置中,则访问共享资源时会直接弹出“登录失败:未授予用户在此计算机上的请求登录类型”对话框。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 登录失败:未授予用户在此计算机上的请求登录类型
因此,必须同时开启“Guest”账户,并允许其从网络访问这台计算机。
“经典”模式
在“经典 - 本地用户以自己的身份验证”模式下,服务器首先会在SAM数据库中查找客户机登录用户账户,如果成功找到账户,则进一步核对其登录密码,如果登录密码也匹配,则直接通过验证,以该账户身份访问共享资源。
比如,用户登录客户机系统时使用的账户用户名为“aaa”,密码为“123”,此时该用户通过网上邻居访问服务器上的共享资源时,客户机会将“aaa”和“123”提交给(是否加密还是以明文发送未知)服务器进行身份验证。如果服务器的SAM数据库中确实有用户“aaa”,且密码也是“123”,则客户机用户就能直接以“aaa”身份通过验证,并访问共享资源,此过程中不会弹出任何对话框。
但如果服务器SAM数据库中的用户账户“aaa”的密码并不是“123”,则会弹出身份验证对话框,要求用户输入SAM数据库中的账户信息(用户名和密码)以通过验证。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 客户机账户信息无法通过验证,要求用户登录
注意:如果服务器上开启了“Guest”账户,且允许其从网络访问计算机(也就是“Guest”不在“拒绝从网络访问这台计算机”这条组策略设置中),那么这里可以用“Guest”来登录到服务器,并访问共享资源。这也是某些主机会反复弹出登录网上邻居的问题所在,原因就是这些主机的登录用户名和服务器SAM数据库中的某个帐号一致(非常可能是“Administrator”这个帐号),但密码却不同,系统于是弹窗要求登录验证。这种情况下,除非勾选了“记住我的密码”,否则每次访问网上邻居共享资源都要登录。
退回一步,如果服务器在SAM数据库中没有找到客户机登录用户账户,那么它会判断其“Guest”账户是否被开启。如果“Guest”账户被开启,且允许其从网络访问计算机(也就是“Guest”不在“拒绝从网络访问这台计算机”这条组策略设置中),则直接以“Guest”身份登录并访问共享资源,这个过程中也不会弹出任何对话框。
如果“Guest”帐号在“拒绝从网络访问这台计算机”这条组策略设置中,则会直接弹出“登录失败:未授予用户在此计算机上的请求登录类型”对话框。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 登录失败:未授予用户在此计算机上的请求登录类型
如果服务器上的“Guest”账户没有开启,则会弹出身份验证对话框,此时用户必须输入服务器SAM数据库中的账户信息(即:用户名和密码)才能登录并访问资源。注意:此时用“Guest”账户是无法登录的,原因是“Guest”账户在服务器上没有开启。
较为完整的登录验证流程如下图所示:
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 Windows网上邻居登录验证流程
常见问题解决
在了解了Windows网上邻居的访问模式后,解决使用中出现的问题就有据可依了。
弹出“登录失败:用户账户限制。可能的原因包括不允许空密码,登录时间限制,或强制的策略限制”对话框
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
非常可能是在“经典”模式下,“Guest”帐号未开启,或客户机的帐号密码和服务器SAM数据库中的不匹配,于是弹窗要求用户登录验证,而此时用户输入了一个SAM数据库中密码为空的帐号,或客户机的帐号密码和服务器SAM数据库中的都为空,同时服务器上的组策略“账户:使用空白密码的本地账户只允许进行控制台登录”被设为“已启用”,如此,客户机就不能用这个账户进行网络登录了。
注意:这条组策略对于“Guest”帐号没有影响。
比如,有用户以“administrator”帐号登录进入本地客户机工作站,通过该工作站的网上邻居窗口访问局域网服务器中的共享资源时,发现系统屏幕上没有弹出身份验证窗口,而是直接提示说拒绝登录,出现这种现象究竟是什么原因呢,我们又该如何进行应对呢?
之所以系统屏幕上没有弹出身份验证窗口,那就说明共享访问时用户已经通过了身份验证,这也表明服务器系统中恰好也存在“administrator”帐号;而出现拒绝登录提示,那很可能是服务器系统的“administrator”帐号没有设置密码,而在默认状态下没有密码的用户帐号只能访问控制台窗口(从控制台登录),而没有权限访问共享资源(从网络登录)。为此,要解决上述故障现象,我们可以为服务器系统的“administrator”帐号重新设置一个合适的访问密码,该密码与用户登录本地客户机工作站时使用的密码相同就可以了。当然,也可以将服务器系统的“Guest”帐号启用起来,并且将该系统的网上邻居工作模式设置成“仅来宾 - 本地用户将以来宾身份验证”模式,这样也能解决拒绝登录故障现象。
权限不够故障
将服务器网上邻居工作模式设置成“仅来宾 - 本地用户将以来宾身份验证”模式后,局域网用户尝试以“\\Computer\D$”方式来访问目标服务器中的D盘共享内容时,系统并没有弹出身份验证对话框,而是直接提示说没有访问权限,这是为什么呢?
出现这种故障现象,主要是将共享主机的网上邻居工作模式设置成“仅来宾 - 本地用户将以来宾身份验证”模式后,任何用户访问共享资源时使用的帐号名称都会被自动映射成“Guest”帐号,而在缺省状态下“Guest”帐号是没有权限访问服务器中的D盘共享内容的,所以系统屏幕上会自动出现访问权限不够的故障提示。
要解决这种故障现象,首先需要在服务器中创建一个能够访问D盘共享内容的用户帐号与密码,之后在共享资源所在的服务器中将网上邻居工作模式设置成“经典 - 本地用户以自己的身份验证”模式,这样一来之后尝试以“\\Computer\D$”方式来访问目标共享主机中的D盘共享内容时,系统就会自动弹出身份验证对话框,在其中正确输入指定帐号与密码后,就能访问到目标共享内容了。
找不到网络名
有的时候,即使将网上邻居工作模式设置成“经典 - 本地用户以自己的身份验证”模式,并且正确输入登录密码后,也不能访问到服务器中的D盘共享内容,同时系统屏幕上有时还会出现找不到网络名的故障现象,这是什么原因呢?
出现这种现象很可能是服务器中的隐藏共享IPC$被意外删除掉了。在默认状态下,我们之所以能够通过网上邻居窗口访问到服务器中的共享资源,主要是在服务器中安装并启用了“微软文件和打印机共享”功能组件后,Windows系统会自动创建一个默认隐藏共享IPC$,通过这个隐藏共享我们才能获取服务器中的所有共享资源列表,并且能够进行共享访问操作。一旦隐藏共享IPC$被意外删除时,那么网上邻居窗口就无法将目标共享资源显示出来,这样就会出现找不到网络名的故障现象。因此,要想解决这种故障现象,我们只有重新启用隐藏共享IPC$。在启用隐藏共享IPC$时,我们可以在服务器中依次单击“开始”→“运行”命令,在弹出的系统运行文本框中,输入字符串命令“cmd”,单击回车键后,系统弹出命令行提示符,输入字符串命令“net share IPC$”,单击回车键后,系统会返回如下图所示的结果信息,这表明隐藏共享IPC$已经被重新启用,此时我们再尝试以“\\Computer\D$”方式来访问服务器中的D盘共享内容时,就不会出现找不到网络名故障现象了。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
其他可能引起故障的原因
没有启用TCP/IP上的NetBIOS
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 没有启用TCP/IP上的NetBIOS会导致通过NetBIOS名称访问服务器失败,无法解析出IP地址(如果测试能够解析NetBIOS名称,用nbtstat -R清空缓存后再试)。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 确保将NetBIOS设置为“默认”或“启用TCP/IP上的NetBIOS”
此时直接用IP地址可以访问(如:\\192.168.2.178)其共享出的打印机,但原来已安装的共享打印机变成“无法连接”。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 查看打印机属性对话框时,会弹出“无法显示打印机属性。打印后台程序服务没有运行”的错误。
没有安装“Microsoft网络的文件和打印机共享”
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 弹出的错误和关闭TCP/IP上的NetBIOS后出现的情况类似,不同的是,能从NetBIOS名称解析出打印服务器的IP地址,能PING通,但却无法访问其共享出来的任何资源(包括文件夹和打印机)。
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 确保已经安装了“Microsoft网络的文件和打印机共享”
“Microsoft网络的文件和打印机共享”被Windows防火墙阻止
关于Windows系统网上邻居资源共享的验证机制 - jasonyang9 - jasonyang9的博客
 确保已经将“文件和打印机共享”作为防火墙“例外”
无法从NetBIOS名称解析出IP地址,也无法PING通,更无法访问共享资源。
其他说明
默认情况下的访问模式
默认情况下,加入到工作组中的计算机上的“简单文件共享(推荐)”是开启的;加入到域中的计算机上的“简单文件共享(推荐)”是关闭的。
“Guest”账户能访问哪些资源?
在用“Guest”帐号顺利登录后,具体能访问哪些资源,要根据共享资源上的“共享权限”(文件夹属性对话框上的“共享”标签页)和“NTFS权限”(文件夹属性对话框上的“安全”标签页)来决定,通常,有“Everyone”组读取权限的资源都可被“Guest”访问,当然也可以直接将“Guest”加入到权限中去。

* 部分原创
  评论这张
 
阅读(537)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017