商业源码 为什么电脑一点击“网上邻居”就死机?
其实这个问题很简单。 点运行,输入regedit,启动注册表编辑器regedit
找到 HKEY_LOCAL_MACHINE/sofeware/Microsoft/Windows/CurrentVersion/Explore/RemoteComputer/NameSpace
然后 删除{2227A280-3AEA-1069-A2DE08002B30309D}(打印机)
删除{D6277990-4C6A-11CF8D87-00AA0060F5BF}(计划任务)
再次打开的时候就会发现打开速度快了。
无论是设置网络参数还是访问局域网中的共享资源,我们都离不开网上邻居窗口。从表面来看,系统的网上邻居窗口看上去十分平淡,有关该窗口的“调教”与使用技巧几乎很少见到;事实上,网上邻居窗口的潜能与Windows系统一样让人深不可测,只要我们善于开动脑筋、勤于做好使用总结,一定能够挖掘出网上邻居窗口新的“调教”与使用技巧。这不,下面的几则网上邻居“调教”新招就是笔者在长时间使用与琢磨之后总结出来的,希望这些内容能给各位带来帮助!
1、快速转入网上邻居窗口
在“Windows NT系统管理技术内幕”一书中,讲到了一个非常具有代表性的问题,我把它摘抄了下来:
问:什么情况下会导致在网络邻居中计算机能看见却无法访问或可以访问却看不见请选择最佳答案: A你的网络存在物理问题,比如网线 B作为域主浏览器的Windows NTserver的浏览服务坏了 CWindows NTserver网卡有问题 D你的网络没有问题,用户描述的是正常的微软浏览现象
正确答案:D
书上的解释:微软的网络浏览可能在使用中出现"中断",而实际上它们并没有中断, 这种误解是由于用户对微软网络浏览的处理过程不熟悉造成的。
就象同学们经常在抱怨的“为什么别人的网上邻居可以用,我的却不行”“为什么有时候可以浏览,有时候却无法浏览网络”解铃还须系铃人,让我们一起去看看微软的网络浏览到底是如何实现的。鉴于大家可能对NT的“域”概念还不甚了解,出现浏览故障的也多为98的机子,我将以98的“工作组模式”为大家讲解。
1什么是浏览列表(Browsing List) 在微软网络中,用户可以在浏览列表里看到整个网络(何指子网还是广播域大家可以考虑考虑)上所有的计算机。当你通过网上邻居窗口打开整个网络时,你将看到一个工作组列表,再打开某个工作组,你将看到里面的计算机列表(也可在 DOS方式下用net view /domain:workgroupname命令得到),这就是我们所说的 Browsing List。工作组从本质上说就是共享一个浏览列表的一组计算机,所有的工作组之间都是对等的,没有规定不可以让所有的计算机同处于一个工作组中。
2浏览列表在哪里 曾在木棉上看到过一场争论,有人说:网上邻居里的计算机列表是广播查询得来的。可有人举反例说:我的同学都关机了,可我还是能在网上邻居里看到它,应该是从HUB或交换机之类较为固定的设备的缓存中取得的。 其实他们都只说对了一个方面,把他们二人的说法结合起来就是正确答案了--- 浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。
3浏览主控服务器又是什么 浏览主控服务器是工作组中的一台最为重要的计算机,它负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务,每个工作组都为会每个传输协议选择一个浏览主控服务器,而我们经常遇到的无法浏览网络的错误大多是因为你所处的工作组没有浏览主控服务器而造成的。你可以在一个工作组中用NBTSTAT -a computername 命令找出使用NBT协议的浏览主控服务器,它的标识是含有_MSBROWSE_ 名字段。
4浏览主控服务器是如何指定的 缺省情况下,win98工作组中的浏览主控服务器是该工作组中第一台启用文件及打印机共享功能的计算机,也允许手工将一台win计算机配置为浏览主控服务器(方法会在后面讲述网络配置时具体介绍,但由于浏览主控服务器需要维护动态浏览列表,性能会受影响),如果一个工作组中有多台计算机配置了这个选项,或是当前的浏览主控服务器关闭了系统,又没有其他计算机启用主控设置时,就要进行主控浏览器的选举。
5如何通过浏览器选举产生浏览主控服务器 关于浏览器的选举报文,不太好抓包,我就只好按书上的东西来讲述了其实过程很简单,首先由一台计算机发送一个选举临界报文,该报文包含了来自发送计算机的信息(操作系统,版本及NET名等),选举报文向网络中广播,工作组中的每一台计算机都会用自身信息与选举报文进行优先级比较,主要是操作系统起主要作用,记得好像是NT Server>NT Workstation>Win98>WFWG,反正到最后是那个自身条件最好的成为新的浏览主控服务器
6整个网络浏览的过程是怎样的 当一台win98进入网络时,如果它带有服务器服务(启用了文件及打印机共享)会向网络广播宣告自己的存在,而浏览主控服务器会取得这个宣告并将它放入自己维护的浏览列表中;而没有在相应协议上绑定文件及打印机共享的计算机则不会宣告,因而也就不会出现在网络邻居里了。当客户计算机想获得需要的网络资源列表时,首先会广播发出浏览请求,浏览主控服务器收到请求后,如果请求的是本组的浏览列表,则直接将客户所需的资源列表发回;如果请求的是其它工作组的浏览列表,浏览主控服务器会根据本身Browsing List中的记录找到相应工作组的主控浏览器返回给用户,用户可从那里得到它想要的浏览列表。至于如何去和另一台计算机共享交换资源,就不是我们这里要讨论的问题了。
明白了网络浏览的原理,下面我给大家讲一个有用的应用,现在很多同学出于安全的考虑都不太欢迎陌生人通过网上邻居访问自己的机子,可有时下部**又需要给认识的同学共享出来,因而还不能删除文件及打印机共享服务。怎么办有些人给共享名加个$,以达到隐藏的效果,可这用DOS下的net share是可被看到的;有些人给共享加上密码,可听说这也是有办法破解的,而且很容易激起“黑客同志”的好奇心。有没有办法将自己的机器在网络邻居里隐藏起来呢而对于认识的同学可以让他用IP 来访问。
想对了,关键就是要阻止自己的机器向网络中去宣告自己,而且我知道我们其中的一些人已经将此变成了现实,至于方法嘛,就不要来问我了。
注:因为有关win98浏览服务的资料很少,涉及的书籍也多为以NT的“域”模型进 行介绍,因而我只能根据自己的理解结合netxray的实践来测试,细节部分难 免有错,欢迎大家指正。
7在我的网上邻居里为什么有些机子访问不了 如果微软的网上邻居真能做到所见即所得,相信抱怨它的人不会象现在这么多,可通过前面对浏览服务的介绍,大家已经知道这是不可能的,因为浏览列表的获得不是通过访问其中每一台机子得到的,很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时,它会向网络发出广播宣告,使浏览主控服务器及时将它从浏览列表中删除;而非正常关机后,浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因而98的稳定性是众所周知的 ----在还没来得及关机前就已经崩溃了^-^
SMB(Server Message Block)协议在NT/2000中用来作文件共享,在NT中,SMB运行于NBT(NetBIOS over TCP/IP)上,使用137,139(UDP),139(TCP)端口。在2000中,SMB可以直接运行在tcp/ip上,而没有额外的NBT层,使用TCP 445端口。因此在2000上应该比NT稍微变化多一些。
可以在“网络连接/属性/TCPIP协议/属性/高级/WINS中设置启用或者禁用NBT(NetBIOS over TCP/IP)。
当2000使用网络共享的时候,就面临着选择139或者445端口了。下面的情况确定会话使用的端口:
1、如果客户端启用了NBT,那么连接的时候将同时访问139和445端口,如果从445端口得到回应,那么客户端将发送RST到139端口,终止这个端口的连接,接着就从445端口进行SMB的会话了;如果没有从445端口而是从139得到回应,那么就从139端口进行会话;如果没有得到任何回应,那么SMB会话失败。
2、如果客户端禁用了NBT,他就将只从445端口进行连接。当然如果服务器(开共享端)没有445端口进行SMB会话的话,那么就会访问失败了,所以禁用445端口后,对访问NT机器的共享会失败。
3、如果服务器端启用NBT,那么就同时监听UDP 137、138端口和TCP139,445。如果禁用NBT,那么就只监听445端口了。
所以对于2000来说,共享问题就不仅仅是139端口,445端口同样能够完成。
当我们正处于Windows系统的资源管理器窗口中,来对文件夹进行管理和编辑时,突然需要通过网上邻居窗口进入到某特定工作站中访问一个共享文件,这个时候我们会不会选择关闭系统资源管理器窗口、返回到系统桌面中通过双击图标的方法打开网上邻居窗口呢相信有不少朋友会采用这种方法进入网上邻居窗口,这种方法尽管没什么错误,但是从追求操作高效的角度来看,还有更好、更快捷的方法快速转入网上邻居窗口,那就是在资源管理器采用“Web视图”方式显示时,我们会在资源管理器窗口的左侧看到一些常见任务的超级链接,例如“系统任务”、“其他位置”等,通过单击“其他位置”下面的“网上邻居”链接(如图1所示),我们就能实现快速转入网上邻居窗口的目的。由于这种快速访问操作比较简单,因此许多朋友很少会留意并使用这种快速访问方式。
小提示:这种方法仅在资源管理器采用“Web视图”方式显示时有效,要是我们发现资源管理器没有以“Web视图”方式显示时,可以依次单击对应窗口中的“工具”/“文件夹选项”命令,在随后弹出的文件夹选项对话框中单击“常规”标签,再在对应标签页面中选中“在文件夹中显示常见任务”就可以了。
2、删除桌面中的网上邻居
在有的系统状态下,我们有时是无法直接删除系统桌面中的“网上邻居”图标的,但要是我们确实不希望“网上邻居”图标继续出现在系统桌面中时,不妨采用下面的招法来强行删除该图标:
首先用鼠标逐一单击系统桌面中的“开始”、“运行”命令,从弹出的系统运行文本框中输入“regedit”字符串命令,单击“确定”按钮后,打开本地计算机的系统注册表编辑窗口;
其次在该编辑窗口的左侧显示窗格中,将鼠标定位于其中的“HKEY_LOCAL_MACHINE”注册表子项上,然后用鼠标双击该子项,从随后展开的注册表分支下面依次选中“SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace”子键,在对应“NameSpace”下面仔细查找一下是否存在一个名为“{208D2C60-3AEA-1069-A2D7-08002B30309D}”的键值(如图2所示),该键值其实就对应着系统桌面中的“网上邻居”图标;
找到“网上邻居”图标所对应的注册表键值后,并用鼠标右键单击该键值,从弹出的右键菜单中执行“删除”命令,最后按一下F5功能键刷新一下系统注册表,此时我们再看看系统桌面时,就发现系统桌面中的“网上邻居”图标真的被删除掉了。
3、隐藏网上邻居中的信息
一般来说,打开网上邻居窗口后,我们往往可以看到整个网络中的所有工作组信息以及每一个工作组下面的所有工作站信息。不过,有时为了安全起见,我们并不希望用户能通过网上邻居窗口看到当前网络中有哪些共享资源可以访问,此时我们就需要想办法将网上邻居窗口中的所有信息隐藏起来,当然这种隐藏并不能破坏局域网中电脑之间的相互访问能力,下面就是具体的隐藏操作步骤:
首先用鼠标逐一单击系统桌面中的“开始”、“运行”命令,从弹出的系统运行文本框中输入“regedit”字符串命令,单击“确定”按钮后,打开本地计算机的系统注册表编辑窗口;
其次在该编辑窗口的左侧显示窗格中,将鼠标定位于其中的“HKEY_CURRENT_USER”注册表子项上,然后用鼠标双击该子项,从随后展开的注册表分支下面依次选中“Software\Microsoft\Windows\CurrentVersion\Policies”子项,检查一下“Policies”子项下面是否存在“Network”子键,要是没有找到的话,可以直接用鼠标右键单击“Policies”子项,然后依次执行右键菜单中的“新建”/“项”命令,并将新创建的子项名称设置为“Network”;
接下来选中“Network”子键,在对应“Network”子键的右侧显示窗格中,用鼠标右键单击空白位置,从弹出的快捷菜单中依次选中“新建”/“字符串值”命令,并将新创建的字符串值名称设置为“NoworkgroupContents”,再用鼠标双击刚刚创建好的“NoworkgroupContents”字符串值,在其后弹出的数值设置对话框中输入数字“1”,如图3所示,单击“确定”按钮返回到注册表主编辑窗口;
按照相同的操作步骤,在“Network”子键下面再创建一个名为“NoEntireNetwork”的字符串值,再将该字符串值的数值也设置为“1”,最后重新启动一下计算机系统就能使上述设置生效了。
公司电脑使用域管理的优点
一 工作组与域的区别 现公司所有电脑采用工作组的管理模式域管理与工作组管理的主要区别在于
1、工作组网实现的是分散的管理模式每一台计算机都是独自自主的用户账户和权限信息保存在本机中同时借助工作组来共享信息共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器由浏览主控服务器提供的。 而域网实现的是主/从管理模式通过一台域控制器来集中管理域内用户帐号和权限帐号信息保存在域控制器内共享信息分散在每台计算机中但是访问权限由控制器统一管理。这就是两者最大的不同。
2、在“域”模式下资源的访问有较严格的管理至少有一台服务器负责每一台联入网络的电脑和用户的验证工作相当于一个单位的门卫一样称为“域控制器Domain Controller简写为DC”。
3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时域控制器首先要鉴别这台电脑是否是属于这个域的用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确那么域控制器就会拒绝这个用户从这台电脑登录。不能登录用户就不能访问服务器上有权限保护的资源他只能以对等网用户的方式访问Windows共享出来的资源这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。
二 公司采用域管理的好处
1、方便管理权限管理比较集中管理人员可以较好的管理计算机资源。
2、安全性高有利于企业的一些保密资料的管理比如一个文件只能让某一个人看或者指定人员可以看但不可以删/改/移等。
3、方便对用户操作进行权限设置可以分发指派软件等实现网络内的软件一起安装。
4、很多服务必须建立在域环境中对管理员来说有好处:统一管理方便在MS 软件方面集成如ISA EXCHANGE邮件服务器、ISA
SERVER上网的各种设置与管理等。
5、使用漫游账户和文件夹重定向技术个人账户的工作文件及数据等可以存储在服务器上统一进行备份、管理用户的数据更加安全、有保障。
6、方便用户使用各种资源。
7、SMSSystem Management Server能够分发应用程序、系统补丁等用户可以选择安装也可以由系统管理员指派自动安装。并能集中管理系统补丁如Windows Updates不需每台客户端服务器都下载同样的补丁从而节省大量网络带宽。
8、资源共享
用户和管理员可以不知道他们所需要的对象的确切名称但是他们可能知道这个对象的一个或多个属性他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络的访问如登录、验证、访问目录和共享资源。为了简化管理所有域中的域控制器都是平等的你可以在任何域控制器上进行修改这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中当用户一次登陆一个域服务器后就可以访问该域中已经开放的全部资源而无需对同一域进行多次登陆。但在需要共享不同域中的服务时对每个域都必须要登陆一次否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10、可扩展性
在活动目录中目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此目录可以随着组织的增长而一同扩展允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
9、安全性
域为用户提供了单一的登录过程来访问网络资源如所有他们具有权限的文件、打印机和应用程序资源。也就是说用户可以登录到一台计算机来使用网络上另外一台计算机上的资源只要用户具有对资源的合适权限。域通过对用户权限合适的划分确定了只有对特定资源有合法权限的用户才能使用该资源从而保障了资源使用的合法性和安全性。
10、可冗余性
每个域控制器保存和维护目录的一个副本。在域中你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时他们会定期的相互复制目录信息域控制器间的数据复制促使用户信息发生改变时比如用户修改了口令可以迅速的复制到其他的域控制器上这样当一台域控制器出现故障时用户仍然可以通过其他的域控制进行登录保障了网络的顺利运行。
域管理的作用
企业 企业内部网络以及信息系统的管理会更安全更灵活管理成本会进一步降低。 管理员 劳动强度工作量下降管理复杂性降低IT管理策略措施更灵活、更快捷、更安全。
客户 使用体验增强满意度提高工作效率上升。 域管理的方法和效果 1帐号集中管理 所有帐号均存在服务器上方便对帐号的重命令/重置密码
2软件集中管理 利用软件发布策略分发软件可以让用户自由选择安装软件
3环境集中管理 利用AD可以统一客户端桌面IETCP/IP等设置
1控制网络员工不能想干嘛就干嘛可提高员工的工作效率
2网络比较的安全资料统一管理不易丢失或者不易被窃
3监控网络使网络速度合理分配
4统一部署杀毒软件和扫毒任务避免电脑系统经常崩溃既节省开支又不影响工作
5集中化管理公司文化更易传播更规范合理让客户看到咱们的一体化和信息化建设如此强大
6合理的机房设施也是公司向客户承诺一种信息、资料是安全可靠的信号
三 公司域的详细规划
下图为域建设图
1、公司采用单域单站点管理模式建设AD与BAD即主域控器与备份域控制器在其下面采用OU组织单元的模式进行集中管理各部门人员与电脑。此种管理模式成本降低且减少管理复杂度和维护量。
2、AD主域控制器公司所有权限管理用户建立以及各种策略、软件等的管理及实施到每台电脑。
3、BAD备份域控制器采用与AD完全相同的设置继承AD上的所有管理资料防止AD出现故障后公司电脑无法登陆AD和使用网络资源在BAD服务器上建立资源共享文件夹即File server进行公司种文件的共享和使用将BAD服务器做成WSUS服务器windows补丁服务器管理公司所有电脑的补丁的下载与提供安装的服务如有需要还可集成ISA SERVER服务器进行公司网络的管控上外网的的控制。
现企业当中有电脑500台左右有200台在澳门200台在中山另外有100台电脑分布在其它三个城市中山与澳门是通过384K的IPLC专线连接其它各个分部是通过***进行连接不稳定。现此网络环境需要布署设计域环境。
要考虑以下问题
1活动目录的总体如何规划
2域控制器及OU如何命名
3中山的域控制器与澳门及其它各个分部的域控制器如何进行同步
4如何利用组策略来管理OU
6DNSDHCPWINSRIS如何应用 不知大家是如何设计布署及考虑相关问题的。
首先这个规模的AD不是一个很大的case所以不要感觉很复杂很难其实等你做完了你发现也就不过如此 总体规划你们各个分支机构的技术力量不是很强所以还是不要用父域-子域模式了就用一个域好了因为澳门中山直接有稳定的专线所以可以把他们2个地方当作一个地方来看各部署一台DC好了当然如果你们机器多可以多部署一台其他3个城市每个地方部署一台dc然后做site这样分支机构登录速度有保证的 DC和OU的命名和规划这个每个企业的组织架构和使用方法不一样所以没有什么定式的怎么方便怎么好管理就怎么用 DC的同步问题在win2003里面AD的同步做的很好了如果你没有很大的改动的话每次同步的数据流不是很大所以不要为这个太担心 如何用组策略管理OU不明白什么意思怎么方便怎么管理呵呵 至于其他的DNSDHCP等根据自己的实际情况应用没有什么一定的当然DNS是一定要有的
1 局域网实现原理
在了解共享之前,我们需要对局域网的概念有个了解,局域网并不同于外界通讯使用的TCP/IP协议体系,它是一种建立在传统以太网(Ethernet)结构上的网络分布,除了使用TCP/IP协议,它还涉及许多协议。
在局域网里,计算机要查找彼此并不是通过IP进行的,而是通过网卡MAC地址,它是一组在生产时就固化的唯一标识号,根据协议规范,当一台计算机要查找另一台计算机时,它必须把目标计算机的IP通过ARP协议(地址解析协议)在物理网络中广播出去,“广播”是一种让任意一台计算机都能收到数据的数据发送方式,计算机收到数据后就会判断这条信息是不是发给自己的,如果是,就会返回应答,在这里,它会返回自身地址。当源计算机收到有效的回应时,它就得知了目标计算机的MAC地址并把结果保存在系统的地址缓冲池里,下次传输数据时就不需要再次发送广播了,这个地址缓冲池会定时刷新重建,以免造成数据冗余现象。实际上,共享协议规定局域网内的每台启用了文件及打印机共享服务的计算机在启动的时候必须主动向所处网段广播自己的IP和对应的MAC地址,然后由某台计算机(通常是局域网内某个工作组里第一台启动的计算机)承担接收并保存这些数据的角色,这台计算机就被称为“浏览主控服务器”,它是工作组里极为重要的计算机,负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务,它的标识是含有\\_MSBROWSE_名字段。这就是我们能在网络邻居看到其他计算机的来由,它实际上是一个浏览列表,用户可以使用“nbtstat -r”来查看在浏览主控服务器上声明了自己的NetBIOS名称列表。
浏览列表记录了整个局域网内开启的计算机的资源描述,当我们要访问另一台计算机的共享资源时,系统实际上是通过发送广播查询浏览主控服务器,然后由浏览主控服务器提供的浏览列表来“发现”目标计算机的共享资源的。
但是仅知道彼此的地址还不够,计算机之间必须建立一条连接的数据链路才能正常工作,这就需要另一个基本协议来进行了。NetBIOS(网络基本输入输出系统)协议是IBM开发的用于给局域网提供网络以及其他特殊功能的命令集,几乎每个局域网都必须在这种协议上面进行工作,NetBIOS相当于Intranet上的TCP/IP协议。而后推出的NetBEUI协议(NetBIOS用户扩展接口协议)则是对前者进行了功能扩充,这几个协议都是组成局域网的基本必备,最后,为了建立连接,局域网还需要TCP/IP协议。
2 Windows下的局域网共享
Windows系统对于局域网内机算机的身份和权限验证是在一个被称为“IPC”(命名管道)的组件技术上实现的,它实质上是Windows为了方便管理员从远方登录管理计算机而设置的,在局域网里它也负责文件的共享和传输,所以它是Windows局域网不可缺的基础组件。
默认情况下,局域网之间的共享服务通过来宾帐户“Guest”的身份进行,这个帐户在Windows系统里权限最少,为方便阻止来访者越权访问提供了基础,同时它也是资源共享能正常进行的最小要求,任何一台要提供局域网共享服务的计算机都必须开放来宾帐户,命令是“net user guest /active:yes”。
除了使用IPC作为身份验证,系统还使用SMB(Server Message Block)协议用来做文件共享,这个协议与共享存在很大联系,稍后我们将会讲到。
二 局域网共享的实现
虽然我们可以把局域网定义为“一定数量的计算机通过互连设备连接构成的网络”,但是仅仅使用网卡让计算机构成一个物理连接的网络还不能实现真正意义的局域网,它还需要进行一定的协议设置,才能实现资源共享。
首先,同一个局域网内的计算机IP地址应该是分布在相同网段里的,虽然以太网最终的地址形式为网卡MAC地址,但是提供给用户层次的始终是相对好记忆的IP地址形式,而且系统交互接口和网络工具都通过IP来寻找计算机,因此为计算机配置一个符合要求的IP是必须的,这是计算机查找彼此的基础,除非你是在DHCP环境里,因为这个环境的IP地址是通过服务器自动分配的。
其次,要为局域网内的机器添加“交流语言”——局域网协议,包括最基本的NetBIOS协议和NetBEUI协议,然后还要确认“Microsoft 网络的文件和打印机共享”已经安装并为选中状态,然后,还要确保系统安装了“Microsoft 网络客户端”,而且仅仅有这个客户端,否则很容易导致各种奇怪的网络故障发生。
然后,用户必须为计算机指定至少一个共享资源,如某个目录、磁盘或打印机等,完成了这些工作,计算机才能正常实现局域网资源共享的功能。
最后,计算机必须开启139、445这两个端口的其中一个,它们被用作NetBIOS会话连接,而且是SMB协议依赖的端口,如果这两个端口被阻止,对方计算机访问共享的请求就无法回应。
但是并非所有用户都能很顺利的享受到局域网资源共享带来的便利,由于操作系统环境配置、协议文件受损、某些软件修改等因素,时常会令局域网共享出现各种各样的问题,如果你是网络管理员,就必须学习如何分析排除大部分常见的局域网共享故障了。
三 局域网共享故障的分析与排除
IPC、Server服务与共享故障
临近毕业了,学生小王找了一家平面设计公司作为实习单位,这天办公室有同事急匆匆找网络部索要杀毒软件,但不凑巧管理员外出未归,小王为人比较热心,虽然自己不是学网络专业的,可是想想也略懂皮毛,就自告奋勇去帮忙了,幸好只是个小病毒,他轻易就解决了,在同事的夸奖下,小王心血来潮顺便给她做了系统优化。
可是才过十几分钟,那个同事又出来找网络部了,她说自己的机器被小王摆弄后无法打开别人计算机的共享了,这下,小王第一次明白了什么叫好心的后果……
我在前面说起Windows的局域网共享时,提到了IPC(Internet Process Connection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。
在Windows NT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令net share,如果Server服务未开启,系统会提示“没有启动 Server 服务。是否可以启动 (Y/N) [Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。
除了Server服务以外,还有两个服务会对共享造成影响,分别是“Computer Browser”和“TCP/IP NetBIOS Helper Service”,前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表,当一个程序需要访问另一台计算机的共享资源时,它会从这个列表里查询目标计算机,一旦该服务被禁止,IPC就认定当前没有可供访问的共享资源,用户自然就没法访问其他计算机的共享资源了;后者主要用于在TCP/IP上传输的NetBIOS协议(NetBT)和NetBIOS名称解析工作,NetBT协议为跨网段实现NetBIOS命令传输提供了载体,正因如此,早期的黑客入侵教材里“关于139端口的远程入侵”才能实现,因为NetBIOS协议被TCP封装起来通过Internet传输到对方机器里处理了,同样对方也是用相同途径实现数据传输的,否则黑客们根本无法跨网段使用网络资源映射指令“net use”。对于本地局域网来说,NetBT是SMB协议依赖的传输媒体,也是相当重要的。
如果这两个服务异常终止,局域网内的共享可能就无法正常使用,这时候我们可以通过执行程序“servicesmsc”打开服务管理器,在里面查找“Computer Browser”和“TCP/IP NetBIOS Helper Service”服务并点击“启动”即可。
系统安全策略与共享故障
熟悉Windows系统的用户或多或少都会接触到“组策略”(gpeditmsc),这里实际上是提供了一个比手工修改注册表更直观的操作方法来设置系统的一些功能和用户权限,但是这里的设置失误也会影响到局域网共享资源的使用。
由于IPC本身就是用于身份验证的,因此它对计算机账户的配置特别敏感,而组策略里偏偏就有很多方面的设置是针对计算机账户的,其中影响最大的要数“计算机配置 – Windows配置 – 安全设置 – 本地策略 – 用户权利指派”里的“拒绝从网络访问这台计算机”,在Windows 2000系统里默认是不做任何限制的,可是自从XP出现后,这个部分就默认多了两个帐户,一个是用于远程协助(也就是被简化过的终端服务)身份登录的3389用户名,另一个则是我们局域网共享的基本成员guest!
许多使用XP系统的用户无法正常开启共享资源的访问权限,正是这个项目的限制,解决方法也很容易,只要从列表里移除“Guest”帐户就可以了。
除了与帐户相关的策略,这里还有几个与NetBIOS和IPC相关的组策略设置,它们是位于“计算机配置 – Windows配置 – 安全设置 – 本地策略 – 安全选项”里的“对匿名连接的额外限制”(默认为“无”),对于XP以上的系统,这里还有“不允许SAM账户和共享的匿名枚举”(默认为“已停用”)、“本地账户的共享和安全模式”(默认为“仅来宾”),其中“对匿名连接的额外限制”的设置是可以直接扼杀共享功能的,当它被设置为“不允许枚举”时,其他计算机就无法获取共享资源列表,如果它被设置为“没有显式匿名权限就无法访问”的话,这台计算机就与共享功能彻底告别了,所以有时候实在找不出故障,不妨检查一下该项目。
权限与共享的冲突
如今的局域网普遍建立在Windows 2000以上的系统架构上运行,而且IPC的作用本来就是为了提供身份验证,因而共享始终离不开权限的影子,何况如果系统不会把文件共享的访问身份设置为最小权限的来宾帐户的话,别有用心的访问者就能轻易夺取管理员级别了。但是也正因为这样,一些时候权限反而会成为阻挠共享顺利进行的罪魁祸首。
我的理解:广播指的是对所有端口发送同一数据。以HUB和交换机工作举例:HUB中的数据是广播形式,同一个HUB内,A给B传送文件的时候,其他人也能在HUB中截到,而在交换机内,是点对点的传送,只有可网管型交换机的网管端口可截到。
一 局域网内的邻居
李**是某公司的文秘,昨天刚连夜赶出一份项目报告,就急匆匆带回公司给经理为客户们做讲解了,刚离开公司那30层高的会议厅,李**就忙着回自己在15楼的工作岗位了,但是李**刚踏出电梯,就接到了参与演示的工作人员的电话,说发现报告的演示文档不齐全,要她迅速带上来,李**才发现是自己过于迷糊而少复制了几份文件,但是她更清楚如果这个马虎行为让客户看到,恐怕会对公司造成负面形象,李**一时陷入窘境。突然,她想到了公司的局域网……
一场危机总算解除了,李**通过局域网把文件传输上来,演示人员不动声色的补充了剩下的文件,会议进行得很顺利,大家总算松了口气……
网络的基本作用是实现资源共享,而作为最小网络分布结构的局域网(Local Area Network,LAN)更是把这个概念淋漓尽致的发展起来,那么,局域网内的共享是怎么实现的呢?
1 局域网实现原理
在了解共享之前,我们需要对局域网的概念有个了解,局域网并不同于外界通讯使用的TCP/IP协议体系,它是一种建立在传统以太网(Ethernet)结构上的网络分布,除了使用TCP/IP协议,它还涉及许多协议。
在局域网里,计算机要查找彼此并不是通过IP进行的,而是通过网卡MAC地址,它是一组在生产时就固化的唯一标识号,根据协议规范,当一台计算机要查找另一台计算机时,它必须把目标计算机的IP通过ARP协议(地址解析协议)在物理网络中广播出去,“广播”是一种让任意一台计算机都能收到数据的数据发送方式,计算机收到数据后就会判断这条信息是不是发给自己的,如果是,就会返回应答,在这里,它会返回自身地址。当源计算机收到有效的回应时,它就得知了目标计算机的MAC地址并把结果保存在系统的地址缓冲池里,下次传输数据时就不需要再次发送广播了,这个地址缓冲池会定时刷新重建,以免造成数据冗余现象。实际上,共享协议规定局域网内的每台启用了文件及打印机共享服务的计算机在启动的时候必须主动向所处网段广播自己的IP和对应的MAC地址,然后由某台计算机(通常是局域网内某个工作组里第一台启动的计算机)承担接收并保存这些数据的角色,这台计算机就被称为“浏览主控服务器”,它是工作组里极为重要的计算机,负责维护本工作组中的浏览列表及指定其他工作组的主控服务器列表,为本工作组的其他计算机和其他来访本工作组的计算机提供浏览服务,它的标识是含有\\_MSBROWSE_名字段。这就是我们能在网络邻居看到其他计算机的来由,它实际上是一个浏览列表,用户可以使用“nbtstat -r”来查看在浏览主控服务器上声明了自己的NetBIOS名称列表。
浏览列表记录了整个局域网内开启的计算机的资源描述,当我们要访问另一台计算机的共享资源时,系统实际上是通过发送广播查询浏览主控服务器,然后由浏览主控服务器提供的浏览列表来“发现”目标计算机的共享资源的。
但是仅知道彼此的地址还不够,计算机之间必须建立一条连接的数据链路才能正常工作,这就需要另一个基本协议来进行了。NetBIOS(网络基本输入输出系统)协议是IBM开发的用于给局域网提供网络以及其他特殊功能的命令集,几乎每个局域网都必须在这种协议上面进行工作,NetBIOS相当于Intranet上的TCP/IP协议。而后推出的NetBEUI协议(NetBIOS用户扩展接口协议)则是对前者进行了功能扩充,这几个协议都是组成局域网的基本必备,最后,为了建立连接,局域网还需要TCP/IP协议。
2 Windows下的局域网共享
Windows系统对于局域网内机算机的身份和权限验证是在一个被称为“IPC”(命名管道)的组件技术上实现的,它实质上是Windows为了方便管理员从远方登录管理计算机而设置的,在局域网里它也负责文件的共享和传输,所以它是Windows局域网不可缺的基础组件。
默认情况下,局域网之间的共享服务通过来宾帐户“Guest”的身份进行,这个帐户在Windows系统里权限最少,为方便阻止来访者越权访问提供了基础,同时它也是资源共享能正常进行的最小要求,任何一台要提供局域网共享服务的计算机都必须开放来宾帐户,命令是“net user guest /active:yes”。
除了使用IPC作为身份验证,系统还使用SMB(Server Message Block)协议用来做文件共享,这个协议与共享存在很大联系,稍后我们将会讲到。
二 局域网共享的实现
虽然我们可以把局域网定义为“一定数量的计算机通过互连设备连接构成的网络”,但是仅仅使用网卡让计算机构成一个物理连接的网络还不能实现真正意义的局域网,它还需要进行一定的协议设置,才能实现资源共享。
首先,同一个局域网内的计算机IP地址应该是分布在相同网段里的,虽然以太网最终的地址形式为网卡MAC地址,但是提供给用户层次的始终是相对好记忆的IP地址形式,而且系统交互接口和网络工具都通过IP来寻找计算机,因此为计算机配置一个符合要求的IP是必须的,这是计算机查找彼此的基础,除非你是在DHCP环境里,因为这个环境的IP地址是通过服务器自动分配的。
浏览列表记录了整个局域网内开启的计算机的资源描述,当我们要访问另一台计算机的共享资源时,系统实际上是通过发送广播查询浏览主控服务器,然后由浏览主控服务器提供的浏览列表来“发现”目标计算机的共享资源的。
但是仅知道彼此的地址还不够,计算机之间必须建立一条连接的数据链路才能正常工作,这就需要另一个基本协议来进行了。NetBIOS(网络基本输入输出系统)协议是IBM开发的用于给局域网提供网络以及其他特殊功能的命令集,几乎每个局域网都必须在这种协议上面进行工作,NetBIOS相当于Intranet上的TCP/IP协议。而后推出的NetBEUI协议(NetBIOS用户扩展接口协议)则是对前者进行了功能扩充,这几个协议都是组成局域网的基本必备,最后,为了建立连接,局域网还需要TCP/IP协议。
2 Windows下的局域网共享
Windows系统对于局域网内机算机的身份和权限验证是在一个被称为“IPC”(命名管道)的组件技术上实现的,它实质上是Windows为了方便管理员从远方登录管理计算机而设置的,在局域网里它也负责文件的共享和传输,所以它是Windows局域网不可缺的基础组件。
默认情况下,局域网之间的共享服务通过来宾帐户“Guest”的身份进行,这个帐户在Windows系统里权限最少,为方便阻止来访者越权访问提供了基础,同时它也是资源共享能正常进行的最小要求,任何一台要提供局域网共享服务的计算机都必须开放来宾帐户,命令是“net user guest /active:yes”。
除了使用IPC作为身份验证,系统还使用SMB(Server Message Block)协议用来做文件共享,这个协议与共享存在很大联系,稍后我们将会讲到。
二 局域网共享的实现
虽然我们可以把局域网定义为“一定数量的计算机通过互连设备连接构成的网络”,但是仅仅使用网卡让计算机构成一个物理连接的网络还不能实现真正意义的局域网,它还需要进行一定的协议设置,才能实现资源共享。
首先,同一个局域网内的计算机IP地址应该是分布在相同网段里的,虽然以太网最终的地址形式为网卡MAC地址,但是提供给用户层次的始终是相对好记忆的IP地址形式,而且系统交互接口和网络工具都通过IP来寻找计算机,因此为计算机配置一个符合要求的IP是必须的,这是计算机查找彼此的基础,除非你是在DHCP环境里,因为这个环境的IP地址是通过服务器自动分配的。
浏览列表记录了整个局域网内开启的计算机的资源描述,当我们要访问另一台计算机的共享资源时,系统实际上是通过发送广播查询浏览主控服务器,然后由浏览主控服务器提供的浏览列表来“发现”目标计算机的共享资源的。
但是仅知道彼此的地址还不够,计算机之间必须建立一条连接的数据链路才能正常工作,这就需要另一个基本协议来进行了。NetBIOS(网络基本输入输出系统)协议是IBM开发的用于给局域网提供网络以及其他特殊功能的命令集,几乎每个局域网都必须在这种协议上面进行工作,NetBIOS相当于Intranet上的TCP/IP协议。而后推出的NetBEUI协议(NetBIOS用户扩展接口协议)则是对前者进行了功能扩充,这几个协议都是组成局域网的基本必备,最后,为了建立连接,局域网还需要TCP/IP协议。
2 Windows下的局域网共享
Windows系统对于局域网内机算机的身份和权限验证是在一个被称为“IPC”(命名管道)的组件技术上实现的,它实质上是Windows为了方便管理员从远方登录管理计算机而设置的,在局域网里它也负责文件的共享和传输,所以它是Windows局域网不可缺的基础组件。
默认情况下,局域网之间的共享服务通过来宾帐户“Guest”的身份进行,这个帐户在Windows系统里权限最少,为方便阻止来访者越权访问提供了基础,同时它也是资源共享能正常进行的最小要求,任何一台要提供局域网共享服务的计算机都必须开放来宾帐户,命令是“net user guest /active:yes”。
除了使用IPC作为身份验证,系统还使用SMB(Server Message Block)协议用来做文件共享,这个协议与共享存在很大联系,稍后我们将会讲到。
二 局域网共享的实现
虽然我们可以把局域网定义为“一定数量的计算机通过互连设备连接构成的网络”,但是仅仅使用网卡让计算机构成一个物理连接的网络还不能实现真正意义的局域网,它还需要进行一定的协议设置,才能实现资源共享。
首先,同一个局域网内的计算机IP地址应该是分布在相同网段里的,虽然以太网最终的地址形式为网卡MAC地址,但是提供给用户层次的始终是相对好记忆的IP地址形式,而且系统交互接口和网络工具都通过IP来寻找计算机,因此为计算机配置一个符合要求的IP是必须的,这是计算机查找彼此的基础,除非你是在DHCP环境里,因为这个环境的IP地址是通过服务器自动分配的。
其次,要为局域网内的机器添加“交流语言”——局域网协议,包括最基本的NetBIOS协议和NetBEUI协议,然后还要确认“Microsoft 网络的文件和打印机共享”已经安装并为选中状态,然后,还要确保系统安装了“Microsoft 网络客户端”,而且仅仅有这个客户端,否则很容易导致各种奇怪的网络故障发生。
然后,用户必须为计算机指定至少一个共享资源,如某个目录、磁盘或打印机等,完成了这些工作,计算机才能正常实现局域网资源共享的功能。
最后,计算机必须开启139、445这两个端口的其中一个,它们被用作NetBIOS会话连接,而且是SMB协议依赖的端口,如果这两个端口被阻止,对方计算机访问共享的请求就无法回应。
但是并非所有用户都能很顺利的享受到局域网资源共享带来的便利,由于操作系统环境配置、协议文件受损、某些软件修改等因素,时常会令局域网共享出现各种各样的问题,如果你是网络管理员,就必须学习如何分析排除大部分常见的局域网共享故障了。
三 局域网共享故障的分析与排除
IPC、Server服务与共享故障
临近毕业了,学生小王找了一家平面设计公司作为实习单位,这天办公室有同事急匆匆找网络部索要杀毒软件,但不凑巧管理员外出未归,小王为人比较热心,虽然自己不是学网络专业的,可是想想也略懂皮毛,就自告奋勇去帮忙了,幸好只是个小病毒,他轻易就解决了,在同事的夸奖下,小王心血来潮顺便给她做了系统优化。
可是才过十几分钟,那个同事又出来找网络部了,她说自己的机器被小王摆弄后无法打开别人计算机的共享了,这下,小王第一次明白了什么叫好心的后果……
我在前面说起Windows的局域网共享时,提到了IPC(Internet Process Connection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。
在Windows NT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令net share,如果Server服务未开启,系统会提示“没有启动 Server 服务。是否可以启动 (Y/N) [Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。
其次,要为局域网内的机器添加“交流语言”——局域网协议,包括最基本的NetBIOS协议和NetBEUI协议,然后还要确认“Microsoft 网络的文件和打印机共享”已经安装并为选中状态,然后,还要确保系统安装了“Microsoft 网络客户端”,而且仅仅有这个客户端,否则很容易导致各种奇怪的网络故障发生。
然后,用户必须为计算机指定至少一个共享资源,如某个目录、磁盘或打印机等,完成了这些工作,计算机才能正常实现局域网资源共享的功能。
最后,计算机必须开启139、445这两个端口的其中一个,它们被用作NetBIOS会话连接,而且是SMB协议依赖的端口,如果这两个端口被阻止,对方计算机访问共享的请求就无法回应。
但是并非所有用户都能很顺利的享受到局域网资源共享带来的便利,由于操作系统环境配置、协议文件受损、某些软件修改等因素,时常会令局域网共享出现各种各样的问题,如果你是网络管理员,就必须学习如何分析排除大部分常见的局域网共享故障了。
三 局域网共享故障的分析与排除
IPC、Server服务与共享故障
临近毕业了,学生小王找了一家平面设计公司作为实习单位,这天办公室有同事急匆匆找网络部索要杀毒软件,但不凑巧管理员外出未归,小王为人比较热心,虽然自己不是学网络专业的,可是想想也略懂皮毛,就自告奋勇去帮忙了,幸好只是个小病毒,他轻易就解决了,在同事的夸奖下,小王心血来潮顺便给她做了系统优化。
可是才过十几分钟,那个同事又出来找网络部了,她说自己的机器被小王摆弄后无法打开别人计算机的共享了,这下,小王第一次明白了什么叫好心的后果……
我在前面说起Windows的局域网共享时,提到了IPC(Internet Process Connection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。
在Windows NT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令net share,如果Server服务未开启,系统会提示“没有启动 Server 服务。是否可以启动 (Y/N) [Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。
其次,要为局域网内的机器添加“交流语言”——局域网协议,包括最基本的NetBIOS协议和NetBEUI协议,然后还要确认“Microsoft 网络的文件和打印机共享”已经安装并为选中状态,然后,还要确保系统安装了“Microsoft 网络客户端”,而且仅仅有这个客户端,否则很容易导致各种奇怪的网络故障发生。
然后,用户必须为计算机指定至少一个共享资源,如某个目录、磁盘或打印机等,完成了这些工作,计算机才能正常实现局域网资源共享的功能。
最后,计算机必须开启139、445这两个端口的其中一个,它们被用作NetBIOS会话连接,而且是SMB协议依赖的端口,如果这两个端口被阻止,对方计算机访问共享的请求就无法回应。
但是并非所有用户都能很顺利的享受到局域网资源共享带来的便利,由于操作系统环境配置、协议文件受损、某些软件修改等因素,时常会令局域网共享出现各种各样的问题,如果你是网络管理员,就必须学习如何分析排除大部分常见的局域网共享故障了。
三 局域网共享故障的分析与排除
IPC、Server服务与共享故障
临近毕业了,学生小王找了一家平面设计公司作为实习单位,这天办公室有同事急匆匆找网络部索要杀毒软件,但不凑巧管理员外出未归,小王为人比较热心,虽然自己不是学网络专业的,可是想想也略懂皮毛,就自告奋勇去帮忙了,幸好只是个小病毒,他轻易就解决了,在同事的夸奖下,小王心血来潮顺便给她做了系统优化。
可是才过十几分钟,那个同事又出来找网络部了,她说自己的机器被小王摆弄后无法打开别人计算机的共享了,这下,小王第一次明白了什么叫好心的后果……
我在前面说起Windows的局域网共享时,提到了IPC(Internet Process Connection),IPC是NT以上的系统为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用,微软把它用于局域网功能的实现,如果它被关闭,计算机就会出现“无法访问网络邻居”的故障。
在Windows NT以后的系统里,IPC是依赖于Server服务运行的,一些习惯了单机环境的用户可能会关闭这个服务,这样的后果就是系统将无法提供与局域网有关的操作,用户无法查看别人的计算机,也无法为自己发布任何共享。
要确认IPC和Server服务是否正常,可以在命令提示符里输入命令net share,如果Server服务未开启,系统会提示“没有启动 Server 服务。是否可以启动 (Y/N) [Y]:”,回车即可以启动Server服务。如果Server服务已开启,系统会列出当前的所有共享资源列表,其中至少要有名为“IPC$”的共享,否则用户依然无法正常使用共享资源。
四 共享与安全
也许,只要是有开放互连的地方,就会有无法逃脱安全问题的难堪,共享更是不例外,许多用户根本不知道,默认情况下系统就已经为你开了一个庞大的后门供人来品尝,而这个后门的官方名称就是“默认共享”——系统会自动为用户开放以每个盘符进行命名的隐藏共享“盘符$”,虽然网络邻居里看不出来,但是有经验的用户都知道那是什么一回事了,只需使用“\\IP\盘符$\”的格式便完成了资源的访问操作。而另一个被称为“默认管理共享”(ADMIN$)的共享,更是提供了一系列强大的网络指令,甚至包括关机命令。你也许会说,这不正符合微软的构思“远程管理”吗?话虽如此,但是对于一个只有来宾帐户身份标识的共享来说,它能判断出谁是主人吗?
因此,稍有经验的用户对这两个共享都是深恶痛绝的,幸好系统提供了永久关闭它的方法:运行regedit开启注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”分支,添加名为“AutoShareServer”和“AutoSharewks”的DWORD类型值,均设为0,重启计算机就会发现仅仅剩下一个维持共享功能的IPC$了。
除了这里,共享还为我们带来了“计划任务”的潜在危害,即通过IPC$,入侵者可以设定机器在一个固定的时间里执行某种操作,这实际上是通过“计划任务”实现的,而“计划任务”的实体为“Task Scheduler”服务项,赶快进servicesmsc里禁止掉它。
五 结语
正如麻雀“虽小”的谚语一样,即使只是小小的局域网,小小的共享操作,其中涉及到的东西,也没有绝对简单的,我们要用好科技带来的一切,就必须掌握它的根本,成为计算机的主人。局域网技术仍然在不停发展,或许以后的文件共享概念又会再次升级,至于它是否能越来越平民化,就让我们拭目以待吧。参考文献:《网上邻居的内幕》
知识回顾:权限的由来
对计算机来说,系统执行的代码可能会对它造成危害,因此处理器产生了Ring的概念,把“裸露在外”的一部分用于人机交互的操作界面限制起来,避免它一时头脑发热发出有害指令;而对于操作界面部分而言,用户的每一步操作仍然有可能伤害到它自己和底层系统——尽管它自身已经被禁止执行许多有害代码,但是一些不能禁止的功能却依然在对这层安全体系作出威胁,例如格式化操作、删除修改文件等,这些操作在计算机看来,只是“不严重”的磁盘文件处理功能,然而它忽略了一点,操作系统自身就是驻留在磁盘介质上的文件!因此,为了保护自己,操作系统需要在Ring 3笼子限制的操作界面基础上,再产生一个专门用来限制用户的栅栏,这就是现在我们要讨论的权限,它是为限制用户而存在的,而且限制对每个用户并不是一样的。
细心的用户如果点击了共享资源属性里的“权限”界面,可能会发现系统已经自动给这里添加了“Everyone”权限,这是个特殊权限,它的存在是为了让用户能访问被标记为“公有”的文件,这也是一些程序正常运行需要的访问权限,任何人都能正常访问被赋予“Everyone”权限的文件,包括来宾组成员。
但是有时候这个理论会因某种原因而产生混乱,进而导致来宾组成员丧失了访问权限,这时候,用户只能手工为它添加一个“guest”的访问权限了。在一些系统上,甚至要添加“Users”或“Administrators”权限才能实现文件共享,但是对于这种权限指派已经严重混乱的系统,我建议还是重新安装一个算了。
对于Windows XP系统,它默认是仅仅给共享显示一个简单的界面而已,如果你要自定义更多东西,就必须进入“控制面板”的“文件夹选项”里,取消“使用简单文件共享”的勾,而且这里还涉及到NTFS分区“安全”页设置的显示。
随着Windows XP的逐步推进以及安全概念的推广,越来越多用户开始使用NTFS格式作为自己的硬盘分区,这样就在IPC的用户身份验证模式上又增加了一种权限限制:NTFS权限。
知识回顾:什么是NTFS
NTFS(New Technology File System)是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,只有使用NT技术的系统对它直接提供支持,也就是说,如果系统崩溃了,用户将无法使用外面流行的普通光盘启动工具修复系统,因此,是使用传统的FAT32还是NTFS,一直是个倍受争议的话题,但如果用户要使用完全的系统权限功能,或者要安装作为服务器使用,建议最好还是使用NTFS分区格式。
与FAT32分区相比,NTFS分区多了一个“安全”特性,在里面,用户可以进一步设置相关的文件访问权限,而且前面提到的相关用户组指派的文件权限也只有在NTFS格式分区上才能体现出来。
一些刚接触NTFS分区的用户经常会发现,自己机器的共享和来宾帐户都开了,但是别人无论怎么访问都提示“权限不足”,即使给共享权限里添加了来宾帐户甚至管理员帐户也无效,这是为什么?归根究底还是因为在NTFS这部分被拦截了,用户必须理清一个概念,那就是如果你对某个共享目录的访问权限做了什么设置,例如添加删除访问成员,其相应的NTFS权限成员也要做出相应的修改,即共享权限成员和NTFS权限成员必须一致或者为“Everyone”成员,在XP/2003系统里出于安全因素,文件夹时常会缺少Everyone权限,因此,即使你的共享权限里设置了Everyone或Guest,它仍然会被NTFS权限因素阻止访问;如果NTFS权限成员里有共享权限成员的存在,那么访问的权限就在共享权限里匹配,例如一个目录的共享权限里打开了Everyone只读访问权限,那么即使在NTFS权限里设置了Everyone的完全控制权限,通过共享途径访问的用户依然只有“只读”的权限,但是如果在NTFS权限成员或共享权限成员里缺少Everyone的话,这个目录就无法被访问了。因此要获得正常的访问权限,除了做好共享目录的权限设置工作以外,还在共享目录上单击右键---属性----安全,在里面添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读取等),如果没有其他故障因素,你就会发现共享正常开启访问了。
0条评论