浅淡工作组环境共享资源互访

浅淡工作组环境共享资源互访(一)

由于在域环境下,对用户的身份验证及资源的共享访问进行了集中管理,访问共享资源的实现比较简单，在此不做讨论。因此本文仅针对工作组环境下共享资源的互访做下粗浅的介绍，希望能起到抛砖引玉的作用。

那么访问的过程是怎样进行的呢？以及应该具备什么样的条件呢？如图所示：

点此查看大图

1。存在一条可用的物理链路——>(可使用Ping命令进行测试)

2。保证双方计算机上的"协议"、"端口"、"组件"、"服务"能正常工作。这些工作在网络通讯的底层,只有底层的网络工作正常,访问才有可能正常进行.

3。用户身份验证及访问授权。你必需向要访问的计算机出示你的身份证明。出于安全的考虑，系统是不可能允许来历不明的人随便访问它的共享资源的。在通过了身份验证后，系统会根据你的身份生成相应的访问令牌，令牌里包含了你是对系统的操作能力(权力)及对资源的访问能力(权

限)，这个过程称之为授权。

4。安全策略的审核。在表明的身份后，安全策略会再次检查你所声明的身份是否符合策略中的定义的条件。好比您买一张船票，上船的时间您过了检票那关(身份验证)，当您向一等舱方向走过去的时候您就会被拦下来，要求您出示一等舱的船票，当然很可能您买的是二等舱的，这时您就会被委婉的拒绝。

5。权限的检查。共享的资源可能很多,但并不是每个资源您都有权限访问,这就涉及到资源的共享访问权限以及NTFS权限的检查。共享访问权限在文件属性的共享选项卡里设置，而NTFS 权限则在安全选项卡中设置。只有最终通过了访问权限的检查你才可能真正访问到对方计算机上的共享资源。

大概的访问过程是这样的，在客户端和服务器能够正常通迅的情况下(1、2条满足)客户端通过网上邻居或UNC路径的方式向服务器提交访问请求，服务器在接到请求后会去验证客户端的身份,这时依据服务器端的设置，把客户端验证为匿名访问(来宾)或服务器端某一个已知的用户。如果是匿名用户，将统一使用Guest帐号进行网络登录(在启用了简单文件共享的前提下)，如果是已知的用户，将使用该用户的登陆凭据(如帐号及口令)生成相应的访问令牌。这时系统会根据安全策略的定义再次进行审核，比如该用户是否被拒绝网络访问，是否使用的空口令进行登录等等。如果安全策略审核通过了，访问将继续，这时您可能会点击共享列表里的某一文件夹，以查看其内容，这时候本地安全授权子系统(LSASS)会去检查该文件夹的共享访问列表和安全访问列表是否存在您所声明的用户的安全标识符(SID),如果存在,检查其是否有访问该共享资源的权限，假如有权访问,则通过检查，否则拒绝访问。如果不存在该用户的安全标识符则拒绝访问。(注：访问资源的称客户端，提供资源的称服务器)

共享权限设置：

安全权限设置：

这里再简要介绍一下网上邻居的工作原理。在工作组环境下，加入到工作组中的各台计算机的身份是平等的。一台计算机即可以充当客户端也可以是服务器。那么计算机是怎样查找资源的呢？为了帮助用户找到网络资源，微软使用了一项称为"浏览服务"的机制完成网络资源的查找和定位(对应的系统服务是computer Browser)。当我们的机器启动的时候（准确的说是一台启用了文件和打印机共享的计算机进入其所在的局域网中的时候），它会先在网络中寻找一台称为主浏览服务器的计算机，然后向他通告自己的到来，主浏览服务器维护着一个动态更新的"浏览表"。表中列举了可用的基于NETBIOS的共享资源。"浏览表"包含每台计算机Netbios名称到IP地址的映射，也包含所有共享资源的具体位置。普通客户机在主浏览器的主浏览表中加入自己，告诉他: "我来到了这个网络"我的Netbios名字是XXX,IP是192.168.x.y。当你打开网上邻居的时候，首先通过广播来查找到"主浏览器"。如果没有"主浏览器"或者主浏览器关机，则在网络中就会通过'选举'来推选出一个主浏览器"。一般的,98工作组中,第一台启用文件及打印机共享功能的计算机，会充当主浏览器的角色。在2000以及后续版本，“主浏览器角色”则主要通过选举产生，选举的原则就要是看计算机使用的操作系统以及版本的高低。没记错的话，能充当W INS服务器的计算机最有可能成为"主浏览器"。在主浏览器后还有备份浏览器和潜在浏览器，而浏览服务列表就是由这样的一台或几台计算机所构成的计算机群共同维护的。通过广播找到主浏览服务器后，会从那里得到一张共享资源及对应位置的列表(如我们在网上邻居所看到的那样)，然后我们

就可以通过这张表方便的访问网络资源了。当然，假如网上邻居不工作了，假如我们知道具体的共享名以及存放于哪台计算机，也可以通过类似\\192.168.x.y的UNC路径名的方式访问(假如您发现哪天网上邻居访问不了，而通过UNC路径可以访问，您就知道是网上邻居的浏览机制出了问题)。如需要更详细的说明不妨参考微软的KB文档里编号为188305和188001这两篇文章(拿这两个编号上微软网站上搜即可)

现在我们来说说底层的协议和端口以及组件和服务应当怎么设置才能保证网络的正常通讯。首先，实现“文件和打印机共享”必须要有协议支持，协议相当于一种通讯语言。能实现局域网共享访问的协议有三个，TCP/IP协议，NETBEUI协议，NWLink IPX/SPX/NetBIOS兼容协议，那么这三个协议有什么区别呢？一般的，在小型局域网环境下，用户只是为了简单的文件和设备的共享，那么访问速度快，占用内存小和带宽利用率高的NetBEUI协议将是最佳选择。如果你的网络存在多个网段或要通过路由器相连时，就不能使用不具备路由和跨网段操作功能的NetBEU I协议，而必须选择IPX/SPX或TCP/IP等协议。因为，IPX/SPX在设计一开始就考虑了多网段的问题，具有强大的路由功能，适合于大型网络使用。当用户端接入NetWare服务器时，IPX/ SPX及其兼容协议是最好的选择。但在非Novell网络环境中，一般不使用IPX/SPX。尤其在W indows NT网络和由Windows 95/98组成的对等网中，无法直接使用IPX/SPX通信协议。所以一般的共享访问安装了TCP/IP协议就可以了。（在有NT操作系统的局域网环境下则必须安装NETBEUI协议）如果要使用TCP/IP协议来实现共享访问，有两种方式。一种是通过传统的NetBT协议通过137、138、139端口，另一种是TCP/IP上的SMB直接承载,通过445端口。

具体解释如下：

UDP：137 -- NetBIOS名称服务器,网络基本输入/输出系统(NetBIOS)名称服务器(NBNS)协议是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它在基于NetBIOS名称访问的网络上提供主机名和地址映射方法。

UDP：138 -- NetBIOS数据报,NetBIOS数据报是TCP/IP上的NetBIOS (NetBT)协议族的一部分，它用于网络登录和浏览。