计算机网络共享原理讲解

谢谢！
LOGO
网络共享原理讲解
培训目标
1、了解网上邻居共享的工作原理 2、了解网络访问的具体流程 3、了解网络共享所用到的端口协议组件服务
4、了解网络共享所用到的本地安全策略
5、掌握简单的共享权限设置
[问题引出]：我安装了windows2003中 “Microsoft 网络的文件和打印机共享”, 在管理工具的服务列表里找不到Computer Browser和Workstation，请问怎么会这 样？应该如何解决？ [问题解决]：不是有了“Microsoft 网络的文 件和打印机共享”就Computer Browser 、Server和Workstation这三项服务都会 有，而只会有Server服务。
权限检查
在通过了本地安全策略检查后，服务器还要检查用户 想访问的共享文件夹的共享权限与NTFS权限是否允 许当前登录账户访问。检查过程如下图:
权限检查
这二者分别在文件夹属性的共享和安全标签页中设置 。当权限检查顺利通过后，用户才能正常访问目标共 享资源。如果在网上邻居访问中可以列出对方机器上 的共享目录列表，但进入目录时遇到拒绝访问提示， 一般都是在权限检查这一步遇到了问题。 在xp系统中，如果使用的是简单文件共享，在目录 属性页中是没有用于设置NTFS权限的“安全”标签 页的。NTFS权限都采用默认设置。而如果禁用了简 单文件共享，在文件夹的属性页中会多出“安全”标 签，在此可以对目录的NTFS权限进行设置。
权限检查
权限检查
实例分析：win7访问XP能看见文件目录，但是无 法访问其共享文件，经检查文件共享权限是允许所有 者完全控制，而且XP下启用了简单的文件共享，共 享方式是通过guest访问，请问是什么原因？ 回答：Winxp下的一个常见问题是用户一段时间禁 用了简单文件共享并对共享目录的NTFS权限进行了 设置，然后又恢复了简单文件共享。这时虽然再也看 不到安全标签并设置NTFS权限，但已经设置的 NTFS权限是依然存在的。如果此时共享目录的 NTFS权限设置禁止guest访问，即使其它设置完全 正确，目标文件夹也无法访问，而且由于在简单文件 共享模式下看不到共享目录的NTFS权限状态。
用户身份验证
如何启用guest账户
允许guest从本地登录（误区）
开启guest账户
查看guest 启用状态的最简单方法是用命令net user guest查 看，看输出中“帐户启用”一栏的信息。
如果服务器上禁用了简单文件共享，或者服务器的本地安全策略——安全选项中 的“网络访问:本地账户的共享和安全模式”设为经典，本地账户模式，当客户机 连接服务器时，首先以客户机的登录名和密码在服务器上进行验证，如果恰好服 务器上存在同名且同密码的账户而且该帐户没有被禁用，客户机将以此用户的身 份进入下一本地安全策略的验证阶段，如果服务器上不存在此同名同密码的账户， 而服务器上的guest账户未被禁用，客户机将以guest账户的身分直接进入下一阶 段的安全策略验证阶段。如果服务器上禁用了guest账户，会弹出要求输入用户 名和密码的对话框如下，这时如果提供了服务器上存在的用户名和密码，则会以 此用户的身份进入下一阶段安全策略检查过程。
本地安全策略审核
Байду номын сангаас
本地安全策略审核
本地策略——安全选项中的:‖LAN Manager身份验证级别‖。Windows 2000以上系统可以使用更高的安全级别，但 2000以下系统会无法识别发送的安全凭证， 验证方式不同将无法互相访问。XP和win7 之间的互相访问有时候问题出在这个地方。
本地安全策略审核
用户身份验证
如果服务器的本地安全策略——安全选项中“网络访问: 本地账户的共享和安全模式”设为仅来宾或者服务器启用 了简单文件共享，网络访问的本地用户将以来宾身份验证 ，这时如果guest账户未被禁用，则直接进入下一步本地 安全策略验证阶段，如果服务器启用了简单文件共享却没 有启用guest账户，就会弹出如下对话框，用户名为灰色 无法更改，密码无论输入什么都无效。
本地安全策略审核
当用户是以guest账号进入本地安全策略审核中，主 要检查第二条与第三条策略(因为guest本身就是无 密码的) ，检查过程如下图:
本地安全策略审核
当用户以非guest用户身份进入安全策略审核时，三 条策略都将检查到，检查过程如下:
本地安全策略审核
除以上提到的三个最重要影响网络邻居访问的安全策 略外，还有以下一些安全策略对网上邻居的访问过程 产生影响。 本地策略——安全选项中的“网络访问:不允许SAN 账户和共享的匿名枚举”。如果启用它其实际就是取 消了IPC$隐藏共享，这使客户机访问时无法取得服 务器上的共享资源列表，这时，要想访问服务器上共 享资源除非预先知道想访问的共享资源名称，手动输 入资源的完整路径\\server\sharename。
案例综合分析
案例2：服务器采用简单文件共享，当以 \\ipadress\C$形式访问服务器上的C盘时，不要 求输入用户名和密码就直接提示权限不够. 分析：服务器上启用了简单文件共享，所有访问用户都 被映射为guest，而guest对C$这个共享是无共享 访问权的，因此提示权限不足. 解决方案：在服务器上禁用简单文件共享，采用本地经 典模式进行访问，用administrator进行访问即可 ，前提是服务器上没有将c盘的隐藏分区删除
网络连通性检查
两台主机不能访问：如果客户机和服务器在同一个网 段，检查防火墙服务是否开启，直到能ping通为止 （服务器禁ping的另谈）。
端口协议组件服务
在较早的WIN98/95系统下面，主要使用 NETBT(TCP/IP上的NETBIOS)协议来完 成相关，使用137，138和139端口，同时 完成包括列表维护，名称解析和文件传输等 多种功能，而2000后，网络共享服务也可以 通过TCP/IP上的SMB直接承载实现，使用 139和445端口。
本地连接属性
网络连接里本地连接属性： “Microsoft 网络的文件和打印机共享” “Server‖服务 ―Microsoft 网络客户端” “Workstation‖服务及“Computer Browser‖服务
网上邻居共享的工作原理
网上邻居的工作模式是一个典型的客户端/服 务器工作模型，我们回想一下访问网络邻居 的过程，首先，点击网络邻居图标，打开网 上邻居列表，其次，点击打开目标服务器图 标，列出目标服务器上的共享资源，接下来 ，点击需要的共享资源图标，进行需要的操 作(这些操作包括列出内容，增加，修改或删 除内容等。
网上邻居共享的工作原理
NETBT（TCP/IP上的NETBIOS）协议也可以将 一台NETBIOS机器名解析为IP地址，可以用 nbtstat命令查看（如nbtstat –A x.x.x.x）
网上邻居共享的工作原理
查看NETBIOS是否开启
网络访问过程
网络访问包括网络连通性检查、端口协议组件服务检 查、用户身份验证、安全策略授权、权限检查这四个 主要流程，流程图如下：
端口协议组件服务
隐藏共享存在安全隐患，建议各位删除
用户身份验证
当客户机发现服务器上的服务与协议都安装正确以后 ，就开始了用户身份认证过程。也就是确定客户机以 什么身份在服务器上进行操作。 关于网上邻居访问过程的身份认证有以下两个原则: 一、是客户机优先以当前登录账户的信息来提交认证 信息，例如客户机当前的登录用户为test，密码为 test，如果这时它访问网上邻居，它用以此为用户名 和密码来提交验证信息。 二、由服务器决定是否将客户机用户身份映射为 guest。
案例综合分析
案例1：两台winxp机器，用户只建立了 administrator用户，都没有设置密码，以\\IP 地址形式访问时不提示用户名和密码就显示拒绝登录 .两台机都未使用简单文件共享. 分析：不提示用户名和密码，说明已经通过了用户认证 阶段.因为未使用简单文件共享.登录时是以客户机的 登录帐户进行认证的，也就是以administrator的 身份登录，但由于服务器的administrator无密码 ，根据默认安全策略无密码帐户只允许进行控制台登 录，因此收到拒绝登录的提示. 解决方案：启用guest帐户，为两机启用简单文件共享 ，然后无需密码即可访问.(注意，在启用简单文件共 享前先要检查需要共享的目录的NTFS权限是否允许 guest访问.）
端口协议组件服务
下图列出了文件共享服务支持的各种网络协议：
端口协议组件服务
问题：办公室有四台电脑，需要访问同一台文 件服务器，以前一直可以访问，有一天其中 一台不能访问，但是可以PING通，其他电 脑仍然可以访问，你认为是什么原因导致， 请提供解决方案？ 答案：本机的Computer Browser服务和 Workstation服务被关闭导致，可能由于病 毒感染导致，开启服务并杀毒。
网上邻居共享的工作原理
2 网上邻居的名称解析 一般访问服务器地址时，在运行中输入‖\\服务器 计算机名‖，或者点击网络邻居列表里的一台机器 ，这时首先会发生一个名称解析过程。 谈起名称解析，我们常会想到DNS，事实上，网 上邻居的名称解析确实是可以使用DNS系统的。 不过前提是你需要架设局域网DNS服务器对局域 网的各机器名进行解析。如果你没有安装局域网 DNS，你也可以使用NETBIOS的名字服务对机 器名进行解析 。
网上邻居共享的工作原理
1 取得网络资源列表 我们是如何获得当前网络上可以访问的服务器列表 的呢?在一个有域的windows网络环境下，我们 也可以通过活动目录服务（Active Directory） 来取得这个列表。而在工作组环境中这主要依靠 windows的浏览服务。浏览服务为各客户机提供 的资源列表并不是实时的，也不一定是全局一致的 ，它依靠每12分钟一次的轮询来刷新和同步这个 列表，因此，这个列表经常与实际情况不一致。
端口协议组件服务
可以看出，网上邻居服务(Computer Browser服务) 需要依存两个服务——Workstation(工作站)服务与 Server(服务器)服务，Workstation服务主要用于访 问其它服务器上的共享资源，它对应网络组件中的 windows网络客户端，而Server服务主要提供共享 本机资源的功能，对应文件和打印机共享组件。 这些协议和组件的正常安装与设置是网上邻居正常工 作的基础。
本地安全策略审核
当用户通过了认证，就进入了本地安全策略审核阶段 。在本地安全策略中，与网上邻居相关的最重要的三 条策略是以下三个: 一是本地策略——安全选项中“账户:使用空白 密码的本地账户只允许进行控制台登录”。 二是本地策略——用户权利指派中的“拒绝从网 络访问这台计算机” 三是本地策略——用户权利指派中的“从网络访 问这台计算机”。
端口协议组件服务
PS:关于网上邻居功能有一个需要说明问题就是隐藏共 享IPC$的问题。我们访问网上邻居能够看到该服务 器上的共享资源列表是因为在安装了文件和打印机共 享组件后，会创建一个名为IPC$的隐藏共享，连接 的计算机通过查看这个隐含共享来取得服务器上的共 享资源列表。如果删除了这个共享浏览者就无法取得 服务器上的共享资源列表，当然也无法正常访问共享 资源了。