解决工作组环境下XP互访之疑惑
开篇:润墨网以专业的文秘视角,为您筛选了一篇解决工作组环境下XP互访之疑惑范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:对工作组环境下XP互访进行了研究,描述了访问共享资源需要经过的步骤,并分析了访问失败了原因和寻求解决问题的方法。
关键词:身份验证;策略审核;权限检查
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1221-02
Working Group to Address Climate of Suspicion Visits XP
DING Zhi-yun
(Jiangsu Yancheng technician institute, Yancheng 224001, China)
Abstract: Working Group on the Environment XP visits have been studied, described the visit to share resources to go through the steps, and failed to visit analyzes the causes and find a solution to the problem.
Key words: identity validation;policy cognizance;power examination
1 引言
如今家庭用户安装操作系统还是喜欢XP,主要原因有两个:一是功能简单;二是界面美观。但装有XP操作系统的机器在组建局域网的时候也出现了若干令人头疼的问题,在我的印象之中问题最多的莫过于XP操作系统之间互访问题。
俗话说:解铃还需系铃人,只有了解了XP互访过程的原理才能解决我们的困惑。首先要明确一点:何为工作组,所谓工作组就是几台机器的地位是平等的,不是cs模式,也不是域环境模式。如此一来在地址栏中输入\\对方IP地址或者\\对方netbios名便需要输入用户名和密码才能访问,而在域环境在是不需要输入用户名和密码进行验证的,因为在域环境下用户名和密码都是保存在域控制器上的。当然了如果工作组中的机器全是2000或者2003那倒好办了,而xp的网络环境却又一样,其中安全因素便是其中一个很重要的方面。
2 网络环境
两台装有xp操作系统的机器,一台机器名为A,IP地址为10.0.0.1;另一台机器名为B,IP地址为10.0.0.2。在A和B中都有一相同的用户名为admin1,密码为123。两台机器连在一台HUB或交换机上。
3 四道关卡
首先我们需要了解A要成功访问B的共享资源需要经过以下四道关卡,如果中途失败一步,那么访问将以失败告终。四道关卡如下:1) 协议和端口,组件和服务;2) 用户身份验证;3) 本地安全策略审核;4) 权限检查。
3.1 协议和端口,组件和服务
在图1中我们可以了解到“Microsoft文件和打印共享”服务既可走两条大的路:一是tcp/ip协议路线,二是NETBEUI协议路线。如要走TCP/IP协议路线我们可借助两种方式,一是走传统的NetBT协议(NetBT指netbios over tcp/ip)需要开放的端口是UDP137,UDP138,TCP139;二是直接走TCP445端口。
3.1.1实验一
B机关闭TCP139和TCP445端口,A机以admin1登陆并在地址栏中输入\\10.0.0.2试图访问B机共享失败。对于2000和XP客户端来说如果在允许NBT的情况下连接服务器时,A会同时尝试访问B的139和445端口,如果445端口有响应,那么A就发送RST包给B的139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;如果B禁止NBT,那么A只会尝试访问445端口,如果445端口无响应,则会话失败。关闭这两个端口的方法大致有如下几种:一是通过IPSEC安全策略,二是禁止server服务,三是不勾选"Microsoft网络的文件和打印机共享",四是放火墙策略限制。
3.1.2 实验二
B机器以admin1用户登陆,禁止NetBT协议,这样一来A想访问B的共享资源只能通过\\10.0.0.2而不能通过\\B来访问。原因是禁止NetBT协议将会导致UDP137,UDP138,TCP139被关闭,关闭了端口UDP137,UDP138将不能将NetBios名字解析为IP地址,但此时为什么输入\\10.0.0.2可以访问?因为此时TCP445端口还在开放,A可以通过访问B的445端口来达到目的。
3.2 用户身份验证
我们需要了解两点:一是客户机总是优先用自己的登录帐号进行验证,例如,A用admin1登陆,当A访问B的共享资源时它会先尝试用用户名admin1和密码123到B上验证。二是:由B决定是否将A的用户身份映射为GUEST。那何为将A的用户身份映射为GUEST?具体要分为B启用了简单文件共享和B没有启用简单文件共享。
3.2.1 B启用简单文件共享
启用简单文件共享下身份验证步骤如下:1.确认启用简单文件共享模式,打开“文件夹选项”,“查看”,确保勾选“使用简单文件共享”;2.如果服务器配置了简单文件共享,客户机会被映射为GUEST用户,并以GUEST用户的身份进入“安全策略审核”(GUEST帐户要启用);3.如果没有配置过简单文件共享,则会弹出图2的灰色用户名(GUEST)的身份验证对话框,不过在这个对话框中随便你输入什么密码都无效,也不管你GUEST帐户开启或是关闭,大家都称这个对话框具有安慰性质。
3.2.2 B没有启用简单文件共享
禁止简单文件共享下身份验证步骤如下:1)A机器以用户名admin1密码123到B机器验证,如果B机器上存在相同的用户名admin1,并且密码为123则客户机以admin1的身份进入“安全策略审核”;2)如果B上存在admin1但是密码不相同,或者根本就不存在admin1,而且B上的GUEST用户被禁止,则会弹出图3对话框要求你输入正确的用户名和密码,然后再将用户名和密码发到B机器上去验证;相反如果B上的GUEST用户被启用,则A直接以GUEST用户的身份进入“安全策略审核”。
3.3 本地安全策略审核
在这里分两点进行讨论:1)如果A机以GUEST用户身份接受安全策略审核,则会分别经过如下两策略,策略2:本地策略,用户权利指派,“拒绝从网络访问这台计算机”;策略3:本地策略,用户权利指派,“从网络访问这台计算机” 。其中需要说明的是这两策略是有步骤性的,如果策略2失败,也就是说在也就是说“拒绝从网络访问这台计算机”中有A中正在登陆的帐号,即使在“从网络访问这台计算机” 中存在此帐号也是没有用的,默认原则是拒绝的优先权大于允许的优先权。只有上述两个策略都满足的情况下才能进入下一关卡。2) 如果A以其他用户(非GUEST)的身份接受安全策略审核,则会分别经过如下三策略,策略1:本地策略,安全选项,“帐户:使用空白密码的本地帐户只允许进行控制台登陆”;策略2:本地策略,用户权利指派,“拒绝从网络访问这台计算机”;策略3:本地策略,用户权利指派,“从网络访问这台计算机” ,在图4中也详细地说明了限制步骤,只要其中一步出问题,那么将导致访问失败,如果都能顺利通过的话将进入下一关卡:权限检查。
3.4 权限检查
对于FAT32来说只有一种情况,对于NTFS来说有两种情况。在此我们只讨论NTFS的情况,假设B机器共享了一个名为123的文件夹,右击123文件夹会出现“共享”和“安全”两个选项,其中“共享”选项限制了从网络访问此资源的权限,“安全”选项限制了从本地访问该资源的权限。具体操作过程如图5,图5中可以很清楚地了解到,A要访问B的123文件夹,B首先会检查A正在登陆的帐号在“共享”选项卡的用户名或用户组中存在吗 ?如果不存在将导致访问失败,如果存在则B会检查A正在登陆的帐号在“NTFS”选项卡的用户名或用户组中存在吗?如果不存在同样会导致访问失败,如果存在则A将以适当的权限访问B的共享资源。
4 总结
到此为止整个访问过程结束。XP操作系统之间互访必须经过这四步,只要其中任何一步不通过都将导致访问失败。其中最容易出问题的是关卡三:本地安全策略审核,不少用户抱怨不能访问,我想大部分可能就发生在关卡三,我认为万变不离其宗,只要了解了其验证原理,那么解决工作组环境下XP互访将不成问题。
参考文献:
[1] 梁磊.TCP/IP网络技术[M].北京:电子工业出版社,2004:125-181.
[2] 黄永峰,黄旭.刘源源.Windows server 2003组网技术[M].北京:机械工业出版社,2005:190-231.
[3] 赵松涛,金道谢,张安东.Windows server 2003网络配置与高级管理教程[M].北京:人民邮电出版社,2004:283-363.
[4] 谢希仁.计算机网络[M].北京:电子工业出版社,1999:279-284.