工作组环境网络访问疑难解答！！

sunweipeng

在网盟上看到有很多网友发表关于工作组坏境网络访问问题，为此，经过我的深思熟虑和加以整理以下，特发表这一贴子，将整个网络访问过程呈现给大家，希望能够解决大家的所面临的问题，如果有不正确或不完整的地方，望大家批评指正和加以补充，谢谢！！

通常一个客户端要访问服务器端，要经过四道槛，它们是：
１、协议，端口，组件，服务；
２、用户身份验证；
３、安全策略授权；
４、权限检查。

一、协议，端口，组件，服务
协议和端口，组件及服务－－－－工作在网络的底层，只有底层的网络工作环境正常，上层的用户验证，安全策略和权限检查才能顺利进行。

协议与端口：通常用到两种协议，ＴＣＰ／ＩＰ　NETBEUI协议。要想访问，我们还必须启用文件和打印机共享服务，如果这一服务没有启用，网络访问是行不通的。而要实现这一访问有二条路可走，一是走ＴＣＰ／ＩＰ，一是走ＮＥＴＢＥＵＩ。

如果走TCP/IP协议，在这里又有两条路，一种是通过传统的ＮＥＴＢＴ，走137、138、139端口；另一种是TCP/IP的ＳＭＢ直接承载，走445端口。具体的为什么采用ＳＭＢ直接承载，这是因为关闭137、138、139端口后，消除了ＮＥＴＢＩＯＳ名字解析而产生的广播。不过有一点，请大家注意：如果网络中存在98、ＭＥ，ＮＴ等旧操作系统或者网络中没有ＤＮＳ服务器，则必须启用ＮＥＴＢＴ，即开启137、138、139端口，以确保计算机名字能够解析成功。

如果是走ＮＥＴＢＥＵＩ协议，则系统开销小，完全可以绕过windows防火墙而轻松实现网络访问及文件，打印机共享等，但是要想上网，则必须要用到ＴＣＰ／ＩＰ协议，此协议无法与因特网互联，同时此协议还将增加网络通信负荷。

网络组件与服务－－－－组件有两个：１、文件和打印机共享　　２、Microsoft网络客户端：用来访问局域网的共享资源。服务包括：Computer Browser、WorkStation、Server、Tcp/IP NetBIOS Helper四大服务，如果此二组件、四大服务没有启用，则无法实现局域网网络访问

二、用户身份验证；
在这里我想告诉网盟盟友，必须要遵循如下两条准则：
１、客户机总是优先用自己的登录帐户进行验证
２、服务器决定是否将客户的用户身份映射为guest帐户（必须开启guest帐户）

启用简单文件共享，它有如下特点：
一是所有网络用户都将识别为guest用户；
二是等效于将本地安全策略、安全选项“网络访问：本地帐户的共享和安全模式”选项设置为”仅来宾：本地用户以来宾身份验证“
三是ＸＰ　ＨＯＭＥ版只能用简单文件共享。

在网络访问过程中，如果启用了简单文件共享模式，那么客户机被映射为服务器的guest帐户，如果没有配置简单文件共享，则会弹出用户名为guest的身份验证对话框（灰色的），这个对话框具备安慰性质，因为无论输入任何密码均无效！！

三、安全策略
必须满足如下三个策略：
一是本地策略－>安全选项--->"账户：使用空白密码的本地帐户只允许进行控制台登录”
二是本地策略－>用户权利指派---->“拒绝从网络访问这台计算机。。。”
三是本地策略－>用户权利指派---->“从网络访问此计算机”

四、权限检查。
这一部分，我就不细说了，这块主要是共享文件权限控制方面问题，在这里，我只好对网盟盟友说声对不起了，实在太简单了，所以就略了。

另外需要注意的是：
有时虽然我们都具备了上面条件，但是还是无法从网上邻居或者通过\\计算机名或\\ＩＰ来访问对方电脑，但是可以通过\\计算机名\共享资源名或\\IP\共享资源名来进行访问。这是什么原因呢？

解决方法如下：

一是看是否启用简单文件共享模式。
二是策略：“网络访问：不允许ＳＡＭ帐户和共享的匿名枚举”，默认为停用，若是启用的，则无法访问网上邻居的其它电脑资源，或者通过\\计算机名或\\ＩＰ访问对方电脑，只能通过\\IP\share（共享资源名）来进行访问。
三是策略：“网络安全：LAN Manger 身份验证级别”，若设为”仅发送NT1MV2 响应/拒绝LM&NTLM“，将会导致对98系统无法访问。

到此，我也说完了，手也打字打酸了，不知各位是否看明白没有，不知能否圆满地解决大家的问题。望大家多多支持！！