精解局域網訪問及共享（三）

原創作品，允許轉載，轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/155109

   上一節中的2種情況都是默認的簡單共享，下面我們著重分析一下高級共享方式下的各種訪問情況。畢竟這種方式用的很普遍，而且在權限控制上也很靈活。

說明：

1、分析任何一種情況前均默認為全新環境，但防火墻中的【文件和打印共享】已經開啟。

2、下述環境中已開啟高級共享。

依然是XP1訪問XP2，此時在XP2上開啟高級共享功能（步驟省略），但未對任何文件夾設置共享。

然后使用\\192.168.1.2的方式訪問XP2，此時出現如下提示：

可以看到此時訪問失敗。請注意系統的提示：【登錄失?。河脩魩粝拗啤?。其實很多時候Windows的提示也是解決問題的入口，這里說“登錄失敗”，意思是已經連接到了XP2，但由于我們當前的用戶的某些問題而導致登錄的時候出現問題，具體原因后面已經給出，即“用戶帳戶限制”。而且在后面又給出了三種可能的原因。

我們現在就對這三種可能的原因一一進行分析：

第一種可能：【不允許空密碼】

      在XP2主機中可能存在一項設置，也就是在訪問XP1時候，如果通過某一用戶并以空密碼進行訪問時，就會遭到拒絕。

       那我們依照這個思路想下去，系統中可以做這樣設置的地方，有注冊表、組策略盲目地搜索注冊表顯然不可取，而且效率也很低。通常我們會想到組策略，因為這個相對容易一些。根據提示，應該是在用戶權利設置部分或者網絡訪問安全部分。但前者多數是限制的是本地用戶的策略，所以集中在后者。打開組策略，定位到【計算機配置】/【安全設置】/【本地策略】/【安全選項】中，因為錯誤提示中有出現“空密碼”三個字，我們就以此為關鍵字，在這個【安全選擇】中查找相應設置，很快，在最底下【帳戶】部分看到下面這項：

策略描述中含有【空密碼】三個字，這條策略的意思是，當使用空密碼的本地帳戶登錄時，默認只允許進行控制臺登錄。反之呢？如果這里設置為【已停用】，也就是即使訪問帳戶的密碼為空，也一樣可以登陸。所以，我們修改這條策略的設置，

然后再測試一下

OK，可以順利訪問。

我們再想一下，如果現在給XP2的賬戶，比如administrator設置一個密碼，并將之前的策略還原，是否可以訪問呢？ 原理上應該是可以的。我們來實踐一下：

首先為XP2主機的administrator帳戶設置一個密碼（步驟省略），然后以相同的方式訪問XP2，

此時出現一個對話框，讓我們輸入用戶名和密碼。

這里我們輸入administrator 和密碼

然后回車

可以看到，可以順利訪問。可見，為訪問帳戶設置一個密碼也是可行的。

同時，查看一下當前數據包的情況：

可以看到，盡管我們只是輸入administrator，但實際上系統會自動轉換為XP2BIOS\administrator這個帳戶進行驗證。

那如果我隨便輸入一個賬戶呢

然后直接回車

經過幾秒鐘的嘗試，系統很快彈出一個窗口，并自動為這個賬戶添加了XP2BIOS

此時查看一下數據包的情況：

至此為止，第一種情況分析完畢。

     總結：當開啟高級共享時，如果想在訪問的時候不輸密碼，那么就需要修改那條策略；如果想對訪問用戶進行驗證，那么請首先設定一個帳戶和密碼（同時也可以在一個共享的文件夾中設定這個用戶的權限），并將這個用戶和密碼告訴即可。

第二種可能：【登錄時間限制】

      這個怎么理解？登錄還有時間限制嗎？默認情況下肯定是沒有時間限制的。但這里我們可以做一下測試。

      現在，我在XP2新建一個用戶john，并設置好密碼。然后用管理員登陸到XP2

在命令行窗口輸入：net user  john /time:th,14:00-15:00 ， 這條命令的含義就是說

只允許john用戶在今天，也就是星期二（用th表示）的下午14點至15點登陸，其他時間登錄均會收到限制。

設置完時間后，使用john帳戶進行訪問

回車

之后彈出這樣的錯誤信息，指明“此時不允許用戶登陸網絡”，從字面上就可以看得出訪問時間有問題。

再來看一下數據包的情況：

從上圖可以看到，john訪問時出現錯誤提示STATUS_INVALID_LOGON_HOURS。

關于設置訪問時間的命令，還可以有別的寫法。

如 net user  john /time:th,14-15 或 net user  john /time:th,14pm-15pm 等等。如果想解除時間限制，可以使用這條命令 net user  john /time:all  即可。如下圖：

至此為止，第一種情況分析完畢。

     總結：當開啟高級共享時，如果確認用戶和密碼沒有問題，在訪問網絡共享時出現這樣的提示，請留意該用戶的訪問時間是否被限制。

第三種可能：【強制的策略限制】

       這種情況似乎很不好分析，因為說的不是很具體，有很多措施可以認為是強制策略。 這里我列舉三種情況進行簡要分析。

1、訪問用戶被禁用。

比如此時john被管理員禁用，此時當使用該用戶訪問共享時，會出現以下圖提示：

當前數據包情況：

從上圖可以看到，john訪問時出現錯誤提示STATUS_ACCOUNT_DISABLED。

2、打開組策略，并在【拒絕從網絡訪問這臺計算機】這項中添加john

此時當使用該用戶訪問共享時，會出現以下圖提示：

當前數據包情況：

3、打開組策略，并在【從網絡訪問這臺計算機】這項中將everyone和users刪除。

也會出現和2種一摸一樣的情況。

當前數據包情況：

至此為止，第三種情況分析完畢。  

     總結：當開啟高級共享時，如果確認用戶和密碼沒有問題，同時也不存在時間限制，仍然無法訪問時，可以檢查是否符合這三種情況，可能還有其他的情況這里沒有考慮到，如果有，不吝賜教。

     本文簡要的分析了一下局域網內共享和訪問時可能碰到的情況，應該還有很多情況沒考慮到，這些分析過程可以作為處理相關問題的一個參考，希望能對您有一定的幫助。  謝謝 ！

轉自：http://jeffyyko.blog.51cto.com/28563/155109