系统权限和局域网共享与安全

说到Windows中的局域网共享，就提到了IPC(互联网进程连接)。IPC是NT以上的系统为进程间通信打开的命名管道。它可以用于远程管理计算机，并通过验证用户名和密码来查看计算机的共享资源。微软用它来实现局域网功能。如果关机，电脑会出现“无法访问网上邻居”的故障。
在Windows NT之后的系统中，IPC依赖于Server服务，一些习惯单机环境的用户可能会关闭该服务。因此，系统将无法提供与局域网相关的操作，用户将无法查看其他人的计算机或为自己发布任何共享。
要确认IPC和服务器服务是否正常，可以在命令提示符下输入命令net share。如果服务器服务没有启动，系统会提示“服务器服务没有启动”。能启动吗？(Y/N) [Y]:"，按enter启动服务器服务。如果启动了Server服务，系统会列出当前所有的共享资源，包括至少一个名为“IPC$”的共享，否则用户仍然无法正常使用共享资源。
除了服务器服务，还有两个服务会影响共享，分别是“计算机浏览器”和“TCP/IP NetBIOS Helper服务”。前者用于保存和交换局域网内计算机的NetBIOS名称和共享资源列表。当一个程序需要访问另一台计算机的共享资源时，它会从这个列表中查询目标计算机。一旦该服务被禁止，IPC将确定当前没有共享资源可供访问，因此用户自然无法访问其他计算机的共享资源。后者主要用于通过TCP/IP传输的NetBIOS协议(NetBT)和NetBIOS名称解析。NetBT协议为NetBIOS命令跨网段传输提供了载体。正因为如此，早期黑客教材中的“139端口远程入侵”才得以实现。因为NetBIOS协议是通过TCP封装，通过互联网传输给对方机器进行处理，而对方机器也是用同样的方式实现数据传输，否则黑客根本无法跨网段使用网络资源映射指令“net use”。对于局域网来说，NetBT是SMB协议所依赖的传输介质，也是非常重要的。
如果这两个服务异常终止，局域网中的共享可能无法正常工作。这时我们可以通过执行程序“services.msc”打开服务管理器，在里面找到“电脑浏览器”和“TCP/IP NetBIOS Helper Service”服务，点击“开始”。
熟悉Windows系统的用户或多或少都会接触到“组策略”(gpedit.msc)，它实际上提供了一种比手动修改注册表更直观的操作方法来设置系统的一些功能和用户权限。但是这里的设置错误也会影响局域网内共享资源的使用。
由于IPC本身是用于身份验证的，所以它对计算机帐户的配置特别敏感，组策略中有很多针对计算机帐户的设置，其中影响最大的是“计算机配置Windows配置-安全设置-本地策略-用户权限分配”中的“拒绝从网络访问此计算机”。在Windows 2000系统中，默认是没有限制的，但是自从XP出现以后，这部分默认多了两个账号，一个是用于远程协助(即简化终端服务)登录的3389用户名，一个是我们局域网共享的基础成员，guest！
很多使用XP系统的用户无法正常打开共享资源的访问权限。是这个项目的局限性，解决方法很简单，只要把“客人”账号从列表中去掉就行了。
除了与帐户相关的策略，还有几个与NetBIOS和IPC相关的组策略设置。它们是“对匿名连接的附加限制”(默认为“无”)，位于“计算机配置Windows配置-安全设置-本地策略-安全选项”中。对于XP以上的系统，还有“不允许匿名枚举SAM账户和共享”(默认为“禁用”)和“本地账户的共享和安全模式”(默认为“仅限来宾”)，其中“匿名连接附加限制”的设置可以直接杀死共享功能。当设置为“不允许枚举”时，其他计算机无法获取共享资源列表。如果设置为“无显式”
一些刚接触NTFS分区的用户，经常发现自己机器的共享和guest账户是打开的，而另一些用户无论如何访问都提示“权限不足”。即使将来宾帐户或管理员帐户添加到共享权限中也是无效的。为什么？归根结底，因为在NTFS中被屏蔽了，所以用户必须明确一个概念，就是如果你设置了共享目录的访问权限，比如添加或删除访问成员，那么对应的NTFS权限成员也要做相应的修改，即共享权限成员和NTFS权限成员必须是同一个或“Everyone”成员。XP/2003系统出于安全考虑，文件夹往往缺少Everyone权限，所以即使在你的共享权限中设置了Everyone或Guest，仍然会被NTFS权限屏蔽；如果NTFS权限成员中有共享权限成员，则访问权限在共享权限中匹配。例如，如果每个人在某个目录的共享权限中都有只读权限，那么即使在NTFS权限中设置了每个人的完全控制权限，通过共享通道访问的用户仍然拥有“只读”权限。但是，如果每个人都不在NTFS权限成员或共享权限成员中，则无法访问该目录。所以要想获得正常的访问权限，除了设置共享目录的权限外，在共享目录-属性-安全性上右键，添加Guest和Everyone权限并设置相应的访问规则(完全控制、可修改、可读等。).如果没有其他故障因素，你会发现共享访问启动正常。