【IT168 专家坐堂】打印用户的需求大致分为两种，第一种是个人soho用户，其需求相对简单，不过是安装驱动、使用而已。企业用户则相对麻烦，因为要设置网络环境。因为在企业中，不是一人一台打印机，通常一台打印机要面对多人的需求，因此也就常常带来一些安装和环境访问上的麻烦。笔者整理了关于打印工作组环境的访问难点答疑，希望对大家有所参考。

　　通常一个客户端要访问服务器端，要经过四道槛，它们是：

　　1、协议，端口，组件，服务;

　　2、用户身份验证;

　　3、安全策略授权;

　　4、权限检查。

　　一、协议，端口，组件，服务

　　协议和端口，组件及服务----工作在网络的底层，只有底层的网络工作环境正常，上层的用户验证，安全策略和权限检查才能顺利进行。

　　协议与端口：通常用到两种协议，TCP/IP　NETBEUI协议。要想访问，我们还必须启用文件和打印机共享服务，如果这一服务没有启用，网络访问是行不通的。而要实现这一访问有二条路可走，一是走TCP/IP，一是走NETBEUI。

　　如果走TCP/IP协议，在这里又有两条路，一种是通过传统的NETBT，走137、138、139端口;另一种是TCP/IP的SMB直接承载，走445端口。具体的为什么采用SMB直接承载，这是因为关闭137、138、139端口后，消除了NETBIOS名字解析而产生的广播。不过有一点，请大家注意：如果网络中存在98、ME，NT等旧操作系统或者网络中没有DNS服务器，则必须启用NETBT，即开启137、138、139端口，以确保计算机名字能够解析成功。

　　如果是走NETBEUI协议，则系统开销小，完全可以绕过windows防火墙而轻松实现网络访问及文件，打印机共享等，但是要想上网，则必须要用到TCP/IP协议，此协议无法与因特网互联，同时此协议还将增加网络通信负荷。

　　网络组件与服务----组件有两个：1、文件和打印机共享　　2、Microsoft网络客户端：用来访问局域网的共享资源。服务包括：Computer Browser、WorkStation、Server、Tcp/IP NetBIOS Helper四大服务，如果此二组件、四大服务没有启用，则无法实现局域网网络访问

　　二、用户身份验证;

　　在这里我想告诉网盟盟友，必须要遵循如下两条准则：

　　1、客户机总是优先用自己的登录帐户进行验证

　　2、服务器决定是否将客户的用户身份映射为guest帐户(必须开启guest帐户)

　　启用简单文件共享，它有如下特点：

　　一是所有网络用户都将识别为guest用户;

　　二是等效于将本地安全策略、安全选项“网络访问：本地帐户的共享和安全模式”选项设置为”仅来宾：本地用户以来宾身份验证“

　　三、XP版只能用简单文件共享。

　　在网络访问过程中，如果启用了简单文件共享模式，那么客户机被映射为服务器的guest帐户，如果没有配置简单文件共享，则会弹出用户名为guest的身份验证对话框(灰色的)，这个对话框具备安慰性质，因为无论输入任何密码均无效!!

　　三、安全策略

　　必须满足如下三个策略：

　　一是本地策略->安全选项--->"账户：使用空白密码的本地帐户只允许进行控制台登录”

　　二是本地策略->用户权利指派---->“拒绝从网络访问这台计算机。。。”

　　三是本地策略->用户权利指派---->“从网络访问此计算机”

　　四、权限检查。

　　这一部分，我就不细说了，这块主要是共享文件权限控制方面问题，在这里，我只好对网盟盟友说声对不起了，实在太简单了，所以就略了。

　　另外需要注意的是：

　　有时虽然我们都具备了上面条件，但是还是无法从网上邻居或者通过\\计算机名或\\IP来访问对方电脑，但是可以通过\\计算机名\共享资源名或\\IP\共享资源名来进行访问。这是什么原因呢?

　　解决方法如下：

　　一是看是否启用简单文件共享模式。

　　二是策略：“网络访问：不允许SAM帐户和共享的匿名枚举”，默认为停用，若是启用的，则无法访问网上邻居的其它电脑资源，或者通过\\计算机名或\\IP访问对方电脑，只能通过\\IP\share(共享资源名)来进行访问。

　　三是策略：“网络安全：LAN Manger 身份验证级别”，若设为”仅发送NT1MV2 响应/拒绝LM&NTLM“，将会导致系统无法访问。