打印 频道

专家坐堂:工作组环境网络访问疑难解答

  【IT168 专家坐堂】打印用户的需求大致分为两种,第一种是个人soho用户,其需求相对简单,不过是安装驱动、使用而已。企业用户则相对麻烦,因为要设置网络环境。因为在企业中,不是一人一台打印机,通常一台打印机要面对多人的需求,因此也就常常带来一些安装和环境访问上的麻烦。笔者整理了关于打印工作组环境的访问难点答疑,希望对大家有所参考。

  通常一个客户端要访问服务器端,要经过四道槛,它们是:

  1、协议,端口,组件,服务;

  2、用户身份验证;

  3、安全策略授权;

  4、权限检查。

  一、协议,端口,组件,服务

  协议和端口,组件及服务----工作在网络的底层,只有底层的网络工作环境正常,上层的用户验证,安全策略和权限检查才能顺利进行。

  协议与端口:通常用到两种协议,TCP/IP NETBEUI协议。要想访问,我们还必须启用文件和打印机共享服务,如果这一服务没有启用,网络访问是行不通的。而要实现这一访问有二条路可走,一是走TCP/IP,一是走NETBEUI。

  如果走TCP/IP协议,在这里又有两条路,一种是通过传统的NETBT,走137、138、139端口;另一种是TCP/IP的SMB直接承载,走445端口。具体的为什么采用SMB直接承载,这是因为关闭137、138、139端口后,消除了NETBIOS名字解析而产生的广播。不过有一点,请大家注意:如果网络中存在98、ME,NT等旧操作系统或者网络中没有DNS服务器,则必须启用NETBT,即开启137、138、139端口,以确保计算机名字能够解析成功。

  如果是走NETBEUI协议,则系统开销小,完全可以绕过windows防火墙而轻松实现网络访问及文件,打印机共享等,但是要想上网,则必须要用到TCP/IP协议,此协议无法与因特网互联,同时此协议还将增加网络通信负荷。

  网络组件与服务----组件有两个:1、文件和打印机共享  2、Microsoft网络客户端:用来访问局域网的共享资源。服务包括:Computer Browser、WorkStation、Server、Tcp/IP NetBIOS Helper四大服务,如果此二组件、四大服务没有启用,则无法实现局域网网络访问

  二、用户身份验证;

  在这里我想告诉网盟盟友,必须要遵循如下两条准则:

  1、客户机总是优先用自己的登录帐户进行验证

  2、服务器决定是否将客户的用户身份映射为guest帐户(必须开启guest帐户)

  启用简单文件共享,它有如下特点:

  一是所有网络用户都将识别为guest用户;

  二是等效于将本地安全策略、安全选项“网络访问:本地帐户的共享和安全模式”选项设置为”仅来宾:本地用户以来宾身份验证“

  三、XP版只能用简单文件共享。

  在网络访问过程中,如果启用了简单文件共享模式,那么客户机被映射为服务器的guest帐户,如果没有配置简单文件共享,则会弹出用户名为guest的身份验证对话框(灰色的),这个对话框具备安慰性质,因为无论输入任何密码均无效!!

  三、安全策略

  必须满足如下三个策略:

  一是本地策略->安全选项--->"账户:使用空白密码的本地帐户只允许进行控制台登录”

  二是本地策略->用户权利指派---->“拒绝从网络访问这台计算机。。。”

  三是本地策略->用户权利指派---->“从网络访问此计算机”

  四、权限检查。

  这一部分,我就不细说了,这块主要是共享文件权限控制方面问题,在这里,我只好对网盟盟友说声对不起了,实在太简单了,所以就略了。

  另外需要注意的是:

  有时虽然我们都具备了上面条件,但是还是无法从网上邻居或者通过\\计算机名或\\IP来访问对方电脑,但是可以通过\\计算机名\共享资源名或\\IP\共享资源名来进行访问。这是什么原因呢?

  解决方法如下:

  一是看是否启用简单文件共享模式。

  二是策略:“网络访问:不允许SAM帐户和共享的匿名枚举”,默认为停用,若是启用的,则无法访问网上邻居的其它电脑资源,或者通过\\计算机名或\\IP访问对方电脑,只能通过\\IP\share(共享资源名)来进行访问。

  三是策略:“网络安全:LAN Manger 身份验证级别”,若设为”仅发送NT1MV2 响应/拒绝LM&NTLM“,将会导致系统无法访问。

0
相关文章