5步設(shè)置Windows匿名共享

Windows共享我們真的需要嗎

Windows共享是微軟Windows操作系統(tǒng)下的一種文件共享技術(shù)，其本質(zhì)是SMB（Server Message Block）通信協(xié)議的具體應(yīng)用。通過在一臺(tái)主機(jī)上配置SMB共享服務(wù)，在同一局域網(wǎng)上的其他主機(jī)就可以使用SMB協(xié)議訪問共享的內(nèi)容。

SMB（Server Message Block）通信協(xié)議是微軟（Microsoft） 和 英 特 爾(Intel)在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB是在會(huì)話層（session layer）和表示層（presentation layer）以及小部分應(yīng)用層（application layer）的協(xié)議。

SMB使用了NetBIOS的應(yīng)用程序接口 （Application Program Interface，簡(jiǎn) 稱API）。另外，它是一個(gè)開放性的協(xié)議，允許了協(xié)議擴(kuò)展——使得它變得更大而且復(fù)雜；大約有65個(gè)最上層的作業(yè)，而每個(gè)作業(yè)都超過120個(gè)函數(shù)，甚至Windows NT也沒有全部支持到。最近，微軟又把SMB改名為CIFS（Common Internet File System），并且加入了許多新的特色。

雖然Windows共享從Windows誕生時(shí)就伴隨著Windows用戶，但是它的使用卻一直被很多人所詬病，主要是的原因是在使用上“不夠穩(wěn)定”，經(jīng)常出現(xiàn)采用相同的配置方式，家里的電腦可以工作，辦公室的卻不行；以前配置好能夠正常使用的共享，突然不能夠工作了……

盡管Windows共享存在以上的各類問題，但是我們?nèi)匀粺o法離開它。一是日常辦公環(huán)境中，打印機(jī)共享就是基于SMB協(xié)議的，二是SMB協(xié)議出現(xiàn)的時(shí)間比較早，基本上在所有的操作系統(tǒng)和標(biāo)準(zhǔn)化的應(yīng)用軟件都得到了較好的支持，因此適用范圍較廣，在特定的環(huán)境下使用起來比其他的解決方案更簡(jiǎn)單。例如，在MacOS和Linux操作系統(tǒng)下訪問Windows的文件數(shù)據(jù)，采用Windows共享可以較好地和本地文件系統(tǒng)進(jìn)行融合，而采用類似FTP等應(yīng)用層協(xié)議的解決方案，就無法達(dá)到相類似的效果。三是微軟近年來對(duì)文件共享等技術(shù)的探索和發(fā)展是以SMB為基礎(chǔ)的，例如，目前比較流行的CIFS技術(shù)等，通過擴(kuò)展原有的技術(shù)，增加全新的功能來滿足新一代操作系統(tǒng)的需求。

綜合以上的優(yōu)缺點(diǎn)，我們可以得到的結(jié)論是，SMB協(xié)議下的Windows共享還將長(zhǎng)期伴隨著Windows的發(fā)展而不斷發(fā)展，因此，掌握Windows環(huán)境下的文件共享技術(shù)，能夠讓我們更好地使用Windows，發(fā)揮操作系統(tǒng)的最大功能。

設(shè)置Windows匿名共享

Windows文件共享在實(shí)際的使用過程中，主要需要從服務(wù)端和客戶端兩個(gè)方面進(jìn)行配置進(jìn)行考慮。根據(jù)筆者多年的使用經(jīng)驗(yàn)，一般Windows共享主要出現(xiàn)的問題在于服務(wù)端的配置，也就是共享源主機(jī)的設(shè)置問題。下面，筆者分別從服務(wù)端和客戶端角度進(jìn)行說明其基本的設(shè)置方法。

1.Windows共享服務(wù)端配置

Windows環(huán)境的文件共享是最常見的應(yīng)用場(chǎng)景，正確配置的文件共享可以較大地提高工作效率。Windows共享配置主要包括以下關(guān)鍵步驟：

（1）設(shè)置共享文件夾。

（2）設(shè)置共享文件夾用戶訪問權(quán)限。

（3）配置Windows防火墻。

（4）檢查Windows用戶權(quán)利分配。

圖1 共享權(quán)限設(shè)置

圖2 防火墻配置

圖3 本地用戶權(quán)限分配

（5）啟用來賓賬戶。

步驟（1）在 Windows下設(shè)置共享文件夾操作相對(duì)比較簡(jiǎn)單，本文不在重復(fù)介紹，如果不清楚可以參考微軟官方參考https://technet.microsoft.com/zh-cn/library/cc770880(v=ws.11).aspx。這里需要強(qiáng)調(diào)的是作為網(wǎng)絡(luò)維護(hù)管理人員，常常需要采用批處理或者命令行的方式進(jìn)行日常的維護(hù)操作，而配置Windows文件共享可以使用以下簡(jiǎn)單的命令行實(shí)現(xiàn)。例如，若要共享驅(qū)動(dòng)器C上路徑UsersMyname中名為myshare的文件夾，可以在具有管理員權(quán)限的命令行終端執(zhí)行一下命令實(shí)現(xiàn)：

步驟（2）主要是為了設(shè)置用戶的訪問權(quán)限。如圖1所示，通過設(shè)置不同的用戶權(quán)限實(shí)現(xiàn)文件共享的訪問控制。

注意：如果需要匿名共享，不輸入密碼就能訪問共享文件，那么必須添加Guest用戶并設(shè)置相關(guān)的訪問權(quán)限。如果需要讓MacOS匿名訪問共享目錄，還需要添加Everyone用戶的訪問權(quán)限，否則將會(huì)報(bào)告沒有權(quán)限的錯(cuò)誤。

步驟（3）主要是為了防止由于操作系統(tǒng)自帶的防火墻屏蔽了共享服務(wù)。在如圖2所示的界面中，需要設(shè)置防火墻的入棧規(guī)則，運(yùn)行445端口和139端口的訪問，如果能夠開放137、138端口更好。為了保證安全性，可以設(shè)置遠(yuǎn)程地址限制為“本地子網(wǎng)”。

步驟（4）主要是由于微軟為了提高Windows系統(tǒng)默認(rèn)的安全基本，默認(rèn)關(guān)閉了Guest用戶以及禁止了相關(guān)的網(wǎng)絡(luò)訪問權(quán)限，造成匿名訪問的各種故障，因此需要打開策略管理器進(jìn)行相關(guān)權(quán)利檢查。

在Windows運(yùn)行窗口輸入“gpedit.msc”可以快速打開策略管理器，如圖3所示，需要將Guest用戶從“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”項(xiàng)目中移除，否則匿名用戶將無法打開共享文件夾。另外，需要在圖3左側(cè)的“安全選項(xiàng)”欄目中將“網(wǎng)絡(luò)訪問：將Everyone權(quán)限應(yīng)用于匿名用戶”項(xiàng)目啟用，默認(rèn)是禁用的。最后，還需要檢查“網(wǎng)絡(luò)訪問：本地賬戶的共享和安全模型”項(xiàng)目設(shè)置是否是“僅來賓”，使用“僅來賓”模型時(shí)，所有可以通過網(wǎng)絡(luò)訪問計(jì)算機(jī)的用戶（包括匿名Internet用戶）都可以訪問共享資源。

圖4 本地用戶配置

圖5 Documents App訪問SMB

圖6 VLC App訪問SMB共享

步驟（5）開啟 Windows Guest賬戶，這個(gè)步驟可以在Windows的用戶管理界面，可以在Windows運(yùn)行窗口輸入“l(fā)usrmgr.msc”打開如圖4界面，將Guest用戶啟用，默認(rèn)情況下是禁用的。

2.客戶端連接

通常情況下默認(rèn)的Windows主機(jī)可以通過共享地址的方式使用資源管理直接訪問共享資源。例如在資源管理器的地址欄中輸入“\Golden網(wǎng)絡(luò)共享”可以直接訪問主機(jī)Golden上的網(wǎng)絡(luò)共享文件夾，或者將Golden換成對(duì)應(yīng)主機(jī)IP地址也能實(shí)現(xiàn)對(duì)共享資源的訪問。

此外，除了PC可以訪問共享資源外，主流的手機(jī)等移動(dòng)終端的很多應(yīng)用都具備了Windows共享的訪問能力，如圖5是在iOS系統(tǒng)上使用文件管理工具Documents訪問SMB文件共享的設(shè)置和訪問截圖；如圖6是在iOS系統(tǒng)下的VLC訪問SMB共享資源的設(shè)置和截圖界面。此類App通過配置SMB共享的方式，可以非常方便地和PC進(jìn)行數(shù)據(jù)交換。

經(jīng)驗(yàn)總結(jié)

通過以上的步驟，可以比較方便地在Windows 7/8/10/2008/2012等操作系統(tǒng)上設(shè)置Windows文件匿名共享。在現(xiàn)實(shí)環(huán)境中，共享的安全性和易用性是一對(duì)矛盾，本文中配置的匿名共享訪問，雖然無需密碼訪問能給網(wǎng)絡(luò)訪問者提供很大的便捷性，但是由于網(wǎng)絡(luò)資源暴露在網(wǎng)絡(luò)中，所以此類配置應(yīng)該在相對(duì)安全的內(nèi)部局域網(wǎng)中設(shè)置，在具有多個(gè)網(wǎng)段的復(fù)雜局域網(wǎng)中，建議對(duì)遠(yuǎn)程訪問主機(jī)段進(jìn)行限制。

在實(shí)際的配置中，除了文中提到的幾個(gè)關(guān)鍵步驟的配置外，能夠配置好Windows文件共享還和主機(jī)上安裝的操作系統(tǒng)版本和安全軟件配置密切相關(guān)。一般經(jīng)過深度優(yōu)化過的或者是精簡(jiǎn)過的操作系統(tǒng)安裝環(huán)境中，Windows共享配置會(huì)遇到很多未知的故障，這主要和缺失組件等問題有關(guān)，建議不要使用此類操作系統(tǒng)發(fā)行版安裝。另外，很多安全防護(hù)軟件都有系統(tǒng)優(yōu)化功能，這些優(yōu)化軟件功能通常會(huì)通過修改注冊(cè)表，關(guān)閉Windows服務(wù)的方式對(duì)系統(tǒng)進(jìn)行修改，雖然可以關(guān)閉不常見的一些功能換取暫時(shí)的系統(tǒng)性能，但是這往往也會(huì)造成Windows共享等配置的穩(wěn)定性，建議配置Windows共享等服務(wù)的主機(jī)慎重使用此類軟件。