8.6 实用经验与故障排除

8.6  实用经验与故障排除

1．问：在Windows Server 2003系统中进行权限及用户权利配置的最佳操作是什么？
答：在Windows Server 2003系统中进行权限及用户权利配置的最佳操作如下。
 
将权限指派给组而不是用户。由于直接维持用户账户效率不高，因此最好不要将权限直接指派给用户。

应在特定的特殊情况下使用拒绝权限。使用“拒绝”权限来排除拥有“允许”权限的组的子集。如果已经将完全控制授予用户或组，请使用“拒绝”来排除一个特殊的权限。
 
使用安全模板。应尽可能使用安全模板，而不是设置个别权限，这样可以提高安全配置效率。
 
如果可能，应避免更改文件系统对象（尤其是系统文件夹和根文件夹）的默认权限项。因为更改默认权限可导致意外访问问题或降低安全性。
 
永远也不要拒绝Everyone组访问对象。如果拒绝对于某个对象的Everyone组访问权限，那将包括管理员也不能访问了。较好的解决方法是在相应对象权限配置中删除Everyone组，只授予其他用户、组或计算机对于该对象的访问权限。
 
尽可能为树上的高层次对象指派权限，然后应用继承以通过树传播安全设置。你可以快速而且有效地对父对象的所有子对象或子树应用访问控制设置。通过这一操作，你可以以最少的工作获得最大的收益。建立的权限设置对于大多数用户、组和计算机来说应该是足够的。
 
特权有时会覆盖权限。特权和权限可能不一致，如果不一致，结果可想而知。所以在配置特权和权限时要注意，如果对象显式“允许”权限项，则继承的“拒绝”权限并不会阻止对该对象的访问，显式权限的优先级高于继承权限，即使继承的是“拒绝”权限。

2．问：一个用户同时隶属于两个不同权限的组，那他最终的权限是什么？
答：当用户同时隶属于多个组时，那他就同时具备了多个组的所有权限，也就是用户权限是所属组权限的累加。如果不同组对同一对象的权限有冲突，那用户具有最高权限。如用户Alice同时隶属于“Sales”和“Admin”两个组，而“Sales”组对“程序”文件夹的访问权限为“读取”，而“Admin”组对该文件的权限为“更改”权限，则Alice用户最终对“程序”文件夹的权限为“更改”。

3．问：我为Alice用户设置了对“程序”共享文件夹具有“完全控制”共享权限，同时又为Alice用户所属组“Sales”设置对“程序”文件夹的NTFS访问权限仅为“读取”，Alice用户对“程序”文件夹最终具有什么样的访问权限？
答：因为共享权限与NTFS访问权限也可混用，但它们与前面介绍的不同组权限混用不同，在这里如果为同一用户或同一文件夹设置了不同的共享权限和NTFS访问权限，则最终取最严格的权限，也就是“最小权限”。根据这一原则可知Alice最终对“程序”共享文件夹的访问权限仍为“读取”，而不能完全控制了。

4．问：我在Windows Server 2003服务器中对一个文件夹进行权限设置的时候发现，权限设置窗口中完全控制和修改等项的“允许”复选框是灰色的，不可选，而“拒绝”一栏则是正常的，请问这是为什么？如何来解决？
答：造成“允许”复选框不可选的原因是NTFS访问权限具有默认的权限继承功能。只需在该对话框中单击【高级】按钮，打开高级设置窗口（参见图8-11），将默认选择的“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选框去掉就可以恢复“允许”一栏的选择了。

5．问：在访问共享资源时经常出现“拒绝访问”故障，为什么？
答：客观地讲，出现这种故障的原因有多个方面，为了给读者提供一个全面分析的解决思路，把几种可能存在原因进行如下分析。

1）访问权限设置不当
Windows NT/2000/XP/2003系统支持NTFS文件系统，采用NTFS可以有效增强系统的安全性，但在NTFS文件格式磁盘分区上文件/文件夹的访问权限对用户访问权限设置不当时，也会导致用户无法正常访问本机共享资源，出现“权限不足”的提示信息。

2）账号和策略设置不当
在Windows工作组环境中，一般情况下，用户要使用Guest账号访问共享资源。但为了系统的安全，默认禁用了本系统的Guest账号。此外，在Windows 2000/XP/2003系统中，组策略也是默认不允许Guest账号从网络访问这台计算机的，这样就导致其他用户无法访问本机的共享资源，出现“拒绝访问”的提示信息。

3）网络防火墙设置不当
用户为了增强本机的安全性，防止非法入侵，安装了网络防火墙。但若对网络防火墙设置不当，同样会导致其他用户无法访问本机的共享资源，出现“拒绝访问”的提示信息，这是因为防火墙关闭了共享资源所需要的NetBIOS端口。
了解了共享资源不能成功互访的主要原因后，我们就可以对症下药，彻底解决访问中出现的问题。

4）启用Guest账号
现以Windows XP系统为例进行介绍。
在“控制面板”的“管理工具”窗口中用鼠标双击“计算机管理”选项，弹出如图8-26所示的“计算机管理”窗口。

  图8-26  “计算机管理”窗口

在“本地用户和组”中的“用户”选项中即可看到来宾账户Guest上有一个红色的“×”，表明当前这个账户已禁用。用鼠标双击这个账户，弹出如图8-27所示的对话框。取消“账户已停用”复选框的选择。单击【确定】按钮即可。此方法同样适用于Windows 2000/Server 2003系统。
还有一种开启Guest账户的方法，那就是在“控制面板”窗口中用鼠标双击“用户账户”选项，弹出如图8-28所示的窗口。然后单击Guest账户，在打开的如图8-29所示的窗口中单击【启用来宾账户】按钮即可开启来宾账户Guest。

图8-27  “常规”选项卡 

  图8-28  “挑选一项任务”界面

图8-29  “您想要启用来宾账户吗？”界面

以上2种方法任选其中1种即可，重新启动后会自动影响另外一处的Guest账户配置。如只在“用户账户”界面中开启了Guest账户，而没有在“计算机管理”窗口中开启（参见图8-26），但重新启动系统后“计算机管理”窗口中的Guest账户也呈开启状态了，反之亦然。

5）修改用户访问策略
虽然启用了本机的Guest账号，但用户还是不能访问本机提供的共享资源，这是因为组策略默认不允许Guest账号从网络访问本机。这时就需要编辑组策略了。

（1）选择【开始】→【运行】命令，打开“运行”窗口，在运行框中输入“gpedit.msc”命令，弹出如图8-30所示的“组策略”窗口。

（2）在“组策略”窗口中依次展开【本地计算机策略】→【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【用户权利指派】，在右边详细列表框中选择“拒绝从网络访问这台计算机”选项（参见图8-30）。

图8-30  “组策略”窗口

（3）用鼠标双击这个选项，弹出如图8-31所示的对话框。如果在对话框列表中见到有Guest账号，选择它，然后单击【删除】按钮将其删除。

（4）在图8-30所示的窗口右边详细列表框中选择“从网络访问此计算机”选项，用鼠标双击它，弹出如图8-32所示的对话框。在这里则要添加Guest账号。这样使用Guest账号无须密码就能从网络中访问该机的共享资源了。

图8-31  “拒绝从网络访问这台计算机属性”对话框   

图8-32  “从网络访问此计算机属性”对话框

此方法同样适用于Windows 2000/Server 2003系统。

6）正确配置网络防火墙
为了实现与网络中其他计算机资源共享，而且无须进行身份验证，则要在防火墙上开放本机共享资源所需的NetBIOS端口。如在天网防火墙中，就可以在“自定义IP规则”窗口中选择“允许局域网的机器使用我的共享资源”选项，最后单击【保存】按钮使设置生效，这样就开放了NetBIOS端口。

7）合理设置用户访问权限
网络中很多机器使用NTFS文件系统，它的NTFS文件/文件夹访问权限可以对用户的访问权限进行控制，用户要访问这些机器的共享资源，必须赋予相应的权限才行。如要使用Guest账号访问该机器的“程序”共享文件夹，则必须在如图8-9（或图8-10）所示的对话框中将Guest账号添加到用户列表中，然后指定Guest账户可以访问的权限，至少要赋予“读取”和“列出文件夹目录”权限。但是如果在用户列表中已添加了Everyone组，则不必另外添加Guest账号了，因为Everyone已包括了Guest账户。

此处配置适用于Windows 2000/Server 2003系统。

6．问：在“计算机管理”工具窗口中查看“共享文件夹”中的共享资源信息，出现如图8-33所示的错误提示，为什么？
答：出现这种故障有两种不同的可能：如果你要查看的是本地计算机的共享资源，而又用域用户账户进行网络登录，则在“计算机管理”工具窗口中查看共享资源时通常是拒绝的，即使你已是域系统管理员组Administrators成员（Administrator除外）。因为通常是你的域用户账户不是进行本地登录，所以没有权限。

而如果你查看的是网络中其他计算机上的资源，出现以上错误提示，则是因为你不是以Administrators组、Server Operators组或Power Users组的成员登录到指定计算机的。

所以通常会出现这种怪现象，就是你在“计算机管理”窗口中可以访问网络上其他计算机上的共享资源（包括共享文件夹、共享网络设备等所有共享资源），却不能访问本地共享资源，原因就是你所用的用户账户已是Administrators组、Server Operators组或Power Users组的成员，但却不是本地系统用户账户。

  图8-33  在“计算机管理”窗口中访问共享资源时的错误提示

【注意】 在“计算机管理”窗口中可查看共享资源，却不能打开。要打开共享资源可以在“网上邻居”或“文件服务器”窗口中进行。

7．问：我为一个文件设置了共享，并且把Everyone组设置了“完全控制”权限，可用户在打开时显示说无权访问，为什么？
答：出现这种问题多数是因为只对这个共享文件设置了共享权限，但没有考虑它的NTFS访问权限。在NTFS磁盘分区中的文件，系统默认是没有为Everyone组添加任何权限的。前面我们介绍了，共享权限和NTFS访问权限是交叉的，最终权限是取其交集，最小并且最严格的。虽然设置了“完全控制”的共享权限，但如果相应用户对该文件的NTFS访问权限仍不具有相应权限的话，同样是不能打开的。当然这只是针对对等网而言，如果是局域网络，只需为相应用户添加相应的NTFS访问权限即可。