Windows 10 专业工作组设置问题

Windows 10 专业工作组设置问题

我很快就要着手一项任务,升级一家公司总部的 IT 基础设施。我曾短暂考虑过聘请一名 IT 管理员来做这部分工作,但在评估了他们现有的资源后,我倾向于认为这可能有点过头了。话虽如此,我也不知道自己到底在做什么,我正在努力学习。他们目前有 6 台工作站计算机,全部运行 Windows 7(其中一台作为文件共享服务器运行,还有其他一些功能)。

在准备阶段,我在家里的一台备用电脑上安装了 Windows 10 专业版,并尝试使用我所知道的任何(可能已过时的)最佳实践在这里实施相同类型的设置。但我已经遇到了问题。

例如,我无法创建名为“administrator”的用户。我一直以为您需要一个管理员帐户来处理所有管理事务,以及一个普通用户帐户来处理日常事务。但我收到一条错误消息,提示我无法创建该帐户。我知道这是可以做到的,因为我工作场所的机器有一个管理员帐户,但这可能与域有关,而我没有域。

我认为,只要了解如何从服务器计算机设置和管理具有文件共享功能的“工作组”,就可以管理所有这些,但我创建管理员的第一个基本任务已经出错了。事实上,我不得不在每台计算机上打开 SMBv1,才能让计算机显示在导航器中的“工作组”中。

有人可以向我指出一个好的、当前的最佳实践资源,我可以遵循它来设置具有一些基本功能(如文件共享等)的工作组吗?

答案1

这里不是“最佳实践资源”的地方;而是解决特定问题的论坛。(理想情况下,每个主题一个问题。)

例如,我无法创建名为“管理员”的用户。

它已经存在;看看lusrmgr.msc你是否想解锁并使用它。内置帐户有些特殊,例如它绕过 UAC,并且登录屏幕始终将其识别为本地(非域)帐户。

对于本地使用,UAC 在某种程度上缓解了这个问题——即使你以管理员身份登录,你实际上也无法获得管理员访问权限,除非你通过提升提示(“以管理员身份运行”)。不幸的是,网络特权是不存在的;如果你以域管理员身份登录,则没有任何提示或阻止措施可以阻止恶意软件以你的身份执行 AD 管理。因此,这种做法仍然有意义。

我认为,只需了解如何设置和管理“工作组”即可管理所有这些

工作组实际上根本不影响帐户;用户继续使用本地帐户,并使用该服务器上的帐户登录服务器。需要明确的是 - 在 Windows 中,“工作组”不是您单独启用的,也不会给您带来任何新功能。它只是独立(非域)PC 的默认模式。

(不要与“工作组名称”混淆,这是一个 NetBIOS 浏览参数,它告诉它显示/发现哪些计算机以及忽略哪些计算机。)

你可能会想(Active Directory),它集中身份验证并提供中央管理功能(通过组策略等)。

或者你可能会混淆工作组和家庭群组,这曾经是 Windows 7-8.1 中一个真正的面向工作组的功能,它会自动为加入家庭组的所有计算机上的整个 LAN 配置一个共享帐户。(顾名思义,家庭组适用于所有机器都受信任的家庭使用。家庭组在 Windows 10.1803 中被删除。)

事实上,我必须在每台机器上打开 SMBv1,才能让计算机显示在导航器中的“工作组”中。

这实际上是最后的从技术角度来看,这是最难处理的事情——它涉及最复杂的协议,并且与实际的文件服务器连接距离最远。(为了清楚起见,请注意,在 Windows 功能中启用“SMBv1”实际上会启用协议 – 第二个是整个 NetBIOS 套件,这就是为您提供这些功能的原因。)

  1. 实际上访问另一台计算机的文件是最简单的部分,您只需要常规 SMBv2/3 和该计算机的 IP 地址。\\192.168.x.y在导航器中打开即可。

  2. 访问其他计算机按名字需要额外的协议,但技术上仍然比较简单。它可以通过路由器上的 DNS 或 WinVista+ 上的 LLMNR 来处理,或者通过 Win10.1803+ 中的 mDNS,或者如果您启用了“SMBv1”功能,则最终通过 NetBIOS 的 NBNS。

    这可让您\\computername在导航器中使用。但最终,它所做的只是将名称转换为 IP 地址,因此您必须先让 #1 工作

  3. 最后,发现其他计算机需要更复杂的协议,甚至需要网络支持的功能。Windows 有两种协议可以(同时)用于此目的:SMBv2/3 时代的 WS-Discovery 和 SMBv1 时代的 NetBIOS 浏览。

    NetBIOS 浏览是为 20 世纪 90 年代的 LAN 设计的,尽管它特别努力地降低脆弱性,但在现代 LAN 上,它往往会取得相反的结果。此外,要启用 NetBIOS,您还必须启用 SMBv1 - 而 SMBv1 甚至被 Microsoft 自己视为主要攻击媒介。因此,您应该首先尝试让 WS-Discovery 正常工作没有已启用 SMBv1/NetBIOS。

    为此,请再次卸载 SMBv1 客户端和服务器,然后通过 启用两个“功能发现”服务services.msc。请参阅此 Microsoft 知识库文章了解更多信息(向下滚动到“Explorer 网络浏览”)。

    (注意:WS-Discovery 和前面提到的 LLMNR 可能需要在系统上启用 IPv6。如果您要禁用 IPv6...请不要禁用 IPv6。)

在“文件服务器”环境中,您实际上无需担心发现问题 - 人们不会随机连接到彼此的 PC,他们只会连接到您指定服务器上的特定共享。您只需为这些创建桌面快捷方式或映射网络驱动器即可。

相关内容