Windows 10 专业工作组设置问题

这里不是“最佳实践资源”的地方；而是解决特定问题的论坛。（理想情况下，每个主题一个问题。）

例如，我无法创建名为“管理员”的用户。

它已经存在；看看lusrmgr.msc你是否想解锁并使用它。内置帐户有些特殊，例如它绕过 UAC，并且登录屏幕始终将其识别为本地（非域）帐户。

对于本地使用，UAC 在某种程度上缓解了这个问题——即使你以管理员身份登录，你实际上也无法获得管理员访问权限，除非你通过提升提示（“以管理员身份运行”）。不幸的是，网络特权是不存在的；如果你以域管理员身份登录，则没有任何提示或阻止措施可以阻止恶意软件以你的身份执行 AD 管理。因此，这种做法仍然有意义。

我认为，只需了解如何设置和管理“工作组”即可管理所有这些

工作组实际上根本不影响帐户；用户继续使用本地帐户，并使用该服务器上的帐户登录服务器。需要明确的是 - 在 Windows 中，“工作组”不是您单独启用的，也不会给您带来任何新功能。它只是独立（非域）PC 的默认模式。

（不要与“工作组名称”混淆，这是一个 NetBIOS 浏览参数，它告诉它显示/发现哪些计算机以及忽略哪些计算机。）

你可能会想域（Active Directory），它集中身份验证并提供中央管理功能（通过组策略等）。

或者你可能会混淆工作组和家庭群组，这曾经是 Windows 7-8.1 中一个真正的面向工作组的功能，它会自动为加入家庭组的所有计算机上的整个 LAN 配置一个共享帐户。（顾名思义，家庭组适用于所有机器都受信任的家庭使用。家庭组在 Windows 10.1803 中被删除。）

事实上，我必须在每台机器上打开 SMBv1，才能让计算机显示在导航器中的“工作组”中。

这实际上是最后的从技术角度来看，这是最难处理的事情——它涉及最复杂的协议，并且与实际的文件服务器连接距离最远。（为了清楚起见，请注意，在 Windows 功能中启用“SMBv1”实际上会启用二协议 – 第二个是整个 NetBIOS 套件，这就是为您提供这些功能的原因。）

1. 实际上访问另一台计算机的文件是最简单的部分，您只需要常规 SMBv2/3 和该计算机的 IP 地址。\\192.168.x.y在导航器中打开即可。

2. 访问其他计算机按名字需要额外的协议，但技术上仍然比较简单。它可以通过路由器上的 DNS 或 WinVista+ 上的 LLMNR 来处理，或者通过 Win10.1803+ 中的 mDNS，或者如果您启用了“SMBv1”功能，则最终通过 NetBIOS 的 NBNS。

   这可让您\\computername在导航器中使用。但最终，它所做的只是将名称转换为 IP 地址，因此您必须先让 #1 工作

3. 最后，发现其他计算机需要更复杂的协议，甚至需要网络支持的功能。Windows 有两种协议可以（同时）用于此目的：SMBv2/3 时代的 WS-Discovery 和 SMBv1 时代的 NetBIOS 浏览。

   NetBIOS 浏览是为 20 世纪 90 年代的 LAN 设计的，尽管它特别努力地降低脆弱性，但在现代 LAN 上，它往往会取得相反的结果。此外，要启用 NetBIOS，您还必须启用 SMBv1 - 而 SMBv1 甚至被 Microsoft 自己视为主要攻击媒介。因此，您应该首先尝试让 WS-Discovery 正常工作没有已启用 SMBv1/NetBIOS。

   为此，请再次卸载 SMBv1 客户端和服务器，然后通过 启用两个“功能发现”服务services.msc。请参阅此 Microsoft 知识库文章了解更多信息（向下滚动到“Explorer 网络浏览”）。

   （注意：WS-Discovery 和前面提到的 LLMNR 可能需要在系统上启用 IPv6。如果您要禁用 IPv6...请不要禁用 IPv6。）

在“文件服务器”环境中，您实际上无需担心发现问题 - 人们不会随机连接到彼此的 PC，他们只会连接到您指定服务器上的特定共享。您只需为这些创建桌面快捷方式或映射网络驱动器即可。