(常见) 问题:
- 如何在工作组计算机上访问网络共享?
通常有(常见的)答案:
- 应该在所有交互(访问)计算机上添加具有相同用户名和密码的(“相同”)本地帐户
所有 Windows 都没有常见的内置用户和组帐户吗?知名安全标识符?
这些内置帐户不能用于此目的吗?
在域上下文中编辑1(稍后添加):
假设我想共享工作组计算机的文件。
要么
(1)对于工作组计算机。
或者
(2)加入域计算机。
(1)和(2)之间有什么区别吗?
如果没有区别,那么最好避免将讨论/考虑转移到域计算机上。
关于安全性的编辑2(稍后添加):
工作组计算机总体上缺乏安全性。
添加或不添加账户。
我没有看到添加帐户对安全性带来任何变化。
那么,问题是:为什么要添加账户?
编辑3(进一步的问题),2010 年 8 月 4 日:
好吧,我实在没有空间发表评论。
你好,laurent-rpnet!
我不太明白“域中的所有机器只有一个域帐户”。
问题是关于在工作组计算机上共享文件并从工作组计算机(即未加入域的计算机,一旦加入工作组就不能成为域的一部分)访问这些文件。
1) 是否可以与域(或 LDAP 或 ADAM)帐户共享工作组(即未加入域)计算机中的文件?
2)是否可以从工作组(未加入域)计算机访问与域帐户权限共享的文件(再次使用域帐户)?
我之前在其他论坛问过这个问题,我认为这种可能性是负面的/不可能的
编辑4,viii/6/2010:
碰巧的是,我无法标记超过 1 个答案,而且我确实更关心自己的理解 + 实际便利性,而不是向世界说明什么是正确或错误的(答案和态度)。对于系统管理员来说,这应该很简单,可以访问资源(包括域管理),但我是开发人员,即 contaxt 是工作组(为了完全管理)+ 访问域(其中我没有管理权限)。
你好,laurent-rpnet!
我还理解了您对我的 Edit3 的回答 2),即通过在工作组计算机上创建与域用户的用户名+密码一致的用户,可以从工作组计算机到域帐户共享文件/文件夹。
正确的?
答案1
对评论 1 和 2 添加第二个答案:
1)是的,存在差异,并且差异就是讨论的重点。
如果您在工作组计算机上共享文件,则他们有权访问帐户或组。
如果您没有域,则帐户是计算机本地的,因此每个用户都需要在共享计算机上有一个帐户,即使您使用组,也只能在组中添加本地帐户。
如果您有一个域,则帐户和组对于域而言是全局的,因此您不需要在共享文件的本地计算机上使用帐户,只需为域中的所有计算机使用一个域帐户。不同之处在于,域是一个中央身份验证系统(一个服务器用于所有计算机上的所有用户),而工作组是一个本地身份验证系统(每台计算机都有自己的用户,这些用户可能不同)。当您想要访问工作组计算机时,您的计算机会发送其凭据(您使用的登录名/密码),并且它们必须与远程计算机上的现有凭据相同,您的连接才会被接受。在域中,它们始终相同,因为它们“由服务器检查”,而不是本地计算机。
2) 没有什么可以阻止您在所有计算机和所有用户上使用相同的登录名,但是您不能在没有帐户的情况下使用 Windows(或我所知道的任何现代操作系统)。当您安装它时,它已经有一个帐户(并且它是一个管理员帐户)。如果您只有一个用户并且没有密码,Windows 将不会要求输入用户/密码,而是会单独输入,但它会使用该帐户。
有了帐户,您就可以获得安全性,如果您使用它,例如将用户文件设为私密,使用受限帐户而不是 Windows 使用的管理员帐户(使用管理员,如果您在所有机器上都有相同的帐户,那么病毒或恶意用户可以访问您的整个计算机和网络),每个帐户都有自己的 Outlook 配置,而不是所有用户都在同一个收件箱中。
您还可以使用 Windows 帐户访问远程软件(例如数据库服务器),而无需用户登录。如果所有人都使用同一个帐户,那么所有人都对数据库拥有相同的权限。
最后但同样重要的一点是,防止访问者以管理员身份使用该机器。
这些是我在写作时想到的原因,但我相信还有很多。
对 OP 的第 3 条编辑的评论(空间不足... :))
“域中的所有机器只有一个域帐户”是对您的评论 1 的回答的一部分,该评论询问将文件夹共享给工作组和域机器之间是否存在差异,如果没有,我们可以将域排除在讨论之外。
现在,编辑 3:对于 1):从一开始的常见答案(一如既往)是的,如果您在工作组计算机上使用与 LDAP 帐户相同的登录名/密码创建一个帐户。我每天都从加入 Linux 服务器上的 openLDAP 的 Linux 机器上使用它来访问 XP Home 独立机器中共享的文件和打印机(这是唯一的方法,因为 XP Home 不会进入域)。
2):这种情况不可能发生,您无法在未加入域的计算机上使用域帐户。您可以做的是,再次在工作组计算机上创建一个帐户,使用与域帐户相同的登录名/密码,是的,如果您在计算机上“复制”的域帐户在正确的组中,您将使用域组权限访问域共享上的文件,即使您的计算机不在域中。几年前我遇到过这种情况,因为我有一台笔记本电脑,不想每次登录时都更改配置,所以我在笔记本电脑上使用与域帐户相同的登录名,并使用普通登录名(无域)连接到网络,它的工作方式与连接到域的桌面完全相同。
总的来说,我想说的是,常见的答案是完全正确的,如果你想建立一个“真正的”网络(例如与互联网连接共享等简单网络相反),那么只有 3 种可能性:
- 在工作组或独立机器上复制用户。在我看来,工作组几乎毫无用处,它们与普通的独立联网机器没有太大区别。它们很久以前就出现在 Windows 3.11 上,当时我也有同样的看法(并不是说 Windows 3.11 不好,它有其他优于 3.1 的地方,但这不是重点)
- 使用某种类型的域。
- 所有机器上的每个人都使用相同的密码进行管理员内置登录,这在“真实”网络中并不推荐
答案2
假设您使用同一个内置用户(例如“管理员”)在“工作组”中的所有计算机上使用同一个密码登录,您当然可以使用内置的“管理员”用户、“管理员”组和其他内置组透明地向“工作组”中的远程计算机进行身份验证。但是,如果您使用不同的密码,身份验证将不透明——用户访问远程计算机时会提示输入凭据。
仅使用内置用户和组的问题在于没有内置的“标准用户”帐户(“Guest” 也很特殊),并且使用“管理员”通常不是最佳选择。因此,您最终需要几乎立即创建非内置的其他用户帐户。
编辑:
当多位用户共享一台个人电脑时,在工作组电脑上使用多个用户帐户是个不错的选择,因为他们可以获得单独的用户配置文件。这与安全无关,但确实不错。
如果您要将用户帐户添加到属于“管理员”组成员的工作组 PC,则完全没有必要使用单独的用户帐户。
如果您没有在点对点基础上进行任何共享资源,那么在工作组 PC 上创建单独的用户帐户可能也是不必要的。
另一方面,如果您限制用户启动另一个操作系统的能力,物理拆卸计算机,并在工作组 PC 上为他们提供非管理员帐户,那么理论上,您可以为对等网络上托管的共享资源提供安全性。存储在工作组 PC 硬盘驱动器上的文件的 NTFS ACL 将适用,并且只要用户不能以某种方式破坏受信任的计算基础,您实际上就会拥有相当不错的对等安全性(尽管以繁琐的手动凭据同步问题为代价)。
答案3
这知名安全标识符不是用户而是组,您不能以组身份登录。正如 Evan Anderson 所说,所有 Windows 上唯一的内置用户是管理员和来宾。避免在所有机器上创建相同用户的唯一方法是使用管理员或构建域,但您需要一台 Windows 服务器(或一台 linux/samba/ldap 机器),并且您的其他 Windows 版本不能是家庭版(家庭版不连接到域)。