Windows中Guest与共享的关系

Submitted by Dot on Mon, 05/02/2016 - 13:38
  • 首先指出,对Guest账户的操作有两种:“启用/关闭” 和 “启用/禁用”。前者在控制面板/用户账户中,后者在计算机管理以及组策略中。两个“启用”会混淆,这其实是中文翻译的问题,英文版中分别是“Turn on/Turn off”和“Enabled/Disabled”。下面会用英文版中的概念。
  • 不要理会  控制面板/用户账户中的启用/关闭Guest账户(Turn on/Turn off)  ,这个选项只是决定Guest账户能否从本地登陆,与共享没有任何关系!当Turn on/Turn off时,本地策略中的“拒绝从本地登陆”列表中会自动删除/加入Guest账户;反之,在“拒绝从本地登陆”列表中加入/删除Guest账户,控制面板/用户账户中的Guest也会被自动Turn off/Turn on。显然,这俩是一个东西,互相影响,最终指向注册表中同一个值。
  • 真正会对共享造成影响的则是对Guest的“启用/禁用”(Enabled/Disabled)。Enabled时,共享可以通过Guest匿名访问;Disabled时,共享只能通过有效的账户密码访问(且不能是空密码)。那么Enabled/Disabled在哪里操作呢?三种途径:1.计算机管理/本地用户和组;2.本地策略/安全选项/账户:来宾账户状态;这俩同样是一个东西,互相影响,最终指向注册表中同一个值。另外还有个有趣的地方——高级共享设置/家庭或工作/密码共享保护,通常情况下,Guest Enabled时,密码保护共享会关闭;Disabled时,密码保护共享则会开启,你会发现这个选项和前两项也是关联的,修改三项中任一个,其他两个的值会随之变化 (不知是之前测试中疏忽还是版本差异原因,今天在Windows 7 SP1 Build 7601英文版中测试并不像之前认为的三项相互影响,而是像后面3中所说的 2016.10.8);3.高级共享设置/家庭或工作/密码共享保护,将其关闭会enable Guest,将其打开会disable Guest,此方法特别之处在于,反之则不行,即密码共享保护的开关会影响12中Guest的状态,但通过12修改Guest的状态,并不会影响密码共享保护的开关;不过,当通过1或2将Guest enable后,即使密码共享保护还处于打开状态,似乎仍然可以匿名访问共享(朋友说可以,未证实),看来此时的密码共享保护已经无效了……
  • 上面说的是“通常情况下”,那就是说密码共享保护还不能与前两项划等号。区别在哪里呢?有一个特殊情况,就是Guest被设置了密码,此时即使Guest是Enabled,密码共享保护也会自动开启。这也很好理解。关于密码保护共享,总结如下表:
    密码保护共享 开启 Guest禁用或者未禁用但设置了密码
    密码保护共享 关闭 Guest未禁用且未设置密码
  • 总之,如果要能匿名访问共享,只需要确定服务器上Guest未禁用且未设密码,然后在NTFS权限中加入Guest或者everyone就OK了。共享权限中默认就有everyone,但只有读取权限,如果需要修改的权限,要记住勾选。我通常是在共享权限中将everyone的设为完全控制,然后在NTFS权限中限制并作微调。
  • 最后再来说说Guest设密码。通常这看上去是一件没有意义的事情,的确,如果要用密码,显然是建立Users组账户更合适。但我这里要讨论的不是合理性,而是后面发生一件我觉得很神奇的事情。之所以说神奇,是因为我觉得很不合理,但又觉得不像是bug。

    当一些试验中需要设置密码时,我会用简短的dot,比如我的虚拟Windows 7上的管理员密码就是dot。后来为了测试上面说的密码保护共享,我将主Windows 7上的Guest密码也设为了dot。于是神奇的事情发生了,所有人都必须用Guest+dot的账户密码组合才能访问我主系统上的共享,惟独虚拟机上的Windows 7不用密码,直接就能访问,net use * /del,重启,依然畅通。纳闷了很久,最后才想起密码。于是让同事将自己的密码改为dot再访问,Windows 7,Windows 8都有,果然就可以直接访问了。
    结论就是,当共享服务器是Windows 7,Guest未禁用但设置了密码,通常客户端用Guest账户访问共享时必须输入正确的密码。但如果一台Windows客户端当前账户(账户名任意)的密码恰好与共享主机上的Guest密码相同,则可以直接访问,就像服务器上Guest密码为空一样。除Windows 7外的其他Windows版本做服务器的情况未测试,这里不讨论。由此可能延伸出的其他问题,比如,远程桌面会不会有类似的情况?等等,这些不在本文讨论范围,有空再测试。

  • Windows 7文件共享涉及三层权限:Share, Advanced Sharing和NTFS,三者互不影响,但叠加时仍遵循最小化及拒绝优先的原则。前两个在文件属性共享标签下,设置简便,但不够灵活,如果对权限有特殊要求,可以将这两项设置最大权限,然后再NTFS权限中微调。

Tags

Add new comment

Plain text

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.