求教！xp与2000同工作组主机间互访问题

ltadpole

一台xp pro 版的主机，一台2000 server的主机，都是同一个工作组下的成员。

xp主机访问2000设置好的共享资源一切正常，提示登陆时键入用户名及密码可以很好的登陆。无任何问题。（证明网络线路绝对没有问题，协议也没有任何问题）

但用2000的主机访问xp主机时，提示输入用户名和密码时一直有错误，死活登陆不上。（实际上这些登陆名和密码都是无任何问题的！）

xp主机设置了internet链接共享，sygate 的服务器软件，没有用xp自带的链接共享设置。

xp当internet共享服务器时，2000主机可以很好的利用链接共享来访问internet。但2000主机就是访问不到同组的xp主机设置的共享资源，其实上可以说就是没法子登陆xp主机！！

请帮忙分析解答一下，先谢了！！！

附图，其实也没有什么特别的。

厨师

尝试一下：关闭XP默认的防火墙。

ltadpole

最初由 厨师 发布
[B]尝试一下：关闭XP默认的防火墙。 [/B]

网卡绑定的防火墙我都没有打开它，我编辑了一个mmc把控制台中一些相关的组策略都做了一些想当的设置。管理工具中的一些服务我看了看也没什么特别的东西呀！！

搞了一个小时了还是没有搞定，wocao，夜里是不想让我睡了，解决不了心里别扭！！再帮我想想，还有别的要改动或是操作的吗？？

mark_mark

防火墙设置，开启guest账户试试

freebell

不是，具体我还没有试过，以后手头有XP的机器的时候试一下怎么搞通。

现在要说的是，XP和.Net Server地网络安全机制比起2000来有很大的改变，2000对于这种访问是不检查的，提供共享就可以访问，还有比如从计算机管理中发送控制台消息的时候，在XP上发送要提供对方机器的有权限的帐号才行，而2000就没有这个要求。区别在于，XP将网络访问的本地运行身份不再使用SYSTEM（2000中很多是这样的，这是一个权限极高的系统内建帐号），而是有一个叫做网络用户的这么一个帐号，这个帐号只能访问相关的网络服务，是低权限的，这样来减少收到权限提升攻击的机会。

回头试试，大家有结果后发贴出来。

pdspoto

在XP的网上邻居属性中
找到本地连接的属性，顶部有高级，下面有一个网络连接向导
运行后，在想要共享的文件夹上安右间
有共享

ltadpole

最初由 mark_mark 发布
[B]防火墙设置，开启guest账户试试 [/B]

我给的网络登陆帐户都是administrator级别的帐号权限比guest的高的的多，我觉得不牵涉这个帐号的问题。（而且这个帐号也开启试过了，不行的）



freebell说得这些：
XP将网络访问的本地运行身份不再使用SYSTEM（2000中很多是这样的，这是一个权限极高的系统内建帐号），而是有一个叫做网络用户的这么一个帐号，这个帐号只能访问相关的网络服务，是低权限的，这样来减少收到权限提升攻击的机会。
（我也想了半天了，可以说能找到的一些帐户我都做了试验都不行的，mmc控制台中的与策略有关的东东，也都搞了半天了没有什么新发现）

freebell

刚才试了一下。
XP共享有两种，一种是本地共享，是指本地用户之间的文件共享，可以将要共享的文件或者文件夹放到XP中的那个“共享文档”的文件夹中。方法是在资源管理器中选中要共享的文件或者文件夹，将其拖动到左侧描述栏中的“其他位置——>共享文档”中就可以了。需要注意的是，当计算机处于域模式，而非工作组模式的时候，共享文档，共享图片（都是指本地共享）等是不可用的。

另一种共享当然是网络共享了，在资源管理器中选中要共享的文件夹，然后右击，选择“属性”，选择“共享”，然后单击“如果了解共享驱动器根的风险但仍希望共享，请单击此处”。然后，执行下面其中一种操作：
（1）如果“在网络上共享这个文件夹”复选框可用，请选中此复选框。
（2）如果“在网络上共享这个文件夹”复选框不可用，则该计算机不在网络上。如果想要建立家庭网络或小型办公室网络，请单击“网络设置向导”链接，然后根据指令打开文件共享。一旦启用了共享，请再次执行该过程。

我们还可以设置“允许网络用户修改我的文件”来为网络用户设置更多的权限。

注意：
1. 从我试的结果来讲，Win 2000的用户访问这个共享文件夹的时候，根本不需要其他的用户名和口令，直接就可以访问，身份就是使用叫做网络用户的那个。我想这应该是XP的一个访问控制策略。默认的情况下，不允许其他人访问你的计算机，如果你想让访问，那么就共享，共享了之后，你就不能再设置哪些人可以访问，哪些人不可以访问。那么说，NTFS的访问控制列表（ACL）就不起作用了？这个问题还得再研究。
2.如果你想让人看到你的文档，那么可以将这个文家夹设置为专用。

请熟悉XP的兄弟们写个简短的帖子描述一下XP下的文件系统和文件夹/文件级访问控制机制。

ltadpole

最初由 freebell 发布
[B]刚才试了一下。

1. 从我试的结果来讲，Win 2000的用户访问这个共享文件夹的时候，根本不需要其他的用户名和口令，直接就可以访问，身份就是使用叫做网络用户[/COLOR] 的那个。我想这应该是XP的一个访问控制策略。默认的情况下，不允许其他人访问你的计算机，如果你想让访问，那么就共享，共享了之后，你就不能再设置哪些人可以访问，哪些人不可以访问。那么说，NTFS的访问控制列表（ACL）就不起作用了？这个问题还得再研究。
[/B]

老哥你所说得网络用户[/COLOR]就是这个图上标示的那个吧？我要是没有理解错的话！！？

我有这样的想象哦！按照你的所说，你就是在2000系统中的网络邻居中直接点击了同组的xp主机中的共享文件夹后，没有任何提示的就进入了此共享文件夹了（此前我想在进入工组中时，再进行点击xp主机时总的有提示的登陆框吧？不知道是不是这样的）

咱们先排除了ntfs分区的acl的问题（但是我想了，如果此文件夹的所在的盘是ntfs的时候，如果此文件夹在ntfs的一些选项中做了限制的情况下，那么acl的一些权限还是起作用的，毕竟这个ntfs是2000在安全性上可以稍微炫耀的地方， ）

老哥你按照上面的操作肯定是可以与xp的机器建立了一个回话了，而我呢压根就登陆不上xp的主机，更别说打开他的文件夹了，;@   ;%

你先看看这个关于你说得那个网络用户[/COLOR]的图，我没有理解错吧？

下面我又换了一个思路，用98se的主机打开xp的主机，可是你再看看下面跟贴的图，有和ipc$联系上了，而我现在也开始怀疑ipc$中的一些选项是不是在regedit中有了问题，（因为我看遍了可能一些服务及策略没有发现任何端倪呀？）

ltadpole

图没有贴上这个是牵扯网络用户的那个图，下面还有两个你在看看