Windows共享我们真的需要吗

Windows共享是微软Windows操作系统下的一种文件共享技术，其本质是SMB（Server Message Block）通信协议的具体应用。通过在一台主机上配置SMB共享服务，在同一局域网上的其他主机就可以使用SMB协议访问共享的内容。

SMB（Server Message Block）通信协议是微软（Microsoft） 和 英 特 尔(Intel)在1987年制定的协议，主要是作为Microsoft网络的通讯协议。SMB是在会话层（session layer）和表示层（presentation layer）以及小部分应用层（application layer）的协议。

SMB使用了NetBIOS的应用程序接口 （Application Program Interface，简 称API）。另外，它是一个开放性的协议，允许了协议扩展——使得它变得更大而且复杂；大约有65个最上层的作业，而每个作业都超过120个函数，甚至Windows NT也没有全部支持到。最近，微软又把SMB改名为CIFS（Common Internet File System），并且加入了许多新的特色。

虽然Windows共享从Windows诞生时就伴随着Windows用户，但是它的使用却一直被很多人所诟病，主要是的原因是在使用上“不够稳定”，经常出现采用相同的配置方式，家里的电脑可以工作，办公室的却不行；以前配置好能够正常使用的共享，突然不能够工作了……

尽管Windows共享存在以上的各类问题，但是我们仍然无法离开它。一是日常办公环境中，打印机共享就是基于SMB协议的，二是SMB协议出现的时间比较早，基本上在所有的操作系统和标准化的应用软件都得到了较好的支持，因此适用范围较广，在特定的环境下使用起来比其他的解决方案更简单。例如，在MacOS和Linux操作系统下访问Windows的文件数据，采用Windows共享可以较好地和本地文件系统进行融合，而采用类似FTP等应用层协议的解决方案，就无法达到相类似的效果。三是微软近年来对文件共享等技术的探索和发展是以SMB为基础的，例如，目前比较流行的CIFS技术等，通过扩展原有的技术，增加全新的功能来满足新一代操作系统的需求。

综合以上的优缺点，我们可以得到的结论是，SMB协议下的Windows共享还将长期伴随着Windows的发展而不断发展，因此，掌握Windows环境下的文件共享技术，能够让我们更好地使用Windows，发挥操作系统的最大功能。

设置Windows匿名共享

Windows文件共享在实际的使用过程中，主要需要从服务端和客户端两个方面进行配置进行考虑。根据笔者多年的使用经验，一般Windows共享主要出现的问题在于服务端的配置，也就是共享源主机的设置问题。下面，笔者分别从服务端和客户端角度进行说明其基本的设置方法。

1.Windows共享服务端配置

Windows环境的文件共享是最常见的应用场景，正确配置的文件共享可以较大地提高工作效率。Windows共享配置主要包括以下关键步骤：

（1）设置共享文件夹。

（2）设置共享文件夹用户访问权限。

（3）配置Windows防火墙。

（4）检查Windows用户权利分配。

图1 共享权限设置

图2 防火墙配置

图3 本地用户权限分配

（5）启用来宾账户。

步骤（1）在 Windows下设置共享文件夹操作相对比较简单，本文不在重复介绍，如果不清楚可以参考微软官方参考https://technet.microsoft.com/zh-cn/library/cc770880(v=ws.11).aspx。这里需要强调的是作为网络维护管理人员，常常需要采用批处理或者命令行的方式进行日常的维护操作，而配置Windows文件共享可以使用以下简单的命令行实现。例如，若要共享驱动器C上路径UsersMyname中名为myshare的文件夹，可以在具有管理员权限的命令行终端执行一下命令实现：

步骤（2）主要是为了设置用户的访问权限。如图1所示，通过设置不同的用户权限实现文件共享的访问控制。

注意：如果需要匿名共享，不输入密码就能访问共享文件，那么必须添加Guest用户并设置相关的访问权限。如果需要让MacOS匿名访问共享目录，还需要添加Everyone用户的访问权限，否则将会报告没有权限的错误。

步骤（3）主要是为了防止由于操作系统自带的防火墙屏蔽了共享服务。在如图2所示的界面中，需要设置防火墙的入栈规则，运行445端口和139端口的访问，如果能够开放137、138端口更好。为了保证安全性，可以设置远程地址限制为“本地子网”。

步骤（4）主要是由于微软为了提高Windows系统默认的安全基本，默认关闭了Guest用户以及禁止了相关的网络访问权限，造成匿名访问的各种故障，因此需要打开策略管理器进行相关权利检查。

在Windows运行窗口输入“gpedit.msc”可以快速打开策略管理器，如图3所示，需要将Guest用户从“拒绝从网络访问这台计算机”项目中移除，否则匿名用户将无法打开共享文件夹。另外，需要在图3左侧的“安全选项”栏目中将“网络访问：将Everyone权限应用于匿名用户”项目启用，默认是禁用的。最后，还需要检查“网络访问：本地账户的共享和安全模型”项目设置是否是“仅来宾”，使用“仅来宾”模型时，所有可以通过网络访问计算机的用户（包括匿名Internet用户）都可以访问共享资源。

图4 本地用户配置

图5 Documents App访问SMB

图6 VLC App访问SMB共享

步骤（5）开启 Windows Guest账户，这个步骤可以在Windows的用户管理界面，可以在Windows运行窗口输入“lusrmgr.msc”打开如图4界面，将Guest用户启用，默认情况下是禁用的。

2.客户端连接

通常情况下默认的Windows主机可以通过共享地址的方式使用资源管理直接访问共享资源。例如在资源管理器的地址栏中输入“\Golden网络共享”可以直接访问主机Golden上的网络共享文件夹，或者将Golden换成对应主机IP地址也能实现对共享资源的访问。

此外，除了PC可以访问共享资源外，主流的手机等移动终端的很多应用都具备了Windows共享的访问能力，如图5是在iOS系统上使用文件管理工具Documents访问SMB文件共享的设置和访问截图；如图6是在iOS系统下的VLC访问SMB共享资源的设置和截图界面。此类App通过配置SMB共享的方式，可以非常方便地和PC进行数据交换。

经验总结

通过以上的步骤，可以比较方便地在Windows 7/8/10/2008/2012等操作系统上设置Windows文件匿名共享。在现实环境中，共享的安全性和易用性是一对矛盾，本文中配置的匿名共享访问，虽然无需密码访问能给网络访问者提供很大的便捷性，但是由于网络资源暴露在网络中，所以此类配置应该在相对安全的内部局域网中设置，在具有多个网段的复杂局域网中，建议对远程访问主机段进行限制。

在实际的配置中，除了文中提到的几个关键步骤的配置外，能够配置好Windows文件共享还和主机上安装的操作系统版本和安全软件配置密切相关。一般经过深度优化过的或者是精简过的操作系统安装环境中，Windows共享配置会遇到很多未知的故障，这主要和缺失组件等问题有关，建议不要使用此类操作系统发行版安装。另外，很多安全防护软件都有系统优化功能，这些优化软件功能通常会通过修改注册表，关闭Windows服务的方式对系统进行修改，虽然可以关闭不常见的一些功能换取暂时的系统性能，但是这往往也会造成Windows共享等配置的稳定性，建议配置Windows共享等服务的主机慎重使用此类软件。