提供對各類管理工具的訪問許可權

1. 如何授予用戶對報表伺服器的訪問許可權（報表管理器）

在新安裝的報表伺服器上，只有作為本地 Administrators 組的成員的用戶具有對報表伺服器內容和操作的許可權。若要使其他用戶可以使用報表伺服器，必須創建將用戶帳戶或組帳戶映射到指定任務集合的預定義角色的角色分配。對於配置為本機模式的報表伺服器，使用報表管理器向角色分配用戶。有兩種類型的角色：項級角色用於查看、添加和管理報表伺服器內容、訂閱、報表處理和報表歷史記錄。可以對根節點（主文件夾）或位於該層次結構中的特定下級文件夾或項定義項級角色分配。系統級角色授予對不限於任何特定項的站點范圍操作的訪問許可權。例如，使用報表生成器和使用共享計劃。兩種類型的角色互為補充，應結合使用。因此，將用戶添加到報表伺服器的操作分為兩個部分。如果將用戶分配到項級角色，則還應將該用戶分配到系統級角色。將用戶分配到角色時，必須選擇已定義的角色。若要創建、修改或刪除角色，請使用 SQL Server�0�2Management Studio。有關詳細信息，請參閱如何創建、刪除或修改角色 (Management Studio)。對於配置為 SharePoint 集成模式的報表伺服器，使用 SharePoint 許可權從 SharePoint 站點配置訪問許可權。對 SharePoint 站點的許可權級別確定對報表伺服器內容和操作的訪問許可權。您必須是站點管理員才能授予對 SharePoint 站點的許可權。有關詳細信息，請參閱在SharePoint 站點上授予對報表伺服器項的許可權。開始之前在將用戶添加到本機模式的報表伺服器之前查看以下列表。您必須是報表伺服器計算機上本地 Administrators 組的成員。如果在 Windows Vista 或 Windows Server 2008 上部署 Reporting Services，則需要進行額外配置，然後才能在本地管理報表伺服器。有關詳細信息，請參閱如何在 Windows Vista 和 Windows Server 2008 上為本地管理配置報表伺服器 (UAC)。若要將此任務委託給其他用戶，請創建將用戶帳戶映射到「內容管理員」和「系統管理員」角色的角色分配。具有「內容管理員」和「系統管理員」許可權的用戶可以將用戶添加到報表伺服器。在SQL Server�0�2Management Studio 中，查看「系統角色」和「用戶角色」的預定義角色，以便熟悉每個角色中的各種任務。由於報表管理器中不顯示任務說明，因此需要在開始添加用戶之前熟悉角色。根據需要自定義這兩個角色或定義其他角色以包括所需的任務集合。例如，如果計劃對單獨的項使用自定義安全設置，則可能希望創建新的角色定義以授予對文件夾的查看訪問許可權。有關詳細信息，請參閱教程：在 Reporting Services 中設置許可權。向系統角色添加用戶或組啟動報表管理器。單擊「站點設置」。單擊「安全」。單擊「新建角色分配」。在「組或用戶名」中，輸入以下格式的 Windows 域用戶帳戶或組帳戶：<域>\<帳戶>。如果使用窗體身份驗證或自定義安全性，則以適用於您的部署的格式指定該用戶帳戶或組帳戶。選擇一個系統角色，然後單擊「確定」。角色是可累積的，因此如果同時選擇了「系統管理員」和「系統用戶」，則用戶或組可以執行這兩種角色的任務。重復上述步驟，為其他用戶或組創建分配。向項角色添加用戶或組啟動「報表管理器」並找出您要為其添加用戶或組的報表項。懸停在該項之上，然後單擊下拉箭頭。在下拉菜單中，單擊「安全性」。單擊「新建角色分配」。注意如果某項當前從父項繼承安全性，則在工具欄中單擊「編輯項安全設置」可以更改安全設置。然後，單擊「新建角色分配」。在「組或用戶名」中，輸入以下格式的 Windows 域用戶帳戶或組帳戶：<域>\<帳戶>。如果使用窗體身份驗證或自定義安全性，則以適用於您的部署的格式指定該用戶帳戶或組帳戶。選擇一個或多個角色定義（說明用戶或組應如何訪問該項），再單擊「確定」。重復上述步驟，為其他用戶或組創建分配。

2. 資料庫操作許可權的種類

Navicat是一個強大的MySQL資料庫管理和開發工具。Navicat為專業開發者提供了一套強大的足夠尖端的工具，但它對於新用戶仍然是易於學習。Navicat,使用了極好的圖形用戶界面（GUI），可以讓你用一種安全和更為容易的方式快速和容易地創建、組織、存取和共享信息。用戶可完全控制 MySQL 資料庫和顯示不同的管理資料，包括一個多功能的圖形化管理用戶和訪問許可權的管理工具，方便將數據從一個資料庫移轉到另一個資料庫中（Local to Remote、Remote to Remote、Remote to Local），進行檔案備份。 Navicat 支援 Unicode，以及本地或遙距 MySQL 伺服器多連線，用戶可瀏覽資料庫、建立和刪除資料庫、編輯數據、建立或執行 SQL queries、管理用戶許可權（安全設定）、將資料庫備份/復原、匯入/匯出數據（支援 CSV, TXT, DBF 和 XML 檔案種類）等。新版與任何 MySQL 5.0.x 伺服器版本兼容，支援 Triggers，以及 BINARY VARBINARY/BIT 數據種類 等的風范。
Navicat 8.0.27 主要功能
－表單檢視(新增)
－虛擬群組(新增)
－自動完碼(新增)
－排程工作結果自動傳送電子郵件(新增)
－查詢、 檢視及事件自動完碼(新增)
－報告可匯出成各種格式，PDF, Excel, HTML 等(新增)
－超時自動重新連接到SQL伺服器
－數據和結構同步
－導出注冊文件以傳送到另外的計算機
－新查詢創建器--為不同的資料庫創建查詢
－查詢參數
－SQL控制台
－建立查看
－SSH密鑰
－支持所有MySQL版本
－SSH及HTTP隧道
－匯入/匯出數據
－報表設計及建立
Navicat for MySQL
——下載次數最多的MySQL資料庫管理和開發工具
www.innovatedigital.com 整理
多種格式的導入導出能力,使維護數據的過程很容易。
批量的工作調度處理,有力減輕了資料庫管理員的負擔。
快速地實現廣域網遠程連接,更加安全簡便。
智能地構建復雜的SQL語句，提高開發效率。
產品概述
Navicat MySQL是一個強大的MySQL資料庫伺服器管理和開發工具。它可以與任何3.21或以上版本的MySQL一起工作，並支持大部分的MySQL最新功能，包括觸發器、存儲過程、函數、事件、視圖、管理用戶，等等。它不僅對專業開發人員來說是非常尖端的技術，而且對於新手來說也易學易用。其精心設計的圖形用戶界面（GUI），Navicat MySQL可以讓你用一種安全簡便的方式快速並容易地創建，組織，訪問和共享信息。
Navicat MySQL在三種平台上是可用的——微軟Windows、Mac OS X 和Linux操作系統。它可以使用戶連接到本地/遠程伺服器，提供了幾種實用工具，例如數據結構同步、導入/導出、備份和報告，使維護數據的過程很容易。
自從2001年初以來，Navicat在全世界范圍內已被下載了數百萬次；Navicat是公認最受歡迎的MySQL前端圖形用戶界面，而且它對於本地或遠程的MySQL管理和開發，在三種操作系統平台上——Windows、Mac OS X和Linux都是可用的。在過去的5年中，Navicat已在最好的伺服器管理工具類別的幾個獎項中被提名，並且被許多託管公司選為一種標準的託管工具，例如Rackspace公司，是最成功的管理託管公司之一。
在世界各地的全球企業，政府機構和教育機構，Navicat是眾所周知的，可以信任並且每天都要使用的。通常世界500強的公司中100多個都使用Navicat。
詳細資料請參考： http://www.innovatedigital.com/DatabasesTuning/Navicat.shtml

3. 文件伺服器許可權管理

如何做一台文件伺服器
假如你是某公司的系統管理員，現在公司要做一台文件伺服器。公司購買了一台某品牌的伺服器，在這台伺服器內插有三塊硬碟。
公司有三個部門---銷售，財務，技術。每個部門有三個員工，其中一名是其部門經理（另兩名是副經理）1. 在三塊硬碟上共創建三個分區（盤符）,並要求在創建分區的時候，使磁碟實現容錯的功能；
2. 在伺服器上創建相應的用戶帳號和組；
命名規范，如：用戶名：sales-1，sales-2……；組名：sale，tech……
要求用戶帳號只能從網路訪問伺服器，不能在伺服器本地登錄
3. 在文件伺服器上創建三個文件夾分別存放各部門的文件，並要求只有本部門的用戶能訪問其部門的文件夾（完全控制的許可權），每個部門的經理和公司總經理可以訪問所有文件夾（讀取），另創建一個公共文件夾，使得所有用戶都能在裡面查看和存放公共的文件；
4. 每個部門的用戶可以在伺服器上存放最多100M的文件；
5. 做好文件伺服器的備份工作以及災難恢復的備份工作；
發送給我的好友 提醒我回答有更新
你可以把這個生意經分享給旺旺，MSN或QQ上的好友

當這個生意經的回答有更新時，您可以及時收到提醒

發送給好友

生意經鏈接：
窗體頂端

發送描述：
窗體底端

郁悶啦!看看這個問題，你一定要幫我啊！

這個東東太實用了，看完記得收藏哦！

旺旺浮出提醒好友

生意經的地址已經復制
您可以粘帖到MSN或者郵件發給您的好友

收藏成功，回答有更新時旺旺會浮出提醒你哦！現在就去查看我的收藏

網友回答

(1) 學會安裝和配置文件伺服器。

(2) 學會伺服器端共享文件夾的配置和管理。

(3) 學會客戶端訪問共享文件夾的方法。

(4) 學會分布式文件系統的設置方法。

(5) 實驗學時：2

2 實驗相關理論與知識

計算機網路的基本功能是在計算機間共享信息，文件共享可以說是最基本、最普遍的一種網路服務。雖然越來越多的用戶購置專用文件伺服器(如NAS)，但是通用操作系統提供的文件伺服器功能也非常實用，完全能滿足一般的文件共享需求，下面主要介紹Windows Server 2003文件伺服器的配置、管理和應用。

文件伺服器負責共享資源的管理和傳送接收，管理存儲設備(硬碟、光碟、磁帶)中的文件，為網路用戶提供文件共享服務，也稱文件共享伺服器。除了文件管理功能之外，文件伺服器還要提供配套的磁碟緩存、訪問控制、容錯等功能。部署文件伺服器，主要要考慮以下3個因素。

·存取速度：快速存取伺服器上的文件，例如可提供磁碟緩存加速文件讀取。

·存儲容量：要有足夠的存儲空間以容納眾多網路用戶的文件，可使用磁碟陣列。

·安全措施：實現網路用戶訪問控制，確保文件共享安全。

文件伺服器主要有兩類解決方案，一類是專用文件伺服器，另一類是使用PC伺服器或PC計算機組建的通用文件伺服器。

專用文件伺服器是專門設計成文件伺服器的專用計算機，以前主要是運行操作系統、提供網路文件系統的大型機、小型機，現在的專用文件伺服器則主要指具有文件伺服器的網路存儲系統，如NAS和 SAN。NAS獨立於操作系統平台，可支持多種操作系統和網路文件系統，提供集中化的網路文件伺服器和存儲環境，比一般的文件伺服器的功能更強大，可看作是專用存儲伺服器，可為那些訪問和共享大量文件系統數據的用戶提供高效、性能價格比優異的解決方案。SAN全稱存儲區域網路，是一種用戶存儲服務的特殊網路，通常由磁碟陣列、光碟庫、磁帶庫和光纖交換機組成。NAS可作為獨立的文件伺服器，提供文件級的數據訪問功能，更適合文件共享。而SAN提供數據塊級的數據訪問功能，更適合資料庫和海量數據。

目前一般用戶使用PC伺服器或PC計算機，通過網路操作系統來提供文件服務，UNIX、Linux、Novell、 Windows等操作系統都可提供文件共享服務。Windows網路操作系統，如Windows NT Server、Windows2000 Server和最新的Windows Server 2003由於操作管理簡單、功能強大，在中小用戶群中的普及率非常高，許多文件伺服器都運行Windows網路操作系統。下面將重點以Windows Server 2003為例介紹文件伺服器的配置、管理和應用。

3 實驗環境與設備

C/S模式的網路環境，包括一台Windows XP客戶機和一台Windows Server 2003伺服器。

兩種可選的物理拓撲（交叉線連接或通過集線器/交換機用直連線連接）。

4 實驗內容與步驟

4.0 伺服器的基本網路配置，包括IP地址為"192.168.105.XX"、網關為"192.168.105.254"等。(註："XX"代表你配置機器的主機編號，"nXX"代表你的伺服器主機名，例如你坐在5號機上則"XX"代表"05"，"1XX"代表"105"，配置此機的IP地址為"192.168.105.5"、主機名為"n05"，下同)。

4.1 安裝和配置文件伺服器

文件伺服器提供網路上的中心位置，可供存儲文件並通過網路與用戶共享文件。當用戶需要重要文件時，可以訪問文件伺服器上的文件，而不必在各自獨立的計算機之間傳送文件。如果網路用戶需要對相同文件和可通過網路訪問的應用程序的訪問許可權，就要將該計算機配置為文件伺服器。默認情況下，在安裝Windows Server 2003系統時，將自動安裝"Microsoft網路的文件和列印共享"網路組件。如果沒有該組件，可通過網路連接屬性對話框安裝。

1．准備工作

在部署文件伺服器之前，應當做好以下准備工作。

·劃出專門的硬碟分區(卷)用於提供文件共享服務，而且要保證足夠的存儲空間，必要時使用磁碟陣列。

·磁碟分區(卷)使用NTFS文件系統，因為FAT32缺乏安全性，而且不支持文件和文件夾壓縮、磁碟配額、文件加密或單個文件許可權等重要特性。

提示：使用Windows Server 2003自帶的工具即可將FAT32轉換成NTFS格式。該工具名為Convert.exe，位於Windows安裝目錄下的System32目錄中。在命令行狀態運行該工具即可，如Convert E:/FS:NTFS。

·確定是否要啟用磁碟配額，以限制用戶使用的磁碟存儲空間。

·確定是否要使用索引服務，以提供更快速、更便捷的搜索服務。

2．配置文件伺服器

只要將Windows Server 2003計算機上的某個文件夾共享出來，就會自動安裝文件伺服器，也可通過"配置您的伺服器向導"工具來安裝文件伺服器角色。這兩種方法的差別是，第二種方法提供更多的選項，並在程序菜單中提供文件伺服器管理台工具。這里介紹採用第二種方法的基本步驟。

(1) 啟動"配置您的伺服器向導"工具。默認情況下，登錄Windows Server 2003時將自動啟動"管理您的伺服器"(也可從控制面板中選擇【管理工具】→【管理您的伺服器】)，單擊【添加或刪除角色】。另一種方法是直接從控制面板中選擇【管理工具】→【管理您的伺服器】→【配置您的伺服器向導】。單擊【下一步】按鈕。

(2) 在【配置選項】界面中選擇【自定義配置】，單擊【下一步】按鈕。

(3) 在【伺服器角色】界面中，如果【文件伺服器】的【已配置】狀態為"否"，就單擊【文件伺服器】，然後單擊【下一步】。

注意：如果【文件伺服器】的【已配置】狀態為"是"，就單擊【文件伺服器】，再單擊【下一步】按鈕打開【角色刪除確認】界面，並選擇【刪除文件伺服器角色】復選框，即可刪除文件伺服器角色，這樣該伺服器上的文件和文件夾就不再共享，依賴於這些共享資源的網路用戶、程序或宿主都將無法與它們連接。

(4) 出現【文件伺服器磁碟配額】對話框中，為伺服器上所有NTFS分區設置默認的磁碟配額。勾選【為此伺服器的新用戶設置默認磁碟空間配額】和【拒絕將磁碟空間給超過配額限制的用戶】。單擊【下一步】按鈕。默認情況下是沒有啟用磁碟配額。

(5) 出現【文件伺服器索引服務】對話框，確定是否要使用索引服務。單擊【下一步】按鈕。一般情況下不需索引服務，只有在用戶要經常搜索該伺服器上的文件內容時才啟用它。

(6) 出現【選擇總結】對話框，查看和確認已經選擇的選項，單擊【下一步】按鈕。

本例中有"設置默認磁碟配額"、"安裝文件伺服器管理"和"運行共享文件夾向導來添加一個新的共享文件夾或共享已有文件夾"等選項。

(7) 自動完成相關配置後，出現共享文件夾向導，根據提示配置共享文件夾以供其他用戶共享。只有配置了共享文件夾之後，文件伺服器才能建立。

(8) 單擊【下一步】按鈕，出現【文件夾路徑】對話框，指定要共享的文件夾路徑。可通過【瀏覽】在C盤目錄下新建一個【FileShare】作為共享目錄，此時【文件夾路徑】輸入框中將出現【C:FileShare】（如果C盤中已經建立過此文件夾，才可以在此輸入框中直接輸入）。

(9)單擊【下一步】按鈕，出現【名稱、描述和設置】對話框，指定共享名。

(10) 單擊【下一步】按鈕，出現【許可權】對話框，指定共享許可權為【管理員有完全訪

問許可權；其他用戶有隻讀訪問許可權】，單擊【完成】按鈕。這里提供了幾種預置的許可權，也可以自定義許可權。

(11)【共享成功】對話框中顯示共享成功，給出新建共享文件夾的信息。如果要繼續設置其他共享文件夾，則選中下面的復選框。單擊【關閉】按鈕，【完成】。

至此文件伺服器配置就完成了。接下來可執行各項文件管理任務。

3．文件伺服器管理工具（以下方法至少掌握一種）

Windows Server 2003提供了用於文件伺服器配置管理的多種工具。

·文件伺服器管理控制台：打開"管理您的伺服器"工具，在【文件伺服器】區域單擊【管理此文件伺服器】，打開該控制台。要使用"配置您的伺服器向導"工具安裝文件伺服器，可從程序菜單中選擇【管理工具】→【文件伺服器管理】命令打開該控制台。

·"共享文件夾"管理工具：也可通過"計算機管理"工具中的"共享文件夾"管理工具來執行共享文件夾的配置管理，從程序菜單中選擇【管理工具】→【計算機管理】，展開【共享文件夾】節點即可。

·Windows資源管理器：可直接將文件夾配置為共享文件夾。

·命令行工具：如net share可顯示有關本地計算機上全部共享資源的信息。

4. 計算機管理員怎麼設置Guest用戶訪問許可權。

一、限制用戶對文件的訪問許可權
如果程序所在的磁碟分區文件系統為NTFS格式，管理員賬戶可以利用NTFS文件系統提供的文件和文件夾安全選項控制用戶對程序及文件的訪問許可權。通常情況下，一個應用程序安裝到系統後，本地計算機的所有賬戶都可以訪問並運行該應用程序。如果取消分配給指定用戶對該應用程序或文件夾的訪問許可權，該用戶也就失去了運行該應用程序的能力。
例如，要禁止受限用戶運行OutlookExpress應用程序，可以進行如下的操作：
（1）、以administrator賬戶登錄系統，如果當前系統啟用了簡單文件共享選項，需要將該選項關閉。具體做法是，在Windows瀏覽器窗口點擊「工具」菜單下的「文件夾選項」，點擊「查看」選項頁，取消「使用簡單文件共享」選項的選擇，點擊「確定」。
（2）、打開Program Files文件夾，選中Outlook Express文件夾並單擊右鍵，選擇「屬性」。
（3）、點擊「安全」選項頁，可以看到Users組的用戶對該文件夾具有讀取和運行的許可權，點擊「高級」。
（4）、取消「從父項繼承那些可以應用到子對象的許可權項目，包括那些再次明確定義的項目」選項的選擇，在彈出的提示信息對話框，點擊「復制」，此時可以看到用戶所具有的許可權改為不繼承的。
（5）、點擊「確定」，返回屬性窗口，在「用戶或組名稱」列表中，選擇Users項目，點擊「刪除」，點擊「確定」，完成許可權的設置。
要取消指定用戶對文件或程序的訪問限制，需要為文件或文件夾添加指定的用戶或組並賦予相應的訪問許可權。
這種方法允許管理員針對每個用戶來限制他訪問和運行指定的應用程序的許可權。但是這需要一個非常重要的前提，那就是要求應用程序所在的分區格式為NTFS，否則，一切都無從談起。
對於FAT/FAT32格式的分區，不能應用文件及文件夾的安全選項，我們可以通過設置計算機的策略來禁止運行指定的應用程序。

二、啟用「不要運行指定的Windows應用程序」策略
在組策略中有一條名為「不要運行指定的Windows應用程序」策略，通過啟用該策略並添加相應的應用程序，就可以限制用戶運行這些應用程序。設置方法如下：
（1）、在「開始」「運行」處執行gpedit.msc命令，啟動組策略編輯器，或者運行mmc命令啟動控制台，並將「組策略」管理單元載入到控制台中；
（2）、依次展開「『本地計算機』策略」「用戶設置」「管理模板」，點擊「系統」，雙擊右側窗格中的「不要運行指定的Windows應用程序」策略，選擇「已啟用」選項，並點擊「顯示」。
（3）、點擊「添加」，輸入不運行運行的應用程序名稱，如命令提示符cmd.exe，點擊「確定」，此時，指定的應用程序名稱添加到禁止運行的程序列表中。
（4）、點擊「確定」返回組策略編輯器，點擊「確定」，完成設置。
當用戶試圖運行包含在不允許運行程序列表中的應用程序時，系統會提示警告信息。把不允許運行的應用程序復制到其他的目錄和分區中，仍然是不能運行的。要恢復指定的受限程序的運行能力，可以將「不要運行指定的Windows應用程序」策略設置為「未配置」或「已禁用」，或者將指定的應用程序從不允許運行列表中刪除（這要求刪除後列表不會成為空白的）。
這種方式只阻止用戶運行從Windows資源管理器中啟動的程序，對於由系統過程或其他過程啟動的程序並不能禁止其運行。該方式禁止應用程序的運行，其用戶對象的作用范圍是所有的用戶，不僅僅是受限用戶，Administrators組中的賬戶甚至是內建的administrator帳戶都將受到限制，因此給管理員帶來了一定的不便。當管理員需要執行一個包含在不允許運行列表中的應用程序時，需要先通過組策略編輯器將該應用程序從不運行運行列表中刪除，在程序運行完成後，再將該程序添加到不允許運行程序列表中。需要注意的是，不要將組策略編輯器（gpedit.msc）添加到禁止運行程序列表中，否則會造成組策略的自鎖，任何用戶都將不能啟動組策略編輯器，也就不能對設置的策略進行更改。
提示：如果沒有禁止運行「命令提示符」程序的話，用戶可以通過cmd命令，從「命令提示符」運行被禁止的程序，例如，將記事本程序(notepad.exe)添加不運行列表中，通過XP的桌面運行該程序是被限制的，但是在「命令提示符」下運行notepad命令，可以順利的啟動記事本程序。因此，要徹底的禁止某個程序的運行，首先要將cmd.exe添加到不允許運行列表中。

三、設置軟體限制策略
軟體限制策略是本地安全策略的一個組成部分，管理員通過設置該策略對文件和程序進行標識，將它們分為可信任和不可信任兩種，通過賦予相應的安全級別來實現對程序運行的控制。這個措施對於解決未知代碼和不可信任代碼的可控制運行問題非常有效。軟體設置策略使用兩個方面的設置對程序進行限制：安全級別和其他規則。
安全級別分為「不允許的」和「不受限制的」兩種。其中，「不允許的」將禁止程序的運行，不論用戶的許可權如何；「不受限的」允許登錄用戶使用他所擁有的許可權來運行程序。
其它規則，即由管理員通過制定規則對指定的一批或一個文件和程序進行標識，並賦予「不允許的」或「不受限的」安全級別。在這個部分中，管理員可以制定四種類型的規則，按照優先順序別分別是：散列規則、證書規則、路徑規則和Internet區域規則，這些規則將對文件的訪問和程序的運行提供最大限度的授權級別。
軟體限制策略的設置
1、訪問軟體限制策略
作為本地安全策略的一部分，軟體限制策略同時也包含在組策略中，這些策略的設置必須以administrator賬戶或Administrators組成員的身份登錄系統。軟體限制策略的訪問方式有兩種：
（1）、在「開始」「運行」處運行secpol.msc，啟動本地安全策略編輯器，在「安全設置」下可以看到「軟體限制策略」項目。
（2）、在「開始」「運行」處運行gpedit.msc，啟動組策略編輯器，在「計算機設置」「Windows設置」「安全設置」下可以看到「軟體限制策略」。
2、新建軟體限制策略
首次打開「軟體限制策略」時，該項目是空的。策略需要由管理員手動添加。方法是點擊「軟體限制策略」使其處於選中狀態，點擊編輯器窗口「操作」菜單下的「新建一個策略」項目，此時可以看到「軟體限制策略」下增加了「安全級別」和「其它規則」以及三條屬性，如圖2所示。一旦執行了新建策略操作後，就不能再次執行該操作，並且這個策略也不能刪除。
3、設置默認的安全級別
新建軟體限制策略後，策略的默認安全級別為「不受限的」，如果要更改默認的安全級別，需要在「安全級別」中進行設置，方法如下：
（1）、打開「安全級別」，在右側窗格中，可以看到有兩條設置，其中圖標中帶有一個小對號的設置為默認設置；
（2）、點擊不是默認值的那條設置，單擊右鍵，選擇「設置為默認」項。當設置「不允許的」為默認值時，系統會顯示一個提示信息對話框，點擊「確定」即可。
該步驟也可以雙擊非默認的設置，在彈出的屬性窗口中，點擊「設為默認值」。
4、設置策略的作用范圍和對象
通過策略的「強制」屬性可以設置策略應用的軟體文件是否包含庫文件以及作用的對象是否包含管理員賬戶。通常情況下，為了避免引起系統不必要的問題以及便於對系統的管理，策略的作用范圍應設置為不包含庫文件的所有軟體文件，作用對象設置為除本地管理員外的所有用戶。設置的方法如下：
（1）、單擊「軟體限制策略」，雙擊右側窗格中的「強制」屬性項目；
（2）、選擇「除去庫文件（如Dll文件）以外的所有軟體文件」選項和「除本地管理員以外的所有用戶」選項，單擊「確定」。
5、制定規則
只通過安全級別的設置，顯然不能很好的實現對文件和程序的控制，必須通過制定合理的規則來標識那些禁止或允許運行的文件和程序，並進而實現對這些文件和程序的靈活控制。上文中提到可制定規則的類型有四種：散列規則、證書規則、路徑規則和Internet區域規則。它們標識文件以及制定規則的方法如下：
散列規則：利用散列演算法計算出指定文件的散列，這個散列是唯一標識該文件的一系列定長位元組。制定了散列規則後，用戶訪問或運行文件時，軟體限制策略會根據文件的散列及安全級別來允許或阻止對該文件進行訪問或運行。當文件移動或重命名，不會影響文件的散列，軟體限制策略對該文件依然有效。制定方法如下：
（1）、點擊「軟體限制策略」下的「其它規則」，在「其他規則」上單擊右鍵，或在右側窗格的空白區域單擊右鍵，選擇「新散列規則」。
（2）、點擊「瀏覽」，指定要標識的文件或程序，例如cmd.exe，確認後，在文件散列中可以看到計算出來的散列，在「安全級別」中選擇「不允許的」或「不受限的」，點擊「確定」，在「其它規則」中可以看到新增了一條類型為散列的規則。
證書規則：利用與文件或程序相關聯的簽名證書進行標識。證書規則需要的證書可以是自簽名的、由證書頒發機構（CA）頒發或是由Windows2000公鑰機構發布。證書規則不應用於EXE文件和DLL文件，它主要應用於腳本和Windows安裝程序包。當某個文件由其關聯的簽名證書標識後，運行該文件時，軟體限制策略會根據該文件的安全級別來決定是否可以運行。文件的移動和更名不會對證書規則的應用產生影響。制定證書規則時要求能夠訪問到用來標識文件的證書文件，證書文件的擴展名為.CER。創建方法同散列規則。
路徑規則：利用文件或程序的路徑進行標識，該規則可以針對一個指定的文件、用通配符表示的一類文件或是某一路徑下的所有文件及子文件夾中的文件。由於標識是由路徑來完成的，當文件移動或重命名時，路徑規則會失去作用。在路徑規則中，根據路徑范圍的大小，優先順序別各有高低，范圍越大，優先順序越低。通常路徑的優先順序從高到低為：指定的文件、帶路徑的以通配符表示的一類文件、通配符表示的一類文件、路徑、上一級路徑。創建方法同散列規則。
Internet區域規則：利用應用程序下載的Internet區域進行標識。區域主要包括：Internet、本地Intranet、本地計算機、受限制的站點、受信任的站點。該規則主要應用於Windows的安裝程序包。創建方法同散列規則。
6、維護可執行代碼的文件類型
不論是那種規則，它所影響的文件類型只有「指派的文件類型」屬性中列出的那些類型，這些類型是所有規則共享的。某些情況下，管理員可能需要刪除或添加某種類型的文件，以便規則能夠對這類文件失去或產生作用，這就需要我們來維護「指派的文件類型」屬性。方法如下：
（1）、單擊「軟體限制策略」，雙擊右側窗格中的「指派的文件類型」屬性項目；
（2）、如果新增一種文件類型，在「文件擴展名」處輸入添加的擴展名，點擊「添加」；如果要刪除一種文件類型，單擊列表中的制定類型，點擊「刪除」。
7、利用規則的優先順序靈活控製程序的運行
四種規則的優先順序從高到依次為：散列規則、證書規則、路徑規則、Internet區域規則。如果有超過一條以上的規則同時作用於同一個程序，那麼優先順序最高的規則設定的安全級別將決定該程序是否能運行。如果多於一條的同類規則作用於同一個程序，那麼同類規則中最具限制力的規則將起作用。這為我們提供了一條對程序的運行進行靈活控制的途徑。單一規則的作用效果雖然全面，但是也限制了我們所需要的那些部分，復合規則的綜合作用將產生諸如「除了我們需要的/不需要的以外，其他全部不允許/不受限制」這樣的效果，這也許才是我們真正需要的安全級別。
提示：軟體限制策略的生效需要注銷並重新登錄系統。如果在軟體限制策略中為一個程序制定了一條安全級別為「不受限的」規則，而這個程序包含在「不要運行指定的Windows應用程序」策略的不允許運行程序列表中，那麼最終這個程序是不允許運行的。要取消對程序的限制，需要將相關的規則刪除：在「其他規則」中的規則列表中，在要刪除的規則上點擊右鍵，選擇「刪除」即可。
上述三種限製程序運行的措施各有特點。從限制的實現方法和效果來看，限制用戶對文件的訪問許可權可以讓管理員以Administartor賬戶身份對所有用戶的許可權進行控制，作用的范圍可以是所有類型的文件和文件夾，但是這種方法受到應用環境的限制。採取基於策略的措施，不論是啟用「不要運行指定的Windows應用程序」策略還是設置軟體限制策略，對於要限制的用戶對象作用范圍來講都是用戶組，不能針對具體的用戶進行設置，要麼是所有的用戶，要麼是除管理員組外的所有用戶。但是這些措施對系統環境的要求不高，在XP系統中都可以進行實施。另外，基於策略的設置可以對計算機進行更加靈活的管理。特別是軟體限制策略允許管理員通過多種方式對程序進行標識，對於程序的運行具有很高的可控性。

5. 訪問許可權怎麼設置

區域網98、2000、XP互訪問題解決完全手冊XP文件共享完全手冊

WIN xp是NT內核的，所以在網路安全的要求比9x要高。在文件共享方面，也不同於9x。在9x的系統中只需要在共享中設個密碼，就可以只讓知道密碼的用戶登陸。而xp卻無法這樣簡單地實現。

win xp的共享分為兩中：簡單文件共享（Simple File Sharing）和高級文件共享（Professional File Sharing）。xp在默認情況下是打開簡單文件共享的。

一、簡單文件共享

打開簡單文件共享很簡單，只要右鍵點擊驅動器或者文件夾，然後選擇屬性，出現如下圖所

我們只要選中在網路中共享這個文件夾。共享以後，「允許網路用戶更改我的文件」這一項是默認打開的，所以沒有特殊必要的話，我們必須把它前面的勾去掉共享驅動器會先出現一些安全提示，如下圖：

然後點擊共享驅動器，就會出現如圖一一樣的設置。

開啟GUEST帳戶

這一步很重要，xp默認GUEST帳戶是沒有開啟的，如下圖：

要允許網路用戶訪問這台電腦，必須打開GUEST帳戶。依次執行"開始－設置－控制面板－管理工具－計算機管理-－本地用戶和組－用戶"在右邊的GUEST賬號上單擊右鍵，選"屬性"然後去掉"賬號已停用"選擇，98用網路用戶登陸,用戶名密碼同在XP下剛輸入的就行。

如果還是不能訪問，可能是本地安全策略限制該用戶不能訪問。在啟用了GUEST用戶或者本地有相應賬號的情況下，點擊"開始--設置--控制面板--計算機管理--本地安全策略"打開"本地安全指派--拒絕從網路訪問這台計算機"的用戶列表中如果看到GUEST或者相應賬號請刪除設置簡單文件共享，網路上的任何用戶都可以訪問，無須密碼，簡單明了。

二、高級文件共享

xp的高級文件共享是通過設置不同的帳戶，分別給於不用的許可權，即設置ACL（Access Control List，訪問控制列表）來規劃文件夾和硬碟分區的共享情況達到限制用戶訪問的目的。

第一、禁止簡單文件共享：

首先打開一個文件夾，在菜單欄的「工具」，「文件夾選項」，「查看」的選項卡，在高級設置里，去掉「使用簡單文件共享（推薦）」，如下圖：

光是這樣並不能啟動高級文件共享，這只是禁用了簡單文件共享，還必須啟用帳戶，設置許可權，才能達到限制訪問的問題。

第二，設置帳戶

進入控制面板的用戶帳戶，有計算機的帳戶和來賓帳戶。僅僅是開啟GUEST帳戶並不能達到多用戶不同許可權的目的。而且在高級文件共享中，Windows XP默認是不允許網路用戶通過沒有密碼的賬號訪問系統。所以，我們必須為不同許可權的用戶設置不同的帳戶。

假如網路其他用戶的訪問許可權都一樣（大多數情況都是這樣），我們只需設置一個用戶就行了。在用戶帳戶里，新建一個用戶，由於我們必須考慮網路安全性，以所設用戶必須為最小的許可權和最少的服務，類型設置為「受限制用戶」。如上圖的AAA用戶。

在默認的情況下，xp新建帳戶是沒有密碼的，上面說過，默認情況下xp是不允許網路用戶通過沒有密碼的帳戶訪問的。所以，我們必須給剛剛添加的AAA用戶填上密碼。

添加用戶也可以這樣進行：打開 控制面板，「管理工具」，「計算機管理」，「系統工具」，「本地用戶和組」，「用戶」，在右邊的窗口，按右鍵新建用戶，如下圖：

如果你希望網路用戶通過此帳戶訪問系統而不需要密碼，需要更改xp的安全策略：

打開控制面板，「管理工具」，「本地安全策略」，展開「本地策略－安全選項」，雙擊「賬戶: 使用空白密碼的本地賬戶只允許進行控制台登錄」，並停用它，然後確定。如下圖：

注意：在Home版的Windows XP里是沒有組策略的。

第三、設置共享

做好以上的設置就可以設置共享了，點擊一個文件夾，屬性，共享選項卡，嘿嘿，跟剛剛的不同了吧，下面還多了個許可權的按鈕。如下圖：

點擊許可權，默認是EVERYONE，也就是每個用戶都有完全控制的許可權如下圖：

其中（BIGEASTAAA）表示計算機bigeast中的AAA用戶。

如果我們設置AAA有隻讀許可權，只需要在「讀取」那裡打勾就行了。

許可權的說明：

讀取許可權允許用戶：瀏覽或執行文件夾中的文件。

更改許可權允許用戶：改變文件內容或刪除文件。

完全控制許可權允許用戶：完全訪問共享文件夾。

如果設置不同的帳戶不同許可權，重新一次以上步驟。

特別注意，打開了高級共享，系統的所有分區都被默認共享出來，必須把它改回來。

第四、網路用戶訪問共享文件夾

如果網路用戶的操作系統是NT/2000/XP的話，訪問時候提示用戶密碼，只要輸入剛剛設置好的帳戶密碼就可以正常訪問了。否則無法訪問。

如果客戶機的操作系統是Windows 95/98/Me，可以設置在登錄Windows時直接登錄到網路，這樣就可以直接登錄Windows xp/2000 /NT。用戶名是這一切的關鍵。然而許多Windows 9X的電腦設置了直接登錄到桌面而不需要提供用戶名和密碼（即Windows 登錄）。如果是這樣的話，點擊 開始－注銷，就會顯示出當前登錄的用戶名。只要確定 注銷，就可以換用其他用戶名登錄了。登錄後，雙擊網路鄰居圖標，就可以瀏覽所有共享的文件夾和硬碟分區。如果在這一步你遇到了錯誤，那麼可能是沒有正確登錄造成的。

解決Win98的無法訪問Win2000、winxp辦法

常用辦法:

在Win2000 professional的用戶管理中使GUEST用戶有效就可以了。

操作方法：控制面板→用戶和密碼→高級→高級→點「用戶」文件夾→然後在右邊的Guest（供來賓訪問計算機或訪問域的內置帳戶）上點右鍵進行其屬性設置→在常規選項中將「帳戶已停用」前的對勾去掉即可。

以「每伺服器」模式安裝的Windows 2000 Server、Windows 2000 Advanced Server系統，操作方法是：控制面板→管理工具→計算機管理→「系統工具」選項里「本地用戶和組」→然後在右邊的Guest（供來賓訪問計算機或訪問域的內置帳戶）上點右鍵進行其屬性設置→在常規選項中將「帳戶已停用」前的對勾去掉即可。

如還沒解決，請往下看:

對策一：在Win2000/XP中啟用Guest用戶。在Win2000/XP系統安裝之後會預設建立兩個用戶賬戶，即Administrator（系統管理員）和Guest（來賓賬戶），所有在本地計算機沒有被分配到賬戶的用戶都將默認使用Guest賬戶，該賬戶是沒有密碼的。不過，在預設設置下，這個Guest賬戶並未被啟用，我們可以從「控制面板|管理工具|計算機管理|本地用戶和組|用戶」中找到「Guest」賬戶，並用滑鼠右擊打開「Guest屬性」對話框（如圖6），去除這里的「賬戶已停用」復選框上的對鉤標記，這樣退出後就可以從Win98中訪問到Win2000/XP了。

其實，啟用了Guest賬戶後，最大的好處是從Win98訪問Win2000/XP時就不需要輸入用戶名和密碼了，這種方法比較適合於用戶不確定、訪問量較大的區域網，但對家庭用戶來說並不適用。

對策二：檢查Win2000/XP中是否存在安全策略限制。有時，Win2000/XP「聰明」過了頭，雖然我們已經啟用了Guest賬戶，從Win98中卻仍然無法訪問Win2000/XP，這時就要從「控制面板|管理工具|本地安全策略|本地策略|用戶權利指派」中找到「從網路訪問此計算機」或者「拒絕從網路訪問這台計算機」，然後檢查一下其中是否出現了Guest賬戶或者其他對應的賬戶，然後根據不同情況進行添加或者刪除即可。

對策三：停用本地連接上的防火牆。防火牆是充當網路與外部世界之間的保衛邊界的安全系統，微軟在WinXP中為用戶提供了一個內置的Internet連接防火牆（ICF），啟用後可以限制某些不安全信息從外部進入內部網路。不過，如果您是在本地連接上啟用了這個防火牆，那麼就會造成工作組之間無法互訪，出現「XXX無法訪問」、「您可能沒有許可權使用網路資源」、「請與這台伺服器的管理員聯系以查明您是否有訪問許可權」、「找不到網路路徑」等類似的提示，此時請在圖7中停用本地連接的防火牆屏蔽。

停用ICF

對策四：為WinXP添加NetBEUI協議。其實，直接添加NetBEUI協議對於解決不能互訪的問題有時反而更為簡單一些，而且它可以解決上面提到的啟用防火牆的問題。Win98安裝時會自動安裝NetBEUI協議，但由於WinXP已經不再提供對NetBEUI協議的技術支持，因此只能手工添加了。

找出WinXP安裝光碟，進入「ValueaddMsftNetNetbeui」文件夾下，這里有Nbf.sys、Netbeui.txt、Netnbf.inf共3個文件，先將Nbf.sys文件復制到本機的「WindowsSystem32Drivers」文件夾下（這里的本機指安裝了WinXP的那台電腦），再將Netnbf.inf文件復制到本機的「WindowsINF」文件夾下，Netbeui.txt文件可有可無。不過， INF文件夾具有隱藏屬性，用戶需要先在WinXP下的「工具|屬性」窗口中選擇顯示文件才可以看到該目錄。另外，我們也可以在圖8所示對話框中選擇「從磁碟安裝」，插入WinXP安裝磁碟，一步步進入「ValueaddMsftNetNetbeui」文件夾，找到Netnbf.inf文件打開，然後就可以安裝NetBEUI協議了。

選擇「從磁碟安裝」方式。

對策五：啟用Win98中的「文件及列印機共享」。這是一個很簡單但卻經常被人忽略的問題，就是裝有Win2000/XP的機器雖然可以從「網上鄰居」中發現裝有Win98的機器，但卻無法訪問，這是因為Win98未啟用「允許其他用戶訪問我的文件」而造成的，啟用該選項就可以解決這個問題

區域網內Windows XP與Windows 98se的雙向訪問解決

1、在XP上安裝NetBEUI協議

在WINXP安裝光碟下VALUEADDMSFTNETNETBEUI目錄下，有三個文件，其中NETBEUI.TXT作了如下說明：

NetBEUI (NBF) 是一個不可路由的協議，適用於小規模的網路。Microsoft Windows 不再支持此協議。如果產品支持人員提示您安裝此協議作為臨時解決方法，請按照下面的指示進行。

在 Windows XP 和 Windows 2002 上安裝 NetBEUI 協議的方法。

* 復制 nbf.sys 到 %SYSTEMROOT%SYSTEM32DRIVERS 目錄

* 復制 netnbf.inf 到 %SYSTEMROOT%INF 目錄

* 打開網路連接屬性，單擊 "安裝..." 按鈕來安裝 NetBEUI 協議

註：%SYSTEMROOT%是你安裝XP的目錄名，我的是WINDOWS。

2、看一下安全設置是否禁止GUEST

在開啟了系統Guest用戶的情況下，點擊「開始」-》「運行」，輸入gpedit.msc，可以調出組策略編輯器，在「本地計算機策略計算機配置Windows設置安全設置本地策略用戶權利指派拒絕從網路訪問這台計算機」中赫然可以看到有Guest用戶！如果在這里刪除Guest用戶，那麼其他電腦就可以從網上鄰居中查看這台電腦的共享目錄了。 有的機子上並不一定有禁止GUEST的，這時你就不必做什麼操作了。

3、特別說明：以上的操作是因為本單位的區域網上的機子用了NETBEUI協議。XP安裝時默認不裝此協議，

6. 文件管理器許可權

文件伺服器許可權管理的設置方法如下：
第1步，以系統管理員身份登錄Windows Server 2003（SP1）系統，在開始菜單中依次單擊【管理工具】→【管理您的伺服器】菜單項，打開「管理您的伺服器」窗口。在「添加角色到您的伺服器」區域中單擊【添加或刪除角色】按鈕，進入配置向導並單擊【下一步】按鈕.
第2步，配置向導完成網路設置的檢測後，如果是第一次使用該向導，則會進入「配置選項」對話框。選中【自定義配置】單選鈕，並單擊【下一步】按鈕，
第3步，打開「伺服器角色」對話框，在「伺服器角色」列表中選中【文件伺服器】選項，並單擊【下一步】按鈕
第4步，在打開的「文件伺服器磁碟配額」對話框中選中【為此伺服器的新用戶設置默認磁碟空間配額】復選框，並根據磁碟存儲空間及用戶實際需要在【將磁碟空間限制為】和【將警告級別設置為】編輯框中輸入合適的數值（如500M）。另外，選中【拒絕將磁碟空間給超過配額限制的用戶】復選框，可以禁止用戶在其已用磁碟空間達到限額後向伺服器寫入數據。單擊【下一步】按鈕
第5步，打開「文件伺服器索引服務」對話框中，選中【是，啟用索引服務】單選鈕，啟用對共享文件夾的索引服務。單擊【下一步】按鈕
提示：索引服務對伺服器資源的開銷很大，建議只有在用戶需要經常搜索共享文件夾的情況下才啟用該服務。
第6步，打開「選擇總結」對話框，確認設置准確無誤後單擊【下一步】按鈕。
第7步，添加向導開始啟用所選服務，完成後會自動打開「共享文件夾向導」對話框。單擊【下一步】按鈕.
第8步，在打開的「文件夾路徑」對話框中單擊【瀏覽】按鈕，打開「瀏覽文件夾」對話框。在本地磁碟中找到准備設置為公共資源的文件夾，並依次單擊【確定】→【下一步】按鈕
第9步，打開「名稱、描述和設置」對話框，在這里可以設置共享名和描述該共享文件夾的語言。設置完畢後單擊【下一步】按鈕.
第10步，在打開的「許可權」對話框中選中【管理員有完全訪問許可權；其他用戶有隻讀訪問許可權】單選鈕，並依次單擊【完成】按鈕.
第11步，打開「共享成功」對話框，在「摘要」文本框中顯示出了共享文件夾路徑、共享名和共享路徑。其中共享名和共享路徑用來向網路用戶公布。單擊【關閉】按鈕即可.

7. 如何提供管理員許可權 或者文件訪問許可權

單機電腦，還是在域環境之內，如果你的電腦硬碟格式方式是NTFP那就很簡單了

右擊磁碟--屬性。如下

首先你有管理員許可權。

把要開許可權的文件最好放到文件夾內，右擊文件夾---屬性---安全---添加，位置處本機或域。

可以在下面框內直接軟體用戶名，或者點高級--立即查找，顯示所有用戶名，雙擊選定-確定。

在許可權框內，充許下 修改外打上勾，這樣可以修改文件。

如果共享的話，也要設置共享許可權。

配圖少，不明白可以 網路 「NTFS許可權」「NTFS許可權 共享」查看。

8. 如何設置Windows Server 2003共享文件夾的訪問許可權

第1步，在開始菜單中依次單擊「管理工具」→「文件伺服器管理」菜單項，打開「文件伺服器管理」窗口。在右窗格中選中需要設置訪問許可權的共享名（如「圖書編撰」），並單擊「更改共享文件夾屬性」按鈕圖2008112028 單擊「添加共享文件夾」按鈕
第2步，打開「圖書編撰屬性」對話框，切換到「共享許可權」選項卡，並單擊「添加」按鈕，第3步，在打開的「選擇用戶和組」對話框中依次單擊「高級」→「立即查找」按鈕，然後在「搜索結果」列表框中選擇用戶或組（如ithanjiang）。並依次單擊「確定」→「確定」按鈕，
第4步，返回「圖書編撰屬性」對話框，在「共享許可權」選項卡中選中剛剛添加的用戶（如「寒江釣叟」）。然後在「寒江釣叟的許可權」列表中選中「完全控制允許」復選框，並單擊「應用」按鈕，
第5步，切換到「安全」選項卡，單擊「添加」按鈕查找並添加第3中添加的用戶或組。然後選中「完全控制允許」復選框，並單擊「確定」按鈕，如圖2008112032所示。
「安全」選項卡
小提示：如果只在「共享許可權」選項卡中設置用戶許可權，而沒有在「安全」選項卡中設置，則用
戶在通過網路訪問共享文件夾時將只能看到而不能打開共享文件夾。
第6步，重復上述步驟設置其他文件夾的共享許可權和安全許可權。

9. 如何設置電腦共享許可權，設置共享文件夾訪問許可權

第1步，在開始菜單中依次單擊「管理工具」→「文件伺服器管理」菜單項，打開「文件伺服器管理」窗口。在右窗格中選中需要設置訪問許可權的共享名（如「圖書編撰」），並單擊「更改共享文件夾屬性」按鈕，如圖所示。
單擊「添加共享文件夾」按鈕第2步，打開「圖書編撰屬性」對話框，切換到「共享許可權」選項卡，並單擊「添加」按鈕，如圖所示。單擊「添加」按鈕
第3步，在打開的「選擇用戶和組」對話框中依次單擊「高級」→「立即查找」按鈕，然後在「搜索結果」列表框中選擇用戶或組。並依次單擊「確定」→「確定」按鈕，如圖所示。
「選擇用戶和組」對話框第4步，返回「圖書編撰屬性」對話框，在「共享許可權」選項卡中選中剛剛添加的用戶（如「寒江釣叟」）。然後在「寒江釣叟
的許可權」列表中選中「完全控制允許」復選框，並單擊「應用」按鈕

10. XP區域網訪問許可權問題

了解了共享資源不能成功互訪的主要原因後，我們就可以對症下葯，徹底解決訪問中出現的問題。

1．啟用Guest賬號

在很多情況下，為了本機系統的安全，Guest賬戶是被禁用的，這樣就無法訪問該機器的共享資源，因此必須啟用Guest賬戶。

筆者以Windows XP系統為例進行介紹。在共享資源提供端，進入到「控制面板→管理工具」後，運行「計算機管理」工具，接著依次展開「計算機管理（本地）→系統工具→本地用戶和組→用戶」，找到Guest賬戶。如果Guest賬戶出現一個紅色的叉號，表明該賬戶已被停用，右鍵單擊該賬號，在Guest屬性對話框中，去除「賬戶已停用」的鉤選標記，單擊「確定」後，就啟用了Guest賬戶。此方法適用於Windows 2000/XP/2003系統。

提示：使用Guest賬戶訪問共享資源存在很大的安全隱患。當然我們也可以為每個訪問用戶創建一個指定的賬號。首先在共享資源提供端創建一個新的賬號，然後指定該賬號的訪問許可權。接下來在要訪問該共享資源的客戶機中新建一個相同用戶名和密碼的賬號，使用此賬號登錄客戶機後，就能正常訪問該賬號所允許的共享資源。此方法較為安全，但要為網路中的每個用戶都創建一個賬號，不適合規模較大的網路。

2．修改用戶訪問策略

雖然啟用了本機的Guest賬號，但用戶還是不能訪問本機提供的共享資源，這是因為組策略默認不允許Guest賬號從網路訪問本機。

單擊「開始→運行」，在運行框中輸入「gpedit.msc」，在組策略窗口中依次展開「本地計算機策略→計算機配置→Windows設置→安全設置→本地策略→用戶權利指派」（圖1），在右欄中找到「拒絕從網路訪問這台計算機」項，打開後刪除其中的Guest賬號，接著打開「從網路訪問此計算機」項，在屬性窗口中添加Guest賬號。這樣就能使用Guest賬號從網路中訪問該機的共享資源了。此方法適用於Windows 2000/XP/2003系統。

3．正確配置網路防火牆
很多機器安裝了網路防火牆，它的設置不當，同樣導致用戶無法訪問本機的共享資源，這時就要開放本機共享資源所需的NetBIOS埠。筆者以天網防火牆為例，在「自定義IP規則」窗口中選中「允許區域網的機器使用我的共享資源」規則，最後點擊「保存」按鈕，這樣就開放了NetBIOS埠
。
4．合理設置用戶訪問許可權
網路中很多機器使用 NTFS文件系統，它的ACL功能（訪問控制列表）可以對用戶的訪問許可權進行控制，用戶要訪問這些機器的共享資源，必須賦予相應的許可權才行。如使用Guest賬號訪問該機器的CPCW共享文件夾，右鍵點擊該共享目錄，選擇「屬性」，切換到「安全」標簽頁，然後將Guest賬號添加到用戶列表中，接著指定Guest的訪問許可權，至少要賦予「讀取」和「列出文件夾目錄」許可權（圖2）。如果想讓多個用戶賬號能訪問該共享目錄，只需要添加Eeryone賬號，然後賦予「讀取」和「列出文件夾?..