----在microsoft.public.cn.windows.server新闻组上的提问 ----
各位好!办公室里面有大概10台计算机,均为XP professional系统,服务器为Windows Server2003
Enterprise(SP2),采用设置为域模式连接。因为需要为每个用户在服务器上分配一个文件夹存放他们的文件,我已经在服务器上为每个用户分别建立了对应的用户名并分组,并且给每个文件夹都分配了相应的权限。目前遇到的问题是,在有的xp计算机上,只是第一次或者是前几次通过网上邻居访问Server服务器时候,询问了相应的登录用户名和密码。几次之后,xp系统的计算机好像自动就"记住"了相应的用户名和密码,之后每次再进入根本不问用户名和密码就可以直接进入服务器上相应的文件夹了,当然没有权限的文件夹还是进不去的。这样现在就造成了一些麻烦,比如我们有的员工是上午上班,有的是下午上班,但使用的是同一台xp的计算机。上午的员工可以打开他自己在服务器上的文件夹,可是下午的员工因为计算机只"记住"了上午的员工的相应用户名和密码的信息,就死活打不开他服务器上的文件夹了(因为每个员工自己文件夹的权限都不同,并且互相不共享),甚至重新启动机器也不行,除非是在给下午上班的员工在这台xp机器上重新开一个User。但是因为专业软件只能在一个USER名称下使用,我们又不能增加其他的用户。请问各位老师,如何让这些xp机器,不记录登录到server时候的帐户和密码?而是强制每次用户在开机后都必须要输入自己在server上的用户名和密码,才能进入server上的相应共享文件夹?恳请大家帮忙,谢谢!
----补充提问 ----
望正茂老师:你好!
谢谢您的及时回复。您讲的原理我是明白的,因为我也参加过微软的MCP计划,了解过Server2003的相关知识。经过我的查找,发现问题是出现在"控制面板"--"用户帐户"--"存储用户和密码"的设置里面,这里面会把连接到共享文件夹时候的用户名以及密码记住。我通过手动删除这里面的相应设置,是可以做到每次重新开机后要求登录用户名和密码的。但是如果每次都要删除这样对于普通用户是比较麻烦的,因此我想请教您能否通过一些工具或者编辑注册表的功能关闭这个"存储用户和密码"的功能。或者在第一次登录共享文件夹的时候,让"存储用户和密码"的选项无效(使其变成灰色,不能够点击)。 还希望您给予赐教。谢谢! 顺祝周末愉快!
==================================================================
经过查找和摸索,终于找到了解决的办法如下:
首先,以前存储的用户名和密码,可以通过"控制面板"-"用户帐户"-相应帐户下的"高级"选项里面的"存储用户名和密码"对话框,之后可以清除已经存储的用户名和密码了(当然你还可以编辑个添加这些信息)。
然后,需要在组策略管理器(gpedit.msc)里面调节一些设置,具体如下:
1、可通过打开相应的策略并按以下方式展开控制台树来配置该安全设置:
中文:
计算机配置\Windows 设置\安全设置\本地策略\安全选项\
网络安全: 不要在下次更改密码时存储 LAN Manager 的 Hash 值
西文:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\
Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña
英文:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Network security: Do not store LAN Manager hash value on next password change
将这个值改成: Enable
2、在相同的选项组下的另外一个值:
中文:
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports
西文:
Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la autenticación del dominio
英文:
Network access: Do not allow storage of credentials or .NET Passports for network authentication
将这个值改成: Enable
此外,这步也可以在注册表里面修改
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"NoLMHash"=dword:00000001
最后,重新启动计算机,之后在进入需要密码的服务器共享文件夹的时候,就不会记录相应的用户名和密码了,打打增强了办公环境下的安全性。
没有评论:
发表评论