windows系统想共享文件给其他设备使用时非常的简单，只需要在文件夹上配置共享就可以了。但多用户使用的时候，这样的权限配置就过于粗糙了，会带来很多麻烦的问题。

本篇文章的内容主要两个方面

1，配置smb共享专用用户组和用户，仅授予smb访问权限。

2，配置smb相关安全设置

一，新建smb共享专用用户组和用户并配置权限

用windows当nas系统共享文件时都会新建一个普通账号用户访问共享文件夹，在默认情况下，新建的普通账号都是隶属于windows内置的“user”组，该组拥有一些有限权限，比如本地或者远程登陆，运行软件，修改本账户隶属的文件，但不能修改系统设置。

显然我们不希望smb共享账号能够具备登陆到桌面并运行软件的权限，所以我们要配置一个专门的smb共享用户组。当然也可以新建一个smb专用账号，直接配置权限。只不过这样每新建一个smb专用账号都得配置权限，非常的麻烦。建立一个smb专用用户组配置好权限后，只要将新建的smb专用账号拉入这个用户组就自动配置好了访问权限。

1.1新建nas专用用户组

开始菜单右键找到“计算机管理”——打开“计算机管理”——打开“用户和组”——进入“组”——右键选择“新建组”。

根据自己的需求填入“组名”和“描述”，此时专用组就已经建立好了。

1.1.2新建专用账户

进入“用户”——右键选择“新建用户”——根据自己需求填入“用户名”，“全名”和“描述”

新建的用户是被禁用的，还不能直接使用。需要激活用户后才能使用。

在新建立好的用户，右键“属性”——把“账户已禁用”的勾去掉，应用后即可激活用户

新建立的用户默认都会隶属于users用户组，我们不需要共享专用账号有那么高的权限。所以需要变更用户组。

打开“属性”——“隶属于”，选中“users”后删除，然后点击“添加”选项——在下方的输入框输入刚才的新建的用户组，比如我的是“nasusers”——点击“检查名称”。若是看到计算机名+组名的出现，则表示检查通过，直接确定——应用，此时可以看到新建的用户已经变更为了nasusers用户组。

顺手把Guests用户禁用。我们不希望其他人能登陆系统或者访问系统，所以这里需要禁用掉。

打开“用户”——右键“guests”——勾选“账户已禁用”——“应用”——“确定”

1.2配置smb共享专用用户组的权限

开始菜单右键——选择“运行”——在输入框输入“secpol.msc”——打开“本地安全策略管理器”——找到“本地策略”——“用户权限分配”

在这里只需要处理三个权限：1.“从网络访问此计算机”，2.“拒绝本地登录”，3.“拒绝通过远程桌面登录”

1.2.1.配置“从网络访问此计算机”

“从网络访问此计算机”指只有授权的用户能够通过网络来访问到本机上的共享文件资源（包括共享的打印机）

默认情况下，“从网络访问此计算机”里有一个“everyone”用户，这个用户代表windows上所有的已激活用户，除了配置了禁止“从网络访问此计算机”的用户和用户组以外，所有的用户都被授予了这个权限。因此新建立好的smb共享专用用户组都是具备“从网络访问此计算机”。但有些系统默认没有配置“everyone”用户。

当然为了安全起见，我们也不需要“everyone”用户，把他删除掉。

给smb共享专用用户组增加“从网络访问此计算机”的权限。

这里需要打开“对象类型”——勾选“组”，这样子才能搜的到我们刚才新建的smb共享专用用户组

1.2.2禁止smb专用用户组登录到桌面

我们不希望smb专用用户有登录桌面的权限，windows登录到桌面有两种方式：本地登录（直接接键鼠显示器的那种），远程登陆。所以在这里我们把smb专用用户组添加到“拒绝本地登录”，“拒绝通过远程桌面登录”中就可以了。添加方法参考上面1.2.1。

1.3基于存储的枚举，在文件共享中隐藏

这个功能可以在访问windows文件共享服务时，隐藏没有共享权限的文件夹，用户只能看到有共享权限的文件夹。对于配置了多组用户多组权限的场景来说，共享用户使用起来更清爽，没权限的文件夹直接看不到。

这个功能是windows server版才具备的功能。后期的关于smb共享文章会另外详细说明。

二，smb相关安全配置

1.停止使用smb 1.0

smb1.0是上个世纪80年代的产物了，距今已经有40年时间了。受限于时代背景，其安全性有重大问题，因此不推荐使用。

默认情况下，在windows10/11或者同时期的server系统中是默认关闭的。如果你此前因为smb问题打开了smb1.0支持，推荐将其关闭。

打开控制面板，找到“启用或关闭windows功能”——取消勾选“SMB1.0/CIFS文件共享支持”——重启系统。

现在大部分的设备或者是操作系统都是支持smb2.0以上的版本了的，对于不支持的软件就只能更换别的软件使用。

安卓端文件管理器方面，可以使用免费无广告的cx文件管理器，用于替代es文件管理器

安卓端视频播放器方面，可以使用nplayer，他支持硬件解码，多种网络共享协议和海报墙

安卓智能电视或者电视盒子方面，可以使用当贝播放器，新版本中已经支持smb3协议

苹果设备ios/ipados/apptvos，早在2019年的ios13/ipados13中，已原生支持smb3协议。文件访问方面使用ios/ipados自带的“文件”应用访问，播放器可以使用便宜的nplayer或者是大名鼎鼎的infuse。appletv直接使用infuse播放就行了，软件支持smb3协议。

2.1禁用不安全的来宾登录

运行输入“gpedit.msc”——打开“本地组策略编辑器”——找到“启用不安全的来宾登录”——勾选“已禁用”——应用。

禁用的目的是为了，避免本地以来宾账户登录到未知服务器，造成数据泄露风险。比如中间人搭建的虚假服务器。

2.2.smb相关网络安全配置

这些配置同样在“本地组策略编辑器”中，这里主要配置5个选项。1.Microsoft网络服务器：对通信进行数字签名(始终)，2.Microsoft网络客户端：对通信进行数字签名(如果服务器允许)，3.Microsoft网络客户端：对通信进行数字签名(始终) —— 禁用，4.设备：防止用户安装打印机驱动程序 —— 禁用，5.网络访问：本地账户的共享和安全模型。

1.Microsoft网络服务器：对通信进行数字签名(始终)。禁用这个选项。服务器开启数字证书签名以防止中间人攻，客户端在访问服务器时也必须启用数字签名。否则服务器将拒绝客户端访问。这个建议关掉，部分操作系统或者软件对smb支持不全，开始后可能导致无法访问。

2.Microsoft网络客户端：对通信进行数字签名(如果服务器允许)。启用该选项。当本地作为客户端访问服务器时，服务器启用数字签名时，本机也能顺利访问。

3.Microsoft网络客户端：对通信进行数字签名(始终) 。 禁用这个选项。当本机作为客户端访问服务器时，强制要求服务器启用数字签名，若服务器不启用数字签名则拒绝通讯。禁用此选项后，是否启用数字签名由服务器和客户端协商。

4.设备：防止用户安装打印机驱动程序。禁用这个选项。就是禁止使用非管理员账户登录的客户端从本机下载打印机的驱动。

5.网络访问：本地账户的共享和安全模型。这个选项比较重要！！！！

在默认下，值为经典——对本地账户的网络登录进行身份验证。

在这个配置下，会通过本地账户进行身份验证，并根据账户的不同分配不同的访问权限。

比如A账户可以访问1号文件夹，不可以访问2号文件夹。B账户可以访问2号文件夹，不可以访问1号文件夹。

如果配置为仅来宾模式，则所有的账户都会自动映射为来宾账户，所有用户权限平等。无法根据账户分配不同的访问权限。还是上面的例子，AB两个账户都可以访问1号和2号文件夹。

而且配置了这个模式，将允许匿名账户登录并访问共享资源。也就是说网络中的所有人都可以读写服务器的文件。这是一个不安全的模式

如果默认不是“经典——对本地账户的网络登录进行身份验证”必须改成“经典——对本地账户的网络登录进行身份验证”

2.3启用当前网络的共享和加密配置

打开“网络共享中心”——点开“专用”——勾选“启用文件和打印机共享”

关闭公共文件共享，勾选加密。

此时windows作为nas的smb安全配置就已经配置完成了，下一篇文章将配置windows的存储和共享。