必须启用密码保护共享并配置专用账户、NTFS权限、高级共享权限及组策略,才能强制凭据登录:一、启用“密码保护的共享”;二、创建带密码的本地受限账户;三、设置NTFS安全权限;四、删除Everyone并添加专用用户到高级共享权限;五、调整LAN管理器身份验证级别并禁用空密码账户。
如果您在Windows 10中设置了文件夹共享,但其他设备访问时未提示输入用户名与密码,说明密码验证机制尚未激活。以下是实现共享文件夹必须凭据登录的多种配置路径:
一、启用系统级密码保护共享
该设置强制所有网络访问者提交本机有效账户凭据,是密码验证的基础开关,不启用则后续账户配置无效。
1、点击任务栏右下角网络图标,选择“打开网络和Internet设置”。
2、在设置窗口中,点击“网络和共享中心”。
3、在左侧菜单中,点击“更改高级共享设置”。
4、展开“所有网络”部分,找到“密码保护的共享”选项。
5、选择有密码保护的共享,然后点击“保存更改”。
二、创建专用本地共享账户并绑定密码
避免直接暴露Administrator等高权限账户,新建受限账户可确保凭据唯一、可控,且便于权限隔离。
2、左侧依次展开“系统工具”→“本地用户和组”→“用户”。
3、右侧空白处右键→“新用户”,输入用户名(如shareuser)、密码,取消勾选“用户下次登录时须更改密码”和“用户不能更改密码”。
4、双击新建用户,在“隶属于”选项卡中点击“添加”,输入Users后确认。
三、为共享文件夹配置NTFS安全权限
共享权限仅控制网络连接入口,实际文件读写行为由NTFS权限决定;二者需同时配置,且以更严格者为准。
1、右键目标文件夹→“属性”→切换至“安全”选项卡→点击“编辑”。
2、点击“添加”→输入专用用户名(如shareuser)→点击“检查名称”→确定。
3、在权限列表中,为该用户勾选读取和执行、列出文件夹内容、读取、写入(按需选择,切勿勾选“完全控制”)→确定。
四、配置高级共享权限并移除Everyone默认项
删除Everyone可彻底阻断匿名访问路径,确保所有网络请求必须通过指定账户身份验证才能进入共享目录。
1、右键同一文件夹→“属性”→“共享”选项卡→点击“高级共享”。
2、勾选“共享此文件夹”,点击“权限”。
3、选中“Everyone”,点击“删除”;再点击“添加”,输入专用用户名(如shareuser)→“检查名称”→确定。
4、为该用户勾选读取或更改权限,点击“确定”逐层保存。
五、验证本地组策略兼容性(适用于无法弹出凭据框场景)
当启用密码保护共享后仍可免密访问,可能因系统采用“经典:本地用户身份验证”策略导致凭据匹配失败,需调整为推荐模式。
1、按Win+R键,输入gpedit.msc,回车打开本地组策略编辑器(家庭版需先升级或使用替代方案)。
2、导航至“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”。
3、双击“网络安全:LAN管理器身份验证级别”,设置为发送LM和NTLM响应。
4、双击“账户:使用空密码的本地账户只允许进行控制台登录”,设为已禁用。
5、执行命令gpupdate /force刷新策略。
