如果您希望在Windows 10中对特定文件夹实施可控、安全的网络共享,仅启用基础共享功能远远不够。高级共享权限需结合共享层与本地NTFS层双重配置,否则远程用户即使能发现共享名,仍会遭遇“拒绝访问”或“无权限”提示。以下是实现安全共享的具体操作路径:
一、启用网络发现与文件共享基础服务
这是所有共享行为的前提条件,确保本机在网络中可被识别且允许SMB协议通信。若该步骤未完成,后续所有权限设置均无法生效。
1、点击任务栏搜索框,输入“网络和共享中心”,打开对应控制面板界面。
2、在左侧菜单中点击“更改高级共享设置”。
3、展开当前网络配置(通常为“专用”),勾选“启用网络发现”和“启用文件和打印机共享”。
4、滚动至“所有网络”部分,将“密码保护的共享”设为启用——此项强制要求客户端使用有效本地账户凭据登录,是提升共享安全性的关键开关。
5、每项修改后必须点击“保存更改”,否则设置不持久。
二、通过高级共享配置共享层权限
此步骤定义谁可以通过网络路径(如\DESKTOP-ABCDocs)连接到该共享,以及其初始访问能力范围,但不决定具体文件操作权限。
1、右键目标文件夹,选择“属性”,切换到“共享”选项卡。
2、点击“高级共享”按钮,勾选“共享此文件夹”,并在“共享名”中输入不含空格与特殊字符的名称(例如:ProjectData)。
3、点击“权限”按钮,在弹出窗口中点击“添加”。
4、在输入框中键入您已创建的专用本地用户名(如shareuser),点击“检查名称”确认存在后添加。
5、选中该用户,在下方权限列表中仅勾选“读取”和“更改”——避免勾选“完全控制”,以防远程用户误删共享配置本身。
6、逐层点击“确定”保存设置。
三、同步配置NTFS安全权限
共享权限仅控制网络连接入口,而实际能否读写文件由NTFS权限决定;二者取交集生效,缺一不可。忽略此步是“连接成功但无法操作”的最常见原因。
1、仍在同一文件夹“属性”窗口中,切换到“安全”选项卡。
2、点击“编辑”,再点击“添加”。
3、输入同一本地用户名(如shareuser),点击“检查名称”确认后添加。
4、选中该用户,在权限列表中勾选以下四项:读取和执行、列出文件夹内容、读取、写入。
5、点击“应用”,在弹出提示中选择将更改应用于此文件夹、子文件夹和文件,再点击“确定”。
四、启用SMB协议并放行防火墙规则
Windows 10默认禁用老旧SMBv1协议,但部分设备或组策略可能依赖SMBv2/v3;同时,Windows Defender防火墙若拦截TCP 445端口,将直接阻断所有共享通信。
1、按Win + R,输入optionalfeatures.exe,回车后确保SMB Direct(推荐)已勾选;SMB 1.0/CIFS仅在明确需要兼容旧设备时启用。
2、按Win + R,输入services.msc,定位“Server”与“Workstation”服务,确认两者状态均为“正在运行”。若非运行,右键选择“启动”。
3、进入“控制面板 > 系统和安全 > Windows Defender 防火墙 > 允许应用或功能通过Windows Defender 防火墙”。
4、点击“更改设置”,找到“文件和打印机共享”,确保其在“专用”网络列中已被勾选。
5、手动检查入站规则:在防火墙高级设置中,确认“File and Printer Sharing (SMB-In)”规则已启用,且作用域为当前局域网IP段。
五、验证来宾访问策略与工作组一致性
当客户端以Guest身份或未提供凭据尝试访问时,系统默认拒绝;此外,若设备处于不同工作组(如WORKGROUP vs HOME),将无法在“网络”视图中相互发现。
1、按Win + R,输入gpedit.msc,导航至“计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项”。
2、双击“网络访问: 不允许SAM账户的匿名枚举”,将其设为已禁用;再双击“网络访问: 本地账户的共享和安全模型”,设为经典 - 对本地用户进行身份验证。
3、右键“此电脑” > “属性”,在“计算机名、域和工作组设置”中确认所有参与共享的设备均属于同一工作组,默认为WORKGROUP。
4、如需临时测试,可在“系统属性 > 更改设置 > 更改”中手动修改工作组名并重启生效。
