如何解决Windows文件夹共享后无法访问或提示“拒绝访问”？

一、网络连通性层：基础通信是否成立？

这是所有共享访问的前置条件。若目标主机不可达，后续所有配置均无意义。需验证：

• 使用 ping <目标IP或主机名> 确认ICMP可达（注意：部分环境禁ping，需结合其他手段）；
• 执行 telnet <目标IP> 445（需启用Telnet客户端）测试SMB端口连通性；
• 检查双方是否处于同一子网/正确路由下，工作组（Workgroup）名称一致（非域环境下关键）；
• 确认目标主机未启用“网络发现”或“文件和打印机共享”被系统策略/组策略禁用。

二、共享权限层：SMB共享级访问控制

共享权限仅控制“通过UNC路径（如\\server\share）进入共享点”的粗粒度授权，不涉及文件系统细节：

三、NTFS权限层：真正的访问闸门（常被忽略！）

Windows共享访问是共享权限 ∩ NTFS权限的交集结果——任一为“拒绝”即阻断。典型误操作：仅设共享权限却未配置NTFS。

• 右键文件夹 → “属性” → “安全”选项卡 → 检查目标用户/组是否存在且含读取和执行、列出文件夹内容、读取（必要时加写入）；
• 若用户不存在，点击“编辑”→“添加”→输入用户名（支持BUILTIN\Users、DOMAIN\Domain Users等）；
• 注意：继承权限是否启用？若父文件夹禁用继承，子项需手动赋权；
• 特殊场景：若启用了“加密文件系统（EFS）”，即使权限正确也无法访问加密文件。

四、身份验证模型层：本地安全策略的隐形开关

该策略直接决定Windows如何处理本地账户的网络登录请求：

1. 运行 gpedit.msc → 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 安全选项；
2. 定位策略：“网络访问：本地账户的共享和安全模型”；
3. 默认值为仅来宾 - 对本地用户进行本地身份验证（导致非Guest账户被强制映射为Guest，权限极低）；
4. 生产环境应设为经典 - 对本地用户进行身份验证，确保凭据以实际用户名传递并匹配NTFS主体。

五、SMB协议栈层：版本兼容性与安全演进

SMB协议存在代际差异，Win10/11默认禁用SMBv1（存在永恒之蓝漏洞），但老旧NAS、嵌入式设备或遗留脚本仍依赖它：

六、凭据与会话管理层：缓存陷阱与上下文错配

Windows凭据管理器（Credential Manager）会持久化错误密码，导致反复认证失败：

• 运行 control.exe /name Microsoft.CredentialManager 清除对应服务器条目；
• 使用 cmdkey /list 查看已保存凭据，cmdkey /delete:<target> 删除；
• 在资源管理器地址栏输入 \\<ip>\share 时，若提示“输入网络凭据”，务必勾选“记住我的凭据”并确保用户名格式正确（.\user 表示本地，domain\user 表示域）；
• 多用户登录同一台PC时，SMB会话可能残留旧凭据，建议注销后重试。

七、防火墙与服务层：端口与守护进程双校验

即使网络连通，若关键服务未运行或端口被拦截，SMB仍不可用：