Это не место для "лучших практик"; это форум для решения конкретных проблем. (В идеале одна проблема для каждой темы.)
Например, я не могу создать пользователя с именем "администратор".
Это уже существует; см. lusrmgr.msc если вы хотите разблокировать и использовать его. Встроенная учетная запись является чем-то особенным, например, она обходит UAC и распознается на экране входа в систему как всегда локальная (не доменная) учетная запись.
Для локального использования UAC несколько смягчает проблему - даже если вы вошли в систему как администратор, вы фактически не получите права администратора, пока не пройдете запрос на повышение прав ("запуск от имени администратора"). К сожалению, нет такой вещи для сетевых привилегий; Если вы войдете в систему как администратор домена, то не будет никаких подсказок или блокировок, которые мешают вредоносному ПО выполнять администрирование AD, как вы. Так что практика все еще актуальна.
Я думаю, что всем этим можно управлять, просто понимая, как создать "рабочую группу" и управлять ею.
Рабочие группы на самом деле не влияют на учетные записи; пользователи продолжают использовать свои локальные учетные записи и входят на серверы, используя учетные записи на этом сервере. Чтобы быть ясным - в Windows "рабочая группа" - это не то, что вы отдельно включаете, и оно не дает вам никаких новых функций. Это просто режим по умолчанию для автономных (не доменных) компьютеров.
(Не путать с "именем рабочей группы", которое является параметром просмотра NetBIOS, который сообщает ему, какие компьютеры показывать / обнаруживать, а какие игнорировать.)
Возможно, вы думаете о доменах (Active Directory), которые централизуют аутентификацию и предоставляют функции централизованного управления (через групповую политику и т.д.).
Или вы можете путать рабочие группы с HomeGroups, которая раньше была реальной ориентированной на рабочие группы функцией в Windows 7–8.1, которая автоматически настраивала общую учетную запись для всей локальной сети на всех компьютерах, присоединенных к домашней группе. (Как следует из названия, домашние группы предназначались для домашнего использования, где все машины являются доверенными. Домашние группы были удалены в Windows 10.1803.)
Поскольку мне пришлось включить SMBv1 на каждой машине, чтобы компьютеры отображались в "Рабочей группе" в навигаторе.
На самом деле это последняя вещь, с которой приходится сталкиваться с технической стороны - она включает в себя самые сложные протоколы и наиболее далека от фактического соединения файлового сервера. (Для ясности обратите внимание, что включение "SMBv1" в функциях Windows на самом деле включает два протокола одновременно - второй - весь пакет NetBIOS, и именно это предоставляет вам эти функции.)
На самом деле доступ к файлам другого компьютера - это самая простая часть, все, что вам нужно, это обычный SMBv2/3 и IP-адрес этого компьютера. Откройте \\192.168.x.y в навигаторе, и он у вас есть.
Доступ к другим компьютерам по имени требует дополнительных протоколов, но все же технически прост. Он может обрабатываться DNS на вашем маршрутизаторе, или LLMNR в WinVista+, или mDNS в Win10.1803+, или, наконец, NBNS NetBIOS, если вы включили функцию "SMBv1".
Это позволяет вам использовать \\computername в навигаторе. Но, в конце концов, все, что он делает, это конвертирует имя в IP-адрес, так что вы все равно должны сначала работать # 1
Наконец, обнаружение других компьютеров требует более сложных протоколов и даже функций, которые должна поддерживать сеть. В Windows есть два протокола, которые можно использовать для этого (одновременно): WS-Discovery из эпохи SMBv2/3 и NetBIOS Browsing из эпохи SMBv1.
NetBIOS Browsing был разработан для локальных сетей в 1990-х годах, и хотя он старался быть менее хрупким, в современных локальных сетях он имеет тенденцию к достижению противоположного результата. Кроме того, чтобы вообще включить NetBIOS, нужно было также включить SMBv1 - и SMBv1 считается серьезным вектором атаки даже самими Microsoft. Поэтому сначала вы должны попытаться заставить WS-Discovery работать без включенного SMBv1/NetBIOS.
Для этого снова удалите клиент и сервер SMBv1, а затем активируйте две службы "Обнаружение функций" через services.msc . См. Эту статью Microsoft KB для получения дополнительной информации (прокрутите вниз до "Просмотр сети Explorer").
(Примечание. Для WS-Discovery и вышеупомянутого LLMNR может потребоваться включение IPv6 в системах. Если вы отключаете IPv6 ... не отключайте IPv6.)
В среде "файлового сервера" вам не нужно беспокоиться об обнаружении - люди не будут подключаться к компьютерам друг друга случайно, они будут просто подключаться к определенным общим папкам на указанном вами сервере. Вы можете просто сделать ярлыки на рабочем столе или сопоставить сетевые диски для них.
