WINDOWS網(wǎng)域管理
李忠憲 960213第二次增補
李忠憲 940929增補
黃添修 930909原稿
前言
先解釋一下「網(wǎng)域」:Windows 網(wǎng)路中「網(wǎng)域」一詞和 DNS 裡面的「領(lǐng)域」���,還有 IP Class 裡面的「網(wǎng)路」,三者因為名詞接近�,而常常被等同視之,造成許多誤解和觀念混淆��。Windows 網(wǎng)路中的「網(wǎng)域」����,是指一群電腦透過一臺或多臺伺服器進行帳號整合和權(quán)限控制的集中管理,其成員電腦是否在同一個 Class C 並不重要���,也就是說 windows 網(wǎng)域的涵蓋範(fàn)圍與 IP Class 的網(wǎng)路範(fàn)圍並不等價���。至於 DNS 中的領(lǐng)域只是用來作 URL 與 IP 的對應(yīng),同一個領(lǐng)域裡的電腦���,其 IP 並不一定在同一個 Class 中�,也不一定要加入同一個 windows 網(wǎng)域。這三種名稱接近的機制��,基本上是獨立運作的�。
Win200x 雖然源自於 NT�,但是由於網(wǎng)域觀念的改變幅度太大,兩種網(wǎng)域並無法融合的很好���,如果純以 Win200x 來架構(gòu)網(wǎng)路�,當(dāng)然更能發(fā)揮 Win200x 在網(wǎng)路機制上的嶄新功能�。但是考慮企業(yè)現(xiàn)有NT應(yīng)用程式開發(fā)與相容性問題,大多企業(yè)還是希望採行混合網(wǎng)域的建置�����。使用混合網(wǎng)域之前���,我們先來暸解一下����,到底採用純 Win200x 架構(gòu)有什麼好處�?
Active Directory
Win200x 採用 AD 來進行網(wǎng)域管理的工作,其中改革幅度最大的是帳號管理和電腦管理的機制����。
帳號管理
過去帳號管理依靠 SAM 資料庫�����,必須透過所謂「Windows 挑戰(zhàn)與回應(yīng)」(WCHAR)這種獨門的通訊協(xié)定來進行使用者認(rèn)證�����,由於這個機制太特殊����,微軟又不願公開內(nèi)容��,導(dǎo)致不同平臺之間的整合有困難�����,並且也使得WinNT無法支援其它的網(wǎng)路設(shè)備的認(rèn)證��。 同時由於 WCHAR 採用 DES(修改過的 MD4)來進行編密�,密碼可以透過解碼程式還原,如果和 Linux 上採用的 MD5 編密法來比較�����,由於 MD5 無法被還原,在安全性上比 winNT 網(wǎng)域還要好�。
新的帳號管理是將 SAM 資料庫當(dāng)後端,以 LDAP 通訊協(xié)定當(dāng)前端提供帳號認(rèn)證功能��,當(dāng)使用者登入網(wǎng)域時����,就使用 Kerberos 通訊協(xié)定來傳遞密碼�����,密碼則改用安全性較高的 MD5 演算法來編密�����,其結(jié)構(gòu)如下圖:
LDAP 是衍生自 DAP 的輕型通訊協(xié)定�,以 TCP/IP 來實作,許多比較複雜的資料庫操作並沒有被包含在內(nèi)����,原因就在於 TCP 不適合作重型傳輸,而 UDP 又不適合作資料庫動態(tài)交易�。無論如何LDAP 拿來作目錄服務(wù)、帳號管理是相當(dāng)合適的�����。LDAP 的原始精神在於契合 DNS 領(lǐng)域的觀念,希望發(fā)展出人類的URL定址�,有點像 http://www. 是一個站臺,而 ldap:///o=Taipei Edu-Network Center,c=tw??sub?(cn=李忠憲) 是一個人��,換句話說����,LDAP也可以當(dāng)成人名錄來作查詢(outlook系列已經(jīng)支援 LDAP 人員搜尋)。
LDAP 的原始設(shè)計裡面����,分為幾個階層式架構(gòu),c 代表地域�,o 代表組織,而 o 裡面的物件 person 和 group 分別代表個人和群組��,這種設(shè)計當(dāng)然與 Win200x 裡面的AD稍有不同����,Win200x 為了管理上的需求,以 dc 階層取代了 c 階層��,以 ou 階層取代 o 階層。
dc 階層就是指 win200x 網(wǎng)域的管轄範(fàn)圍���,對跨國企業(yè)來說�����,它已經(jīng)超越了 c 階層的地域觀念�����,想像一下臺灣的宏碁與美國的宏碁屬於同一個 dc 的情形�,要理解 dc 階層的概念並不難�����。
其實就是因為 LDAP 高彈性的作法��,讓 Win200x 的群組管理顯得複雜起來�����,不過只要把觀念弄清楚�����,其實也很簡單�����。關(guān)鍵在於 ou 階層是所謂「行政的群組」��,而 group 是所謂「權(quán)限的群組」���,這就好比「業(yè)務(wù)部」的陳「經(jīng)理」和「研發(fā)部」的王「經(jīng)理」是好朋友���,「業(yè)務(wù)部」、「研發(fā)部」是ou��,而「經(jīng)理」是group��。在 LDAP 原始設(shè)計中���,o(ou) 和 group 是兩種獨立的觀念����,但在AD 裡面兩者都可以被賦予原則���,有許多人就在這種情形下弄擰了觀念���。
使用 LDAP 除了讓帳號管理更具彈性以外���,另一個好處是可以使用公開的 LDAP API 來撰寫應(yīng)用程式,使應(yīng)用程式與網(wǎng)域使用者能更緊密的結(jié)合�。由於資料欄位可以自由擴充,企業(yè)可以依自己的需要開發(fā)出人事管理系統(tǒng)��,而該人事資料又自動成為企業(yè)內(nèi)各種網(wǎng)路設(shè)備的成員帳號��。並且由於 LDAP API 的標(biāo)準(zhǔn)是公開的�,因此不管由哪家廠商來開發(fā)都可以彼此相容!
電腦管理
電腦管理的問題可以分成兩方面來探討����,一是電腦名稱辨識的問題,一是網(wǎng)域成員認(rèn)證的問題����。過去 winNT 的電腦名稱是以 NetBios 名稱來實作��,這就造成廣播風(fēng)暴問題和無法跨越 Router 問題���,雖然微軟已經(jīng)將 NetBios 名稱服務(wù)封裝成 TCP/IP 格式的 NetBT�,但這只解決了跨越 Router 問題,廣播的問題仍然存在�����。
微軟後來開發(fā)的 WINS 伺服器雖然可以有效降低廣播風(fēng)暴的發(fā)生����,但仍然不能徹底解決頻寬被佔用的老問題,造成使用者與網(wǎng)管師相當(dāng)程度的困擾���。在 Win200x 中由於網(wǎng)路機制改採 TCP/IP 來實作���,所以這種落伍的名稱服務(wù)已然被淘汰(相容前版模式例外),於是 DNS 就成為電腦名稱辨識的不二人選���。
在 Win200x 網(wǎng)域內(nèi)的所有成員電腦�,其名稱一律沿襲 DNS 命名法����,如果安裝時選擇與舊 Windows 網(wǎng)路相容,那麼就會將 DNS 命名的頭碼當(dāng)成 NetBios 名稱��。DNS 名稱會寫入 SAM 資料庫中保管�,以便備份和移轉(zhuǎn)����。
那麼 Win200x 又如何來辨識某電腦是否為網(wǎng)域成員呢��?當(dāng)某臺工作站要求加入到網(wǎng)域內(nèi)作為成員時�,會透過 DNS 伺服器中的 SRV 紀(jì)錄找到網(wǎng)域主控站,網(wǎng)域主控站會為這臺工作站建立一個電腦帳號(在 windows 網(wǎng)域中帳號區(qū)分為使用者帳號����、電腦帳號和服務(wù)帳號三種),並產(chǎn)生 SID����,然後由金鑰配發(fā)中心(KDC),配發(fā)憑證(金鑰)����,SID 及憑證會儲存於網(wǎng)域成員電腦的系統(tǒng)登錄裡面,像這樣經(jīng)過網(wǎng)域主控站認(rèn)證的電腦�,我們可以將它稱為「可信任電腦」。
由於過去大家對於網(wǎng)域成員的認(rèn)證都很忽視��,例如 WinNT 也僅只對網(wǎng)域成員進行單向認(rèn)證����,所以常發(fā)生安全漏洞被駭客利用。為了改善此問題����,在 Win200x 中採用 Kerberos 5 來進行雙向認(rèn)證,在使用者登入前���,伺服器與工作站先交換金鑰��,並向 KDC 查驗是否正確���,網(wǎng)域主控站可藉此來決定該使用者是否有權(quán)登入該主機,如果發(fā)現(xiàn)該使用者有登入權(quán)限����,接著再以 LDAP 向 AD 查驗帳號密碼。安全性相對比起 NT 來的高許多����,並且由於 Kerberos 和 LDAP 是 TCP/IP 上面的標(biāo)準(zhǔn),所有其他平臺如Solaris����、Linux、FreeBSD......等等都可以透過 Win200x 帳號來進行登入���。
與前版網(wǎng)域相容模式
在 Win200x 網(wǎng)域主控站安裝時�,如果選擇「與Windows 2000前版網(wǎng)域相容」選項,裝完AD之後��,就可以使用「AD網(wǎng)域與信任」管理工具����,來建立與舊有 NT 網(wǎng)域之雙向信任,就可以讓擁有 NT 網(wǎng)域帳號的使用者分享 200x 網(wǎng)域的資源�����。
採用與前版網(wǎng)域相容模式�,除了可以整合舊有 NT 網(wǎng)域外,還支援 NBT 通訊協(xié)定及 WCHAR 認(rèn)證方式���,讓 win9x 可以直接登入「與前版相容的 Win200x 網(wǎng)域」�,但是因為 Win98 缺乏 Kerberos 用戶端程式會被 Win200x 當(dāng)成未授權(quán)使用者��,不但無法享有 Win200x 所帶來的各種安全性措施��,而且為了讓 Win98 得以存取 200x 網(wǎng)域分享的資源��,許多 Win200x 伺服器上的安全原則都必須撤離�,這使得 200x 網(wǎng)域只能當(dāng)成陽春的 NT 網(wǎng)域來使用。
想要升級成原始模式�,首先必須衡量以下的條件:
- 校內(nèi)已經(jīng)沒有 win9x 和 winNT 工作站。
- 已建置與 AD 整合之 DNS��。
- 全校所有電腦都已經(jīng)加入 win200x 網(wǎng)域���。
滿足上述條件後�����,始可將 DC 由相容模式變更為原始模式�����,但要記住一旦變更為原始模式就無法再還原了��!
網(wǎng)域主控站
在 Win200x 網(wǎng)域中負(fù)責(zé)管理帳號和權(quán)限的機器稱為 DC��,DC 儲存了使用者帳戶����、群組��、印表機….等物件的資料,DC 與 DC 之間可以透過 LDAP 彼此交換資料以達到帳號同步的目的���。為了預(yù)防 DC 故障造成網(wǎng)域崩潰����,最好是在組織網(wǎng)域的初期就建置冗餘的 DC�,以備不時之需。
※在WIN_NT4.0中���,一個網(wǎng)域之中必須存有一臺 PDC�, 網(wǎng)域間的信任是單向���,且不具遞移性����,而網(wǎng)域的帳戶資料儲存於 PDC 的 SAM 資料庫中�����,容量最多 40MB����。
當(dāng)一個機構(gòu)中的電腦分屬於不同的網(wǎng)域時,也就是說一個機構(gòu)中具有多網(wǎng)域時,此刻就有信任上的問題����,若根網(wǎng)域甲的 Domain name 為 test.,而乙是為甲的子網(wǎng)域�����,Domain name 為 class.test.�����,丙為為甲的子網(wǎng)域�,Domain name 為 lib.test.�。三者之間具信任關(guān)係。因為 Win200x 網(wǎng)域之間的信任是雙向的並具遞移性�����,也就是說當(dāng)甲與丙互相信任��,甲與乙互相信任���,那麼乙和丙也會互相信任�����。故使用者的帳號是可以開在甲��、乙或丙任何一個之中皆可����。
網(wǎng)域本身就是一個管理單位,所以將一個學(xué)校中的網(wǎng)域數(shù)量降到愈少愈好��,如此管理上就會比較簡單���。第一個建立的網(wǎng)域是根網(wǎng)域�����,根網(wǎng)域的建立時必需建立在 DNS 的基礎(chǔ)之上���,因為 微軟公司修改了 DNS 架構(gòu)新增 SRV 紀(jì)錄類型,使得網(wǎng)域成員可以透過 DNS 中的 SRV 紀(jì)錄查詢 AD����,因此安裝 AD 時將會要求 DNS 的位址,以便建立 SRV 紀(jì)錄����。其餘再建立的網(wǎng)域皆為子網(wǎng)域����,而形成一個網(wǎng)域樹��。二個以上網(wǎng)域樹彼此在根網(wǎng)域上做了彼此的信任後��,則形成 Forest����,原則上一個學(xué)校中最多規(guī)劃成一個 Forest 即可�。
安裝 AD
安裝AD方式如下:下列二法中擇一來做
AD目錄服務(wù)安裝過程
步驟一�、從『開始』功能表打開『執(zhí)行』�,輸入’dcpromo ’的指令之後按『確定』
﹝如下圖﹞。
步驟二����、出現(xiàn) Active Directory 安裝精靈的畫面����,按『下一步』�。
步驟三、選擇此臺 DC 在網(wǎng)域中所扮演的角色�,若此臺是您網(wǎng)域中的第一臺 DC 請點選『新網(wǎng)域的網(wǎng)域控制站』,並按下一步����。
步驟四、若這是您的第一個網(wǎng)域﹝也就是說不是某個現(xiàn)存網(wǎng)域的子網(wǎng)域﹞�,請點選『建立新的網(wǎng)域樹狀目錄』,並按下一步��。
步驟五��、若這是您的第一個網(wǎng)域�����,請點選『建立新的網(wǎng)域樹狀目錄的新樹系』����,並按下一步��。
步驟六���、輸入您網(wǎng)域的完整 DNS 名稱,並按下一步����。
步驟七、輸入新網(wǎng)域的 NetBIOS 名稱���,並按下一步��。
步驟八、設(shè)定將來 AD 資料庫及紀(jì)錄檔存放的位置(建議和系統(tǒng)放在不同硬碟上����,可以增加效率),並按下一步����。
步驟九、設(shè)定 Sysvol 資料夾的位置�����,並按下一步。
步驟十��、如果您要在本機上安裝了 DNS 請選擇『是����,在這部電腦上安裝並設(shè)定 DNS』,並按下一步���。
步驟十一�����、如果您不是在純 Win200x 環(huán)境中��,請選擇上面的選項�����,並按下一步��。
步驟十二�、輸入目錄還原模式的密碼�����,並按下一步。
步驟十三��、檢查你選取的項目�,若無錯誤請按下一步。
步驟十四���、AD目錄服務(wù)正在設(shè)定中���。
步驟十五、按下『完成』���。
步驟十六��、必須重新啟動電腦��。
綜合以上所言,裝 AD 的要點如下:
-
是新網(wǎng)域中的 DC��,還是現(xiàn)存網(wǎng)域中冗餘 DC
-
是新的網(wǎng)域樹狀目錄嗎�?若不是的話,必須先在根網(wǎng)域的 DNS 上先建立對應(yīng)的 URL 領(lǐng)域�����。
-
裝 AD 時,在本機建個 DNS_Server 會比較好裝
使用者管理
使用者帳號(User Account)的種類約可以分做兩類:
第一類為本機使用者帳戶(Local User Account):只能在單機使用的帳號�,這個帳號無法用來登入其他電腦,除非是網(wǎng)域中有一帳號和密碼和本機使用者相同��。
第二類為網(wǎng)域使用者帳戶(Domain User Account):為建立在網(wǎng)域控制器伺服器 (DC) 的帳號����,可以用來登入網(wǎng)域中的可信任電腦,並可存取網(wǎng)域中的資源(共享檔案��、印表機......等)��,當(dāng)然我們可以在 DC 上設(shè)定哪些電腦允許哪些帳號登入�,哪些共享資源允許哪些帳號使用,這就是後面會專題探討的「權(quán)限管理」機制���。
-
建立Domain User Account的方法如下:必須使用【Active Directory使用者及電腦】嵌入單元來建立其Account����,當(dāng)使用這個嵌入單元來建立Account時�,此帳戶會被建立在MMC主控臺所找到的“第一臺DC”,之後此Account會自動被複製到此Domain內(nèi)所有的裝Active Directory有DC中��。
-
【開始】/【程式集】/【系統(tǒng)管理工具】/【Active Directory使用者及電腦:“點選出現(xiàn)的網(wǎng)域名稱”(右鍵)】/【新增】/【使用者】
當(dāng)然作比較結(jié)構(gòu)化的管理,可以先建立一些不同的組織�����,以利你的管理和區(qū)別����;因為未規(guī)劃所建的使用者會 放在Users中和其他預(yù)設(shè)帳號混在一起會比較亂,所以我們必須建組織單位(OU)來作歸納分類��。亦即將李小華放入石牌國小的老師中���,這樣在未來做權(quán)限管理才會方便
但對上述李小華也可以將其歸類回石牌國小的老師中���,亦即在李小華上按右鍵移動至石牌國小的老師。
建組織單位可以先分類歸納好�����,如: 行政處室���、教師(一年級、二年級�����、三年級、四年級���、五年級����、六年級)���、實習(xí)教師......等��。
WIN2000大量帳號方法
大量建帳號方法有下列三種
1. 使用 NET USER 指令
語法如下:
NET USER [username [password | *] [options] [/DOMAIN]
username {password |*} /ADD [options] [/DOMAIN]
username [/DELETE] [/DOMAIN]
根據(jù)上述語法����,我們可以建立下列一個account.bat的批次檔���,內(nèi)容如下:
net user hjhon 10001 /add
net user hmary 10002 /add
net user hjack 10003 /add
net user hjackson 10004 /add
net user hellen 10005 /add
net user hsally 10006 /add
net user hmayhi 10007 /add
net user htelmay 10008 /add
net user hjohnson 10009 /add
net user hsala 10010 /add
※此檔可以配合由 Excel 產(chǎn)生�,方便建連續(xù)性的帳號��。
其執(zhí)行結(jié)果狀況如下:
其所建的帳號皆會在users之中�����,其結(jié)果如下:
2. 使用自行設(shè)計的 VBS 程式:
CreateOU.vbs
| 程式內(nèi)容 |
Dim cla(2)
cla(0)="校長室"
cla(1)="教務(wù)處"
cla(2)="學(xué)務(wù)處"
cla(3)="訓(xùn)導(dǎo)處"
cla(4)="總務(wù)處"
cla(5)="輔導(dǎo)室"
cla(6)="人事室"
cla(7)="主計室"
cla(8)="圖書館"
wscript.echo"現(xiàn)在開始建立組織單位"
‘Determine the LDAP path for your domain
Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)
For x=0 to 1
claname=cla(x)
Set ouLab=TargetOU.Create("organizationalUnit","OU="& claname)
ouLab.Put "Description",claname
ouLab.SetInfo
Next
‘Done
wscript.echo"組織單位建立完畢" |
CreateUsers.vbs
| 程式內(nèi)容 |
dc_ip="172.16.1.1"
dc_domain="syups."
home_driver="T"
login_script="path.bat"
user_quota=10240
Set conn=CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)};DBQ=c:\win2000建帳號程式\account.mdb;"
Set rs=CreateObject("ADODB.RecordSet")
SqlStr="SELECT * FROM 帳號清單"
rs.Open SqlStr,conn,3,1
set oAD=GetObject("LDAP://RootDSE")
set wsh1 = CreateObject("WScript.Shell")
Do Until rs.EOF
Set oDomain=GetObject("LDAP://" & dc_ip & "/OU=" & rs("部門") & "," & oAD.Get("defaultNamingContext"))
struser = rs("帳號")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實姓名")
oUser.Put "userPrincipalName",struser & "@" & dc_domain
oUser.Put "mail",""&rs("電子郵件")
oUser.Put "wwwHomePage", ""&rs("個人首頁")
oUser.Put "streetAddress", ""&rs("地址")
‘oUser.Put "title", ""&rs("職稱")
‘oUser.Put "department", ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
‘oUser.Put "profilePath","\\" & dc_ip & "\user$\"&struser
oUser.Put "homeDirectory","\\" & dc_ip & "\data$\"&struser
oUser.Put "homeDrive",home_driver
oUser.Put "scriptPath",login_script
oUser.Put "maxStorage",int(user_quota)
oUser.SetInfo
oUser.SetPassword ""&rs("密碼")
Usercount=Usercount+1
‘userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser
‘mycommand = "cmd /c md " & userprofile
‘wsh1.run mycommand
mycommand = "cmd /c md " & userhome
wsh1.run mycommand
‘mycommand = "cmd /c echo y| CACLS " & userprofile & " /E /C /G " & struser & ":F"
‘wsh1.run mycommand
mycommand = "cmd /c echo y| CACLS " & userhome & " /E /C /G " & struser & ":F"
wsh1.run mycommand
End If
rs.MoveNext
Loop
msgbox"成功建立"&Usercount&"個使用者!"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing |
Account.mdb內(nèi)容如下:
修改檔案的存取控制清單 (CACLS)
語法如下:
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL��。
/T 變更指定檔案的 ACL 於
現(xiàn)有的目錄或所有子目錄中��。
/E 編輯 ACL 而非將它取代�。
/C 拒絕存取的錯誤繼續(xù)發(fā)生。
/G user:perm 授與指定的使用者存取權(quán)限���。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權(quán)限 (只有當(dāng) /E 存在時才有效)�����。
/P user:perm 取代已指定的使用者存取權(quán)限���。
Perm 的值可以是: N 沒有權(quán)限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬用字元一次指定數(shù)個檔案��。
您可以在命令中指定數(shù)個使用者�����。
縮寫:
CI - 容器繼承����。
ACE 將被目錄繼承��。
OI - 物件繼承。
ACE 將被檔案繼承���。
IO - 僅供繼承����。
ACE 不可套用到目前的檔案/目錄�。
磁碟配額管理
在伺服器上的磁碟空間是有限的,尤其是當(dāng)我們將伺服器上的硬碟提供給老師或其他使用者儲放資料時�����,硬碟的空間監(jiān)管是件十分重要的事情��, 無論是硬碟的儲放空間所剩多少或進出伺服器的安全監(jiān)管皆是十分重要�;因為硬碟的儲放空間剩的太少會造成許多的問題,諸如:服務(wù)會被停用�、虛擬記憶體太低、IO太頻繁...等���,尤其當(dāng)硬碟空間大幅減少時��,要檢查是否為駭客或病毒入侵�����,大肆破壞了伺服器�,造成無法挽救的遺憾。因此監(jiān)視伺服器的硬碟中個別目錄的成長狀況是件十分重要之事���,畢竟了解到硬碟空間成長的狀況���,可以在發(fā)生意外狀況之前,防範(fàn)於未然��。
若是要提供老師或其他使用者儲放資料在伺服器上時�,Win200x 的磁碟配額是一件必要的實用安全的優(yōu)質(zhì)管理,不過 Win200x 的磁碟配額管理只能用 NTFS 的磁碟檔案系統(tǒng)�,其並不支援 FAT32 和 FAT 磁碟檔案系統(tǒng); 磁碟配額最棒之處是能限制使用者可以儲放資料的使用硬碟空間���,限制其修改或複製檔案的能力範(fàn)圍����,降低使用者大量使用磁碟�����,造成系統(tǒng)遭到破壞的機率,且系統(tǒng)管理人員可依實況有效調(diào)節(jié)使用者使用磁碟的空間���,不致於浪費且可以將資源有效的整合�����。
磁碟配額使用方法如下:
第一步將提供老師或使用者使用的硬碟(最好是外掛一個硬碟,即使是 IDE 硬碟也沒關(guān)係)���,按滑鼠右鍵點選內(nèi)容���。
第二步在配額的選項勾選啟用配額管理和拒絕將磁碟空間給超過配額限制的使用者。並限制每個使用者的使用硬碟空間為多少�,並於將超過使用磁碟空間範(fàn)圍時提出警告。(每個人磁碟空間限制先設(shè)少一點空間可使用���,再慢慢放寬多一點空間�����;本校磁碟空間使用預(yù)估法為:硬碟空間/(學(xué)校老師數(shù)/2))
第三步在第二步時點選配額項目時就可以發(fā)現(xiàn)每個老師或使用者使用硬碟的空間狀況為何�?
第四步若有使用者因公務(wù)或教學(xué)需求上的需要更多更大的硬碟空間時����,則點選單一使用者來放寬其硬碟的空間限制���。
權(quán)限管理
一、群組觀念
對於使用者的權(quán)限管理設(shè)定�����,我們通常會將使用者先歸類為群組後��,在將其做權(quán)限控管���。
win200x 的網(wǎng)域可分為兩大類型
混合模式(Mix Mode) :混合模式指網(wǎng)域中包含 Win200x���、WinNT...等機器
-
在 Win200x 的網(wǎng)路,預(yù)設(shè)為混合模式�。
-
在混合模式中,其網(wǎng)域控制站可以包含 Windows NT 級的電腦�,也就是在網(wǎng)域中可以有 NT3.5x、NT4.0��、Win200x 的模式�。
-
混合模式不支援萬用群組。
-
從混合模式改為原始模式的方式如下:【開始】/【程式集】/【系統(tǒng)管理工具】/【Active Directory 使用者與電腦】/【網(wǎng)域名稱(右鍵)】/【內(nèi)容】/【變更模式】/【確定】,變更成為原始模式後�����,此變更結(jié)果會被 Copy 到網(wǎng)域中所有的 DC 中��。
-
切記混合模式變更成原始模式後���,是無法再恢復(fù)成混合模式����。
原始模式(Native Mode):原始模式指網(wǎng)域中只有 Win200x 或 xp 機器
-
在原始模式的網(wǎng)域中��,其所有的DC都必須是 Win200x 的電腦�。
-
但在網(wǎng)域內(nèi)的成員�,除了 Win200x 級的 computer 外,仍可是 WinNT3.x/4.0級的 member server��。
-
支援所有的 Group��,例如:Global group�、Local group 和萬用群組。且可以是巢狀迴圈���。
群組的權(quán)限
新增群組的方法���,在單位組織上按右鍵→新增→群組
由上表來看群組領(lǐng)域分為三類
-
網(wǎng)域區(qū)域群組(Domain Local Group): 類似 NT 時代的區(qū)域群組���,主要是被用來指派其所屬的網(wǎng)域內(nèi)資料存取的權(quán)限,在原始模式中網(wǎng)域區(qū)域群組包含同一森林(Forests)任何網(wǎng)域中所有使用者帳號(User Account)����、通用群組(Global Group)、萬用群組(Universal Group)��,可包含同一網(wǎng)域(Domain)內(nèi)的網(wǎng)域區(qū)域群組 Domain Local Group���,亦即為內(nèi)嵌式區(qū)域群組����,但無法包含其他網(wǎng)域(Domain)的網(wǎng)域區(qū)域群組(Domain Local Group)�。Domain Local Group 只能夠 Access 同一 Domain 內(nèi)的資源,無法跨網(wǎng)域來 Access 其他 Domain 的資源����。
-
通用群組(Global Group): 其主要目的用來組織使用者,即可將多個權(quán)限相同的使用者帳戶加入到同一個通用群組(Global Group)中����,通用群組(Global Group)可以存取任何一個擁有信任關(guān)係的網(wǎng)域(Domain)中的資源����,也就是說通用群組(Global Group)可跨網(wǎng)域(Domain)來進行存取其他網(wǎng)域的資源�,可在任何一個Domain 內(nèi)設(shè)定某個 Global Group 的 Permission,這個 Global Group 可以在同一 Domain�,也可在另一個Domain 內(nèi),所以通用群組(Global Group)在同一網(wǎng)域時是使用者帳號與其他通用群組的集合���,當(dāng)通用群組(Global Group)在跨越其他網(wǎng)域時則為使用者帳號的集合(可以為不同網(wǎng)域)�����。
-
萬用群組(Universal Group): 主要是用來指派在所有網(wǎng)域內(nèi)的存取權(quán)限,以便能夠使用每一個網(wǎng)域內(nèi)的資源���。成員能夠包含任使用者帳號����、通用群組及WIN2000網(wǎng)域Forests下的萬用群組���。萬用群組必須在原始模式中才有�����,而我們各校所使用皆混合模式下是無法建立萬用群組���。
群組類型:
二、權(quán)限指派
委派控制:
選擇一個組織單位��,按滑鼠右鍵�,並選擇出現(xiàn)的快顯功能表上的委派控制。
新增使用者或群組以做控管權(quán)限
基本的資料夾權(quán)限管理
1.點資料夾按右鍵����,先將資料夾→共用(共用此資料夾,給予共用名稱)→使用者人數(shù)限制(允許最大數(shù)或限制為多少人數(shù))→給予權(quán)限(完全控制�����、變更、讀取)→授予群組或使用者����。
若要比較詳細(xì)的權(quán)限則由安全性中去設(shè)定,進階中可以就更加詳細(xì)去設(shè)定�。
|
NTFS基本安全權(quán)限包括
1.完全控制
2.修改
3.讀取與執(zhí)行
4.清單資料夾內(nèi)容
5.讀取
6.寫入
|
NTFS進階權(quán)限設(shè)定有
1.周遊資料夾 / 執(zhí)行檔案
2.列出資料夾 / 讀取檔案
3.讀取屬性
4.讀取擴充屬性
5.建立檔案 / 寫入資料
6.建立資料夾 / 附加資料
7.寫入屬性
8.寫入擴充屬性
9.刪除子資料夾 / 檔案
10.刪除
11.讀取使用權(quán)
12.變更使用權(quán)
13.取得使用權(quán)
|
災(zāi)難處理
做一個網(wǎng)管人員最怕的是自己所管理的SERVER當(dāng)?shù)簦蛘呤菬o法開機��;而自己的資料又沒有備份的話���。此時此刻真是要呼天搶地�,企求奇蹟了���。因此�����,我們必須於平時做好下列工作,以防意外狀況的發(fā)生:
-
建立緊急修復(fù)磁片��,以利快速復(fù)原系統(tǒng)的修復(fù)��。
-
安裝修復(fù)主控臺,以利解決系統(tǒng)問題�����,無須重新安裝系統(tǒng)�。
-
備份DHCP資料庫,以利快速重建DHCP伺服器��。
-
建立鏡像磁碟����、減少資料的遺失,以利快速回復(fù)系統(tǒng)資料�。
-
以GHOST備份整個作業(yè)系統(tǒng),以能快數(shù)於數(shù)分鐘內(nèi)還原整個完整的系統(tǒng)�����。
一般而言���,修復(fù)WINDOWS 2000的方法有兩種:
一����、是緊急修復(fù) WINDOWS 2000 安裝
此法���,我們必須具備需要WINDOWS 2000 系統(tǒng)開機磁片則可以使用下列方法自行去產(chǎn)生�����;可以在WINDOWS 2000安裝光碟中[BOOTDISK]資料夾中�����,執(zhí)行[MAKEBT32]程式�,再依序放入產(chǎn)生4張空白磁片於A碟中,便能快速依序建好開機片�。
另外,建立緊急修復(fù)磁片也是件刻不容緩之事����,執(zhí)行[開始→程式集→附屬應(yīng)用程式→系統(tǒng)工具→備份]功能,來執(zhí)行備份程式�;在此我們可以快速建立緊急修復(fù)磁片。
假如在建立緊急修復(fù)磁片時����,勾選了[同時也將登錄檔案備份到修復(fù)目錄....],則在建立緊急修復(fù)磁片時�,也會將目前登錄在C:\WINNT\repair\RegBACK資料夾內(nèi)的檔案在建立一份備份到磁片中����。
若勾選了[同時也將登錄檔案備份到修復(fù)目錄...]核取項�,則在建立緊急修復(fù)磁片時�,會將目前的登錄在 C:\WINNT\repair\RegBack 資料夾內(nèi)再建立一個備份。換言之��,緊急修復(fù)磁片內(nèi)的檔案���,就在 C:\WINNT\repair 資料夾之中����。
WINDOWS 2000 的系統(tǒng)緊急修復(fù)磁片中���,儲存了系統(tǒng)檔案與設(shè)定資訊���。為確保建立的系統(tǒng)緊急修復(fù)磁片可以有效修復(fù)毀損的系統(tǒng),必須時時保持系統(tǒng)緊急修復(fù)磁片的最新����,故一旦系統(tǒng)設(shè)定做了重大的變更時,必須立即建立新的系統(tǒng)緊急修復(fù)磁片���。
緊急修復(fù) WINDOWS 2000 ����,一般有所謂手動修復(fù)或快速修復(fù),二者的差異僅在手動修復(fù)上��,一切的恢復(fù)設(shè)定(系統(tǒng)檔案�、磁碟分割開機磁區(qū)或啟動環(huán)境)皆由系統(tǒng)管理員自行決定,而快速修復(fù)則由電腦自動執(zhí)行而已���;操作方法概略如下:啟動電腦→在歡迎使用安裝程式時��,按 R 選修復(fù) WINDOWS 2000 → 在此選 M (手動修復(fù)) 或 F (快速修復(fù)) → 放入緊急修復(fù)磁片�,按ENTER(按L去找安裝光碟或 WINDOWS 2000 的位置���,通常是無效的)��。
二�����、是使用修復(fù)控制臺修復(fù)WINDOWS 2000
一般而言���,硬碟無法開機是因為開機磁區(qū)資料遺失或毀損,windows 2000 在此方面是有辦法的---也就是「修復(fù)主控臺工具」。其修復(fù)的動作程序如下:
- 以windows 2000的光碟片開機[記得BIOS要修改成光碟機優(yōu)先開機]�,在螢?zāi)怀霈F(xiàn)歡迎安裝的畫面時,按下鍵盤的[R]鍵進入修復(fù)主控臺來修復(fù)windows 2000����,記得可不要按ENTER去重新安裝windows 2000哦��!
- 當(dāng)進入修復(fù)主控臺�����,在畫面上會出現(xiàn)哪一個要登入去修復(fù)的windows���,由於我們是拿來做SERVER��,所以只有一個windows系統(tǒng)來做修復(fù)選擇���。
- 由於只有一個windows系統(tǒng)來做修復(fù)選擇,所以我們按1來做選擇���,再按一下[Enter]鍵�;但若不欲修復(fù)windows 2000����,則再按一次[Enter]鍵就可以取消修復(fù)����;若修復(fù)完畢後則鍵入EXIT�����,結(jié)束修復(fù)主控臺重新啟動電腦��。
- 當(dāng)按1選擇唯一的windows�����,並按一下[Enter]鍵執(zhí)行後�����,畫面會出現(xiàn)administrator [系統(tǒng)管理員的帳號]��,請輸入本機administrator的密碼[此用意在於防範(fàn)系統(tǒng)的安全不致於被其他使用者任意竄改或破壞系統(tǒng)]���,在出現(xiàn)C:\WINDOWS>後�����,可以鍵入HELP以觀看有哪些可以使用的指令�����。
- 首先觀察電腦系統(tǒng)中��,所有磁碟的狀態(tài)�,故鍵入map指令����,以觀察磁碟的狀態(tài)。
- 選擇所要修復(fù)磁碟�,輸入chkdsk 磁碟機代號: /r [例如 chkdsk c: /r],再按[Enter]鍵執(zhí)行��,通常C碟一定要做修復(fù)[因為不能啟動WINDOS 2000]來開機����。
- 當(dāng)磁碟完成檢查之後,我們將進行開機磁區(qū)的修復(fù)��,我們鍵入fixboot c: [假設(shè)開機碟為C]�,來修正已受損的開機磁區(qū),並複寫入系統(tǒng)開機磁碟分割的預(yù)設(shè)值����。
- 當(dāng)修復(fù)完開機磁區(qū)�����,我們將繼續(xù)進行系統(tǒng)磁碟分割的主開機記錄區(qū)[MBR]修整�;我們輸入 fixmbr c: 當(dāng)開機紀(jì)錄區(qū)遭到病毒損毀�,無法啟動作業(yè)系統(tǒng)的情況下使用,畫面會出現(xiàn)修復(fù)的警告標(biāo)示���,按Y繼續(xù)進行�����。
- 當(dāng)修復(fù)完畢之後�����,我們只要鍵入EXIT就可以重新啟動電腦�,檢視我們修復(fù)的成果���。[若修復(fù)完畢可以進入WINDOWS 2000則表OK�����,反之失敗那就慘了����!]
**將修復(fù)主控臺安裝置開機選單中,將可以不必透過光碟機開機來修復(fù)�����,
- 在執(zhí)行視窗中鍵入 D:\i386\winnt32.exe /cmdcons ���,再按[確定]來執(zhí)行��。
- 接著會告知需要7MB磁碟空間安裝,按下是開始安裝���,在安裝時會先連線到微軟的伺服器進行檢查有無新的版本可以下載�,然後開始安裝����。
- 當(dāng)安裝完畢下一次重新開機後,就有修復(fù)主控臺可以使用[再開機時按F8→選擇偵錯模式→WINDOWS 2000 修復(fù)主控臺]�����。
加強學(xué)校系統(tǒng)安全管理的日常工作
當(dāng)架設(shè)好WINDOWS 2000後,應(yīng)於日常做下列安全的檢查工作:
- 確認(rèn)所有伺服器和工作站的硬碟皆是使用NTFS檔案系統(tǒng)����。
- 確認(rèn)系統(tǒng)管理的帳戶使用嚴(yán)謹(jǐn)且複雜的密碼,並於一段時間內(nèi)不斷變更密碼以維安全���。
- 停用不必要的系統(tǒng)服務(wù)功能�����,減少系統(tǒng)資源的浪費與降低漏洞的發(fā)生機會���。
- 對於離職退休或不需使用的帳戶加以停用或刪除。
- GUEST的帳戶做好確實的管理���,給予停用或變更其帳戶名稱�。
- 為檔案或資料夾加密與維護��,並給予適當(dāng)?shù)陌踩珯?quán)限管理��。
- 時時做好資料���、系統(tǒng)相關(guān)安全資訊與登錄資料的備份於他處���。
- 時時檢查系統(tǒng)中的帳戶的權(quán)限是否正常為USER層級���,而非被駭客改為Administrator層級。
- 嚴(yán)謹(jǐn)規(guī)劃設(shè)定各群組人員與其權(quán)限��,尤其是Administrator的帳戶群組人員更要嚴(yán)加控管��。
- 加強宣導(dǎo)使用者對自己帳戶與密碼的管理���,避免其成為駭客入侵的跳板�����。
- 移除所有非必要的資源分享�����。
- 安裝伺服器防毒軟體,降低病毒與駭客的入侵����;並時時保持病毒碼的時時更新。
- 裝上做新的Service Pack 和 Hot Fix���。
- 有空時看看事件檢視器中日誌檔����,掌握系統(tǒng)狀況。
- 掌握磁碟空間的變化����,並注意硬碟空間是否足夠或有不正常的檔案目錄成長。
系統(tǒng)原則與桌面管理
win9x 系統(tǒng)原則
win9x 系列因為使用 FAT 檔案系統(tǒng)��,檔案上無法依據(jù)使用者的不同設(shè)定不同權(quán)限���,因此系統(tǒng)原則程式如果放在硬碟上則任何人都可以讀取執(zhí)行�����,由於這個緣故 poledit 程式是收錄在光碟上��,使用時最好是用磁片執(zhí)行不要存入硬碟中�。底下範(fàn)例是為了上課方便從硬碟執(zhí)行��,實作時不應(yīng)該如此����。
1.Poledit程式位置乃在於win98光碟中的資料夾中(tools→reskit→netadmin→poledit)�。
2.將poledit資料夾複製在win98機器中���,去執(zhí)行poledit.exe程式����,設(shè)定系統(tǒng)原則��。
依微軟的指示���,poledit系統(tǒng)原則編輯的做法如下
建立新的原則檔
1 按「檔案」功能表的「開新檔案」���。
2 poledit.exe程式執(zhí)行時開啟時,開啟admin.adm範(fàn)本→開始登錄���,系統(tǒng)原則可以做本機電腦與本機使用者的限制使用
-
要新增使用者�,請按「編輯」功能表的「新增使用者」��,再輸入要設(shè)定原則的使用者名稱����。
-
要新增電腦名稱�����,請按「新增電腦」,再輸入要設(shè)定原則的電腦名稱�����。
-
要新增使用者群組��,請按「新增群組」����,再輸入要設(shè)定原則的群組名稱。
本機使用者的限制
本機電腦的限制
3 要設(shè)定使用者���、群組或電腦的原則時���,請按要設(shè)定原則的圖示,再選「編輯」功能表的「內(nèi)容」�����。按兩下書籍圖示�����,查看可以使用的設(shè)定值。
如果選一個原則����,系統(tǒng)就會套用這個原則。例如����,選「檔案分享控制無效」,則使用者就無法在網(wǎng)路上分享資料夾�。
設(shè)定從 Windows NT或Windows 2000機器自動下載
1 按「檔案」功能表中的「開啟登錄」。
2 按兩下「本機電腦」�����。
3 按「網(wǎng)路」旁邊的加號�。
4 按 Microsoft Client For Windows Networks 。
旁邊的加號����,再按「登入 Windows NT」。
5 輸入 Windows NT 網(wǎng)域名稱�。
6 在主要的網(wǎng)域控制器上建立一個叫做 Netlogon 資料夾,然後再分享它���。(Win2000在Winet→Sysvol→Sysvol→網(wǎng)域名稱→Scripts資料夾中����。
7 將原則檔儲存在這個資料夾中��。請確認(rèn)原則檔的檔名為config .pol����。
Win98/XP 系統(tǒng)登錄組態(tài)設(shè)定
windows的機碼有六大類:
- HKEY_CLASSES_ROOT:記載許多副檔名的定義,也就各種檔案的類型���。分別定義各種副檔名所開啟的應(yīng)用程式�。
- HKEY_CURRENT_USER:由HKEY_USERS延伸而來�����,其記載目前登入使用者的資料狀態(tài)����,為一種個人化作業(yè)環(huán)境設(shè)定資料。
- HKEY_LOCAL_MACHINE:電腦中各種硬體設(shè)定資料���,包括印表機��、光碟機��、BIOS....等資料�。
- HKEY_USERS:用於記載不同使用者的資料。若設(shè)定只有一個使用者時�,HKEY_CURRENT_USER的記錄則與HKEY_USERS內(nèi)的.DEFAULT相同,否則在HKEY_USERS下就會有不同使用者名稱的機碼�。
- HKEY_LOCAL_CONFIG:記載目前使用硬體的設(shè)定檔。
- HKEY_DYN_DATA:此為存在記憶體中的動態(tài)資料����,用於監(jiān)視電腦效能,一開機時由Windows建立此機碼資料���,一關(guān)機後機碼資料就消失�,故無法新增機碼���,此部份只有Win98/Me才有��。
系統(tǒng)登錄檔的使用
1.系統(tǒng)登錄檔的檢查員:scanregw.exe (win98下執(zhí)行)
2.系統(tǒng)登錄檔的備份與還原:scanreg /backup 和 scanreg /restore (dos下執(zhí)行)
3.系統(tǒng)登錄檔的修復(fù):scanreg /fix
3.工作站自動設(shè)定IE組態(tài)(以proxy和cache大小為例)
- 參考 ie6.reg 內(nèi)容�����,用記事本開啟��。
- 建 ie6.reg 的方法�,在一臺 win98 機器上,可以將 proxy 和 cache 大小先設(shè)定好
- 在執(zhí)行位置��,鍵入regedit����。
- 編輯→尋找→ProxyServer和編輯→尋找→CacheLimit
- 將滑鼠置於其上��,登錄→匯出登錄檔案
- 將 ie6.reg 放入 Login Script 中�,則所有人一登錄時就會改掉單機的設(shè)定。
下面是一個 reg 檔的範(fàn)例����,用於限制網(wǎng)頁首頁、proxy server���、桌面...等項目��,適用於WINXP和WIN98 的 Client 端使用���。
Windows Registry Editor Version 5.00
底下範(fàn)例將瀏覽器預(yù)設(shè)首頁,改為學(xué)校官方網(wǎng) :
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.syups./"
底下範(fàn)例將瀏覽器「檢查儲存的畫面是否有較新的版本」�,改為「每次查閱時」 :
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Cache_Update_Frequency"="Once_Per_Session"
底下範(fàn)例將啟用代理器����,Proxy Server 為教育部 proxy.moe.edu.tw:3128�����,並將校內(nèi)網(wǎng)段排除不透過 Proxy 連線 :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxy.moe.edu.tw:3128"
"ProxyOverride"="172.16.*.*;*.syups.;<local>"
底下範(fàn)例將網(wǎng)頁暫存空間 Temporary Internet file 設(shè)定為 5MB:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content]
"CacheLimit"=dword:00005000
底下範(fàn)例設(shè)定桌布為 C:\WINDOWS\rule.bmp 並禁止使用者更改:
[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\rule.bmp"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=dword:00000001
底下範(fàn)例將工作站 IE 瀏覽器的進階設(shè)定值「永遠(yuǎn)將 URL 傳送成 UTF-8」關(guān)閉:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"UrlEncoding"=dword:00000001
WinXP 本機安全性原則
winXP 採用 NTFS 檔案系統(tǒng)���,因此可以作精緻的權(quán)限設(shè)定���,系統(tǒng)管理工具直接安裝於硬碟上,但只有 administrator 可以執(zhí)行��。
1. 從「控制臺」->「系統(tǒng)管理工具」���,打開「本機安全性原則」
2. 限制一般使用者無法變更時間����。依據(jù) kerbros 認(rèn)證的運作機制�����,工作站時間若與 DC 時間差異達兩個小時以上��,將會無法登入主機。
3. 設(shè)定成不要顯示上次登入的使用者名稱�,以免帳號被收集利用。
4. 停用 Guest 帳號���,以避免未被授權(quán)的使用者進入系統(tǒng)�。
5. 在 XP 預(yù)設(shè)的情況下�����,允許使用者連線到網(wǎng)路磁碟機時�����,將登入的帳號密碼儲存起來��,下次再連線時將不會再詢問帳號密碼�,這個功能一旦開啟�����,其它的使用者將無法以自己的權(quán)限來操作網(wǎng)路磁碟機����。
WinXP 安全性設(shè)定與分析
winXP 的安全性有三種不同機制進行管理�����,一是本機安全性原則���,前面已經(jīng)介紹過了,它是 poledit.exe 的強化版�����,在 winXP 裡另外提供一個 secedit.exe 可以結(jié)合登入指令稿來作動態(tài)設(shè)定���。第二種機制稱為安全性設(shè)定與分析�,它提供比本機安全性原則更詳細(xì)的設(shè)定選項����,同時可以將設(shè)定儲存成安全性資料庫,該資料庫可於本機運作�,或是上傳到 DC 上作為群組原則範(fàn)本,後者的好處是網(wǎng)域內(nèi)符合該群組的電腦都會自動套用同一設(shè)定����。三是群組原則,群組原則原始設(shè)計為透過 AD 管理����,在網(wǎng)域成員登入時自動套用到工作站上����。然而這個部分僅能針對網(wǎng)域使用者進行管理���,由於 winXP 上有所謂的本機使用者��,如果校內(nèi)同仁或小朋友是使用本機帳號登入�����,將不會受到任何限制,因此在 winXP 上另外設(shè)計了能管理本機使用者的群組原則管理程式�����。
1. 在開始工作列上按「開始->「執(zhí)行」����,輸入指令 mmc
2. 主控臺視窗出現(xiàn)後,按「檔案」->「新增/移除嵌入式管理單元」
3. 請新增「安全性設(shè)定及分析」管理單元
4. 在管理單元上按右鍵選「開啟資料庫」->輸入資料庫檔名(自行命名)
5. 資料庫建好後��,在管理單元上按右鍵選「立即分析電腦」
6. 設(shè)定方式如本機安群性原則�����,不再累述。完成後請按右鍵選「立即設(shè)定電腦」
WinXP 本機群組原則
1. 使用主控臺新增嵌入式管理單元��,單元名稱為「群組原則」
2. 下圖的設(shè)定內(nèi)容其實就是前面介紹過的本機安全性原則�,設(shè)定方式請參考前面的章節(jié)
3. 選取「使用者設(shè)定」->「系統(tǒng)管理範(fàn)本」->「windows元件」->「Internet explorer」可以針對 IE 進行細(xì)節(jié)設(shè)定,其中「不容許使用自動完成來儲存密碼」��,建議要啟用�。這樣在網(wǎng)頁需要登入的場合,才不會出現(xiàn)「儲存密碼」的核取框��。
AD 群組原則(GPO)
Win200x 群組原則是 Win200x 或 WinXP 使用者工作環(huán)境的管理工具之一����,提供比本機電腦設(shè)定有更完整的控制選項與更廣泛的套用對象,以減低網(wǎng)路管理的負(fù)擔(dān)與成本���。
Win200x 群組原則包含對電腦機器或使用者兩個部分:
-
電腦設(shè)定(Computer Configuration):針對此臺電腦設(shè)定工作環(huán)境�,例如對某一個網(wǎng)域設(shè)定一個群組原則GPO��,則此網(wǎng)域內(nèi)的所有電腦都會套用此設(shè)定(當(dāng)然只有對 Win200x 或 WinXP 的機器才有效)��。
-
使用者設(shè)定(User Configuration):針對使用者來設(shè)定作環(huán)境,例如對某個網(wǎng)域設(shè)定一個群組原則����,則此網(wǎng)域內(nèi)的所有使用者都會套用到此原則設(shè)定。
群組原則可以對站臺 (Site)����、網(wǎng)域 (domain)或組織單位OU(Organization Unit)等物件設(shè)定群組原則,而資料存放在 Active Directory(%systemroot%\sysvol\”DomainName”\Policies)中��。
可以針對每臺電腦作 local group policy��,該原則設(shè)定會 apply 至本臺電腦及 local users���,而資料存放於〈%systemroot%\system32\GroupPolicy〉的資料夾內(nèi)��。
在預(yù)設(shè)情況下����,下層的GPO會覆蓋上層的GPO�,其套用順序為本機GPO(即本機安全性原則)→Site→Domain→OU���,同個物件若有多個GPO而相衝突時����,以排列在前面者優(yōu)先。
一般情況下��,子層會繼承父層的已設(shè)定原則(尚未設(shè)定原則不繼承)�����,另外有特殊情況:
-
阻擋繼承:為系統(tǒng)預(yù)設(shè)值��,若子層設(shè)定「阻礙原則繼承(Block)」����,則不繼承父層的設(shè)定原則。
-
強制繼承:父層的關(guān)聯(lián)選項設(shè)定為No override(不覆蓋)�,則父層所設(shè)定的原則將強制子層繼承,即使子層設(shè)定「阻礙原則繼承(Block)」也無法違反此強制繼承的優(yōu)先權(quán)�。但繼承項目僅限於有設(shè)定(已啟用或已停用)項目。
群組原則建立方法:
【開始】/【程式集】/【系統(tǒng)管理工具】/【Active Directory使用者與電腦】/【網(wǎng)域名稱(右鍵)】/【內(nèi)容】/【群組原則】/新增一個群組原則或編輯 Default Domain Policy 的內(nèi)容���。
WinXP 桌面管理
winXP 由於使用 NTFS 檔案系統(tǒng)�,能有效針對不同等級使用者設(shè)定詳細(xì)的權(quán)限�����,因此以往在 win9x上無法可管的桌面圖示和開始功能表,現(xiàn)在也可以進行管理��,示範(fàn)如下:
- 首先用 admnistrator 登入後�,將 c:\Documents and Settings 資料夾設(shè)為 administrator 完全控制
- 將所有使用者的桌面與開始功能表搬移到 All Users 資料夾中
- 將 All users 資料夾設(shè)定為唯讀(administrator 除外,以方便事後增刪)
- 如果學(xué)生是使用 user 帳號自動登入����,請將 user 資料夾中的「桌面」和「開始功能表」、「我的最愛」設(shè)定為唯讀�,以上設(shè)定步驟可防止一般使用者變更桌面、開始功能表和我的最愛的內(nèi)容
- 將 C: 設(shè)定為 user 僅能唯讀����,按「進階」,勾選「以顯示於此套用到子物件......」
- 由於部分應(yīng)用程式(例如:MsWord)會在啟動時將暫存檔寫入c:\windows\temp 中����,因此我們必須將這個資料夾的寫入權(quán)限打開,另外如果有安裝 Medi@show 也記得把該資料夾寫入權(quán)限打開(在 c:\program files\ 中)
- 設(shè)定「user的文件夾」的安全性�����,按「進階」�����,勾選「以顯示於此套用到子物件......」�����,取消「從父項繼承.....」核取框����,按「複製」,如下圖:
- 設(shè)定使用者 user 的讀寫刪除權(quán)限���,如下圖��。由於前面已經(jīng)將桌面和 C: 設(shè)為唯讀��,將來從網(wǎng)路下載的檔案會自動擺放到我的文件夾中����,而文件夾由於未設(shè)定執(zhí)行權(quán)限�����,學(xué)生將無法玩網(wǎng)路上下載的執(zhí)行檔����,如果學(xué)生將檔案解壓縮�����,也無法安裝到 C: 中(前面已設(shè)定為唯讀)��,即使將軟體安裝到我的文件夾中�,一樣不能執(zhí)行���。
7. 用以上方式管理學(xué)生機����,唯一能自由執(zhí)行程式的方法����,是從 IE 暫存檔資料夾執(zhí)行程式,由於該資料夾無法設(shè)定安全性���,所以會留下這個漏洞�����。但無論如何��,學(xué)生的桌面這樣管理還算妥善�����!
登入指令稿
Login Script一般我們稱為使用者登錄檔�����,使用記事本建立好自動批次檔後��,放入 NETLOGON 中�,然後在 AD 中使用者設(shè)定檔的位置�����,給予檔名(如:path.bat)��,以便使用者登入時執(zhí)行之�。
@echo off
net use s: \\xxps1\data$\%username% /PERSISTENT:NO
net use t: \\file\filedata$ /PERSISTENT:NO
net use x: \\file\辦法規(guī)章 /PERSISTENT:NO
net use y: \\file\教學(xué)檔案上傳 /PERSISTENT:NO
regedit /s %logonserver%\netlogon\utf8.reg
echo on
常用系統(tǒng)變數(shù):
| %username% |
使用者登入的帳號 |
| %computername% |
工作站的電腦名稱 |
| %os% |
工作站所使用的作業(yè)系統(tǒng)版本 |
| %logonserver% |
網(wǎng)域控制站的主機名稱 |
Win2000 以後的版本已經(jīng)改用 VBS 來撰寫 login script,但仍然支援批次檔執(zhí)行的方式�。底下是 VBS 版本的登入稿:
Set net = CreateObject("WScript.Network")
net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False"
net.MapNetworkDrive "T:", "\\file\filedata$","False"
net.MapNetworkDrive "X:", "\\file\辦法規(guī)章","False"
net.MapNetworkDrive "Y:", "\\file\教學(xué)檔案上傳","False"
Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("Desktop")
Set link = Shell.CreateShortcut(DesktopPath & "\師生網(wǎng)頁主機.lnk")
link.TargetPath = "\\172.16.1.3\homes"
link.WorkingDirectory = "\\172.16.1.3\homes"
link.Save
key = "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"
Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ"
Shell.RegWrite key & "Start Page", "http://www.syups./", "REG_SZ"
key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
Shell.RegWrite key & "UrlEncoding", "1", "REG_DWORD"
紅字部分,請依各校之需求自行修改��,程式解說如下:
| Set net = CreateObject("WScript.Network") |
建立一個網(wǎng)路物件(變數(shù)名稱為 net)���,以便呼叫 net 指令集��,有關(guān) net 指令集�,請在命令列模式使用 net /? 來查詢 |
| net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False" |
呼叫 net 指令集中的「遠(yuǎn)端磁碟機連線」功能,將遠(yuǎn)端資料夾 \\xxps1\data$\%username% 連結(jié)至 S: 磁碟機代號����,最後的參數(shù) False 代表此資料夾禁止上溯到上一層資料夾 |
| Set Shell = CreateObject("WScript.Shell") |
建立一個殼層物件(變數(shù)名稱為 Shell),以便呼叫殼層指令集(該指令集用來控制桌面工作環(huán)境) |
| DesktopPath = Shell.SpecialFolders("Desktop") |
取得系統(tǒng)桌面所在的路徑 |
| Set link = Shell.CreateShortcut(DesktopPath & "\師生網(wǎng)頁主機.lnk") |
在桌面上建立捷徑(變數(shù)名稱為 link) |
| link.TargetPath = "\\172.16.1.3\homes" |
將該捷徑的目標(biāo)設(shè)定為 \\172.16.1.3\homes |
| link.WorkingDirectory = "\\172.16.1.3\homes" |
將該捷徑的開始位置設(shè)定為 \\172.16.1.3\homes |
| link.Save |
將捷徑儲存在桌面上 |
| Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ" |
呼叫殼層指令集中的「系統(tǒng)登錄」功能�,寫入變數(shù) key 所指定的系統(tǒng)登錄樹,機碼名稱 Cache_Update_Frequency���,機碼 Once_Per_Session����,機碼型態(tài)為二進位資料( REG_SZ) |
|
