ccidnet????

出版日期:2002-06-10 总期号:471 本年期号:21

本期导读
热点聚焦
零组件
PC天地
数码与外设
软件.net
专题
社会培训
教育信息化
读者俱乐部
 终端教学网安全设置

陈韬

  Windows 2000无盘终端作为一种先进的无盘技术,在现有教学网络的改造、升级中被广泛采用。但是,Windows 2000 终端基于本地登录的策略也给学校的系统管理员在系统安全性的管理方面提出了新的管理要求。本文作者从NTFS文件系统权限和组策略设置等方面对终端教学网络的安全管理进行分析,希望能给大家提供一些参考。


  基于组策略
  组策略对象是一个标准的活动目录对象,具有一套属于自己的完全独立的许可设置。通过策略的设置可以方便地控制和管理终端用户的工作环境,提高服务器的安全性。若你的终端服务器性能足够好,并配置了活动目录,还可以通过只赋予终端用户对设定的组策略有“读取”和“应用组策略”的权限来达到组策略只对终端用户发生作用的目的。由于终端在独立服务器上性能最优,下面讨论的组策略都是基于独立服务器的(即未安装活动目录的服务器)。注意此时所做的策略设置会影响包括超级用户在内的所有的用户。


  图1

  终端采用的是“本地登录”,这就意味着从终端登录的学生可以运行服务器上的各种程序,其后果也将影响到使用这个终端教学网络的所有用户,如:学生通过终端对服务器注册表的更改操作可能导致服务器的崩溃;学生对显示背景、外观、效果的设置将增大网络流量,增加系统的负载,导致教学网络运行速度减慢。下面以“禁用‘控制面板’中的‘显示’”策略为例,给出通过策略设置控制和管理用户工作环境的详细步骤。

  1、在“开始\运行”中执行Gpedit.msc打开组策略编辑窗口。

  2、在组策略编辑窗口左边的树形列表中展开“计算机配置\管理模板\控制面板\显示”分支,如图1所示。

  3、在右边窗口中双击“禁用‘控制面板’中的‘显示’”策略,打开“禁用‘控制面板’中的‘显示’ 属性”对话框,并选中“启用”。

  4、单击[确定]按钮返回“组策略”窗口,此时在右边的窗口中应该看到“禁用‘控制面板’中的‘显示’”策略已经被设置为“已启用”。

  此时在终端普通用户登录,启动“显示”时,系统将显示系统管理员禁止使用的提示。

  其他策略的设置方法与“禁用‘控制面板’中的‘显示’”策略的设置方法类似。


  基于用户和NTFS格式
  由于终端用户是采用“本地登录”登录到服务器,所以用户可以使用服务器的所有资源,除使用组策略对用户进行适当限制外,我们还需要对终端用户访问资源的权限进行限制。

  1、用户访问权限设置

  在进行用户访问权限设置之前,请确认需进行设置的磁盘分区为NTFS格式。NTFS分区磁盘具备高强度的访问控制机制,它将所有的文件和目录都看成是对象,并为它们设置许可,可以在每一个文件级和用户级层次上进行访问控制,除非用户拥有必要的许可,否则,不能访问NTFS上的文件。利用NTFS文件系统的本地安全性能,对用户进行分组,设计好NTFS文件系统中文件和目录的读写、访问权限。在资源管理器中右键单击一个文件或者文件夹,选择“属性”,选中“安全”标签即可看到许可设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问,在这里管理员可以通过“添加”和“删除”设定哪些用户可以访问该磁盘或者文件夹以及文件;二是获得访问许可的组或用户可以进行什么级别的访问。管理员可以根据自己的需要,为用户选择使用权限。如果您有更特殊的权限要求,可点击[高级]按钮,进入“访问控制设置”对话框对用户权限进行更细致的设置。

  在实际实施过程中,应当根据教学和安全的需要对不同组的用户分别授予相应的权限,一般可采取先不赋予任何权限,再根据需要依次开放的原则为用户赋予所需要的最小的目录和文件的权限。值得注意的是当您将一个磁盘分区格式化或转换为NTFS格式时,Windows 2000自动为Everyone组授权予根文件夹的“完全控制”权限,此时应当立即进行必要的权限设置。

  2、磁盘配额管理

  在NTFS 格式的分区上,管理员可以通过磁盘配额监视和控制单个用户使用的磁盘空间量。管理员在进行系统安装时将学生使用时必须拥有改写权限的目录设置在同一个磁盘分区,再运用磁盘配额管理功能合理地为用户分配存储空间,可避免由于磁盘空间使用的失控可能造成的系统崩溃,提高系统的安全性。其实现步骤如下:

  (1)右键单击需进行磁盘配额的NTFS磁盘分区,在弹出的菜单中选择“属性”进入磁盘属性对话框。

  (2)选中“配额”选项卡,并启用“磁盘配额管理”。

  (3)单击[配额项]按钮打开“配额项目”窗口,依次单击“配额”、“新建配额项”,如图2所示。

  (4)在打开的“选择用户”对话框中依次选定需要进行配额管理的用户,单击[添加]按钮将其加入到下面的列表框中,然后单击[确定]按钮。

  (5)在打开的“添加新配额项”对话框中设置所选用户的磁盘空间限制和警告等级设置,您可以根据教学和管理需要设置数值的大小。

  (6)单击[确定]返回“配额项目”窗口,这时应该可以看到刚才所做的设置。

  退出设置程序,此时终端用户看到的磁盘剩余空间将是基于配额限度计算得出的数值。


  注意事项
  1、终端用户组只需要加入到“Domain Users”组,并在组策略中设置为可以“在本地登录” 即可,切不可再加入到其他特权用户组。

  2、将All User下的“管理工具”复制到“Administrator”目录下,再删除All User下的“管理工具”目录内的所有快捷方式。


  图2

  3、为Windows 2000安装最新的Service Pack和Hotfix。

  4、安装防病毒软件并及时更新,上网的话,在服务器开启防火墙并在每台机器上打开杀毒软件的实时监控是很有必要的。

  5、上网时推荐使用腾讯所带的浏览器,即使打开很多窗口也不会占用太多资源。