WINDOWS網(wǎng)域管理
李忠憲 960213第二次增補(bǔ)
李忠憲 940929增補(bǔ)
黃添修 930909原稿
前言
先解釋一下「網(wǎng)域」:Windows 網(wǎng)路中「網(wǎng)域」一詞和 DNS 裡面的「領(lǐng)域」�,還有 IP Class 裡面的「網(wǎng)路」,三者因?yàn)槊~接近����,而常常被等同視之,造成許多誤解和觀念混淆��。Windows 網(wǎng)路中的「網(wǎng)域」��,是指一群電腦透過一臺(tái)或多臺(tái)伺服器進(jìn)行帳號(hào)整合和權(quán)限控制的集中管理,其成員電腦是否在同一個(gè) Class C 並不重要��,也就是說 windows 網(wǎng)域的涵蓋範(fàn)圍與 IP Class 的網(wǎng)路範(fàn)圍並不等價(jià)��。至於 DNS 中的領(lǐng)域只是用來作 URL 與 IP 的對(duì)應(yīng)�,同一個(gè)領(lǐng)域裡的電腦,其 IP 並不一定在同一個(gè) Class 中�����,也不一定要加入同一個(gè) windows 網(wǎng)域�。這三種名稱接近的機(jī)制�����,基本上是獨(dú)立運(yùn)作的�。
Win200x 雖然源自於 NT,但是由於網(wǎng)域觀念的改變幅度太大�,兩種網(wǎng)域並無(wú)法融合的很好,如果純以 Win200x 來架構(gòu)網(wǎng)路�����,當(dāng)然更能發(fā)揮 Win200x 在網(wǎng)路機(jī)制上的嶄新功能����。但是考慮企業(yè)現(xiàn)有NT應(yīng)用程式開發(fā)與相容性問題�,大多企業(yè)還是希望採(cǎi)行混合網(wǎng)域的建置��。使用混合網(wǎng)域之前�����,我們先來暸解一下�,到底採(cǎi)用純 Win200x 架構(gòu)有什麼好處?
Active Directory
Win200x 採(cǎi)用 AD 來進(jìn)行網(wǎng)域管理的工作���,其中改革幅度最大的是帳號(hào)管理和電腦管理的機(jī)制���。
帳號(hào)管理
過去帳號(hào)管理依靠 SAM 資料庫(kù),必須透過所謂「Windows 挑戰(zhàn)與回應(yīng)」(WCHAR)這種獨(dú)門的通訊協(xié)定來進(jìn)行使用者認(rèn)證����,由於這個(gè)機(jī)制太特殊,微軟又不願(yuàn)公開內(nèi)容�����,導(dǎo)致不同平臺(tái)之間的整合有困難�����,並且也使得WinNT無(wú)法支援其它的網(wǎng)路設(shè)備的認(rèn)證。 同時(shí)由於 WCHAR 採(cǎi)用 DES(修改過的 MD4)來進(jìn)行編密���,密碼可以透過解碼程式還原����,如果和 Linux 上採(cǎi)用的 MD5 編密法來比較����,由於 MD5 無(wú)法被還原,在安全性上比 winNT 網(wǎng)域還要好�。
新的帳號(hào)管理是將 SAM 資料庫(kù)當(dāng)後端,以 LDAP 通訊協(xié)定當(dāng)前端提供帳號(hào)認(rèn)證功能�����,當(dāng)使用者登入網(wǎng)域時(shí)��,就使用 Kerberos 通訊協(xié)定來傳遞密碼�����,密碼則改用安全性較高的 MD5 演算法來編密���,其結(jié)構(gòu)如下圖:
LDAP 是衍生自 DAP 的輕型通訊協(xié)定��,以 TCP/IP 來實(shí)作����,許多比較複雜的資料庫(kù)操作並沒有被包含在內(nèi)����,原因就在於 TCP 不適合作重型傳輸,而 UDP 又不適合作資料庫(kù)動(dòng)態(tài)交易���。無(wú)論如何LDAP 拿來作目錄服務(wù)��、帳號(hào)管理是相當(dāng)合適的�。LDAP 的原始精神在於契合 DNS 領(lǐng)域的觀念��,希望發(fā)展出人類的URL定址�,有點(diǎn)像 http://www. 是一個(gè)站臺(tái),而 ldap:///o=Taipei Edu-Network Center,c=tw??sub?(cn=李忠憲) 是一個(gè)人���,換句話說���,LDAP也可以當(dāng)成人名錄來作查詢(outlook系列已經(jīng)支援 LDAP 人員搜尋)����。
LDAP 的原始設(shè)計(jì)裡面���,分為幾個(gè)階層式架構(gòu)�,c 代表地域����,o 代表組織,而 o 裡面的物件 person 和 group 分別代表個(gè)人和群組�,這種設(shè)計(jì)當(dāng)然與 Win200x 裡面的AD稍有不同,Win200x 為了管理上的需求��,以 dc 階層取代了 c 階層���,以 ou 階層取代 o 階層���。
dc 階層就是指 win200x 網(wǎng)域的管轄範(fàn)圍�����,對(duì)跨國(guó)企業(yè)來說,它已經(jīng)超越了 c 階層的地域觀念����,想像一下臺(tái)灣的宏碁與美國(guó)的宏碁屬於同一個(gè) dc 的情形,要理解 dc 階層的概念並不難���。
其實(shí)就是因?yàn)?LDAP 高彈性的作法�,讓 Win200x 的群組管理顯得複雜起來��,不過只要把觀念弄清楚��,其實(shí)也很簡(jiǎn)單���。關(guān)鍵在於 ou 階層是所謂「行政的群組」��,而 group 是所謂「權(quán)限的群組」��,這就好比「業(yè)務(wù)部」的陳「經(jīng)理」和「研發(fā)部」的王「經(jīng)理」是好朋友�����,「業(yè)務(wù)部」����、「研發(fā)部」是ou,而「經(jīng)理」是group��。在 LDAP 原始設(shè)計(jì)中�����,o(ou) 和 group 是兩種獨(dú)立的觀念����,但在AD 裡面兩者都可以被賦予原則,有許多人就在這種情形下弄擰了觀念���。
使用 LDAP 除了讓帳號(hào)管理更具彈性以外����,另一個(gè)好處是可以使用公開的 LDAP API 來撰寫應(yīng)用程式����,使應(yīng)用程式與網(wǎng)域使用者能更緊密的結(jié)合。由於資料欄位可以自由擴(kuò)充�,企業(yè)可以依自己的需要開發(fā)出人事管理系統(tǒng),而該人事資料又自動(dòng)成為企業(yè)內(nèi)各種網(wǎng)路設(shè)備的成員帳號(hào)�����。並且由於 LDAP API 的標(biāo)準(zhǔn)是公開的���,因此不管由哪家廠商來開發(fā)都可以彼此相容���!
電腦管理
電腦管理的問題可以分成兩方面來探討,一是電腦名稱辨識(shí)的問題��,一是網(wǎng)域成員認(rèn)證的問題�����。過去 winNT 的電腦名稱是以 NetBios 名稱來實(shí)作���,這就造成廣播風(fēng)暴問題和無(wú)法跨越 Router 問題����,雖然微軟已經(jīng)將 NetBios 名稱服務(wù)封裝成 TCP/IP 格式的 NetBT�,但這只解決了跨越 Router 問題,廣播的問題仍然存在�����。
微軟後來開發(fā)的 WINS 伺服器雖然可以有效降低廣播風(fēng)暴的發(fā)生����,但仍然不能徹底解決頻寬被佔(zhàn)用的老問題��,造成使用者與網(wǎng)管師相當(dāng)程度的困擾���。在 Win200x 中由於網(wǎng)路機(jī)制改採(cǎi) TCP/IP 來實(shí)作,所以這種落伍的名稱服務(wù)已然被淘汰(相容前版模式例外)�����,於是 DNS 就成為電腦名稱辨識(shí)的不二人選����。
在 Win200x 網(wǎng)域內(nèi)的所有成員電腦,其名稱一律沿襲 DNS 命名法����,如果安裝時(shí)選擇與舊 Windows 網(wǎng)路相容,那麼就會(huì)將 DNS 命名的頭碼當(dāng)成 NetBios 名稱��。DNS 名稱會(huì)寫入 SAM 資料庫(kù)中保管����,以便備份和移轉(zhuǎn)。
那麼 Win200x 又如何來辨識(shí)某電腦是否為網(wǎng)域成員呢�����?當(dāng)某臺(tái)工作站要求加入到網(wǎng)域內(nèi)作為成員時(shí),會(huì)透過 DNS 伺服器中的 SRV 紀(jì)錄找到網(wǎng)域主控站�����,網(wǎng)域主控站會(huì)為這臺(tái)工作站建立一個(gè)電腦帳號(hào)(在 windows 網(wǎng)域中帳號(hào)區(qū)分為使用者帳號(hào)�、電腦帳號(hào)和服務(wù)帳號(hào)三種)�����,並產(chǎn)生 SID�,然後由金鑰配發(fā)中心(KDC),配發(fā)憑證(金鑰)���,SID 及憑證會(huì)儲(chǔ)存於網(wǎng)域成員電腦的系統(tǒng)登錄裡面�����,像這樣經(jīng)過網(wǎng)域主控站認(rèn)證的電腦�����,我們可以將它稱為「可信任電腦」�。
由於過去大家對(duì)於網(wǎng)域成員的認(rèn)證都很忽視,例如 WinNT 也僅只對(duì)網(wǎng)域成員進(jìn)行單向認(rèn)證���,所以常發(fā)生安全漏洞被駭客利用�。為了改善此問題�����,在 Win200x 中採(cǎi)用 Kerberos 5 來進(jìn)行雙向認(rèn)證����,在使用者登入前,伺服器與工作站先交換金鑰��,並向 KDC 查驗(yàn)是否正確���,網(wǎng)域主控站可藉此來決定該使用者是否有權(quán)登入該主機(jī)�����,如果發(fā)現(xiàn)該使用者有登入權(quán)限�,接著再以 LDAP 向 AD 查驗(yàn)帳號(hào)密碼��。安全性相對(duì)比起 NT 來的高許多�����,並且由於 Kerberos 和 LDAP 是 TCP/IP 上面的標(biāo)準(zhǔn),所有其他平臺(tái)如Solaris�����、Linux����、FreeBSD......等等都可以透過 Win200x 帳號(hào)來進(jìn)行登入�����。
與前版網(wǎng)域相容模式
在 Win200x 網(wǎng)域主控站安裝時(shí)���,如果選擇「與Windows 2000前版網(wǎng)域相容」選項(xiàng)����,裝完AD之後�,就可以使用「AD網(wǎng)域與信任」管理工具,來建立與舊有 NT 網(wǎng)域之雙向信任�,就可以讓擁有 NT 網(wǎng)域帳號(hào)的使用者分享 200x 網(wǎng)域的資源。
採(cǎi)用與前版網(wǎng)域相容模式��,除了可以整合舊有 NT 網(wǎng)域外,還支援 NBT 通訊協(xié)定及 WCHAR 認(rèn)證方式���,讓 win9x 可以直接登入「與前版相容的 Win200x 網(wǎng)域」����,但是因?yàn)?Win98 缺乏 Kerberos 用戶端程式會(huì)被 Win200x 當(dāng)成未授權(quán)使用者��,不但無(wú)法享有 Win200x 所帶來的各種安全性措施�����,而且為了讓 Win98 得以存取 200x 網(wǎng)域分享的資源��,許多 Win200x 伺服器上的安全原則都必須撤離��,這使得 200x 網(wǎng)域只能當(dāng)成陽(yáng)春的 NT 網(wǎng)域來使用����。
想要升級(jí)成原始模式,首先必須衡量以下的條件:
- 校內(nèi)已經(jīng)沒有 win9x 和 winNT 工作站�。
- 已建置與 AD 整合之 DNS。
- 全校所有電腦都已經(jīng)加入 win200x 網(wǎng)域���。
滿足上述條件後�,始可將 DC 由相容模式變更為原始模式,但要記住一旦變更為原始模式就無(wú)法再還原了�����!
網(wǎng)域主控站
在 Win200x 網(wǎng)域中負(fù)責(zé)管理帳號(hào)和權(quán)限的機(jī)器稱為 DC����,DC 儲(chǔ)存了使用者帳戶、群組�、印表機(jī)….等物件的資料,DC 與 DC 之間可以透過 LDAP 彼此交換資料以達(dá)到帳號(hào)同步的目的�。為了預(yù)防 DC 故障造成網(wǎng)域崩潰�,最好是在組織網(wǎng)域的初期就建置冗餘的 DC,以備不時(shí)之需����。
※在WIN_NT4.0中,一個(gè)網(wǎng)域之中必須存有一臺(tái) PDC���, 網(wǎng)域間的信任是單向�����,且不具遞移性�,而網(wǎng)域的帳戶資料儲(chǔ)存於 PDC 的 SAM 資料庫(kù)中,容量最多 40MB��。
當(dāng)一個(gè)機(jī)構(gòu)中的電腦分屬於不同的網(wǎng)域時(shí)��,也就是說一個(gè)機(jī)構(gòu)中具有多網(wǎng)域時(shí)���,此刻就有信任上的問題�,若根網(wǎng)域甲的 Domain name 為 test.����,而乙是為甲的子網(wǎng)域,Domain name 為 class.test.�����,丙為為甲的子網(wǎng)域���,Domain name 為 lib.test.�����。三者之間具信任關(guān)係��。因?yàn)?Win200x 網(wǎng)域之間的信任是雙向的並具遞移性�����,也就是說當(dāng)甲與丙互相信任����,甲與乙互相信任,那麼乙和丙也會(huì)互相信任��。故使用者的帳號(hào)是可以開在甲�、乙或丙任何一個(gè)之中皆可。
網(wǎng)域本身就是一個(gè)管理單位����,所以將一個(gè)學(xué)校中的網(wǎng)域數(shù)量降到愈少愈好,如此管理上就會(huì)比較簡(jiǎn)單�。第一個(gè)建立的網(wǎng)域是根網(wǎng)域,根網(wǎng)域的建立時(shí)必需建立在 DNS 的基礎(chǔ)之上��,因?yàn)?微軟公司修改了 DNS 架構(gòu)新增 SRV 紀(jì)錄類型�����,使得網(wǎng)域成員可以透過 DNS 中的 SRV 紀(jì)錄查詢 AD���,因此安裝 AD 時(shí)將會(huì)要求 DNS 的位址��,以便建立 SRV 紀(jì)錄�����。其餘再建立的網(wǎng)域皆為子網(wǎng)域����,而形成一個(gè)網(wǎng)域樹���。二個(gè)以上網(wǎng)域樹彼此在根網(wǎng)域上做了彼此的信任後����,則形成 Forest��,原則上一個(gè)學(xué)校中最多規(guī)劃成一個(gè) Forest 即可���。
安裝 AD
安裝AD方式如下:下列二法中擇一來做
AD目錄服務(wù)安裝過程
步驟一�、從『開始』功能表打開『執(zhí)行』,輸入’dcpromo ’的指令之後按『確定』
﹝如下圖﹞��。
步驟二����、出現(xiàn) Active Directory 安裝精靈的畫面��,按『下一步』��。
步驟三�、選擇此臺(tái) DC 在網(wǎng)域中所扮演的角色,若此臺(tái)是您網(wǎng)域中的第一臺(tái) DC 請(qǐng)點(diǎn)選『新網(wǎng)域的網(wǎng)域控制站』����,並按下一步。
步驟四����、若這是您的第一個(gè)網(wǎng)域﹝也就是說不是某個(gè)現(xiàn)存網(wǎng)域的子網(wǎng)域﹞��,請(qǐng)點(diǎn)選『建立新的網(wǎng)域樹狀目錄』,並按下一步�����。
步驟五�����、若這是您的第一個(gè)網(wǎng)域��,請(qǐng)點(diǎn)選『建立新的網(wǎng)域樹狀目錄的新樹系』����,並按下一步。
步驟六����、輸入您網(wǎng)域的完整 DNS 名稱,並按下一步�����。
步驟七��、輸入新網(wǎng)域的 NetBIOS 名稱�����,並按下一步。
步驟八���、設(shè)定將來 AD 資料庫(kù)及紀(jì)錄檔存放的位置(建議和系統(tǒng)放在不同硬碟上���,可以增加效率),並按下一步�����。
步驟九��、設(shè)定 Sysvol 資料夾的位置��,並按下一步�。
步驟十、如果您要在本機(jī)上安裝了 DNS 請(qǐng)選擇『是��,在這部電腦上安裝並設(shè)定 DNS』��,並按下一步���。
步驟十一�����、如果您不是在純 Win200x 環(huán)境中��,請(qǐng)選擇上面的選項(xiàng)�����,並按下一步��。
步驟十二����、輸入目錄還原模式的密碼��,並按下一步��。
步驟十三����、檢查你選取的項(xiàng)目,若無(wú)錯(cuò)誤請(qǐng)按下一步���。
步驟十四��、AD目錄服務(wù)正在設(shè)定中�。
步驟十五、按下『完成』��。
步驟十六�、必須重新啟動(dòng)電腦。
綜合以上所言����,裝 AD 的要點(diǎn)如下:
-
是新網(wǎng)域中的 DC,還是現(xiàn)存網(wǎng)域中冗餘 DC
-
是新的網(wǎng)域樹狀目錄嗎�?若不是的話,必須先在根網(wǎng)域的 DNS 上先建立對(duì)應(yīng)的 URL 領(lǐng)域����。
-
裝 AD 時(shí),在本機(jī)建個(gè) DNS_Server 會(huì)比較好裝
使用者管理
使用者帳號(hào)(User Account)的種類約可以分做兩類:
第一類為本機(jī)使用者帳戶(Local User Account):只能在單機(jī)使用的帳號(hào)�,這個(gè)帳號(hào)無(wú)法用來登入其他電腦,除非是網(wǎng)域中有一帳號(hào)和密碼和本機(jī)使用者相同��。
-
建立Local User Account的方法如下:
-
【開始】/【程式集】/【系統(tǒng)管理工具】/【電腦管理】/【系統(tǒng)工具】/【本機(jī)使用者和群組】/【使用者】
-
所建立的帳號(hào)基本上是在 Users 資料夾中
第二類為網(wǎng)域使用者帳戶(Domain User Account):為建立在網(wǎng)域控制器伺服器 (DC) 的帳號(hào)���,可以用來登入網(wǎng)域中的可信任電腦�����,並可存取網(wǎng)域中的資源(共享檔案�、印表機(jī)......等),當(dāng)然我們可以在 DC 上設(shè)定哪些電腦允許哪些帳號(hào)登入����,哪些共享資源允許哪些帳號(hào)使用��,這就是後面會(huì)專題探討的「權(quán)限管理」機(jī)制���。
-
建立Domain User Account的方法如下:必須使用【Active Directory使用者及電腦】嵌入單元來建立其Account���,當(dāng)使用這個(gè)嵌入單元來建立Account時(shí),此帳戶會(huì)被建立在MMC主控臺(tái)所找到的“第一臺(tái)DC”���,之後此Account會(huì)自動(dòng)被複製到此Domain內(nèi)所有的裝Active Directory有DC中�����。
-
【開始】/【程式集】/【系統(tǒng)管理工具】/【Active Directory使用者及電腦:“點(diǎn)選出現(xiàn)的網(wǎng)域名稱”(右鍵)】/【新增】/【使用者】
當(dāng)然作比較結(jié)構(gòu)化的管理�����,可以先建立一些不同的組織���,以利你的管理和區(qū)別���;因?yàn)槲匆?guī)劃所建的使用者會(huì) 放在Users中和其他預(yù)設(shè)帳號(hào)混在一起會(huì)比較亂,所以我們必須建組織單位(OU)來作歸納分類����。亦即將李小華放入石牌國(guó)小的老師中,這樣在未來做權(quán)限管理才會(huì)方便
但對(duì)上述李小華也可以將其歸類回石牌國(guó)小的老師中�,亦即在李小華上按右鍵移動(dòng)至石牌國(guó)小的老師。
建組織單位可以先分類歸納好�����,如: 行政處室���、教師(一年級(jí)�、二年級(jí)����、三年級(jí)、四年級(jí)�、五年級(jí)����、六年級(jí))��、實(shí)習(xí)教師......等�。
WIN2000大量帳號(hào)方法
大量建帳號(hào)方法有下列三種
1. 使用 NET USER 指令
語(yǔ)法如下:
NET USER [username [password | *] [options] [/DOMAIN]
username {password |*} /ADD [options] [/DOMAIN]
username [/DELETE] [/DOMAIN]
根據(jù)上述語(yǔ)法,我們可以建立下列一個(gè)account.bat的批次檔��,內(nèi)容如下:
net user hjhon 10001 /add
net user hmary 10002 /add
net user hjack 10003 /add
net user hjackson 10004 /add
net user hellen 10005 /add
net user hsally 10006 /add
net user hmayhi 10007 /add
net user htelmay 10008 /add
net user hjohnson 10009 /add
net user hsala 10010 /add
※此檔可以配合由 Excel 產(chǎn)生�����,方便建連續(xù)性的帳號(hào)�����。
其執(zhí)行結(jié)果狀況如下:
其所建的帳號(hào)皆會(huì)在users之中�����,其結(jié)果如下:
2. 使用自行設(shè)計(jì)的 VBS 程式:
CreateOU.vbs
| 程式內(nèi)容 |
Dim cla(2)
cla(0)="校長(zhǎng)室"
cla(1)="教務(wù)處"
cla(2)="學(xué)務(wù)處"
cla(3)="訓(xùn)導(dǎo)處"
cla(4)="總務(wù)處"
cla(5)="輔導(dǎo)室"
cla(6)="人事室"
cla(7)="主計(jì)室"
cla(8)="圖書館"
wscript.echo"現(xiàn)在開始建立組織單位"
‘Determine the LDAP path for your domain
Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)
For x=0 to 1
claname=cla(x)
Set ouLab=TargetOU.Create("organizationalUnit","OU="& claname)
ouLab.Put "Description",claname
ouLab.SetInfo
Next
‘Done
wscript.echo"組織單位建立完畢" |
CreateUsers.vbs
| 程式內(nèi)容 |
dc_ip="172.16.1.1"
dc_domain="syups."
home_driver="T"
login_script="path.bat"
user_quota=10240
Set conn=CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)};DBQ=c:\win2000建帳號(hào)程式\account.mdb;"
Set rs=CreateObject("ADODB.RecordSet")
SqlStr="SELECT * FROM 帳號(hào)清單"
rs.Open SqlStr,conn,3,1
set oAD=GetObject("LDAP://RootDSE")
set wsh1 = CreateObject("WScript.Shell")
Do Until rs.EOF
Set oDomain=GetObject("LDAP://" & dc_ip & "/OU=" & rs("部門") & "," & oAD.Get("defaultNamingContext"))
struser = rs("帳號(hào)")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實(shí)姓名")
oUser.Put "userPrincipalName",struser & "@" & dc_domain
oUser.Put "mail",""&rs("電子郵件")
oUser.Put "wwwHomePage", ""&rs("個(gè)人首頁(yè)")
oUser.Put "streetAddress", ""&rs("地址")
‘oUser.Put "title", ""&rs("職稱")
‘oUser.Put "department", ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
‘oUser.Put "profilePath","\\" & dc_ip & "\user$\"&struser
oUser.Put "homeDirectory","\\" & dc_ip & "\data$\"&struser
oUser.Put "homeDrive",home_driver
oUser.Put "scriptPath",login_script
oUser.Put "maxStorage",int(user_quota)
oUser.SetInfo
oUser.SetPassword ""&rs("密碼")
Usercount=Usercount+1
‘userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser
‘mycommand = "cmd /c md " & userprofile
‘wsh1.run mycommand
mycommand = "cmd /c md " & userhome
wsh1.run mycommand
‘mycommand = "cmd /c echo y| CACLS " & userprofile & " /E /C /G " & struser & ":F"
‘wsh1.run mycommand
mycommand = "cmd /c echo y| CACLS " & userhome & " /E /C /G " & struser & ":F"
wsh1.run mycommand
End If
rs.MoveNext
Loop
msgbox"成功建立"&Usercount&"個(gè)使用者�����!"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing |
Account.mdb內(nèi)容如下:
修改檔案的存取控制清單 (CACLS)
語(yǔ)法如下:
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL�。
/T 變更指定檔案的 ACL 於
現(xiàn)有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代��。
/C 拒絕存取的錯(cuò)誤繼續(xù)發(fā)生���。
/G user:perm 授與指定的使用者存取權(quán)限���。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權(quán)限 (只有當(dāng) /E 存在時(shí)才有效)。
/P user:perm 取代已指定的使用者存取權(quán)限����。
Perm 的值可以是: N 沒有權(quán)限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬(wàn)用字元一次指定數(shù)個(gè)檔案����。
您可以在命令中指定數(shù)個(gè)使用者。
縮寫:
CI - 容器繼承���。
ACE 將被目錄繼承�。
OI - 物件繼承�。
ACE 將被檔案繼承。
IO - 僅供繼承��。
ACE 不可套用到目前的檔案/目錄�。
磁碟配額管理
在伺服器上的磁碟空間是有限的����,尤其是當(dāng)我們將伺服器上的硬碟提供給老師或其他使用者儲(chǔ)放資料時(shí)�,硬碟的空間監(jiān)管是件十分重要的事情, 無(wú)論是硬碟的儲(chǔ)放空間所剩多少或進(jìn)出伺服器的安全監(jiān)管皆是十分重要����;因?yàn)橛驳膬?chǔ)放空間剩的太少會(huì)造成許多的問題,諸如:服務(wù)會(huì)被停用���、虛擬記憶體太低���、IO太頻繁...等,尤其當(dāng)硬碟空間大幅減少時(shí)���,要檢查是否為駭客或病毒入侵,大肆破壞了伺服器�����,造成無(wú)法挽救的遺憾���。因此監(jiān)視伺服器的硬碟中個(gè)別目錄的成長(zhǎng)狀況是件十分重要之事����,畢竟了解到硬碟空間成長(zhǎng)的狀況,可以在發(fā)生意外狀況之前���,防範(fàn)於未然����。
若是要提供老師或其他使用者儲(chǔ)放資料在伺服器上時(shí)����,Win200x 的磁碟配額是一件必要的實(shí)用安全的優(yōu)質(zhì)管理,不過 Win200x 的磁碟配額管理只能用 NTFS 的磁碟檔案系統(tǒng)���,其並不支援 FAT32 和 FAT 磁碟檔案系統(tǒng)���; 磁碟配額最棒之處是能限制使用者可以儲(chǔ)放資料的使用硬碟空間,限制其修改或複製檔案的能力範(fàn)圍��,降低使用者大量使用磁碟�,造成系統(tǒng)遭到破壞的機(jī)率,且系統(tǒng)管理人員可依實(shí)況有效調(diào)節(jié)使用者使用磁碟的空間�����,不致於浪費(fèi)且可以將資源有效的整合。
磁碟配額使用方法如下:
第一步將提供老師或使用者使用的硬碟(最好是外掛一個(gè)硬碟���,即使是 IDE 硬碟也沒關(guān)係)����,按滑鼠右鍵點(diǎn)選內(nèi)容���。
第二步在配額的選項(xiàng)勾選啟用配額管理和拒絕將磁碟空間給超過配額限制的使用者�����。並限制每個(gè)使用者的使用硬碟空間為多少�����,並於將超過使用磁碟空間範(fàn)圍時(shí)提出警告����。(每個(gè)人磁碟空間限制先設(shè)少一點(diǎn)空間可使用��,再慢慢放寬多一點(diǎn)空間���;本校磁碟空間使用預(yù)估法為:硬碟空間/(學(xué)校老師數(shù)/2))
第三步在第二步時(shí)點(diǎn)選配額項(xiàng)目時(shí)就可以發(fā)現(xiàn)每個(gè)老師或使用者使用硬碟的空間狀況為何��?
第四步若有使用者因公務(wù)或教學(xué)需求上的需要更多更大的硬碟空間時(shí)��,則點(diǎn)選單一使用者來放寬其硬碟的空間限制��。
權(quán)限管理
一��、群組觀念
對(duì)於使用者的權(quán)限管理設(shè)定���,我們通常會(huì)將使用者先歸類為群組後,在將其做權(quán)限控管�。
win200x 的網(wǎng)域可分為兩大類型
混合模式(Mix Mode) :混合模式指網(wǎng)域中包含 Win200x、WinNT...等機(jī)器
-
在 Win200x 的網(wǎng)路���,預(yù)設(shè)為混合模式����。
-
在混合模式中�,其網(wǎng)域控制站可以包含 Windows NT 級(jí)的電腦,也就是在網(wǎng)域中可以有 NT3.5x���、NT4.0�、Win200x 的模式。
-
混合模式不支援萬(wàn)用群組�。
-
從混合模式改為原始模式的方式如下:【開始】/【程式集】/【系統(tǒng)管理工具】/【Active Directory 使用者與電腦】/【網(wǎng)域名稱(右鍵)】/【內(nèi)容】/【變更模式】/【確定】,變更成為原始模式後�����,此變更結(jié)果會(huì)被 Copy 到網(wǎng)域中所有的 DC 中���。
-
切記混合模式變更成原始模式後�����,是無(wú)法再恢復(fù)成混合模式�����。
原始模式(Native Mode):原始模式指網(wǎng)域中只有 Win200x 或 xp 機(jī)器
-
在原始模式的網(wǎng)域中����,其所有的DC都必須是 Win200x 的電腦��。
-
但在網(wǎng)域內(nèi)的成員���,除了 Win200x 級(jí)的 computer 外,仍可是 WinNT3.x/4.0級(jí)的 member server�。
-
支援所有的 Group��,例如:Global group���、Local group 和萬(wàn)用群組。且可以是巢狀迴圈����。
群組的權(quán)限
新增群組的方法,在單位組織上按右鍵→新增→群組
由上表來看群組領(lǐng)域分為三類
-
網(wǎng)域區(qū)域群組(Domain Local Group): 類似 NT 時(shí)代的區(qū)域群組���,主要是被用來指派其所屬的網(wǎng)域內(nèi)資料存取的權(quán)限����,在原始模式中網(wǎng)域區(qū)域群組包含同一森林(Forests)任何網(wǎng)域中所有使用者帳號(hào)(User Account)�、通用群組(Global Group)、萬(wàn)用群組(Universal Group)�����,可包含同一網(wǎng)域(Domain)內(nèi)的網(wǎng)域區(qū)域群組 Domain Local Group���,亦即為內(nèi)嵌式區(qū)域群組�,但無(wú)法包含其他網(wǎng)域(Domain)的網(wǎng)域區(qū)域群組(Domain Local Group)。Domain Local Group 只能夠 Access 同一 Domain 內(nèi)的資源�����,無(wú)法跨網(wǎng)域來 Access 其他 Domain 的資源�����。
-
通用群組(Global Group): 其主要目的用來組織使用者����,即可將多個(gè)權(quán)限相同的使用者帳戶加入到同一個(gè)通用群組(Global Group)中,通用群組(Global Group)可以存取任何一個(gè)擁有信任關(guān)係的網(wǎng)域(Domain)中的資源���,也就是說通用群組(Global Group)可跨網(wǎng)域(Domain)來進(jìn)行存取其他網(wǎng)域的資源����,可在任何一個(gè)Domain 內(nèi)設(shè)定某個(gè) Global Group 的 Permission����,這個(gè) Global Group 可以在同一 Domain,也可在另一個(gè)Domain 內(nèi)�����,所以通用群組(Global Group)在同一網(wǎng)域時(shí)是使用者帳號(hào)與其他通用群組的集合,當(dāng)通用群組(Global Group)在跨越其他網(wǎng)域時(shí)則為使用者帳號(hào)的集合(可以為不同網(wǎng)域)��。
-
萬(wàn)用群組(Universal Group): 主要是用來指派在所有網(wǎng)域內(nèi)的存取權(quán)限��,以便能夠使用每一個(gè)網(wǎng)域內(nèi)的資源���。成員能夠包含任使用者帳號(hào)、通用群組及WIN2000網(wǎng)域Forests下的萬(wàn)用群組�。萬(wàn)用群組必須在原始模式中才有,而我們各校所使用皆混合模式下是無(wú)法建立萬(wàn)用群組����。
群組類型:
二����、權(quán)限指派
委派控制:
選擇一個(gè)組織單位,按滑鼠右鍵�,並選擇出現(xiàn)的快顯功能表上的委派控制。
新增使用者或群組以做控管權(quán)限
基本的資料夾權(quán)限管理
1.點(diǎn)資料夾按右鍵�����,先將資料夾→共用(共用此資料夾���,給予共用名稱)→使用者人數(shù)限制(允許最大數(shù)或限制為多少人數(shù))→給予權(quán)限(完全控制�����、變更�����、讀取)→授予群組或使用者��。
若要比較詳細(xì)的權(quán)限則由安全性中去設(shè)定��,進(jìn)階中可以就更加詳細(xì)去設(shè)定�����。
|
NTFS基本安全權(quán)限包括
1.完全控制
2.修改
3.讀取與執(zhí)行
4.清單資料夾內(nèi)容
5.讀取
6.寫入
|
NTFS進(jìn)階權(quán)限設(shè)定有
1.周遊資料夾 / 執(zhí)行檔案
2.列出資料夾 / 讀取檔案
3.讀取屬性
4.讀取擴(kuò)充屬性
5.建立檔案 / 寫入資料
6.建立資料夾 / 附加資料
7.寫入屬性
8.寫入擴(kuò)充屬性
9.刪除子資料夾 / 檔案
10.刪除
11.讀取使用權(quán)
12.變更使用權(quán)
13.取得使用權(quán)
|
災(zāi)難處理
做一個(gè)網(wǎng)管人員最怕的是自己所管理的SERVER當(dāng)?shù)?����,或者是無(wú)法開機(jī)�����;而自己的資料又沒有備份的話�����。此時(shí)此刻真是要呼天搶地����,企求奇蹟了�����。因此����,我們必須於平時(shí)做好下列工作�����,以防意外狀況的發(fā)生:
-
建立緊急修復(fù)磁片����,以利快速?gòu)?fù)原系統(tǒng)的修復(fù)���。
-
安裝修復(fù)主控臺(tái)��,以利解決系統(tǒng)問題��,無(wú)須重新安裝系統(tǒng)�。
-
備份DHCP資料庫(kù)���,以利快速重建DHCP伺服器���。
-
建立鏡像磁碟、減少資料的遺失��,以利快速回復(fù)系統(tǒng)資料����。
-
以GHOST備份整個(gè)作業(yè)系統(tǒng)��,以能快數(shù)於數(shù)分鐘內(nèi)還原整個(gè)完整的系統(tǒng)�����。
一般而言���,修復(fù)WINDOWS 2000的方法有兩種:
一、是緊急修復(fù) WINDOWS 2000 安裝
此法��,我們必須具備需要WINDOWS 2000 系統(tǒng)開機(jī)磁片則可以使用下列方法自行去產(chǎn)生�;可以在WINDOWS 2000安裝光碟中[BOOTDISK]資料夾中��,執(zhí)行[MAKEBT32]程式���,再依序放入產(chǎn)生4張空白磁片於A碟中�,便能快速依序建好開機(jī)片���。
另外����,建立緊急修復(fù)磁片也是件刻不容緩之事,執(zhí)行[開始→程式集→附屬應(yīng)用程式→系統(tǒng)工具→備份]功能�����,來執(zhí)行備份程式�;在此我們可以快速建立緊急修復(fù)磁片。
假如在建立緊急修復(fù)磁片時(shí)���,勾選了[同時(shí)也將登錄檔案?jìng)浞莸叫迯?fù)目錄....]��,則在建立緊急修復(fù)磁片時(shí)�,也會(huì)將目前登錄在C:\WINNT\repair\RegBACK資料夾內(nèi)的檔案在建立一份備份到磁片中�����。
若勾選了[同時(shí)也將登錄檔案?jìng)浞莸叫迯?fù)目錄...]核取項(xiàng)�����,則在建立緊急修復(fù)磁片時(shí)�,會(huì)將目前的登錄在 C:\WINNT\repair\RegBack 資料夾內(nèi)再建立一個(gè)備份。換言之�����,緊急修復(fù)磁片內(nèi)的檔案,就在 C:\WINNT\repair 資料夾之中�����。
WINDOWS 2000 的系統(tǒng)緊急修復(fù)磁片中���,儲(chǔ)存了系統(tǒng)檔案與設(shè)定資訊�。為確保建立的系統(tǒng)緊急修復(fù)磁片可以有效修復(fù)毀損的系統(tǒng)��,必須時(shí)時(shí)保持系統(tǒng)緊急修復(fù)磁片的最新�����,故一旦系統(tǒng)設(shè)定做了重大的變更時(shí)���,必須立即建立新的系統(tǒng)緊急修復(fù)磁片。
緊急修復(fù) WINDOWS 2000 �����,一般有所謂手動(dòng)修復(fù)或快速修復(fù)�����,二者的差異僅在手動(dòng)修復(fù)上,一切的恢復(fù)設(shè)定(系統(tǒng)檔案���、磁碟分割開機(jī)磁區(qū)或啟動(dòng)環(huán)境)皆由系統(tǒng)管理員自行決定����,而快速修復(fù)則由電腦自動(dòng)執(zhí)行而已����;操作方法概略如下:?jiǎn)?dòng)電腦→在歡迎使用安裝程式時(shí),按 R 選修復(fù) WINDOWS 2000 → 在此選 M (手動(dòng)修復(fù)) 或 F (快速修復(fù)) → 放入緊急修復(fù)磁片��,按ENTER(按L去找安裝光碟或 WINDOWS 2000 的位置�����,通常是無(wú)效的)����。
二、是使用修復(fù)控制臺(tái)修復(fù)WINDOWS 2000
一般而言�����,硬碟無(wú)法開機(jī)是因?yàn)殚_機(jī)磁區(qū)資料遺失或毀損,windows 2000 在此方面是有辦法的---也就是「修復(fù)主控臺(tái)工具」����。其修復(fù)的動(dòng)作程序如下:
- 以windows 2000的光碟片開機(jī)[記得BIOS要修改成光碟機(jī)優(yōu)先開機(jī)],在螢?zāi)怀霈F(xiàn)歡迎安裝的畫面時(shí)���,按下鍵盤的[R]鍵進(jìn)入修復(fù)主控臺(tái)來修復(fù)windows 2000����,記得可不要按ENTER去重新安裝windows 2000哦����!
- 當(dāng)進(jìn)入修復(fù)主控臺(tái),在畫面上會(huì)出現(xiàn)哪一個(gè)要登入去修復(fù)的windows��,由於我們是拿來做SERVER�����,所以只有一個(gè)windows系統(tǒng)來做修復(fù)選擇���。
- 由於只有一個(gè)windows系統(tǒng)來做修復(fù)選擇,所以我們按1來做選擇�,再按一下[Enter]鍵;但若不欲修復(fù)windows 2000,則再按一次[Enter]鍵就可以取消修復(fù)��;若修復(fù)完畢後則鍵入EXIT�����,結(jié)束修復(fù)主控臺(tái)重新啟動(dòng)電腦��。
- 當(dāng)按1選擇唯一的windows�,並按一下[Enter]鍵執(zhí)行後,畫面會(huì)出現(xiàn)administrator [系統(tǒng)管理員的帳號(hào)]����,請(qǐng)輸入本機(jī)administrator的密碼[此用意在於防範(fàn)系統(tǒng)的安全不致於被其他使用者任意竄改或破壞系統(tǒng)],在出現(xiàn)C:\WINDOWS>後��,可以鍵入HELP以觀看有哪些可以使用的指令��。
- 首先觀察電腦系統(tǒng)中���,所有磁碟的狀態(tài)��,故鍵入map指令���,以觀察磁碟的狀態(tài)��。
- 選擇所要修復(fù)磁碟����,輸入chkdsk 磁碟機(jī)代號(hào): /r [例如 chkdsk c: /r]�����,再按[Enter]鍵執(zhí)行��,通常C碟一定要做修復(fù)[因?yàn)椴荒軉?dòng)WINDOS 2000]來開機(jī)�����。
- 當(dāng)磁碟完成檢查之後�����,我們將進(jìn)行開機(jī)磁區(qū)的修復(fù)�,我們鍵入fixboot c: [假設(shè)開機(jī)碟為C],來修正已受損的開機(jī)磁區(qū)����,並複寫入系統(tǒng)開機(jī)磁碟分割的預(yù)設(shè)值。
- 當(dāng)修復(fù)完開機(jī)磁區(qū)���,我們將繼續(xù)進(jìn)行系統(tǒng)磁碟分割的主開機(jī)記錄區(qū)[MBR]修整��;我們輸入 fixmbr c: 當(dāng)開機(jī)紀(jì)錄區(qū)遭到病毒損毀���,無(wú)法啟動(dòng)作業(yè)系統(tǒng)的情況下使用,畫面會(huì)出現(xiàn)修復(fù)的警告標(biāo)示���,按Y繼續(xù)進(jìn)行����。
- 當(dāng)修復(fù)完畢之後����,我們只要鍵入EXIT就可以重新啟動(dòng)電腦,檢視我們修復(fù)的成果�����。[若修復(fù)完畢可以進(jìn)入WINDOWS 2000則表OK��,反之失敗那就慘了���!]
**將修復(fù)主控臺(tái)安裝置開機(jī)選單中���,將可以不必透過光碟機(jī)開機(jī)來修復(fù)�,
- 在執(zhí)行視窗中鍵入 D:\i386\winnt32.exe /cmdcons ���,再按[確定]來執(zhí)行���。
- 接著會(huì)告知需要7MB磁碟空間安裝,按下是開始安裝����,在安裝時(shí)會(huì)先連線到微軟的伺服器進(jìn)行檢查有無(wú)新的版本可以下載,然後開始安裝�。
- 當(dāng)安裝完畢下一次重新開機(jī)後,就有修復(fù)主控臺(tái)可以使用[再開機(jī)時(shí)按F8→選擇偵錯(cuò)模式→WINDOWS 2000 修復(fù)主控臺(tái)]�����。
加強(qiáng)學(xué)校系統(tǒng)安全管理的日常工作
當(dāng)架設(shè)好WINDOWS 2000後���,應(yīng)於日常做下列安全的檢查工作:
- 確認(rèn)所有伺服器和工作站的硬碟皆是使用NTFS檔案系統(tǒng)���。
- 確認(rèn)系統(tǒng)管理的帳戶使用嚴(yán)謹(jǐn)且複雜的密碼,並於一段時(shí)間內(nèi)不斷變更密碼以維安全���。
- 停用不必要的系統(tǒng)服務(wù)功能�,減少系統(tǒng)資源的浪費(fèi)與降低漏洞的發(fā)生機(jī)會(huì)。
- 對(duì)於離職退休或不需使用的帳戶加以停用或刪除�����。
- GUEST的帳戶做好確實(shí)的管理����,給予停用或變更其帳戶名稱�。
- 為檔案或資料夾加密與維護(hù),並給予適當(dāng)?shù)陌踩珯?quán)限管理����。
- 時(shí)時(shí)做好資料、系統(tǒng)相關(guān)安全資訊與登錄資料的備份於他處�。
- 時(shí)時(shí)檢查系統(tǒng)中的帳戶的權(quán)限是否正常為USER層級(jí),而非被駭客改為Administrator層級(jí)�。
- 嚴(yán)謹(jǐn)規(guī)劃設(shè)定各群組人員與其權(quán)限,尤其是Administrator的帳戶群組人員更要嚴(yán)加控管�����。
- 加強(qiáng)宣導(dǎo)使用者對(duì)自己帳戶與密碼的管理�����,避免其成為駭客入侵的跳板。
- 移除所有非必要的資源分享���。
- 安裝伺服器防毒軟體�,降低病毒與駭客的入侵��;並時(shí)時(shí)保持病毒碼的時(shí)時(shí)更新���。
- 裝上做新的Service Pack 和 Hot Fix���。
- 有空時(shí)看看事件檢視器中日誌檔,掌握系統(tǒng)狀況���。
- 掌握磁碟空間的變化���,並注意硬碟空間是否足夠或有不正常的檔案目錄成長(zhǎng)。
系統(tǒng)原則與桌面管理
win9x 系統(tǒng)原則
win9x 系列因?yàn)槭褂?FAT 檔案系統(tǒng)�����,檔案上無(wú)法依據(jù)使用者的不同設(shè)定不同權(quán)限,因此系統(tǒng)原則程式如果放在硬碟上則任何人都可以讀取執(zhí)行�,由於這個(gè)緣故 poledit 程式是收錄在光碟上,使用時(shí)最好是用磁片執(zhí)行不要存入硬碟中��。底下範(fàn)例是為了上課方便從硬碟執(zhí)行�����,實(shí)作時(shí)不應(yīng)該如此��。
1.Poledit程式位置乃在於win98光碟中的資料夾中(tools→reskit→netadmin→poledit)����。
2.將poledit資料夾複製在win98機(jī)器中��,去執(zhí)行poledit.exe程式��,設(shè)定系統(tǒng)原則�。
依微軟的指示,poledit系統(tǒng)原則編輯的做法如下
建立新的原則檔
1 按「檔案」功能表的「開新檔案」��。
2 poledit.exe程式執(zhí)行時(shí)開啟時(shí)�,開啟admin.adm範(fàn)本→開始登錄,系統(tǒng)原則可以做本機(jī)電腦與本機(jī)使用者的限制使用
-
要新增使用者���,請(qǐng)按「編輯」功能表的「新增使用者」�,再輸入要設(shè)定原則的使用者名稱。
-
要新增電腦名稱���,請(qǐng)按「新增電腦」��,再輸入要設(shè)定原則的電腦名稱�����。
-
要新增使用者群組�,請(qǐng)按「新增群組」��,再輸入要設(shè)定原則的群組名稱�。
本機(jī)使用者的限制
本機(jī)電腦的限制
3 要設(shè)定使用者、群組或電腦的原則時(shí)�����,請(qǐng)按要設(shè)定原則的圖示�,再選「編輯」功能表的「內(nèi)容」。按兩下書籍圖示��,查看可以使用的設(shè)定值���。
如果選一個(gè)原則���,系統(tǒng)就會(huì)套用這個(gè)原則��。例如����,選「檔案分享控制無(wú)效」���,則使用者就無(wú)法在網(wǎng)路上分享資料夾���。
設(shè)定從 Windows NT或Windows 2000機(jī)器自動(dòng)下載
1 按「檔案」功能表中的「開啟登錄」�。
2 按兩下「本機(jī)電腦」。
3 按「網(wǎng)路」旁邊的加號(hào)�����。
4 按 Microsoft Client For Windows Networks �。
旁邊的加號(hào),再按「登入 Windows NT」�。
5 輸入 Windows NT 網(wǎng)域名稱。
6 在主要的網(wǎng)域控制器上建立一個(gè)叫做 Netlogon 資料夾�����,然後再分享它。(Win2000在Winet→Sysvol→Sysvol→網(wǎng)域名稱→Scripts資料夾中����。
7 將原則檔儲(chǔ)存在這個(gè)資料夾中。請(qǐng)確認(rèn)原則檔的檔名為config .pol���。
Win98/XP 系統(tǒng)登錄組態(tài)設(shè)定
windows的機(jī)碼有六大類:
- HKEY_CLASSES_ROOT:記載許多副檔名的定義���,也就各種檔案的類型。分別定義各種副檔名所開啟的應(yīng)用程式��。
- HKEY_CURRENT_USER:由HKEY_USERS延伸而來���,其記載目前登入使用者的資料狀態(tài)�����,為一種個(gè)人化作業(yè)環(huán)境設(shè)定資料��。
- HKEY_LOCAL_MACHINE:電腦中各種硬體設(shè)定資料�����,包括印表機(jī)�、光碟機(jī)、BIOS....等資料���。
- HKEY_USERS:用於記載不同使用者的資料�。若設(shè)定只有一個(gè)使用者時(shí)����,HKEY_CURRENT_USER的記錄則與HKEY_USERS內(nèi)的.DEFAULT相同,否則在HKEY_USERS下就會(huì)有不同使用者名稱的機(jī)碼���。
- HKEY_LOCAL_CONFIG:記載目前使用硬體的設(shè)定檔�。
- HKEY_DYN_DATA:此為存在記憶體中的動(dòng)態(tài)資料����,用於監(jiān)視電腦效能����,一開機(jī)時(shí)由Windows建立此機(jī)碼資料,一關(guān)機(jī)後機(jī)碼資料就消失�����,故無(wú)法新增機(jī)碼,此部份只有Win98/Me才有�。
系統(tǒng)登錄檔的使用
1.系統(tǒng)登錄檔的檢查員:scanregw.exe (win98下執(zhí)行)
2.系統(tǒng)登錄檔的備份與還原:scanreg /backup 和 scanreg /restore (dos下執(zhí)行)
3.系統(tǒng)登錄檔的修復(fù):scanreg /fix
3.工作站自動(dòng)設(shè)定IE組態(tài)(以proxy和cache大小為例)
- 參考 ie6.reg 內(nèi)容,用記事本開啟�����。
- 建 ie6.reg 的方法�,在一臺(tái) win98 機(jī)器上,可以將 proxy 和 cache 大小先設(shè)定好
- 在執(zhí)行位置���,鍵入regedit�����。
- 編輯→尋找→ProxyServer和編輯→尋找→CacheLimit
- 將滑鼠置於其上����,登錄→匯出登錄檔案
- 將 ie6.reg 放入 Login Script 中�����,則所有人一登錄時(shí)就會(huì)改掉單機(jī)的設(shè)定�。
下面是一個(gè) reg 檔的範(fàn)例,用於限制網(wǎng)頁(yè)首頁(yè)��、proxy server、桌面...等項(xiàng)目�����,適用於WINXP和WIN98 的 Client 端使用���。
Windows Registry Editor Version 5.00
底下範(fàn)例將瀏覽器預(yù)設(shè)首頁(yè)���,改為學(xué)校官方網(wǎng) :
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.syups./"
底下範(fàn)例將瀏覽器「檢查儲(chǔ)存的畫面是否有較新的版本」,改為「每次查閱時(shí)」 :
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Cache_Update_Frequency"="Once_Per_Session"
底下範(fàn)例將啟用代理器�,Proxy Server 為教育部 proxy.moe.edu.tw:3128,並將校內(nèi)網(wǎng)段排除不透過 Proxy 連線 :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxy.moe.edu.tw:3128"
"ProxyOverride"="172.16.*.*;*.syups.;<local>"
底下範(fàn)例將網(wǎng)頁(yè)暫存空間 Temporary Internet file 設(shè)定為 5MB:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content]
"CacheLimit"=dword:00005000
底下範(fàn)例設(shè)定桌布為 C:\WINDOWS\rule.bmp 並禁止使用者更改:
[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\rule.bmp"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=dword:00000001
底下範(fàn)例將工作站 IE 瀏覽器的進(jìn)階設(shè)定值「永遠(yuǎn)將 URL 傳送成 UTF-8」關(guān)閉:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"UrlEncoding"=dword:00000001
WinXP 本機(jī)安全性原則
winXP 採(cǎi)用 NTFS 檔案系統(tǒng)�,因此可以作精緻的權(quán)限設(shè)定,系統(tǒng)管理工具直接安裝於硬碟上�,但只有 administrator 可以執(zhí)行。
1. 從「控制臺(tái)」->「系統(tǒng)管理工具」��,打開「本機(jī)安全性原則」
2. 限制一般使用者無(wú)法變更時(shí)間�。依據(jù) kerbros 認(rèn)證的運(yùn)作機(jī)制,工作站時(shí)間若與 DC 時(shí)間差異達(dá)兩個(gè)小時(shí)以上�����,將會(huì)無(wú)法登入主機(jī)�����。
3. 設(shè)定成不要顯示上次登入的使用者名稱����,以免帳號(hào)被收集利用。
4. 停用 Guest 帳號(hào)���,以避免未被授權(quán)的使用者進(jìn)入系統(tǒng)���。
5. 在 XP 預(yù)設(shè)的情況下,允許使用者連線到網(wǎng)路磁碟機(jī)時(shí)�,將登入的帳號(hào)密碼儲(chǔ)存起來,下次再連線時(shí)將不會(huì)再詢問帳號(hào)密碼�����,這個(gè)功能一旦開啟�,其它的使用者將無(wú)法以自己的權(quán)限來操作網(wǎng)路磁碟機(jī)。
WinXP 安全性設(shè)定與分析
winXP 的安全性有三種不同機(jī)制進(jìn)行管理����,一是本機(jī)安全性原則,前面已經(jīng)介紹過了�����,它是 poledit.exe 的強(qiáng)化版,在 winXP 裡另外提供一個(gè) secedit.exe 可以結(jié)合登入指令稿來作動(dòng)態(tài)設(shè)定���。第二種機(jī)制稱為安全性設(shè)定與分析����,它提供比本機(jī)安全性原則更詳細(xì)的設(shè)定選項(xiàng)����,同時(shí)可以將設(shè)定儲(chǔ)存成安全性資料庫(kù),該資料庫(kù)可於本機(jī)運(yùn)作���,或是上傳到 DC 上作為群組原則範(fàn)本�����,後者的好處是網(wǎng)域內(nèi)符合該群組的電腦都會(huì)自動(dòng)套用同一設(shè)定���。三是群組原則,群組原則原始設(shè)計(jì)為透過 AD 管理���,在網(wǎng)域成員登入時(shí)自動(dòng)套用到工作站上��。然而這個(gè)部分僅能針對(duì)網(wǎng)域使用者進(jìn)行管理��,由於 winXP 上有所謂的本機(jī)使用者���,如果校內(nèi)同仁或小朋友是使用本機(jī)帳號(hào)登入,將不會(huì)受到任何限制�,因此在 winXP 上另外設(shè)計(jì)了能管理本機(jī)使用者的群組原則管理程式。
1. 在開始工作列上按「開始->「執(zhí)行」���,輸入指令 mmc
2. 主控臺(tái)視窗出現(xiàn)後��,按「檔案」->「新增/移除嵌入式管理單元」
3. 請(qǐng)新增「安全性設(shè)定及分析」管理單元
4. 在管理單元上按右鍵選「開啟資料庫(kù)」->輸入資料庫(kù)檔名(自行命名)
5. 資料庫(kù)建好後���,在管理單元上按右鍵選「立即分析電腦」
6. 設(shè)定方式如本機(jī)安群性原則,不再累述����。完成後請(qǐng)按右鍵選「立即設(shè)定電腦」
WinXP 本機(jī)群組原則
1. 使用主控臺(tái)新增嵌入式管理單元,單元名稱為「群組原則」
2. 下圖的設(shè)定內(nèi)容其實(shí)就是前面介紹過的本機(jī)安全性原則��,設(shè)定方式請(qǐng)參考前面的章節(jié)
3. 選取「使用者設(shè)定」->「系統(tǒng)管理範(fàn)本」->「windows元件」->「Internet explorer」可以針對(duì) IE 進(jìn)行細(xì)節(jié)設(shè)定���,其中「不容許使用自動(dòng)完成來儲(chǔ)存密碼」���,建議要啟用�。這樣在網(wǎng)頁(yè)需要登入的場(chǎng)合��,才不會(huì)出現(xiàn)「儲(chǔ)存密碼」的核取框��。
AD 群組原則(GPO)
Win200x 群組原則是 Win200x 或 WinXP 使用者工作環(huán)境的管理工具之一�,提供比本機(jī)電腦設(shè)定有更完整的控制選項(xiàng)與更廣泛的套用對(duì)象,以減低網(wǎng)路管理的負(fù)擔(dān)與成本�。
Win200x 群組原則包含對(duì)電腦機(jī)器或使用者兩個(gè)部分:
-
電腦設(shè)定(Computer Configuration):針對(duì)此臺(tái)電腦設(shè)定工作環(huán)境,例如對(duì)某一個(gè)網(wǎng)域設(shè)定一個(gè)群組原則GPO���,則此網(wǎng)域內(nèi)的所有電腦都會(huì)套用此設(shè)定(當(dāng)然只有對(duì) Win200x 或 WinXP 的機(jī)器才有效)��。
-
使用者設(shè)定(User Configuration):針對(duì)使用者來設(shè)定作環(huán)境�,例如對(duì)某個(gè)網(wǎng)域設(shè)定一個(gè)群組原則�,則此網(wǎng)域內(nèi)的所有使用者都會(huì)套用到此原則設(shè)定。
群組原則可以對(duì)站臺(tái) (Site)�����、網(wǎng)域 (domain)或組織單位OU(Organization Unit)等物件設(shè)定群組原則�����,而資料存放在 Active Directory(%systemroot%\sysvol\”DomainName”\Policies)中。
可以針對(duì)每臺(tái)電腦作 local group policy����,該原則設(shè)定會(huì) apply 至本臺(tái)電腦及 local users�����,而資料存放於〈%systemroot%\system32\GroupPolicy〉的資料夾內(nèi)�。
在預(yù)設(shè)情況下,下層的GPO會(huì)覆蓋上層的GPO���,其套用順序?yàn)楸緳C(jī)GPO(即本機(jī)安全性原則)→Site→Domain→OU�����,同個(gè)物件若有多個(gè)GPO而相衝突時(shí)����,以排列在前面者優(yōu)先����。
一般情況下���,子層會(huì)繼承父層的已設(shè)定原則(尚未設(shè)定原則不繼承),另外有特殊情況:
-
阻擋繼承:為系統(tǒng)預(yù)設(shè)值��,若子層設(shè)定「阻礙原則繼承(Block)」�����,則不繼承父層的設(shè)定原則�。
-
強(qiáng)制繼承:父層的關(guān)聯(lián)選項(xiàng)設(shè)定為No override(不覆蓋),則父層所設(shè)定的原則將強(qiáng)制子層繼承�,即使子層設(shè)定「阻礙原則繼承(Block)」也無(wú)法違反此強(qiáng)制繼承的優(yōu)先權(quán)。但繼承項(xiàng)目?jī)H限於有設(shè)定(已啟用或已停用)項(xiàng)目�。
群組原則建立方法:
【開始】/【程式集】/【系統(tǒng)管理工具】/【Active Directory使用者與電腦】/【網(wǎng)域名稱(右鍵)】/【內(nèi)容】/【群組原則】/新增一個(gè)群組原則或編輯 Default Domain Policy 的內(nèi)容。
WinXP 桌面管理
winXP 由於使用 NTFS 檔案系統(tǒng)��,能有效針對(duì)不同等級(jí)使用者設(shè)定詳細(xì)的權(quán)限���,因此以往在 win9x上無(wú)法可管的桌面圖示和開始功能表����,現(xiàn)在也可以進(jìn)行管理���,示範(fàn)如下:
- 首先用 admnistrator 登入後�����,將 c:\Documents and Settings 資料夾設(shè)為 administrator 完全控制
- 將所有使用者的桌面與開始功能表搬移到 All Users 資料夾中
- 將 All users 資料夾設(shè)定為唯讀(administrator 除外���,以方便事後增刪)
- 如果學(xué)生是使用 user 帳號(hào)自動(dòng)登入�,請(qǐng)將 user 資料夾中的「桌面」和「開始功能表」��、「我的最愛」設(shè)定為唯讀����,以上設(shè)定步驟可防止一般使用者變更桌面��、開始功能表和我的最愛的內(nèi)容
- 將 C: 設(shè)定為 user 僅能唯讀����,按「進(jìn)階」,勾選「以顯示於此套用到子物件......」
- 由於部分應(yīng)用程式(例如:MsWord)會(huì)在啟動(dòng)時(shí)將暫存檔寫入c:\windows\temp 中���,因此我們必須將這個(gè)資料夾的寫入權(quán)限打開����,另外如果有安裝 Medi@show 也記得把該資料夾寫入權(quán)限打開(在 c:\program files\ 中)
- 設(shè)定「user的文件夾」的安全性����,按「進(jìn)階」�,勾選「以顯示於此套用到子物件......」�,取消「從父項(xiàng)繼承.....」核取框,按「複製」����,如下圖:
- 設(shè)定使用者 user 的讀寫刪除權(quán)限,如下圖�����。由於前面已經(jīng)將桌面和 C: 設(shè)為唯讀��,將來從網(wǎng)路下載的檔案會(huì)自動(dòng)擺放到我的文件夾中�����,而文件夾由於未設(shè)定執(zhí)行權(quán)限����,學(xué)生將無(wú)法玩網(wǎng)路上下載的執(zhí)行檔,如果學(xué)生將檔案解壓縮����,也無(wú)法安裝到 C: 中(前面已設(shè)定為唯讀)����,即使將軟體安裝到我的文件夾中�����,一樣不能執(zhí)行��。
7. 用以上方式管理學(xué)生機(jī)�����,唯一能自由執(zhí)行程式的方法�����,是從 IE 暫存檔資料夾執(zhí)行程式��,由於該資料夾無(wú)法設(shè)定安全性��,所以會(huì)留下這個(gè)漏洞�����。但無(wú)論如何�,學(xué)生的桌面這樣管理還算妥善!
登入指令稿
Login Script一般我們稱為使用者登錄檔�,使用記事本建立好自動(dòng)批次檔後,放入 NETLOGON 中�,然後在 AD 中使用者設(shè)定檔的位置,給予檔名(如:path.bat)��,以便使用者登入時(shí)執(zhí)行之����。
@echo off
net use s: \\xxps1\data$\%username% /PERSISTENT:NO
net use t: \\file\filedata$ /PERSISTENT:NO
net use x: \\file\辦法規(guī)章 /PERSISTENT:NO
net use y: \\file\教學(xué)檔案上傳 /PERSISTENT:NO
regedit /s %logonserver%\netlogon\utf8.reg
echo on
常用系統(tǒng)變數(shù):
| %username% |
使用者登入的帳號(hào) |
| %computername% |
工作站的電腦名稱 |
| %os% |
工作站所使用的作業(yè)系統(tǒng)版本 |
| %logonserver% |
網(wǎng)域控制站的主機(jī)名稱 |
Win2000 以後的版本已經(jīng)改用 VBS 來撰寫 login script,但仍然支援批次檔執(zhí)行的方式����。底下是 VBS 版本的登入稿:
Set net = CreateObject("WScript.Network")
net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False"
net.MapNetworkDrive "T:", "\\file\filedata$","False"
net.MapNetworkDrive "X:", "\\file\辦法規(guī)章","False"
net.MapNetworkDrive "Y:", "\\file\教學(xué)檔案上傳","False"
Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("Desktop")
Set link = Shell.CreateShortcut(DesktopPath & "\師生網(wǎng)頁(yè)主機(jī).lnk")
link.TargetPath = "\\172.16.1.3\homes"
link.WorkingDirectory = "\\172.16.1.3\homes"
link.Save
key = "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"
Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ"
Shell.RegWrite key & "Start Page", "http://www.syups./", "REG_SZ"
key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
Shell.RegWrite key & "UrlEncoding", "1", "REG_DWORD"
紅字部分,請(qǐng)依各校之需求自行修改�,程式解說如下:
| Set net = CreateObject("WScript.Network") |
建立一個(gè)網(wǎng)路物件(變數(shù)名稱為 net),以便呼叫 net 指令集����,有關(guān) net 指令集,請(qǐng)?jiān)诿盍心J绞褂?net /? 來查詢 |
| net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False" |
呼叫 net 指令集中的「遠(yuǎn)端磁碟機(jī)連線」功能���,將遠(yuǎn)端資料夾 \\xxps1\data$\%username% 連結(jié)至 S: 磁碟機(jī)代號(hào)��,最後的參數(shù) False 代表此資料夾禁止上溯到上一層資料夾 |
| Set Shell = CreateObject("WScript.Shell") |
建立一個(gè)殼層物件(變數(shù)名稱為 Shell)�,以便呼叫殼層指令集(該指令集用來控制桌面工作環(huán)境) |
| DesktopPath = Shell.SpecialFolders("Desktop") |
取得系統(tǒng)桌面所在的路徑 |
| Set link = Shell.CreateShortcut(DesktopPath & "\師生網(wǎng)頁(yè)主機(jī).lnk") |
在桌面上建立捷徑(變數(shù)名稱為 link) |
| link.TargetPath = "\\172.16.1.3\homes" |
將該捷徑的目標(biāo)設(shè)定為 \\172.16.1.3\homes |
| link.WorkingDirectory = "\\172.16.1.3\homes" |
將該捷徑的開始位置設(shè)定為 \\172.16.1.3\homes |
| link.Save |
將捷徑儲(chǔ)存在桌面上 |
| Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ" |
呼叫殼層指令集中的「系統(tǒng)登錄」功能,寫入變數(shù) key 所指定的系統(tǒng)登錄樹����,機(jī)碼名稱 Cache_Update_Frequency,機(jī)碼 Once_Per_Session��,機(jī)碼型態(tài)為二進(jìn)位資料( REG_SZ) |
|
