文章查询
 请输入查询关键字:
  
    
 
  本期导读>>
 

Windows2000无盘终端的几种安全性设置
龙游县湖镇初中    沈银水

    基于RPL的Windows2000无盘终端技术能使低档无盘微机运行Windows2000、Office2000、IE、Photoshop、VB、VC、VFoxPro等应用软件和大型数据库,且具有机房改造和维护费用低、资源共享性好、运行稳定、数据安全、可维护性强等优点,因此成为学校旧机房改造的首选。我在安装与维护的实践中,深感服务器安全设置的重要性。在此介绍如下几种设置方法,供参考。
    1.用“组策略”限制工作站用户的部分操作权限。
    (1)在“运行”中键入“MMC”,然后单击“控制台-添加删除管理单元”,在对话框中添加“组策略”选项。
    (2)在“本地计算机”策略中作一些相关的设置并保存,如:
    * “计算机配置-Windows设置-安全设置-本地策略-安全选项”中,启用“只有本地登录的用户才能访问CD-ROM”、“只有本地登录的用户才能访问软盘”,以防止用户访问服务器的CD-ROM和软盘。
    * “用户配置-管理模板-桌面-活动桌面”中,启用“禁用活动桌面”,以防止用户配置各色桌面墙纸,从而增加系统负担。
    * 其他设置可进行有目的的尝试,总的原则是应有利于管理,减少系统的开支。有关禁用的程序可在Administrator的开始菜单中设置快捷方式。
    2.设置Administrator的登录密码,以防Internet网上他人侵入。
    一种方式是在安装服务器时输入,第二种是在“计算机管理-系统工具-本地用户和组-用户”中设置Administrator属性,取消“密码永不过期”,选择“用户下次登录时须更改密码”,注销重新进入,设置新密码,完成后把该属性重新改为“密码永不过期”。
    3.更改“开始”目录的设置。
    进入\Documents and settings\目录,修改all user目录下的开始菜单。把all user的“管理工具”、“windows update”、“metaframe tools”、“citrix ica client”及不能让用户操作的项目移到Administrator下。删除“桌上弹球”游戏,因为它占用过多资源会导致系统运行变慢。
    4.文件目录权限的设置。
    安装完成后,在默认的情况下,每个登录者(everyone)对系统盘拥有完全控制的权限,这不利于系统的安全。对此,可利用NTFS分区的磁盘目录权限设置功能,对不同用户加以限制:在该盘的“属性-安全”中添加Administrator组,权限设为“完全控制”,修改everyone权限为允许“读取及运行”、“列出文件夹目录”、“读取”。这样,用户帐号只能完全控制\Documents and settings\目录中相应的用户目录(如S01等)而不能对其他目录进行增删改的操作,使系统更加安全。
    5.更多的安全性考虑。
    由于各工作站运行后会不断产生许多文件,这将使系统盘臃肿不堪,系统运行会越来越慢,因此在安装时应作如下的有关设置:
    (1)服务器安装前必须做好硬盘的规划。下面以40G的硬盘为例,列表说明硬盘的最佳分配(如下表)。也可根据需要分配。

    硬盘最佳分配表

盘符

<容量

格式

   装   内   容

  

C

2G

FAT

Dos\Windows98

用于系统维护

D

10G

NTFS

Windows2000Server及应用软件

用于系统运行

E

20G

NTFS

用户目录及用户文件

用户使用

F

5G

NTFS

无任何内容

虚拟内存

G

3G

FAT

GHOST文件及Image文件各种安装软件的备份

磁盘备份


    (2)把用户的“我的文档”移到其他NTFS分区(如E盘)。
    * 在一个全新的NTFS格式的E盘中,新增各用户目录(如S01、S02……)。
    * 设置E盘的权限:Administrator为完全控制,everyone为“列出文件夹目录”。
    * 设置S01目录权限为:Administrator为完全控制,S01为完全控制。其他用户目录类推地设置相应用户为完全控制。
    * 在各工作站中选择“我的文档”目录属性,将文件夹“移动”到E盘中相应的目录。
经过这样的设置,多数保存的文件会存入E盘,减小了系统盘的负担。
    (3)设置IE。
    IE在上网中会不断保存各种上网的历史记录,产生大量的临时文件,不利于系统的运行,必须进行相关的设置:在各工作站的IE的“工具-Internet选项”中设置“常规-历史记录”的天数为5天或更少,在Internet临时文件中按“设置-移动文件夹”到E盘相应的目录。
    (4)设置虚拟内存到全空的NTFS格式的逻辑盘(如F盘)。
    默认的虚拟内存是在系统盘,然而,系统盘不时有文件的增删操作会出现较多的文件碎片,在一定程度上降低系统运行速度。因此,应在空间允许的情况下专门分出一个逻辑盘用以设置虚拟内存。首先应设该盘仅Administrator拥有读取、列文件夹及运行权限。然后单击“控制面板-系统-高级-性能选项-更改”,清除系统盘的页面初始大小及最大值,并将此数据输入该盘,然后按“设置”钮。
    (5)全部安装好后,服务器的几个逻辑盘如C、D、E盘必须GHOST为Image文件。必要时用DOS启动进入并还原各磁盘的原安装文件。



你的评论   所有评论
昵称:
评论: