服务器安全性的问题,应该是网络首要的问题。若在终端客户机可以任意删除服务器的文件,修改某些重要设置,那么既便是这个网络速度再快,应用软件再丰富,也不能说这个网络是实用的网络。为描述的方便,在客户端登录时都是以管理员Administrator身份登录服务器的,这样设置的安全性是极差的,终端上可以删除服务器文件,甚至可以关闭服务器。实际应用中,一般情况下可建一个终端工作组,并为它建立若于终端用户帐号。本节将以一实例说明本地登录、目录安全权限和组策略的相关设置,假设终端工作组为yxz,终端用户为T01、T02、T03......
3.1工作组和用户的添加
3.2 本地登录设置
3.3 服务器本地磁盘及相关目录的安全设置
• 服务器所有本地磁盘的安全属性默认为Everyone完全控制,可以在"我的电脑"窗口中→右击"本地磁盘c:"图标,在弹出的快捷菜单中选择"属性"→单击"安全"选项卡,可以看出所有用户对c:都有完全控制权限,这样设置是极不安全的安全的,正确的设置应该为:Everyone对它有只读权限,管理员Adiministrator应有完全控制权限,但这样设置后,有些应用软件便不能正常运行了(例如OICQ、CUTFTP等软件)那么如何能在保证安全的前提下,开放部分目录的相关权限使所有软件都能够正常运行,Windows 2000 Server提供了多达十三之多的安全权限设置,完全能满足各种特殊的设置(注意只有NTFS分区才能进行设置,若为FAT区格式则无法满足要求)
3.5 用户配置文件的设置和管理
通过组策略的设置,用户的工作环境已经基本完成,服务器的安全性得到了保障,但还有一些环境设置问题无法组策略完成,例如:有些应用程序的桌面图标和程序项图标在终端机上可以删除,并可以在桌面上新建对象(文件夹、文件、快捷方式等)时间一长桌面十分凌乱,给网络管理带来许多工作量。可以通过设置用户配置文件的方法解决此类问题。
Windows 2000提供的用户配置文件主要有种:本地用户配置文件、漫游用户配置文件和强制用户配置文件,在终端机上若无特殊需要一般只需设置"本地用户配置文件"即可。
当用户第一次利用终端登录服务器时,系统就会自动为这个用户在服务器上建立一个"本地用户配置文件"的目录,这个目录的内容存储在Documents and Setting目录下,系统将利用登录用户的名称来命名此目录(例如以T01用户帐号登录服务器)便会在Documents and Setting目录下建立一个名为T01的目录,而此目录下的所有文件都是从默认用户(Default User)目录下复制过来的。T01目录及其下的所有文件称为T01用户的配置文件,可见用户配置文件并不是一个单纯文件,它由一组与用户环境相关的文件和目录组成。
任何一个第一次登录的用户的桌面设置,实际上就是由Default User目录和All User目录下所内容的组合构成的,当用户注销时,其所佬的任何设置上的更改都会存储到此用户的相应目录,下次以此用户登录时仍然保持注销前的状态。例如:以T01用户账号登录服务器后,在桌面上新建一个"XYZ"文件夹,在Documents and SettingT01桌面目录下便多了一个"YXZ"文件目录。
经过以上分析,对用户的工作环境进行控制便很简单了,按以下步骤进行设置,在终端客户机便无法在桌面和开始菜单上新建、修改或删除图标了。
4、多用户自动登录和Dos程序兼容性
(1) 关于多用户自动登录问题
问题的由来:所有终端都可以用一个用户账号登录服务器,这样虽然设置简单,但给使用带来了一个问题,即用户个人文件存放的问题,假如多个终端用户都以T01账号登录服务器,它的个人文件夹都指向服务器Dicuments and SettingT01My Documents目录,因此在各终端机上可以互相删除文件,并且在给文件命名不能重名。这种情况对大多数教学网是十分不方便的,例如:在Work教学中,老师要求大家将文档保存为ABC.DOC,这时只有一个人能完成,其余则会有文件重名错误提示,给教学带来不便。
要决这个问题可以通过多用户账号登录来解决。
(2) 终端与DOS程序兼容性的问题
在Windwos 2000 下对大多数DOS软件都不再支持,而有些终端用户又必须保留某些DOS程序,可以用以下方法解决
标签:
