Windows 2000无盘网故障解决方法
4.3 服务器本地磁盘及相关目录的安全设置
服务器所有本地磁盘的安全属性默认为Everyone完全控制,可以在“我的电脑”窗口中,右键单击“本地磁盘c:”图标,在弹出的快捷菜单中选择“属性”命令,出现“本地磁盘(C:)属性”对话框,单击其中“安全”选项卡,可以看出所有用户对C盘都有完全控制权限,这样设置是极不安全的安全的,正确的设置应该为:Everyone对它有只读权限,管理员Administrator应有完全控制权限,但这样设置后,有些应用软件便不能正常运行了(例如OICQ、CUTFTP等软件)那么如何能在保证安全的前提下,开放部分目录的相关权限使所有软件都能够正常运行,Windows 2000 Server提供了多达十三之多的安全权限设置,完全能满足各种特殊的设置(注意只有NTFS分区才能进行设置,若为FAT区格式则无法满足要求)下面以本地磁盘C:和OICQ软件说其设置过程,对于其他磁盘或目录类似。
1. 设置磁盘C的安全属性
用鼠标单击“Everyone”组图标→在下面的权限列表中将完全控制、修改和写入权限去掉(即将这些选项的前的允许钩去除)
在界面中,单击“添加”按钮,出现“选择用户、计算机或组”对话框,在列表中选中“Administrators”组图标,单击“添加”按钮。单击“确定”按钮,返回“本地磁盘(c:)属性”界面。
在“本地磁盘(c:)属性”界面中,选中“Administrators”组图标,在下面的权限列表中,选中允许“完全控制”。单击“确定”按钮完成对磁盘c的设置,对其他磁盘的设置类似。
2. 设置目录权限(以OICQ为例)
由于在终端上使用OICQ时,用户需要进行建立QQ号、保存聊天记录和将网友加为好友等读写OICQ目录的操作,因此要适当的调整其权限,才能正常使用。
具体设置如下:
¨ 在“我的电脑”窗口中,找到并右击“OICQ”目录图标,在弹出的快捷菜单中选择“属性”命令。
¨ 出现“OICQ属性”对话框,单击“安全”选项卡,在列表中可以看到所有对此目录有权限的对象。
¨ 在“OICQ属性”对话框中,单击“添加”按钮,出现“选择用户、计算机或组”对话框,在上面的列表中选中“yxz”组,单击“添加”按钮,在下面的列表中可以看到“yxz”组被添加进去。单击“确定”按钮,返回“OICQ属性”对话框。
¨ 在“OICQ属性”对话框中的名称列表中,选中“yxz”组,单击“高级”按钮。
¨ 出现“OICQ的访问控制设置”对话框,在权限项目列表中,列出了所有对此目录有权限的对象,选中“yxz”组,单击“查看/编辑”按钮,在权限列表中有十三种权限可供设置,根据具体应用软件的要求,进行相关设置,总的原则是:在保证正常运行的前提下尽量少开放权限,以提高安全可靠性。根据OICQ软件对权限的要求,设置相关的权限。设置完成后,在终端机上便可以用普通用户账号登录服务器,正常使用OICQ,但是并不能删除此目录下的文件。
4.4 组策略设置
经过本地登录和目录权限设置之后,服务器的安全性大大的提高了,但仍然有许多安全隐患,例如:终端机上可以运行修改服务器的注册表,又如:终端客户在从 Internet Explorer 中的“工具”菜单上打开“Internet 选项”,对浏览器进行设置,可能导致整个网络无法连接Internet。Windows 2000 提供的组策略可以方便地控制与管理网络上的用户的工作环境与计算机的环境、减轻网络管理的负担、降低网络管理的成本。本节将从终端服务器安全的角度说明组策略的设置,实际安装时需设置的地方很多,读者可根据具体情况进行设置。
1. 禁用注册表编辑工具
单击“开始”菜单,执行“程序”→“管理工具”下的“Active Directory用户和计算机”程序,打开“Active Directory用户和计算机”窗口。
在“树”列表中,右击需设置策略的组织单位,例如:前面建立的终端组织,在弹出的快捷菜单中选择“属性”命令,出现“终端组织属性”对话框。
在“终端组织 属性”对话框中,在“组策略”选项卡,单击“新建”按钮,在对话框中的“组策略对象链接”列表框中出现一个策略图标,其默认的名为:新建组策略对象,将它改名为:win2k。
选中刚建立的组策略对象“win2k”单击“编辑”按钮。出现 “组策略”管理界面。大多数的设置都是在“用户配置”下的“管理模板”中完成的。
在“组策略”对话框中,在左边的树形列表中,展开“用户配置”→“管理模板”→“系统”分支。
在策略列表中右击“禁用注册表编辑工具”策略,在弹出的快捷菜单中选择“属性”在“禁用注册表编辑工具属性”对话框中的策略选项卡中,选中“启用”单击“确定”按钮返回“组策略”窗口。
2. 其他策略的设置
其他策略的设置与“禁用注册表编辑工具”策略的设置方法类似。哪么具体要设置哪些策略终端服务器的安全性才能得到保证呢?以下列出一些常用的策略;
在“用户配置”→“管理模板”→“Inernet Explorer”分支中启用以下策略:
· 禁用更改主页设置。
· 禁用更改Internet临时文件设置。
· 禁用更改历史记录设置
· 禁用更改连接设置。
· 在“工具栏”分支下,启用:禁用自定义浏览器工具栏。
在“用户配置”→“管理模板”→“Windows 组件”→“任务计划程序”分支下启用以下策略:
· 禁止浏览
· 禁用“创建新任务”
· 禁用“高级”菜单
在“用户配置”→“管理模板”→“任务栏和[开始]菜单”分支启用以下策略:
· 将“注销”添加到[开始]菜单
· 禁用和删除“关机”命令
· 禁止更改“任务栏和[开始]菜单”设置
在“用户配置”→“管理模板”→“桌面”分支启用以下策略:
· 禁止用户添加、拖、放和关闭任务的工具栏
· 禁用调整桌面工具栏
在“用户配置”→“管理模板”→“控制面板”中启用“禁用控制面板”策略。在“用户配置”→“管理模板”→“系统”启用以下策略:
· 禁用注册表编辑工具
· 停用自动播放
· 在“登录/注销”下启用“禁用任务管理器”、“禁用锁定计算机”和“禁止改变密码”策略。
