3.应用软件的安装和使用问题
大多数软件在终端服务器上安装完成后,都能在终端客户机上正常使用,而有些软件,如:OICQ、CUTFTP、金山打字精灵等它们需要保存一些用户信息,使用信息等,而这此信息又是保存在该应用软件所在的文件夹中,因而此类终端用户对其安装目录应有写入权限,这样就能保证它在终端客户机上的正常使用。(关于安全权限的设置,请见本文第 4节)
4.安全性问题及解决方法
服务器安全性的问题,应该是网络首要的问题。若在终端客户机可以任意删除服务器的文件,修改某些重要设置,那么既便是这个网络速度再快,应用软件再丰富,也不能说这个网络是实用的网络。在本站相关文章,为描述的方便,在客户端登录时都是以管理员Administrator身份登录服务器的,这样设置的安全性是极差的,终端上可以删除服务器文件,甚至可以关闭服务器。实际应用中,一般情况下可建一个终端工作组,并为它建立若干终端用户账号。本节将以一实例说明本地登录、目录安全权限和组策略的相关设置,假设终端工作组为yxz,终端用户为T01、T02、T03……
4.1工作组和用户的添加
单击“开始”菜单,执行“管理工具”下的“Active Directory用户和计算机”程序,鼠标右击域名,例如:abc.com,在弹出的快捷菜单中,选择“新建”→“组织单位”命令,在新建对象对话框的名称文本框中输入Windows 2000 终端组织名称,例如:终端组织。输入完毕,单击“确定”按钮返回。在树列表框中出现“终端组织”。
在“Active directory用户和计算机”管理窗口中,鼠标右击上一步所建组织即“终端组织”,在弹出的快捷菜单中选择“新建”→“组”命令,出现“新建对象-组”对话框中,输入组名,本实例为:yxz,组作用域选择“全局”,组类型选择“安全式”。单击“确定”按钮返回。此时在“Active directory用户和计算机”管理窗口中,出现yxz组图标。
在“Active directory用户和计算机”管理窗口中,鼠标右击“终端组织”,在弹出的快捷菜单中选择“新建”→“用户”命令,出现“新建对象-用户”对话框中,输入终端用户名,本实例为:T01。单击“下一步”按钮,系统提示输入密码,输入并确定密码后,选中“用户不能更改密码”和“密码永不过期”,单击“下一步”按钮,系统出现确定用户信息,若无误,则单击“完成”按钮返回。此时在“Active directory用户和计算机”管理窗口中,出现T01用户图标。
以述方法类推,建立其他终端用户T02、T03……
将终端用户添加到yxz组中,在“Active directory用户和计算机”管理窗口中,单击“终端组织”,在右边的列表中双击“yxz”组图标,出现“yxz属性”对话框,单击“成员”选项卡,单击“添加”按钮,出现“选择用户、联系人或计算机”对话框,在名称列表中找到并单击T01用户账号,然后单击“添加”按钮。注意,可按住shift按钮选取多个用户,再单击“添加”按钮将多个用户添加到组中。单击“确定”按钮完成。
4.2 本地登录设置
在服务器上设置好组和用户后,终端客户机并不能以这些用户账号登录服务器,若不设置本地登录,登录时会出现“此系统的本地策略不允许您采用交互式登录”的警告框,单击“确定”按钮后,返回原操作系统而无法连接服务器。因此在终端用户以普通账号登录服务器之前应先设置好本地登录,下面以实例说明其设置步骤:
¨ 单击“开始” 菜单,执行“程序”→“管理工具”下的“域控制器安全策略”程序。
¨ 在“控制器安全策略”窗口中,鼠标左键双击“安全设置”展开其分支→双击“本地策略”展开其分支→单击“用户权利指派”,然后在右边的列表框中右击“在本地登录”,在弹出的快捷菜单中选“安全性”命令。
¨ 出现“安全策略设置”对话框,单击“添加”按钮。
¨ 出现“添加用户或组”对话框,在用户和组名文本框中输入需加入本地登录的用户名或组名,本实例为:yxz。单击“确定”按钮返回“安全策略设置”对话框,可以看到yxz组已经在列表中。
¨ 本地登录设置完毕后,在终端客户机上便可以用普通的用户账号登录服务器了,请注意此时的普通用户账号仍然有很大的权限,可以作删除服务器文件等危及服务器安全的操作。因此设置好了本地登录后只是完成了安全性设置的第一步。
4.3 服务器本地磁盘及相关目录的安全设置
服务器所有本地磁盘的安全属性默认为Everyone完全控制,可以在“我的电脑”窗口中,右键单击“本地磁盘c:”图标,在弹出的快捷菜单中选择“属性”命令,出现“本地磁盘(C:)属性”对话框,单击其中“安全”选项卡,可以看出所有用户对C盘都有完全控制权限,这样设置是极不安全的安全的,正确的设置应该为:Everyone对它有只读权限,管理员Administrator应有完全控制权限,但这样设置后,有些应用软件便不能正常运行了(例如OICQ、CUTFTP等软件)那么如何能在保证安全的前提下,开放部分目录的相关权限使所有软件都能够正常运行,Windows 2000 Server提供了多达十三之多的安全权限设置,完全能满足各种特殊的设置(注意只有NTFS分区才能进行设置,若为FAT区格式则无法满足要求)下面以本地磁盘C:和OICQ软件说其设置过程,对于其他磁盘或目录类似。
1. 设置磁盘C的安全属性
用鼠标单击“Everyone”组图标→在下面的权限列表中将完全控制、修改和写入权限去掉(即将这些选项的前的允许钩去除)
在界面中,单击“添加”按钮,出现“选择用户、计算机或组”对话框,在列表中选中“Administrators”组图标,单击“添加”按钮。单击“确定”按钮,返回“本地磁盘(c:)属性”界面。
在“本地磁盘(c:)属性”界面中,选中“Administrators”组图标,在下面的权限列表中,选中允许“完全控制”。单击“确定”按钮完成对磁盘c的设置,对其他磁盘的设置类似。
2. 设置目录权限(以OICQ为例)
由于在终端上使用OICQ时,用户需要进行建立QQ号、保存聊天记录和将网友加为好友等读写OICQ目录的操作,因此要适当的调整其权限,才能正常使用。
具体设置如下:
¨ 在“我的电脑”窗口中,找到并右击“OICQ”目录图标,在弹出的快捷菜单中选择“属性”命令。
¨ 出现“OICQ属性”对话框,单击“安全”选项卡,在列表中可以看到所有对此目录有权限的对象。
¨ 在“OICQ属性”对话框中,单击“添加”按钮,出现“选择用户、计算机或组”对话框,在上面的列表中选中“yxz”组,单击“添加”按钮,在下面的列表中可以看到“yxz”组被添加进去。单击“确定”按钮,返回“OICQ属性”对话框。
¨ 在“OICQ属性”对话框中的名称列表中,选中“yxz”组,单击“高级”按钮。
¨ 出现“OICQ的访问控制设置”对话框,在权限项目列表中,列出了所有对此目录有权限的对象,选中“yxz”组,单击“查看/编辑”按钮,在权限列表中有十三种权限可供设置,根据具体应用软件的要求,进行相关设置,总的原则是:在保证正常运行的前提下尽量少开放权限,以提高安全可靠性。根据OICQ软件对权限的要求,设置相关的权限。设置完成后,在终端机上便可以用普通用户账号登录服务器,正常使用OICQ,但是并不能删除此目录下的文件。
4.4 组策略设置
经过本地登录和目录权限设置之后,服务器的安全性大大的提高了,但仍然有许多安全隐患,例如:终端机上可以运行修改服务器的注册表,又如:终端客户在从 Internet Explorer 中的“工具”菜单上打开“Internet 选项”,对浏览器进行设置,可能导致整个网络无法连接Internet。Windows 2000 提供的组策略可以方便地控制与管理网络上的用户的工作环境与计算机的环境、减轻网络管理的负担、降低网络管理的成本。本节将从终端服务器安全的角度说明组策略的设置,实际安装时需设置的地方很多,读者可根据具体情况进行设置。
1. 禁用注册表编辑工具
单击“开始”菜单,执行“程序”→“管理工具”下的“Active Directory用户和计算机”程序,打开“Active Directory用户和计算机”窗口。
在“树”列表中,右击需设置策略的组织单位,例如:前面建立的终端组织,在弹出的快捷菜单中选择“属性”命令,出现“终端组织属性”对话框。
在“终端组织 属性”对话框中,在“组策略”选项卡,单击“新建”按钮,在对话框中的“组策略对象链接”列表框中出现一个策略图标,其默认的名为:新建组策略对象,将它改名为:win2k。
选中刚建立的组策略对象“win2k”单击“编辑”按钮。出现 “组策略”管理界面。大多数的设置都是在“用户配置”下的“管理模板”中完成的。
在“组策略”对话框中,在左边的树形列表中,展开“用户配置”→“管理模板”→“系统”分支。
在策略列表中右击“禁用注册表编辑工具”策略,在弹出的快捷菜单中选择“属性”在“禁用注册表编辑工具属性”对话框中的策略选项卡中,选中“启用”单击“确定”按钮返回“组策略”窗口。
2. 其他策略的设置
其他策略的设置与“禁用注册表编辑工具”策略的设置方法类似。哪么具体要设置哪些策略终端服务器的安全性才能得到保证呢?以下列出一些常用的策略;
在“用户配置”→“管理模板”→“Inernet Explorer”分支中启用以下策略:
· 禁用更改主页设置。
· 禁用更改Internet临时文件设置。
· 禁用更改历史记录设置。
· 禁用更改连接设置。
· 在“工具栏”分支下,启用:禁用自定义浏览器工具栏。
在“用户配置”→“管理模板”→“Windows 组件”→“任务计划程序”分支下启用以下策略:
· 禁止浏览
· 禁用“创建新任务”
· 禁用“高级”菜单
在“用户配置”→“管理模板”→“任务栏和[开始]菜单”分支启用以下策略:
· 将“注销”添加到[开始]菜单
· 禁用和删除“关机”命令
· 禁止更改“任务栏和[开始]菜单”设置
在“用户配置”→“管理模板”→“桌面”分支启用以下策略:
· 禁止用户添加、拖、放和关闭任务的工具栏
· 禁用调整桌面工具栏
在“用户配置”→“管理模板”→“控制面板”中启用“禁用控制面板”策略。在“用户配置”→“管理模板”→“系统”启用以下策略:
· 禁用注册表编辑工具
· 停用自动播放
· 在“登录/注销”下启用“禁用任务管理器”、“禁用锁定计算机”和“禁止改变密码”策略。
4.5 用户配置文件的设置和管理
通过组策略的设置,用户的工作环境已经基本完成,服务器的安全性得到了保障,但还有一些环境设置问题无法用组策略来完成,例如:有些应用程序的桌面图标和程序项图标在终端机上可以删除,并可以在桌面上新建对象(文件夹、文件、快捷方式等)时间一长桌面十分凌乱,给网络管理带来许多工作量。我们可以通过设置用户配置文件的方法解决此类问题。
Windows 2000提供的用户配置文件主要有种:本地用户配置文件、漫游用户配置文件和强制用户配置文件,在终端机上若无特殊需要一般只需设置“本地用户配置文件”即可。
当用户第一次利用终端登录服务器时,系统就会自动为这个用户在服务器上建立一个“本地用户配置文件”的目录,这个目录的内容存储在Documents and Setting目录下,系统将利用登录用户的名称来命名此目录(例如以T01用户账号登录服务器)便会在Documents and Setting目录下建立一个名为T01的目录,而此目录下的所有文件都是从默认用户(Default User)目录下复制过来的。T01目录及其下的所有文件称为T01用户的配置文件,可见用户配置文件并不是一个单纯文件,它由一组与用户环境相关的文件和目录组成。
任何一个第一次登录的用户的桌面设置,实际上就是由Default User目录和All User目录下所内容的组合构成的,当用户注销时,其所有的任何设置上的更改都会存储到此用户的相应目录,下次以此用户登录时仍然保持注销前的状态。例如:以T01用户账号登录服务器后,在桌面上新建一个“XYZ”文件夹,在Documents and Setting\\T01\桌面目录下便多了一个“YXZ”文件目录。
经过以上分析,对用户的工作环境进行控制便很简单了,按以下步骤进行设置,在终端客户机便无法在桌面和开始菜单上新建、修改或删除图标了。
将All User下的一些桌面、程序项图标(主要是指只能让管理员Administrator使用的程序,例如MateFrame管理工具等)移到Administrator用户配置文件的相应目录下。这样只有以Administrator账号登录时才能看到这此图标。
将T01目录下的桌面和开始菜单目录的权限设置为:
Everyone 读取
Administrator 完全控制
这样T01用户便不能修改桌面和开始菜单了。
终端桌面和开始图标的添加。在服务器在安装完应用软件后,可按以下方法将图标添到终端上:打开Documents and Setting\All users\ 桌面 目录→右击空白处,选“新建”→快捷方式→在“创建快捷方式”界面的“请键入项目的位置”文本框中输入文件的路径和文件名(可通过“浏览”进行输入)→单击“下一步”→在选择程序标题“对话框的”键入该快捷方式的名称,文本框中输入快捷方式的名称→完成,这样一个新的快捷方式就添加到了所有终端用户的桌面上。
