Windows 2000無盤網故障解決方法（4）

2019-11-04 20:58:16

字體：大中小

來源：轉載

供稿：網友

　　windows 2000無盤網故障解決方法
4.3 服務器本地磁盤及相關目錄的安全設置
服務器所有本地磁盤的安全屬性默認為Everyone完全控制，可以在“我的電腦”窗口中，右鍵單擊“本地磁盤c:”圖標，在彈出的快捷菜單中選擇“屬性”命令，出現“本地磁盤（C：）屬性”對話框，單擊其中“安全”選項卡，可以看出所有用戶對C盤都有完全控制權限，這樣設置是極不安全的安全的，正確的設置應該為：Everyone對它有只讀權限，治理員Administrator應有完全控制權限，但這樣設置后，有些應用軟件便不能正常運行了（例如OICQ、CUTFTP等軟件）那么如何能在保證安全的前提下，開放部分目錄的相關權限使所有軟件都能夠正常運行，Windows 2000 Server提供了多達十三之多的安全權限設置，完全能滿足各種非凡的設置（注重只有NTFS分區才能進行設置，若為FAT區格式則無法滿足要求）下面以本地磁盤C：和OICQ軟件說其設置過程，對于其他磁盤或目錄類似。
1. 設置磁盤C的安全屬性
用鼠標單擊“Everyone”組圖標→在下面的權限列表中將完全控制、修改和寫入權限去掉（即將這些選項的前的答應鉤去除）
在界面中，單擊“添加”按鈕，出現“選擇用戶、計算機或組”對話框，在列表中選中“Administrators”組圖標，單擊“添加”按鈕。單擊“確定”按鈕，返回“本地磁盤(c:)屬性”界面。
在“本地磁盤(c:)屬性”界面中，選中“Administrators”組圖標，在下面的權限列表中，選中答應“完全控制”。單擊“確定”按鈕完成對磁盤c的設置，對其他磁盤的設置類似。
2. 設置目錄權限（以OICQ為例）
由于在終端上使用OICQ時，用戶需要進行建立QQ號、保存聊天記錄和將網友加為好友等讀寫OICQ目錄的操作，因此要適當的調整其權限，才能正常使用。
具體設置如下：
¨ 在“我的電腦”窗口中，找到并右擊“OICQ”目錄圖標，在彈出的快捷菜單中選擇“屬性”命令。
¨ 出現“OICQ屬性”對話框，單擊“安全”選項卡，在列表中可以看到所有對此目錄有權限的對象。
¨ 在“OICQ屬性”對話框中，單擊“添加”按鈕，出現“選擇用戶、計算機或組”對話框，在上面的列表中選中“yxz”組，單擊“添加”按鈕，在下面的列表中可以看到“yxz”組被添加進去。單擊“確定”按鈕，返回“OICQ屬性”對話框。
¨ 在“OICQ屬性”對話框中的名稱列表中，選中“yxz”組，單擊“高級”按鈕。
¨ 出現“OICQ的訪問控制設置”對話框，在權限項目列表中，列出了所有對此目錄有權限的對象，選中“yxz”組，單擊“查看/編輯”按鈕，在權限列表中有十三種權限可供設置，根據具體應用軟件的要求，進行相關設置，總的原則是：在保證正常運行的前提下盡量少開放權限，以提高安全可靠性。根據OICQ軟件對權限的要求，設置相關的權限。設置完成后，在終端機上便可以用普通用戶賬號登錄服務器，正常使用OICQ，但是并不能刪除此目錄下的文件。
4.4 組策略設置
經過本地登錄和目錄權限設置之后，服務器的安全性大大的提高了，但仍然有許多安全隱患，例如：終端機上可以運行修改服務器的注冊表，又如：終端客戶在從 Internet EXPlorer 中的“工具”菜單上打開“Internet 選項”，對瀏覽器進行設置，可能導致整個網絡無法連接Internet。Windows 2000 提供的組策略可以方便地控制與治理網絡上的用戶的工作環境與計算機的環境、減輕網絡治理的負擔、降低網絡治理的成本。本節將從終端服務器安全的角度說明組策略的設置，實際安裝時需設置的地方很多，讀者可根據具體情況進行設置。
1. 禁用注冊表編輯工具
單擊“開始”菜單，執行“程序”→“治理工具”下的“Active Directory用戶和計算機”程序，打開“Active Directory用戶和計算機”窗口。
在“樹”列表中，右擊需設置策略的組織單位，例如：前面建立的終端組織，在彈出的快捷菜單中選擇“屬性”命令，出現“終端組織屬性”對話框。
在“終端組織屬性”對話框中，在“組策略”選項卡，單擊“新建”按鈕，在對話框中的“組策略對象鏈接”列表框中出現一個策略圖標，其默認的名為：新建組策略對象，將它改名為：win2k。

選中剛建立的組策略對象“win2k”單擊“編輯”按鈕。出現 “組策略”治理界面。大多數的設置都是在“用戶配置”下的“治理模板”中完成的。
在“組策略”對話框中，在左邊的樹形列表中，展開“用戶配置”→“治理模板”→“系統”分支。
在策略列表中右擊“禁用注冊表編輯工具”策略，在彈出的快捷菜單中選擇“屬性”在“禁用注冊表編輯工具屬性”對話框中的策略選項卡中，選中“啟用”單擊“確定”按鈕返回“組策略”窗口。
2. 其他策略的設置
其他策略的設置與“禁用注冊表編輯工具”策略的設置方法類似。哪么具體要設置哪些策略終端服務器的安全性才能得到保證呢？以下列出一些常用的策略；
在“用戶配置”→“治理模板”→“Inernet Explorer”分支中啟用以下策略：
· 禁用更改主頁設置。
· 禁用更改Internet臨時文件設置。
· 禁用更改歷史記錄設置
· 禁用更改連接設置。
· 在“工具欄”分支下，啟用：禁用自定義瀏覽器工具欄。
在“用戶配置”→“治理模板”→“Windows 組件”→“任務計劃程序”分支下啟用以下策略：
· 禁止瀏覽
· 禁用“創建新任務”
· 禁用“高級”菜單
在“用戶配置”→“治理模板”→“任務欄和[開始]菜單”分支啟用以下策略：
· 將“注銷”添加到[開始]菜單
· 禁用和刪除“關機”命令
· 禁止更改“任務欄和[開始]菜單”設置
在“用戶配置”→“治理模板”→“桌面”分支啟用以下策略：
· 禁止用戶添加、拖、放和關閉任務的工具欄
· 禁用調整桌面工具欄
在“用戶配置”→“治理模板”→“控制面板”中啟用“禁用控制面板”策略。在“用戶配置”→“治理模板”→“系統”啟用以下策略：
· 禁用注冊表編輯工具
· 停用自動播放
· 在“登錄/注銷”下啟用“禁用任務治理器”、“禁用鎖定計算機”和“禁止改變密碼”策略。

上一篇：無盤故障排除指南（3）

下一篇：Windows 2000無盤網故障解決方法（5）