WINDOWS網(wǎng)域管理

李忠憲 960213第二次增補
李忠憲 940929增補
黃添修 930909原稿

前言

先解釋一下「網(wǎng)域」：Windows 網(wǎng)路中「網(wǎng)域」一詞和 DNS 裡面的「領(lǐng)域」，還有 IP Class 裡面的「網(wǎng)路」，三者因為名詞接近，而常常被等同視之，造成許多誤解和觀(guān)念混淆。Windows 網(wǎng)路中的「網(wǎng)域」，是指一群電腦透過(guò)一臺或多臺伺服器進(jìn)行帳號整合和權限控制的集中管理，其成員電腦是否在同一個(gè) Class C 並不重要，也就是說(shuō) windows 網(wǎng)域的涵蓋範圍與 IP Class 的網(wǎng)路範圍並不等價(jià)。至於 DNS 中的領(lǐng)域只是用來(lái)作 URL 與 IP 的對應，同一個(gè)領(lǐng)域裡的電腦，其 IP 並不一定在同一個(gè) Class 中，也不一定要加入同一個(gè) windows 網(wǎng)域。這三種名稱(chēng)接近的機制，基本上是獨立運作的。

Win200x 雖然源自於 NT，但是由於網(wǎng)域觀(guān)念的改變幅度太大，兩種網(wǎng)域並無(wú)法融合的很好，如果純以 Win200x 來(lái)架構網(wǎng)路，當然更能發(fā)揮 Win200x 在網(wǎng)路機制上的嶄新功能。但是考慮企業(yè)現有NT應用程式開(kāi)發(fā)與相容性問(wèn)題，大多企業(yè)還是希望採行混合網(wǎng)域的建置。使用混合網(wǎng)域之前，我們先來(lái)暸解一下，到底採用純 Win200x 架構有什麼好處？

Active Directory

 Win200x 採用 AD 來(lái)進(jìn)行網(wǎng)域管理的工作，其中改革幅度最大的是帳號管理和電腦管理的機制。

帳號管理

過(guò)去帳號管理依靠 SAM 資料庫，必須透過(guò)所謂「Windows 挑戰與回應」(WCHAR)這種獨門(mén)的通訊協(xié)定來(lái)進(jìn)行使用者認證，由於這個(gè)機制太特殊，微軟又不願公開(kāi)內容，導致不同平臺之間的整合有困難，並且也使得WinNT無(wú)法支援其它的網(wǎng)路設備的認證。 同時(shí)由於 WCHAR 採用 DES（修改過(guò)的 MD4）來(lái)進(jìn)行編密，密碼可以透過(guò)解碼程式還原，如果和 Linux 上採用的 MD5 編密法來(lái)比較，由於 MD5 無(wú)法被還原，在安全性上比 winNT 網(wǎng)域還要好。

新的帳號管理是將 SAM 資料庫當後端，以 LDAP 通訊協(xié)定當前端提供帳號認證功能，當使用者登入網(wǎng)域時(shí)，就使用 Kerberos 通訊協(xié)定來(lái)傳遞密碼，密碼則改用安全性較高的 MD5 演算法來(lái)編密，其結構如下圖：

LDAP 是衍生自 DAP 的輕型通訊協(xié)定，以 TCP/IP 來(lái)實(shí)作，許多比較複雜的資料庫操作並沒(méi)有被包含在內，原因就在於 TCP 不適合作重型傳輸，而 UDP 又不適合作資料庫動(dòng)態(tài)交易。無(wú)論如何LDAP 拿來(lái)作目錄服務(wù)、帳號管理是相當合適的。LDAP 的原始精神在於契合 DNS 領(lǐng)域的觀(guān)念，希望發(fā)展出人類(lèi)的URL定址，有點(diǎn)像 http://www.tp.edu.tw 是一個(gè)站臺，而 ldap:///o=Taipei Edu-Network Center,c=tw??sub?(cn=李忠憲) 是一個(gè)人，換句話(huà)說(shuō)，LDAP也可以當成人名錄來(lái)作查詢(xún)（outlook系列已經(jīng)支援 LDAP 人員搜尋）。

LDAP 的原始設計裡面，分為幾個(gè)階層式架構，c 代表地域，o 代表組織，而 o 裡面的物件 person 和 group 分別代表個(gè)人和群組，這種設計當然與 Win200x 裡面的AD稍有不同，Win200x 為了管理上的需求，以 dc 階層取代了 c 階層，以 ou 階層取代 o 階層。

dc 階層就是指 win200x 網(wǎng)域的管轄範圍，對跨國企業(yè)來(lái)說(shuō)，它已經(jīng)超越了 c 階層的地域觀(guān)念，想像一下臺灣的宏碁與美國的宏碁屬於同一個(gè) dc 的情形，要理解 dc 階層的概念並不難。

其實(shí)就是因為 LDAP 高彈性的作法，讓 Win200x 的群組管理顯得複雜起來(lái)，不過(guò)只要把觀(guān)念弄清楚，其實(shí)也很簡(jiǎn)單。關(guān)鍵在於 ou 階層是所謂「行政的群組」，而 group 是所謂「權限的群組」，這就好比「業(yè)務(wù)部」的陳「經(jīng)理」和「研發(fā)部」的王「經(jīng)理」是好朋友，「業(yè)務(wù)部」、「研發(fā)部」是ou，而「經(jīng)理」是group。在 LDAP 原始設計中，o(ou) 和 group 是兩種獨立的觀(guān)念，但在A(yíng)D 裡面兩者都可以被賦予原則，有許多人就在這種情形下弄擰了觀(guān)念。

使用 LDAP 除了讓帳號管理更具彈性以外，另一個(gè)好處是可以使用公開(kāi)的 LDAP API 來(lái)撰寫(xiě)應用程式，使應用程式與網(wǎng)域使用者能更緊密的結合。由於資料欄位可以自由擴充，企業(yè)可以依自己的需要開(kāi)發(fā)出人事管理系統，而該人事資料又自動(dòng)成為企業(yè)內各種網(wǎng)路設備的成員帳號。並且由於 LDAP API 的標準是公開(kāi)的，因此不管由哪家廠(chǎng)商來(lái)開(kāi)發(fā)都可以彼此相容！

電腦管理

電腦管理的問(wèn)題可以分成兩方面來(lái)探討，一是電腦名稱(chēng)辨識的問(wèn)題，一是網(wǎng)域成員認證的問(wèn)題。過(guò)去 winNT 的電腦名稱(chēng)是以 NetBios 名稱(chēng)來(lái)實(shí)作，這就造成廣播風(fēng)暴問(wèn)題和無(wú)法跨越 Router 問(wèn)題，雖然微軟已經(jīng)將 NetBios 名稱(chēng)服務(wù)封裝成 TCP/IP 格式的 NetBT，但這只解決了跨越 Router 問(wèn)題，廣播的問(wèn)題仍然存在。

微軟後來(lái)開(kāi)發(fā)的 WINS 伺服器雖然可以有效降低廣播風(fēng)暴的發(fā)生，但仍然不能徹底解決頻寬被佔用的老問(wèn)題，造成使用者與網(wǎng)管師相當程度的困擾。在 Win200x 中由於網(wǎng)路機制改採 TCP/IP 來(lái)實(shí)作，所以這種落伍的名稱(chēng)服務(wù)已然被淘汰（相容前版模式例外），於是 DNS 就成為電腦名稱(chēng)辨識的不二人選。

在 Win200x 網(wǎng)域內的所有成員電腦，其名稱(chēng)一律沿襲 DNS 命名法，如果安裝時(shí)選擇與舊 Windows 網(wǎng)路相容，那麼就會(huì )將 DNS 命名的頭碼當成 NetBios 名稱(chēng)。DNS 名稱(chēng)會(huì )寫(xiě)入 SAM 資料庫中保管，以便備份和移轉。

那麼 Win200x 又如何來(lái)辨識某電腦是否為網(wǎng)域成員呢？當某臺工作站要求加入到網(wǎng)域內作為成員時(shí)，會(huì )透過(guò) DNS 伺服器中的 SRV 紀錄找到網(wǎng)域主控站，網(wǎng)域主控站會(huì )為這臺工作站建立一個(gè)電腦帳號（在 windows 網(wǎng)域中帳號區分為使用者帳號、電腦帳號和服務(wù)帳號三種），並產(chǎn)生 SID，然後由金鑰配發(fā)中心（KDC），配發(fā)憑證（金鑰），SID 及憑證會(huì )儲存於網(wǎng)域成員電腦的系統登錄裡面，像這樣經(jīng)過(guò)網(wǎng)域主控站認證的電腦，我們可以將它稱(chēng)為「可信任電腦」。

由於過(guò)去大家對於網(wǎng)域成員的認證都很忽視，例如 WinNT 也僅只對網(wǎng)域成員進(jìn)行單向認證，所以常發(fā)生安全漏洞被駭客利用。為了改善此問(wèn)題，在 Win200x 中採用 Kerberos 5 來(lái)進(jìn)行雙向認證，在使用者登入前，伺服器與工作站先交換金鑰，並向 KDC 查驗是否正確，網(wǎng)域主控站可藉此來(lái)決定該使用者是否有權登入該主機，如果發(fā)現該使用者有登入權限，接著(zhù)再以 LDAP 向 AD 查驗帳號密碼。安全性相對比起 NT 來(lái)的高許多，並且由於 Kerberos 和 LDAP 是 TCP/IP 上面的標準，所有其他平臺如Solaris、Linux、FreeBSD......等等都可以透過(guò) Win200x 帳號來(lái)進(jìn)行登入。

與前版網(wǎng)域相容模式

在 Win200x 網(wǎng)域主控站安裝時(shí)，如果選擇「與Windows 2000前版網(wǎng)域相容」選項，裝完AD之後，就可以使用「AD網(wǎng)域與信任」管理工具，來(lái)建立與舊有 NT 網(wǎng)域之雙向信任，就可以讓擁有 NT 網(wǎng)域帳號的使用者分享 200x 網(wǎng)域的資源。

採用與前版網(wǎng)域相容模式，除了可以整合舊有 NT 網(wǎng)域外，還支援 NBT 通訊協(xié)定及 WCHAR 認證方式，讓 win9x 可以直接登入「與前版相容的 Win200x 網(wǎng)域」，但是因為 Win98 缺乏 Kerberos 用戶(hù)端程式會(huì )被 Win200x 當成未授權使用者，不但無(wú)法享有 Win200x 所帶來(lái)的各種安全性措施，而且為了讓 Win98 得以存取 200x 網(wǎng)域分享的資源，許多 Win200x 伺服器上的安全原則都必須撤離，這使得 200x 網(wǎng)域只能當成陽(yáng)春的 NT 網(wǎng)域來(lái)使用。

想要升級成原始模式，首先必須衡量以下的條件：

1. 校內已經(jīng)沒(méi)有 win9x 和 winNT 工作站。
2. 已建置與 AD 整合之 DNS。
3. 全校所有電腦都已經(jīng)加入 win200x 網(wǎng)域。

滿(mǎn)足上述條件後，始可將 DC 由相容模式變更為原始模式，但要記住一旦變更為原始模式就無(wú)法再還原了！

網(wǎng)域主控站

在 Win200x 網(wǎng)域中負責管理帳號和權限的機器稱(chēng)為 DC，DC 儲存了使用者帳戶(hù)、群組、印表機….等物件的資料，DC 與 DC 之間可以透過(guò) LDAP 彼此交換資料以達到帳號同步的目的。為了預防 DC 故障造成網(wǎng)域崩潰，最好是在組織網(wǎng)域的初期就建置冗餘的 DC，以備不時(shí)之需。

※在WIN_NT4.0中，一個(gè)網(wǎng)域之中必須存有一臺 PDC， 網(wǎng)域間的信任是單向，且不具遞移性，而網(wǎng)域的帳戶(hù)資料儲存於 PDC 的 SAM 資料庫中，容量最多 40MB。

當一個(gè)機構中的電腦分屬於不同的網(wǎng)域時(shí)，也就是說(shuō)一個(gè)機構中具有多網(wǎng)域時(shí)，此刻就有信任上的問(wèn)題，若根網(wǎng)域甲的 Domain name 為 test.tp.edu.tw，而乙是為甲的子網(wǎng)域，Domain name 為 class.test.tp.edu.tw，丙為為甲的子網(wǎng)域，Domain name 為 lib.test.tp.edu.tw。三者之間具信任關(guān)係。因為 Win200x 網(wǎng)域之間的信任是雙向的並具遞移性，也就是說(shuō)當甲與丙互相信任，甲與乙互相信任，那麼乙和丙也會(huì )互相信任。故使用者的帳號是可以開(kāi)在甲、乙或丙任何一個(gè)之中皆可。 

網(wǎng)域本身就是一個(gè)管理單位，所以將一個(gè)學(xué)校中的網(wǎng)域數量降到愈少愈好，如此管理上就會(huì )比較簡(jiǎn)單。第一個(gè)建立的網(wǎng)域是根網(wǎng)域，根網(wǎng)域的建立時(shí)必需建立在 DNS 的基礎之上，因為 微軟公司修改了 DNS 架構新增 SRV 紀錄類(lèi)型，使得網(wǎng)域成員可以透過(guò) DNS 中的 SRV 紀錄查詢(xún) AD，因此安裝 AD 時(shí)將會(huì )要求 DNS 的位址，以便建立 SRV 紀錄。其餘再建立的網(wǎng)域皆為子網(wǎng)域，而形成一個(gè)網(wǎng)域樹(shù)。二個(gè)以上網(wǎng)域樹(shù)彼此在根網(wǎng)域上做了彼此的信任後，則形成 Forest，原則上一個(gè)學(xué)校中最多規劃成一個(gè) Forest 即可。

安裝 AD

安裝AD方式如下：下列二法中擇一來(lái)做

• 【開(kāi)始】／【程式集】／【系統管理工具】／【設定你的伺服器】／選擇Active Directory，在依照步驟循序往下完成。

• 【開(kāi)始】／【執行】／【開(kāi)啟】中輸入dcpromo，在依照步驟循序往下完成。

AD目錄服務(wù)安裝過(guò)程

步驟一、從『開(kāi)始』功能表打開(kāi)『執行』，輸入’dcpromo  ’的指令之後按『確定』

　　　　﹝如下圖﹞。

步驟二、出現 Active Directory 安裝精靈的畫(huà)面，按『下一步』。

步驟三、選擇此臺 DC 在網(wǎng)域中所扮演的角色，若此臺是您網(wǎng)域中的第一臺 DC 請點(diǎn)選『新網(wǎng)域的網(wǎng)域控制站』，並按下一步。

步驟四、若這是您的第一個(gè)網(wǎng)域﹝也就是說(shuō)不是某個(gè)現存網(wǎng)域的子網(wǎng)域﹞，請點(diǎn)選『建立新的網(wǎng)域樹(shù)狀目錄』，並按下一步。

步驟五、若這是您的第一個(gè)網(wǎng)域，請點(diǎn)選『建立新的網(wǎng)域樹(shù)狀目錄的新樹(shù)系』，並按下一步。

步驟六、輸入您網(wǎng)域的完整 DNS 名稱(chēng)，並按下一步。

步驟七、輸入新網(wǎng)域的 NetBIOS 名稱(chēng)，並按下一步。

步驟八、設定將來(lái) AD 資料庫及紀錄檔存放的位置（建議和系統放在不同硬碟上，可以增加效率），並按下一步。

步驟九、設定 Sysvol 資料夾的位置，並按下一步。

步驟十、如果您要在本機上安裝了 DNS 請選擇『是，在這部電腦上安裝並設定 DNS』，並按下一步。

步驟十一、如果您不是在純 Win200x 環(huán)境中，請選擇上面的選項，並按下一步。

步驟十二、輸入目錄還原模式的密碼，並按下一步。

步驟十三、檢查你選取的項目，若無(wú)錯誤請按下一步。

步驟十四、AD目錄服務(wù)正在設定中。

步驟十五、按下『完成』。

步驟十六、必須重新啟動(dòng)電腦。

綜合以上所言，裝 AD 的要點(diǎn)如下：

1. 是新網(wǎng)域中的 DC，還是現存網(wǎng)域中冗餘 DC

2. 是新的網(wǎng)域樹(shù)狀目錄嗎？若不是的話(huà)，必須先在根網(wǎng)域的 DNS 上先建立對應的 URL 領(lǐng)域。

3. 裝 AD 時(shí)，在本機建個(gè) DNS_Server 會(huì )比較好裝

使用者管理

使用者帳號（User Account）的種類(lèi)約可以分做兩類(lèi)：

第一類(lèi)為本機使用者帳戶(hù)（Local  User Account）：只能在單機使用的帳號，這個(gè)帳號無(wú)法用來(lái)登入其他電腦，除非是網(wǎng)域中有一帳號和密碼和本機使用者相同。

• 建立Local User Account的方法如下：

• 【開(kāi)始】／【程式集】／【系統管理工具】／【電腦管理】／【系統工具】／【本機使用者和群組】／【使用者】

• 所建立的帳號基本上是在 Users 資料夾中

第二類(lèi)為網(wǎng)域使用者帳戶(hù)（Domain User Account）：為建立在網(wǎng)域控制器伺服器 (DC) 的帳號，可以用來(lái)登入網(wǎng)域中的可信任電腦，並可存取網(wǎng)域中的資源（共享檔案、印表機......等)，當然我們可以在 DC 上設定哪些電腦允許哪些帳號登入，哪些共享資源允許哪些帳號使用，這就是後面會(huì )專(zhuān)題探討的「權限管理」機制。

• 建立Domain User Account的方法如下：必須使用【Active Directory使用者及電腦】嵌入單元來(lái)建立其Account，當使用這個(gè)嵌入單元來(lái)建立Account時(shí)，此帳戶(hù)會(huì )被建立在MMC主控臺所找到的“第一臺DC”，之後此Account會(huì )自動(dòng)被複製到此Domain內所有的裝Active Directory有DC中。

• 【開(kāi)始】／【程式集】／【系統管理工具】／【Active Directory使用者及電腦：“點(diǎn)選出現的網(wǎng)域名稱(chēng)”(右鍵)】／【新增】／【使用者】

當然作比較結構化的管理，可以先建立一些不同的組織，以利你的管理和區別；因為未規劃所建的使用者會(huì ) 放在Users中和其他預設帳號混在一起會(huì )比較亂，所以我們必須建組織單位(OU)來(lái)作歸納分類(lèi)。亦即將李小華放入石牌國小的老師中，這樣在未來(lái)做權限管理才會(huì )方便

但對上述李小華也可以將其歸類(lèi)回石牌國小的老師中，亦即在李小華上按右鍵移動(dòng)至石牌國小的老師。

建組織單位可以先分類(lèi)歸納好，如： 行政處室、教師(一年級、二年級、三年級、四年級、五年級、六年級)、實(shí)習教師......等。

WIN2000大量帳號方法

大量建帳號方法有下列三種

1. 使用 NET USER 指令

語(yǔ)法如下：

NET USER [username [password | *] [options]  [/DOMAIN]

                username {password |*} /ADD [options] [/DOMAIN]

                username [/DELETE] [/DOMAIN]

根據上述語(yǔ)法，我們可以建立下列一個(gè)account.bat的批次檔，內容如下：

net user hjhon 10001 /add
net user hmary 10002 /add
net user hjack 10003 /add
net user hjackson 10004 /add
net user hellen 10005 /add
net user hsally 10006 /add
net user hmayhi 10007 /add
net user htelmay 10008 /add
net user hjohnson 10009 /add
net user hsala 10010 /add

※此檔可以配合由 Excel 產(chǎn)生，方便建連續性的帳號。

其執行結果狀況如下：

其所建的帳號皆會(huì )在users之中，其結果如下：

2. 使用自行設計的 VBS 程式：

CreateOU.vbs

CreateUsers.vbs

Account.mdb內容如下：

修改檔案的存取控制清單 (CACLS)
語(yǔ)法如下：
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 變更指定檔案的 ACL 於
現有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代。
/C 拒絕存取的錯誤繼續發(fā)生。
/G user:perm 授與指定的使用者存取權限。
Perm 的值可以是: R 讀取
C 變更 (寫(xiě)入)
F 完全控制
/R user 撤銷(xiāo)已指定的使用者存取權限 (只有當 /E 存在時(shí)才有效)。
/P user:perm 取代已指定的使用者存取權限。
Perm 的值可以是: N 沒(méi)有權限
R 讀取
C 變更 (寫(xiě)入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬(wàn)用字元一次指定數個(gè)檔案。
您可以在命令中指定數個(gè)使用者。
縮寫(xiě):
CI - 容器繼承。
ACE 將被目錄繼承。
OI - 物件繼承。
ACE 將被檔案繼承。
IO - 僅供繼承。
ACE 不可套用到目前的檔案/目錄。

磁碟配額管理

在伺服器上的磁碟空間是有限的，尤其是當我們將伺服器上的硬碟提供給老師或其他使用者儲放資料時(shí)，硬碟的空間監管是件十分重要的事情， 無(wú)論是硬碟的儲放空間所剩多少或進(jìn)出伺服器的安全監管皆是十分重要；因為硬碟的儲放空間剩的太少會(huì )造成許多的問(wèn)題，諸如：服務(wù)會(huì )被停用、虛擬記憶體太低、IO太頻繁...等，尤其當硬碟空間大幅減少時(shí)，要檢查是否為駭客或病毒入侵，大肆破壞了伺服器，造成無(wú)法挽救的遺憾。因此監視伺服器的硬碟中個(gè)別目錄的成長(cháng)狀況是件十分重要之事，畢竟了解到硬碟空間成長(cháng)的狀況，可以在發(fā)生意外狀況之前，防範於未然。

若是要提供老師或其他使用者儲放資料在伺服器上時(shí)，Win200x 的磁碟配額是一件必要的實(shí)用安全的優(yōu)質(zhì)管理，不過(guò) Win200x 的磁碟配額管理只能用 NTFS 的磁碟檔案系統，其並不支援 FAT32 和 FAT 磁碟檔案系統； 磁碟配額最棒之處是能限制使用者可以?xún)Ψ刨Y料的使用硬碟空間，限制其修改或複製檔案的能力範圍，降低使用者大量使用磁碟，造成系統遭到破壞的機率，且系統管理人員可依實(shí)況有效調節使用者使用磁碟的空間，不致於浪費且可以將資源有效的整合。

磁碟配額使用方法如下：

第一步將提供老師或使用者使用的硬碟(最好是外掛一個(gè)硬碟，即使是 IDE 硬碟也沒(méi)關(guān)係)，按滑鼠右鍵點(diǎn)選內容。

第二步在配額的選項勾選啟用配額管理和拒絕將磁碟空間給超過(guò)配額限制的使用者。並限制每個(gè)使用者的使用硬碟空間為多少，並於將超過(guò)使用磁碟空間範圍時(shí)提出警告。(每個(gè)人磁碟空間限制先設少一點(diǎn)空間可使用，再慢慢放寬多一點(diǎn)空間；本校磁碟空間使用預估法為：硬碟空間／（學(xué)校老師數／２）)

第三步在第二步時(shí)點(diǎn)選配額項目時(shí)就可以發(fā)現每個(gè)老師或使用者使用硬碟的空間狀況為何？

第四步若有使用者因公務(wù)或教學(xué)需求上的需要更多更大的硬碟空間時(shí)，則點(diǎn)選單一使用者來(lái)放寬其硬碟的空間限制。

權限管理

一、群組觀(guān)念

對於使用者的權限管理設定，我們通常會(huì )將使用者先歸類(lèi)為群組後，在將其做權限控管。

win200x 的網(wǎng)域可分為兩大類(lèi)型

混合模式(Mix Mode) ：混合模式指網(wǎng)域中包含 Win200x、WinNT...等機器

• 在 Win200x 的網(wǎng)路，預設為混合模式。

• 在混合模式中，其網(wǎng)域控制站可以包含 Windows NT 級的電腦，也就是在網(wǎng)域中可以有 NT3.5x、NT4.0、Win200x 的模式。

• 混合模式不支援萬(wàn)用群組。

• 從混合模式改為原始模式的方式如下：【開(kāi)始】／【程式集】／【系統管理工具】／【Active Directory 使用者與電腦】／【網(wǎng)域名稱(chēng)（右鍵）】／【內容】／【變更模式】／【確定】，變更成為原始模式後，此變更結果會(huì )被 Copy 到網(wǎng)域中所有的 DC 中。

• 切記混合模式變更成原始模式後，是無(wú)法再恢復成混合模式。

原始模式(Native Mode)：原始模式指網(wǎng)域中只有 Win200x 或 xp 機器

• 在原始模式的網(wǎng)域中，其所有的DC都必須是 Win200x 的電腦。

• 但在網(wǎng)域內的成員，除了 Win200x 級的 computer 外，仍可是 WinNT3.x／4.0級的 member server。

• 支援所有的 Group，例如：Global group、Local group 和萬(wàn)用群組。且可以是巢狀迴圈。

群組的權限

新增群組的方法，在單位組織上按右鍵→新增→群組

由上表來(lái)看群組領(lǐng)域分為三類(lèi)

• 網(wǎng)域區域群組（Domain Local Group）： 類(lèi)似 NT 時(shí)代的區域群組，主要是被用來(lái)指派其所屬的網(wǎng)域內資料存取的權限，在原始模式中網(wǎng)域區域群組包含同一森林（Forests）任何網(wǎng)域中所有使用者帳號（User Account）、通用群組（Global Group）、萬(wàn)用群組（Universal Group），可包含同一網(wǎng)域（Domain）內的網(wǎng)域區域群組 Domain Local Group，亦即為內嵌式區域群組，但無(wú)法包含其他網(wǎng)域（Domain）的網(wǎng)域區域群組（Domain Local Group）。Domain Local Group 只能夠 Access 同一 Domain 內的資源，無(wú)法跨網(wǎng)域來(lái) Access 其他 Domain 的資源。

• 通用群組（Global Group）：    其主要目的用來(lái)組織使用者，即可將多個(gè)權限相同的使用者帳戶(hù)加入到同一個(gè)通用群組（Global Group）中，通用群組（Global Group）可以存取任何一個(gè)擁有信任關(guān)係的網(wǎng)域（Domain）中的資源，也就是說(shuō)通用群組（Global Group）可跨網(wǎng)域（Domain）來(lái)進(jìn)行存取其他網(wǎng)域的資源，可在任何一個(gè)Domain 內設定某個(gè) Global Group 的 Permission，這個(gè) Global Group 可以在同一 Domain，也可在另一個(gè)Domain 內，所以通用群組（Global Group）在同一網(wǎng)域時(shí)是使用者帳號與其他通用群組的集合，當通用群組（Global Group）在跨越其他網(wǎng)域時(shí)則為使用者帳號的集合（可以為不同網(wǎng)域）。

• 萬(wàn)用群組（Universal Group）：   主要是用來(lái)指派在所有網(wǎng)域內的存取權限，以便能夠使用每一個(gè)網(wǎng)域內的資源。成員能夠包含任使用者帳號、通用群組及WIN2000網(wǎng)域Forests下的萬(wàn)用群組。萬(wàn)用群組必須在原始模式中才有，而我們各校所使用皆混合模式下是無(wú)法建立萬(wàn)用群組。

群組類(lèi)型：

• 安全性：安全群組用來(lái)管理網(wǎng)路上的安全問(wèn)題，可以對某個(gè)安全性群組給予檔案讀取或完全控制.....等權限。

• 發(fā)佈：為傳送E_mail目的所建的使用者群組，與安全（權限的設定等）無(wú)關(guān)。此種群組校內工作上是不會(huì )用到的。

二、權限指派

委派控制：

選擇一個(gè)組織單位，按滑鼠右鍵，並選擇出現的快顯功能表上的委派控制。

新增使用者或群組以做控管權限

基本的資料夾權限管理

1.點(diǎn)資料夾按右鍵，先將資料夾→共用(共用此資料夾，給予共用名稱(chēng))→使用者人數限制(允許最大數或限制為多少人數)→給予權限(完全控制、變更、讀取)→授予群組或使用者。

若要比較詳細的權限則由安全性中去設定，進(jìn)階中可以就更加詳細去設定。

災難處理

做一個(gè)網(wǎng)管人員最怕的是自己所管理的SERVER當掉，或者是無(wú)法開(kāi)機；而自己的資料又沒(méi)有備份的話(huà)。此時(shí)此刻真是要呼天搶地，企求奇蹟了。因此，我們必須於平時(shí)做好下列工作，以防意外狀況的發(fā)生：

1. 建立緊急修復磁片，以利快速復原系統的修復。

2. 安裝修復主控臺，以利解決系統問(wèn)題，無(wú)須重新安裝系統。

3. 備份DHCP資料庫，以利快速重建DHCP伺服器。

4. 建立鏡像磁碟、減少資料的遺失，以利快速回復系統資料。

5. 以GHOST備份整個(gè)作業(yè)系統，以能快數於數分鐘內還原整個(gè)完整的系統。

一般而言，修復WINDOWS 2000的方法有兩種：

一、是緊急修復 WINDOWS 2000 安裝

此法，我們必須具備需要WINDOWS 2000 系統開(kāi)機磁片則可以使用下列方法自行去產(chǎn)生；可以在WINDOWS 2000安裝光碟中[BOOTDISK]資料夾中，執行[MAKEBT32]程式，再依序放入產(chǎn)生4張空白磁片於A碟中，便能快速依序建好開(kāi)機片。

另外，建立緊急修復磁片也是件刻不容緩之事，執行[開(kāi)始→程式集→附屬應用程式→系統工具→備份]功能，來(lái)執行備份程式；在此我們可以快速建立緊急修復磁片。

假如在建立緊急修復磁片時(shí)，勾選了[同時(shí)也將登錄檔案備份到修復目錄....]，則在建立緊急修復磁片時(shí)，也會(huì )將目前登錄在C:\WINNT\repair\RegBACK資料夾內的檔案在建立一份備份到磁片中。

若勾選了［同時(shí)也將登錄檔案備份到修復目錄...］核取項，則在建立緊急修復磁片時(shí)，會(huì )將目前的登錄在  C:\WINNT\repair\RegBack 資料夾內再建立一個(gè)備份。換言之，緊急修復磁片內的檔案，就在 C:\WINNT\repair 資料夾之中。

WINDOWS 2000 的系統緊急修復磁片中，儲存了系統檔案與設定資訊。為確保建立的系統緊急修復磁片可以有效修復毀損的系統，必須時(shí)時(shí)保持系統緊急修復磁片的最新，故一旦系統設定做了重大的變更時(shí)，必須立即建立新的系統緊急修復磁片。

緊急修復 WINDOWS 2000 ，一般有所謂手動(dòng)修復或快速修復，二者的差異僅在手動(dòng)修復上，一切的恢復設定(系統檔案、磁碟分割開(kāi)機磁區或啟動(dòng)環(huán)境)皆由系統管理員自行決定，而快速修復則由電腦自動(dòng)執行而已；操作方法概略如下：?jiǎn)?dòng)電腦→在歡迎使用安裝程式時(shí)，按 R 選修復 WINDOWS 2000 → 在此選 M (手動(dòng)修復) 或 F (快速修復) → 放入緊急修復磁片，按ENTER(按L去找安裝光碟或 WINDOWS 2000 的位置，通常是無(wú)效的)。

二、是使用修復控制臺修復WINDOWS 2000

一般而言，硬碟無(wú)法開(kāi)機是因為開(kāi)機磁區資料遺失或毀損，windows 2000 在此方面是有辦法的---也就是「修復主控臺工具」。其修復的動(dòng)作程序如下：

1. 以windows 2000的光碟片開(kāi)機[記得BIOS要修改成光碟機優(yōu)先開(kāi)機]，在螢幕出現歡迎安裝的畫(huà)面時(shí)，按下鍵盤(pán)的[R]鍵進(jìn)入修復主控臺來(lái)修復windows 2000，記得可不要按ENTER去重新安裝windows 2000哦！
2. 當進(jìn)入修復主控臺，在畫(huà)面上會(huì )出現哪一個(gè)要登入去修復的windows，由於我們是拿來(lái)做SERVER，所以只有一個(gè)windows系統來(lái)做修復選擇。
3. 由於只有一個(gè)windows系統來(lái)做修復選擇，所以我們按1來(lái)做選擇，再按一下[Enter]鍵；但若不欲修復windows 2000，則再按一次[Enter]鍵就可以取消修復；若修復完畢後則鍵入EXIT，結束修復主控臺重新啟動(dòng)電腦。
4. 當按1選擇唯一的windows，並按一下[Enter]鍵執行後，畫(huà)面會(huì )出現administrator [系統管理員的帳號]，請輸入本機administrator的密碼[此用意在於防範系統的安全不致於被其他使用者任意竄改或破壞系統]，在出現C:\WINDOWS>後，可以鍵入HELP以觀(guān)看有哪些可以使用的指令。
5. 首先觀(guān)察電腦系統中，所有磁碟的狀態(tài)，故鍵入map指令，以觀(guān)察磁碟的狀態(tài)。
6. 選擇所要修復磁碟，輸入chkdsk 磁碟機代號: /r [例如 chkdsk c: /r]，再按[Enter]鍵執行，通常C碟一定要做修復[因為不能啟動(dòng)WINDOS 2000]來(lái)開(kāi)機。
7. 當磁碟完成檢查之後，我們將進(jìn)行開(kāi)機磁區的修復，我們鍵入fixboot c: [假設開(kāi)機碟為C]，來(lái)修正已受損的開(kāi)機磁區，並複寫(xiě)入系統開(kāi)機磁碟分割的預設值。
8. 當修復完開(kāi)機磁區，我們將繼續進(jìn)行系統磁碟分割的主開(kāi)機記錄區[MBR]修整；我們輸入 fixmbr c: 當開(kāi)機紀錄區遭到病毒損毀，無(wú)法啟動(dòng)作業(yè)系統的情況下使用，畫(huà)面會(huì )出現修復的警告標示，按Y繼續進(jìn)行。
9. 當修復完畢之後，我們只要鍵入EXIT就可以重新啟動(dòng)電腦，檢視我們修復的成果。[若修復完畢可以進(jìn)入WINDOWS 2000則表OK，反之失敗那就慘了！]

    **將修復主控臺安裝置開(kāi)機選單中，將可以不必透過(guò)光碟機開(kāi)機來(lái)修復，

1. 在執行視窗中鍵入  D:\i386\winnt32.exe /cmdcons  ，再按[確定]來(lái)執行。
2. 接著(zhù)會(huì )告知需要7MB磁碟空間安裝，按下是開(kāi)始安裝，在安裝時(shí)會(huì )先連線(xiàn)到微軟的伺服器進(jìn)行檢查有無(wú)新的版本可以下載，然後開(kāi)始安裝。
3. 當安裝完畢下一次重新開(kāi)機後，就有修復主控臺可以使用[再開(kāi)機時(shí)按F8→選擇偵錯模式→WINDOWS 2000 修復主控臺]。

加強學(xué)校系統安全管理的日常工作

當架設好WINDOWS 2000後，應於日常做下列安全的檢查工作：

1. 確認所有伺服器和工作站的硬碟皆是使用NTFS檔案系統。
2. 確認系統管理的帳戶(hù)使用嚴謹且複雜的密碼，並於一段時(shí)間內不斷變更密碼以維安全。
3. 停用不必要的系統服務(wù)功能，減少系統資源的浪費與降低漏洞的發(fā)生機會(huì )。
4. 對於離職退休或不需使用的帳戶(hù)加以停用或刪除。
5. GUEST的帳戶(hù)做好確實(shí)的管理，給予停用或變更其帳戶(hù)名稱(chēng)。
6. 為檔案或資料夾加密與維護，並給予適當的安全權限管理。
7. 時(shí)時(shí)做好資料、系統相關(guān)安全資訊與登錄資料的備份於他處。
8. 時(shí)時(shí)檢查系統中的帳戶(hù)的權限是否正常為USER層級，而非被駭客改為Administrator層級。
9. 嚴謹規劃設定各群組人員與其權限，尤其是Administrator的帳戶(hù)群組人員更要嚴加控管。
10. 加強宣導使用者對自己帳戶(hù)與密碼的管理，避免其成為駭客入侵的跳板。
11. 移除所有非必要的資源分享。
12. 安裝伺服器防毒軟體，降低病毒與駭客的入侵；並時(shí)時(shí)保持病毒碼的時(shí)時(shí)更新。
13. 裝上做新的Service Pack 和 Hot Fix。
14. 有空時(shí)看看事件檢視器中日誌檔，掌握系統狀況。
15. 掌握磁碟空間的變化，並注意硬碟空間是否足夠或有不正常的檔案目錄成長(cháng)。

系統原則與桌面管理

win9x 系統原則

win9x 系列因為使用 FAT 檔案系統，檔案上無(wú)法依據使用者的不同設定不同權限，因此系統原則程式如果放在硬碟上則任何人都可以讀取執行，由於這個(gè)緣故 poledit 程式是收錄在光碟上，使用時(shí)最好是用磁片執行不要存入硬碟中。底下範例是為了上課方便從硬碟執行，實(shí)作時(shí)不應該如此。

1.Poledit程式位置乃在於win98光碟中的資料夾中(tools→reskit→netadmin→poledit)。

2.將poledit資料夾複製在win98機器中，去執行poledit.exe程式，設定系統原則。

依微軟的指示，poledit系統原則編輯的做法如下

建立新的原則檔
1 按「檔案」功能表的「開(kāi)新檔案」。
2 poledit.exe程式執行時(shí)開(kāi)啟時(shí)，開(kāi)啟admin.adm範本→開(kāi)始登錄，系統原則可以做本機電腦與本機使用者的限制使用

• 要新增使用者，請按「編輯」功能表的「新增使用者」，再輸入要設定原則的使用者名稱(chēng)。

• 要新增電腦名稱(chēng)，請按「新增電腦」，再輸入要設定原則的電腦名稱(chēng)。

• 要新增使用者群組，請按「新增群組」，再輸入要設定原則的群組名稱(chēng)。

本機使用者的限制

本機電腦的限制

3 要設定使用者、群組或電腦的原則時(shí)，請按要設定原則的圖示，再選「編輯」功能表的「內容」。按兩下書(shū)籍圖示，查看可以使用的設定值。
如果選一個(gè)原則，系統就會(huì )套用這個(gè)原則。例如，選「檔案分享控制無(wú)效」，則使用者就無(wú)法在網(wǎng)路上分享資料夾。

設定從 Windows NT或Windows 2000機器自動(dòng)下載

1 按「檔案」功能表中的「開(kāi)啟登錄」。
2 按兩下「本機電腦」。
3 按「網(wǎng)路」旁邊的加號。
4 按 Microsoft Client For Windows Networks 。
旁邊的加號，再按「登入 Windows NT」。
5 輸入 Windows NT 網(wǎng)域名稱(chēng)。
6 在主要的網(wǎng)域控制器上建立一個(gè)叫做 Netlogon 資料夾，然後再分享它。(Win2000在Winet→Sysvol→Sysvol→網(wǎng)域名稱(chēng)→Scripts資料夾中。
7 將原則檔儲存在這個(gè)資料夾中。請確認原則檔的檔名為config .pol。

Ｗin98/XP 系統登錄組態(tài)設定

windows的機碼有六大類(lèi)：

1. HKEY_CLASSES_ROOT：記載許多副檔名的定義，也就各種檔案的類(lèi)型。分別定義各種副檔名所開(kāi)啟的應用程式。
2. HKEY_CURRENT_USER：由HKEY_USERS延伸而來(lái)，其記載目前登入使用者的資料狀態(tài)，為一種個(gè)人化作業(yè)環(huán)境設定資料。
3. HKEY_LOCAL_MACHINE：電腦中各種硬體設定資料，包括印表機、光碟機、BIOS....等資料。
4. HKEY_USERS：用於記載不同使用者的資料。若設定只有一個(gè)使用者時(shí)，HKEY_CURRENT_USER的記錄則與HKEY_USERS內的.DEFAULT相同，否則在HKEY_USERS下就會(huì )有不同使用者名稱(chēng)的機碼。
5. HKEY_LOCAL_CONFIG：記載目前使用硬體的設定檔。
6. HKEY_DYN_DATA：此為存在記憶體中的動(dòng)態(tài)資料，用於監視電腦效能，一開(kāi)機時(shí)由Windows建立此機碼資料，一關(guān)機後機碼資料就消失，故無(wú)法新增機碼，此部份只有Win98/Me才有。

系統登錄檔的使用

1.系統登錄檔的檢查員：scanregw.exe  (win98下執行)

2.系統登錄檔的備份與還原：scanreg /backup  和   scanreg /restore     (dos下執行)

3.系統登錄檔的修復：scanreg /fix 

3.工作站自動(dòng)設定IE組態(tài)(以proxy和cache大小為例)

• 參考 ie6.reg 內容，用記事本開(kāi)啟。
• 建 ie6.reg 的方法，在一臺 win98 機器上，可以將 proxy 和 cache 大小先設定好
• 在執行位置，鍵入regedit。
• 編輯→尋找→ProxyServer和編輯→尋找→CacheLimit
• 將滑鼠置於其上，登錄→匯出登錄檔案
• 將 ie6.reg 放入 Login Script 中，則所有人一登錄時(shí)就會(huì )改掉單機的設定。

下面是一個(gè) reg 檔的範例，用於限制網(wǎng)頁(yè)首頁(yè)、proxy server、桌面...等項目，適用於WINXP和WIN98 的 Client 端使用。

Windows Registry Editor Version 5.00

底下範例將瀏覽器預設首頁(yè)，改為學(xué)校官方網(wǎng) ：

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.syups.tp.edu.tw/"

底下範例將瀏覽器「檢查儲存的畫(huà)面是否有較新的版本」，改為「每次查閱時(shí)」 ：

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Cache_Update_Frequency"="Once_Per_Session"

底下範例將啟用代理器，Proxy Server 為教育部 proxy.moe.edu.tw:3128，並將校內網(wǎng)段排除不透過(guò) Proxy 連線(xiàn) ：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxy.moe.edu.tw:3128"
"ProxyOverride"="172.16.*.*;*.syups.tp.edu.tw;<local>"

底下範例將網(wǎng)頁(yè)暫存空間 Temporary Internet file 設定為 5MB：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content]
"CacheLimit"=dword:00005000

底下範例設定桌布為 C:\WINDOWS\rule.bmp 並禁止使用者更改：

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\rule.bmp"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=dword:00000001

底下範例將工作站 IE 瀏覽器的進(jìn)階設定值「永遠將 URL 傳送成 UTF-8」關(guān)閉：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"UrlEncoding"=dword:00000001

ＷinXP 本機安全性原則

winXP 採用 NTFS 檔案系統，因此可以作精緻的權限設定，系統管理工具直接安裝於硬碟上，但只有 administrator 可以執行。

1. 從「控制臺」->「系統管理工具」，打開(kāi)「本機安全性原則」

2. 限制一般使用者無(wú)法變更時(shí)間。依據 kerbros 認證的運作機制，工作站時(shí)間若與 DC 時(shí)間差異達兩個(gè)小時(shí)以上，將會(huì )無(wú)法登入主機。

3. 設定成不要顯示上次登入的使用者名稱(chēng)，以免帳號被收集利用。

4. 停用 Guest 帳號，以避免未被授權的使用者進(jìn)入系統。

5. 在 XP 預設的情況下，允許使用者連線(xiàn)到網(wǎng)路磁碟機時(shí)，將登入的帳號密碼儲存起來(lái)，下次再連線(xiàn)時(shí)將不會(huì )再詢(xún)問(wèn)帳號密碼，這個(gè)功能一旦開(kāi)啟，其它的使用者將無(wú)法以自己的權限來(lái)操作網(wǎng)路磁碟機。

ＷinXP 安全性設定與分析

winXP 的安全性有三種不同機制進(jìn)行管理，一是本機安全性原則，前面已經(jīng)介紹過(guò)了，它是 poledit.exe 的強化版，在 winXP 裡另外提供一個(gè) secedit.exe 可以結合登入指令稿來(lái)作動(dòng)態(tài)設定。第二種機制稱(chēng)為安全性設定與分析，它提供比本機安全性原則更詳細的設定選項，同時(shí)可以將設定儲存成安全性資料庫，該資料庫可於本機運作，或是上傳到 DC 上作為群組原則範本，後者的好處是網(wǎng)域內符合該群組的電腦都會(huì )自動(dòng)套用同一設定。三是群組原則，群組原則原始設計為透過(guò) AD 管理，在網(wǎng)域成員登入時(shí)自動(dòng)套用到工作站上。然而這個(gè)部分僅能針對網(wǎng)域使用者進(jìn)行管理，由於 winXP 上有所謂的本機使用者，如果校內同仁或小朋友是使用本機帳號登入，將不會(huì )受到任何限制，因此在 winXP 上另外設計了能管理本機使用者的群組原則管理程式。

1. 在開(kāi)始工作列上按「開(kāi)始->「執行」，輸入指令 mmc

2. 主控臺視窗出現後，按「檔案」->「新增/移除嵌入式管理單元」

3. 請新增「安全性設定及分析」管理單元

4. 在管理單元上按右鍵選「開(kāi)啟資料庫」->輸入資料庫檔名（自行命名）

5. 資料庫建好後，在管理單元上按右鍵選「立即分析電腦」

6. 設定方式如本機安群性原則，不再累述。完成後請按右鍵選「立即設定電腦」

ＷinXP 本機群組原則

1. 使用主控臺新增嵌入式管理單元，單元名稱(chēng)為「群組原則」

2. 下圖的設定內容其實(shí)就是前面介紹過(guò)的本機安全性原則，設定方式請參考前面的章節

3. 選取「使用者設定」->「系統管理範本」->「windows元件」->「Internet explorer」可以針對 IE 進(jìn)行細節設定，其中「不容許使用自動(dòng)完成來(lái)儲存密碼」，建議要啟用。這樣在網(wǎng)頁(yè)需要登入的場(chǎng)合，才不會(huì )出現「儲存密碼」的核取框。

AD 群組原則(GPO)

Win200x 群組原則是 Win200x 或 WinXP 使用者工作環(huán)境的管理工具之一，提供比本機電腦設定有更完整的控制選項與更廣泛的套用對象，以減低網(wǎng)路管理的負擔與成本。

Win200x 群組原則包含對電腦機器或使用者兩個(gè)部分：

• 電腦設定（Computer Configuration）：針對此臺電腦設定工作環(huán)境，例如對某一個(gè)網(wǎng)域設定一個(gè)群組原則GPO，則此網(wǎng)域內的所有電腦都會(huì )套用此設定（當然只有對 Win200x 或 WinXP 的機器才有效）。

• 使用者設定（User Configuration）：針對使用者來(lái)設定作環(huán)境，例如對某個(gè)網(wǎng)域設定一個(gè)群組原則，則此網(wǎng)域內的所有使用者都會(huì )套用到此原則設定。

群組原則可以對站臺 (Site)、網(wǎng)域 (domain)或組織單位OU（Organization Unit）等物件設定群組原則，而資料存放在 Active Directory（%systemroot%\sysvol\”DomainName”\Policies）中。

可以針對每臺電腦作 local group policy，該原則設定會(huì ) apply 至本臺電腦及 local users，而資料存放於〈%systemroot%\system32\GroupPolicy〉的資料夾內。

在預設情況下，下層的GPO會(huì )覆蓋上層的GPO，其套用順序為本機GPO（即本機安全性原則）→Site→Domain→OU，同個(gè)物件若有多個(gè)GPO而相衝突時(shí)，以排列在前面者優(yōu)先。

一般情況下，子層會(huì )繼承父層的已設定原則（尚未設定原則不繼承），另外有特殊情況：

• 阻擋繼承：為系統預設值，若子層設定「阻礙原則繼承（Block）」，則不繼承父層的設定原則。

• 強制繼承：父層的關(guān)聯(lián)選項設定為No override（不覆蓋），則父層所設定的原則將強制子層繼承，即使子層設定「阻礙原則繼承（Block）」也無(wú)法違反此強制繼承的優(yōu)先權。但繼承項目?jì)H限於有設定（已啟用或已停用）項目。

群組原則建立方法：

【開(kāi)始】／【程式集】／【系統管理工具】／【Active Directory使用者與電腦】／【網(wǎng)域名稱(chēng)（右鍵）】／【內容】／【群組原則】／新增一個(gè)群組原則或編輯 Default Domain Policy 的內容。

ＷinXP 桌面管理

winXP 由於使用 NTFS 檔案系統，能有效針對不同等級使用者設定詳細的權限，因此以往在 win9x上無(wú)法可管的桌面圖示和開(kāi)始功能表，現在也可以進(jìn)行管理，示範如下：

1. 首先用 admnistrator 登入後，將 c:\Documents and Settings 資料夾設為 administrator 完全控制
2. 將所有使用者的桌面與開(kāi)始功能表搬移到 All Users 資料夾中
3. 將 All users 資料夾設定為唯讀（administrator 除外，以方便事後增刪）
4. 如果學(xué)生是使用 user 帳號自動(dòng)登入，請將 user 資料夾中的「桌面」和「開(kāi)始功能表」、「我的最?lèi)?ài)」設定為唯讀，以上設定步驟可防止一般使用者變更桌面、開(kāi)始功能表和我的最?lèi)?ài)的內容
5. 將 C: 設定為 user 僅能唯讀，按「進(jìn)階」，勾選「以顯示於此套用到子物件......」
6. 由於部分應用程式（例如：MsWord）會(huì )在啟動(dòng)時(shí)將暫存檔寫(xiě)入c:\windows\temp 中，因此我們必須將這個(gè)資料夾的寫(xiě)入權限打開(kāi)，另外如果有安裝 Medi@show 也記得把該資料夾寫(xiě)入權限打開(kāi)（在  c:\program files\ 中）
7. 設定「user的文件夾」的安全性，按「進(jìn)階」，勾選「以顯示於此套用到子物件......」，取消「從父項繼承.....」核取框，按「複製」，如下圖：

6. 設定使用者 user 的讀寫(xiě)刪除權限，如下圖。由於前面已經(jīng)將桌面和 C: 設為唯讀，將來(lái)從網(wǎng)路下載的檔案會(huì )自動(dòng)擺放到我的文件夾中，而文件夾由於未設定執行權限，學(xué)生將無(wú)法玩網(wǎng)路上下載的執行檔，如果學(xué)生將檔案解壓縮，也無(wú)法安裝到 C: 中（前面已設定為唯讀），即使將軟體安裝到我的文件夾中，一樣不能執行。

7. 用以上方式管理學(xué)生機，唯一能自由執行程式的方法，是從 IE 暫存檔資料夾執行程式，由於該資料夾無(wú)法設定安全性，所以會(huì )留下這個(gè)漏洞。但無(wú)論如何，學(xué)生的桌面這樣管理還算妥善！

登入指令稿

Login Script一般我們稱(chēng)為使用者登錄檔，使用記事本建立好自動(dòng)批次檔後，放入 NETLOGON 中，然後在 AD 中使用者設定檔的位置，給予檔名(如：path.bat)，以便使用者登入時(shí)執行之。

@echo off
net use s: \\xxps1\data$\%username% /PERSISTENT:NO
net use t: \\file\filedata$ /PERSISTENT:NO
net use x: \\file\辦法規章 /PERSISTENT:NO
net use y: \\file\教學(xué)檔案上傳 /PERSISTENT:NO
regedit /s %logonserver%\netlogon\utf8.reg
echo on

常用系統變數：

Win2000 以後的版本已經(jīng)改用 VBS 來(lái)撰寫(xiě) login script，但仍然支援批次檔執行的方式。底下是 VBS 版本的登入稿：

Set net = CreateObject("WScript.Network")   
net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False"
net.MapNetworkDrive "T:", "\\file\filedata$","False"
net.MapNetworkDrive "X:", "\\file\辦法規章","False"
net.MapNetworkDrive "Y:", "\\file\教學(xué)檔案上傳","False"
Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("Desktop")
Set link = Shell.CreateShortcut(DesktopPath & "\師生網(wǎng)頁(yè)主機.lnk")
link.TargetPath = "\\172.16.1.3\homes"
link.WorkingDirectory = "\\172.16.1.3\homes"
link.Save
key =  "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"
Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ"
Shell.RegWrite key & "Start Page", "http://www.syups.tp.edu.tw/", "REG_SZ"
key =  "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
Shell.RegWrite key & "UrlEncoding", "1", "REG_DWORD"
　

紅字部分，請依各校之需求自行修改，程式解說(shuō)如下：