WINDOWS網域管理

黃添修    930909修正(電腦教室管理修正過來)

Windows 2000Active Directory

Windows 2000中,Directory Database採分散式架構(也就是說一個網域中就可以有一個DC或多台DC),儲存了使用者帳戶、群組、印表機.等物件,而Active Directory是Windows 2000網域內負責提供目錄服務的元件,其動作類似舊式的SAM模式,負責管理與驗證存取動作、資料儲存、安全模式及信任資訊,其實換句話來說,Windows 2000乃是採用前端為LDAP存取協定,後端仍是WinNT時代的SAM資料庫。

※在WIN_NT4.0中,一個網域之中必須存有一台PDC, 網域間的信任是單向,且不具遞移性,而網域的帳戶資料儲存於PDC的SAM資料庫中,容量最多40MB。

Windows 2000中,一個Domain至少要有一台DC(當然也可以有多台DC)。

Active Directory的特色如下:

當 一個機構中的電腦分屬於不同的網域時,也就是說一個機構中具有多網域時,此刻就有信任上的問題,根網域(甲)的Domain name為spps.tp.edu.tw,而乙是為甲的子網域,Domain name為sppscc.spps.tp.edu.tw,丙為為甲的子網域,Domain nameclass.spps.tp.edu.tw。三者之間具信任關係。因為Windows 2000網域之間的信任是雙向的並具遞移性,也就是說當甲與互相信任,甲與互相信任,那麼乙和丙也會互相信任。故使用者的帳號是可以開在甲、乙或丙任何一個之中皆可。 

 網域本身就是一個管理單位,所以將一個學校中的網域數量降到愈少愈好,如此管理上就會比較簡單。第一個建立的網域是根網域根網域的建立時必需建立在DNS的基礎之上,因為Active Directory是由DNS來支撐。其餘再建立的網域皆子網域,而形成一個網域樹。二個以上網域樹彼此在根網域上做了彼此的信任後,則形成Forest,原則上一個學校中最多規劃成一個Forest即可。

 Active Directory是以階層式架構將物件、OU等組合在一起,並將其儲存到Active Directory的資料庫中。 容器(OU)就是Active Directory內的一個Container,在OU內可包含著其他的物件,例如User和Computer..等物件,此外一個OU還可以包含著其他的OU。 OU的用途:作管理的用途,在組織User和公司的資源。

Active Directory的架構是DNS,所以在裝AD之前必須先安好了DNS才行(尤其是根網域),而DNS依規定可以不必在AD的機器之上,但是我習慣上會在要裝AD的機器上先裝DNS,並在TCP/IP內容的DNS指定自己為第一部DNS,而在裝好AD以後再移除DNS(不移也可以)。

 

安裝AD方式如下:下列二法中擇一來做

AD目錄服務安裝過程

步驟一、從『開始』功能表打開『執行』,輸入’dcpromo  ’的指令之後按『確定』

    ﹝如下圖﹞。

 

步驟二、出現 Active Directory 安裝精靈的畫面,按『下一步』。

 

步驟三、選擇此台DC在網域中所扮演的角色,若此台是您網域中的第一台DC請點選『新網域的網域控制站』,並按下一步。

 

 

步驟四、若這是您的第一個網域﹝也就是說不是某個現存網域的子網域﹞,請點選『建立新的網域樹狀目錄』,並按下一步。

 

步驟五、若這是您的第一個網域,請點選『建立新的網域樹狀目錄的新數系』,並按下一步。

 

步驟六、輸入您網域的完整DNS名稱,並按下一步。

 

步驟七、輸入新網域的NetBIOS名稱,並按下一步。

 

步驟八、設定將來AD資料庫及紀錄檔存放的位置﹝建議和系統放在不同硬碟上,可以增加效率﹞,並按下一步。

 

步驟九、設定Sysvol資料夾的位置,並按下一步。

 

步驟十、如果您要在本機上安裝了DNS請選擇『是,在這部電腦上安裝並設定DNS』,並按下一步。

 

步驟十一、如果您不是在純Windows2000環境中,請選擇上面的選項,並按下一步。

 

步驟十二、輸入目錄還原模式的密碼,並按下一步。

 

步驟十三、檢查你選取的項目,若無錯誤請按下一步。

 

步驟十四、AD目錄服務正在設定中。

步驟十五、按下『完成』。

 

步驟十六、必須重新啟動電腦。

綜合以上所言,裝AD的要點上有四:

  1. 是新網域中的DC,還是現存網域中另一DC

  2. 是新的網域樹狀目錄嗎?若不是的話,必須先在根網域的DNS先做登錄記載。

  3. 裝AD時,在本機建個DNS_Server會比較好裝起來

  4. 一定要將網域模式選成混合模式,以便和NT、Win98等機器相容。

 

使用者(User Account)的種類

約可以分做兩類使用者帳戶:

第一類為本機使用者帳戶Local  User Account用於WIN2000 Professional、WIN2000 獨立伺服器及用於WINDOWS XP電腦之上,而不能於網路控制伺服器上(DC),所以 其只能利本機使用者帳戶來登入此帳號所在的電腦上,而無法登入到網域中去存取網域上所分享的資源除非是網域中有一帳號和密碼和本機使用者相同

第二類為網域使用者帳戶(Domain User Account為建立在網域控制器伺服器(DC)AD的 資料庫中,而使用者可利用在DC上建立的帳號(Account)來登入網域,並可存取其網域中的任何資源(檔案、印表機......等)當然必須有授權的才能使用。當Domain User Account登入Domain後,其身分由DC中的AD來做認證。在一台DC中建立一個新的Domain User Account之後,這一個網域使用者帳戶會自動地複寫到同一個網域中其他的所有也裝有Active Directory的DC中,所以當一個網域使用者登入網域時, 則此網域中的DC皆可對其帳號(Account)做認證。

                    

 

 

WIN2000大量帳號方法

 

大量建帳號方法有下列三種

1.陽春方法:只有建帳號和密碼

採用 NET USER指令,語法如下:

NET USER [username [password | *] [options]  [/DOMAIN]

                username {password |*} /ADD [options] [/DOMAIN]

                username [/DELETE] [/DOMAIN]

根據上述語法,我們可以建立下列一個account.bat的批次檔,內容如下:

net user hjhon 10001 /add
net user hmary 10002 /add
net user hjack 10003 /add
net user hjackson 10004 /add
net user hellen 10005 /add
net user hsally 10006 /add
net user hmayhi 10007 /add
net user htelmay 10008 /add
net user hjohnson 10009 /add
net user hsala 10010 /add

※此檔可以配合Excel去建連續性帳號的檔案。

其執行結果狀況如下:

其所建的帳號皆會在users之中,其結果如下:

2.複雜方法:

採用複雜方法有二種:

(1)使用微軟所提供兩支程式CreateOU.vbs和CreateUsers.vbs

其測試環境為WINDOWS 2000 SERVER或是加Service Pack4,皆可以測試成功。

使用微軟所提供的兩支程式CreateOU.vbs和CreateUsers.vbs,CreateOU.vbs是用於建組織單位(如石牌國小、教師、實習老師......等);CreateUsers.vbs是用於建使用者(如李小華、張小美......等)。另外建一個使用者的清單,為account的Excel或Access檔案,其欄位請參考CreateUsers.vbs。

(2)使用微軟所提供兩支程式CreateOU.vbs和CreateUsers.vbs加以改寫並加上自己建的account.xls(帳號清單)

其測試環境為WINDOWS 2000 ADVANCE SERVER,加上Service Pack 4,LDAP版本為3.0,是可以測試成功。(※執行CreateUsers.vbs,切記要將account.xls必須開啟著才執行,否則會有錯誤)

實驗例子如下:

電腦名稱:nn00023

網域:test.spps.tp.edu.tw

IP:172.16.8.14

Dns:172.16.8.14

Gateway:172.16.1.253

CreateOU.vbs

程式內容
Dim cla(2)
cla(0)="實習老師"
cla(1)="老師"

wscript.echo"現在開始建立組織單位"

'Determine the LDAP path for your domain
Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)


Set ouLab=Domain.Create("organizationalUnit","OU=石牌國小")
ouLab.Put"Description","石牌國小"
ouLab.SetInfo
For x=0 to 1
currentcla=cla(x)
call CreateOU(currentcla)
Next
'Done
wscript.echo"組織單位建立完畢"


Function CreateOU(claname)
'在石牌國小之下建立子組織單位,如老師
Set TargetOU=GetObject("LDAP://OU=石牌國小,"& DomainPath)
Set newou=TargetOU.Create("organizationalUnit","OU="& claname)
newou.Put"Description",claname
newou.SetInfo
End Function
程式說明
Dim cla(2)
cla(0)="實習老師"
cla(1)="老師

cla為變數視為組織單位之的小集合

cla的值可以為班級如六年一班等......

Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)

上述所言乃在指定LDAP path 是從該機中的網域與機器名去自動捉取如此可以適應各個不同機器的名稱與網域

Set ouLab=Domain.Create("organizationalUnit","OU=石牌國小") 為設定ouLab變數為建立組織單位為石牌國小

ouLab.Put"Description","石牌國小",描述顯示為石牌國小

ouLab.SetInfo,將石牌國小的OU與Description寫入SAM中

以下部分為為建立石牌國小組織內的小單位,如老師、實習老師,即宣告變數名稱。

ouLab.SetInfo
For x=0 to 1
currentcla=cla(x)
call CreateOU(currentcla)
Next
'Done
wscript.echo"組織單位建立完畢"


Function CreateOU(claname)
'在石牌國小之下建立子組織單位,如老師
Set TargetOU=GetObject("LDAP://OU=石牌國小,"& DomainPath)
Set newou=TargetOU.Create("organizationalUnit","OU="& claname)
newou.Put"Description",claname
newou.SetInfo
End Function

 

 

CreateUsers.vbs

程式內容
Set conn=CreateObject("ADODB.Connection")
conn.Open "Driver={Driver do Microsoft Excel(*.xls)};DBQ=c:\account.xls;DriverID=278"
Set rs=CreateObject("ADODB.RecordSet")
SqlStr="SELECT * FROM ""帳號清單$"""
rs.Open SqlStr,conn,3,1

set oAD=GetObject("LDAP://rootDSE")
Set oDomain=GetObject("LDAP://nb00023/OU=老師,OU=石牌國小," & oAD.Get("defaultNamingContext"))

Do Until rs.EOF
struser = rs("帳號")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實姓名")
oUser.Put "userPrincipalName",struser&"@test.spps.tp.edu.tw"
oUser.Put "mail",struser&"@test.spps.tp.edu.tw"
oUser.Put "wwwHomePage", ""&rs("個人首頁")
oUser.Put "streetAddress", ""&rs("地址")
oUser.title = ""&rs("職稱")
oUser.department = ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
oUser.Put "profilePath","\\nb00023\user$\"&struser
oUser.Put "homeDirectory","\\nb00023\data$\"&struser
oUser.Put "homeDrive","T"
oUser.Put "scriptPath","path.bat"
oUser.Put "maxStorage",10240
oUser.SetInfo
oUser.SetPassword ""&struser
Usercount=Usercount+1

userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser

End If
rs.MoveNext
Loop

msgbox"成功建立"&Usercount&"個使用者!"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing
程式說明
Set conn=CreateObject("ADODB.Connection")
conn.Open "Driver={Driver do Microsoft Excel(*.xls)};DBQ=c:\account.xls;DriverID=278"
Set rs=CreateObject("ADODB.RecordSet")

此程式為Visual Basic程式,其利用ADO Data控制項來存取Excel的資料,其所宣告變數,不必去管它,特別注意是檔案名和位置即可(c:\account.xls);再加上驅動程式來源,在此特別強調驅動程式來源一定要依下法去捉取對照一下是否相同。

Driver的捉取方法:設定→控制台→系統管理工具→資料來源(ODBC)→檔案資料來源→新增→選擇Driver do Microsoft Excel(*.xls)→進階→複製下列之值放入Driver位置

SqlStr="SELECT * FROM ""帳號清單$"""

乃指Account.xls工作表,將工作表命名為帳號清單

set oAD=GetObject("LDAP://rootDSE")
Set oDomain=GetObject("LDAP://nb00023/OU=老師,OU=石牌國小," & oAD.Get("defaultNamingContext"))

此段強調AD由本機上LDAP目錄去做存取動作,設定網域由本機(nb00023)的AD捉到預設值(亦即OU=老師,OU=石牌國小,DC=test,DC=spps,DC=tp,DC=edu,DC=tw)

Do Until rs.EOF
struser = rs("帳號")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實姓名")
oUser.Put "userPrincipalName",struser&"@test.spps.tp.edu.tw"
oUser.Put "mail",struser&"@test.spps.tp.edu.tw"
oUser.Put "wwwHomePage", ""&rs("個人首頁")
oUser.Put "streetAddress", ""&rs("地址")
oUser.title = ""&rs("職稱")
oUser.department =  ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
oUser.Put "profilePath","\\nb00023\user$\"&struser
oUser.Put "homeDirectory","\\nb00023\data$\"&struser
oUser.Put "homeDrive","T"
oUser.Put "scriptPath","path.bat"
oUser.Put "maxStorage",10240
oUser.SetInfo
oUser.SetPassword ""&struser
Usercount=Usercount+1

userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser

End If
rs.MoveNext
Loop

下列所言為宣告變數,struser是帳號,當帳號未讀完之前做下列動作,""&目的為將後值加一空字串,為將後面之值變成文字之意,切記字串中英文大小寫必須依下列所寫,不可以加以更改。

oUser.Put "samAccountName", ""&struser                                   (放入帳號中值)
oUser.Put "displayName", ""&rs("真實姓名")                             (放入真實姓名值)
oUser.Put "userPrincipalName",struser&"@test.spps.tp.edu.tw"   (放入帳號中值)
oUser.Put "mail",struser&"@test.spps.tp.edu.tw"                          (放入電子郵件值,@test.spps.tp.edu.tw可改成各校之值或刪除)
oUser.Put "wwwHomePage", ""&rs("個人首頁")                        (放入個人網頁值)
oUser.Put "streetAddress", ""&rs("地址")                                    (放入個人地址值)
oUser.title = ""&rs("職稱")                                                          (放入個人職稱)
oUser.department =  ""&rs("部門")                                             (放入個人部門值)
oUser.Put "TelephoneNumber", ""&rs("電話")                           (放入個人電話值)
oUser.Put "pwdLastSet",-1                                                          (放入個人密碼永久有效)
oUser.Put "userAccountControl",1                                              (放入個人帳戶永久有效)
oUser.Put "profilePath","\\nb00023\user$\"&struser                    (設定個人巡視設定檔位置)
oUser.Put "homeDirectory","\\nb00023\data$\"&struser             (設定個人共用資料夾位置)
oUser.Put "homeDrive","T"                                                         (設定個人共用資料夾在T碟)
oUser.Put "scriptPath","path.bat"                                                 (登入指令檔為path.bat)
oUser.Put "maxStorage",10240                                                   (設定個人磁碟配額為10240)
oUser.SetInfo                                                                               將上述值真正寫入AD中
oUser.SetPassword ""&struser                                                     (更改個人密碼=帳號值,因前面動作時為放入密碼,此句一定要在oUser.SetInfo之後才可以,否則會執行有誤)
Usercount=Usercount+1                                                              (讀下一位使用者資料)

 

下列主要宣告個人巡視設定檔在("C:\user\帳號)位置,個人共用資料夾在("C:\data\帳號)位置,並且一直執行建帳號的動作,直到建完後回報建了幾個使用者。

userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser

End If
rs.MoveNext
Loop

msgbox"成功建立"&Usercount&"個使用者!"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing

 

 

Account.xls內容如下:


修改檔案的存取控制清單 (CACLS)
語法如下:
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 變更指定檔案的 ACL 於
現有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代。
/C 拒絕存取的錯誤繼續發生。
/G user:perm 授與指定的使用者存取權限。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權限 (只有當 /E 存在時才有效)。
/P user:perm 取代已指定的使用者存取權限。
Perm 的值可以是: N 沒有權限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬用字元一次指定數個檔案。
您可以在命令中指定數個使用者。
縮寫:
CI - 容器繼承。
ACE 將被目錄繼承。
OI - 物件繼承。
ACE 將被檔案繼承。
IO - 僅供繼承。
ACE 不可套用到目前的檔案/目錄。
 

實際做法如下:(作成一個Batch檔來執行),摘要做法如下

cd\data  (開啟data資料夾)
md 00004 (建立00004的資料夾)
cacls c:\data\00004 /t /e /g administrator:f 00004:f /r everyone

(變更修改c碟的data中的00004資料夾的權限而非取代,並授予administrator和00004有完全控制的權限,而撤銷everyone的使用者存取權限)

磁碟配額管理

在伺服器上的磁碟空間是有限的,尤其是當我們將伺服器上的硬碟提供給老師或其他使用者儲放資料時,硬碟的空間監管是件十分重要的事情, 無論是硬碟的儲放空間所剩多少或進出伺服器的安全監管皆是十分重要;因為 硬碟的儲放空間剩的太少會造成許多的問題(諸如:服務會被停用、虛擬記憶體太低IO太頻繁...等),為提供使用使使用 伺服器的硬碟空間安全監管更加重要,以免為駭客或病毒入侵,大肆破壞了伺服器,造成無法挽救的遺憾。因此監視伺服器的硬碟中個別目錄的成長狀況是件十分重要之事,畢竟了解到硬碟空間成長的狀況,可以在發生意外狀況之前,防範於未然。

若是要提供老師或其他使用者儲放資料在伺服器上時,Windows 2000的磁碟配額是一件必要的實用安全的優質管理,不過Windows 2000的磁碟配額管理只能用NTFS的磁碟檔案系統,其並不支援 FAT32 和 FAT 磁碟檔案系統; 磁碟配額最棒之處是能限制使用者可以儲放資料的使用硬碟空間,限制其修改或複製檔案的能力範圍,降低使用者大量使用磁碟,造成系統遭到破壞的機率,且系統管理人員可依實況有效調節使用者使用磁碟的空間,不致於浪費且可以將資源有效的整合。

磁碟配額使用方法如下:

第一步將提供老師或使用者使用的硬碟(最好是外掛一個硬碟,即使是IDE硬碟也沒關係),按滑鼠右鍵點選內容

第二步在配額的選項勾選啟用配額管理和拒絕將磁碟空間給超過配額限制的使用者。並限制每個使用者的使用硬碟空間為多少,並於將超過使用磁碟空間範圍時提出警告。(每個人磁碟空間限制先設少一點空間可使用,再慢慢放寬多一點空間;本校磁碟空間使用預估法為:硬碟空間/(學校老師數/2))

第三步在第二步時點選配額項目時就可以發現每個老師或使用者使用硬碟的空間狀況為何?

第四步若有使用者因公務或教學需求上的需要更多更大的硬碟空間時,則點選單一使用者來放寬其硬碟的空間限制。

 

權限管理

一、群組觀念

對於使用者的權限管理設定,我們通常會將使用者先歸類為群組後,在將其做權限控管。

  Windows 2000的網域可分為兩大類型

混合模式(Mix Mode) :混合模式指網域中包含Win2000、WinNT...等機器

原始模式(Native Mode):原始模式指網域中只有Win2000機器(Win2000_SERVER和Win2000_Professional)

Windows 2000的群組

新增群組的方法,在單位組織上按右鍵→新增→群組

 

由上表來看群組領域分為三類

群組類型

二、權限指派

委派控制

選擇一個組織單位,按滑鼠右鍵,並選擇出現的快顯功能表上的委派控制。

 

新增使用者或群組以做控管權限

基本的資料夾權限管理

1.點資料夾按右鍵,先將資料夾→共用(共用此資料夾,給予共用名稱)→使用者人數限制(允許最大數或限制為多少人數)→給予權限(完全控制、變更、讀取)→授予群組或使用者。

若要比較詳細的權限則由安全性中去設定,進階中可以就更加詳細去設定。

NTFS基本安全權限包括

  1.完全控制

  2.修改

  3.讀取與執行

  4.清單資料夾內容

  5.讀取

  6.寫入

 

NTFS進階權限設定有

  1.周遊資料夾 / 執行檔案

  2.列出資料夾 / 讀取檔案

  3.讀取屬性

  4.讀取擴充屬性

  5.建立檔案 / 寫入資料

  6.建立資料夾 / 附加資料

  7.寫入屬性

  8.寫入擴充屬性

  9.刪除子資料夾 / 檔案

10.刪除

11.讀取使用權

12.變更使用權

13.取得使用權

 

 

windows 2000 的無法開機時的修復

做一個網管人員最怕的是自己所管理的SERVER當掉,或者是無法開機;而自己的資料又沒有備份的話。此時此刻真是要呼天搶地,企求奇蹟了。 因此,我們必須於平時做好下列工作,以防意外狀況的發生:

  1. 建立緊急修復磁片,以利快速復原系統的修復。

  2. 安裝修復主控台,以利解決系統問題,無須重新安裝系統。

  3. 備份DHCP資料庫,以利快速重建DHCP伺服器。

  4. 建立鏡像磁碟、減少資料的遺失,以利快速回復系統資料。

  5. 以GHOST備份整個作業系統,以能快數於數分鐘內還原整個完整的系統。

一般而言,修復WINDOWS 2000的方法有兩種:

一、是緊急修復 WINDOWS 2000 安裝

此法,我們必須具備需要WINDOWS 2000 系統開機磁片則可以使用下列方法自行去產生;可以在WINDOWS 2000安裝光碟中[BOOTDISK]資料夾中,執行[MAKEBT32]程式,再依序放入產生4張空白磁片於A碟中,便能快速依序建好開機片。

另外,建立緊急修復磁片也是件刻不容緩之事,執行[開始→程式集→附屬應用程式→系統工具→備份]功能,來執行備份程式;在此我們可以快速建立緊急修復磁片。

 

假如在建立緊急修復磁片時,勾選了[同時也將登錄檔案備份到修復目錄....],則在建立緊急修復磁片時,也會將目前登錄在C:\WINNT\repair\RegBACK資料夾內的檔案在建立一份備份到磁片中。

若勾選了[同時也將登錄檔案備份到修復目錄...]核取項,則在建立緊急修復磁片時,會將目前的登錄在  C:\WINNT\repair\RegBack 資料夾內再建立一個備份。換言之,緊急修復磁片內的檔案,就在 C:\WINNT\repair 資料夾之中。

WINDOWS 2000 的系統緊急修復磁片中,儲存了系統檔案與設定資訊。為確保建立的系統緊急修復磁片可以有效修復毀損的系統,必須時時保持系統緊急修復磁片的最新,故一旦系統設定做了重大的變更時,必須立即建立新的系統緊急修復磁片。

緊急修復 WINDOWS 2000 ,一般有所謂手動修復或快速修復,二者的差異僅在手動修復上,一切的恢復設定(系統檔案、磁碟分割開機磁區或啟動環境)皆由系統管理員自行決定,而快速修復則由電腦自動執行而已;操作方法概略如下:啟動電腦→在歡迎使用安裝程式時,按 R 選修復 WINDOWS 2000 → 在此選 M (手動修復) 或 F (快速修復) → 放入緊急修復磁片,按ENTER(按L去找安裝光碟或 WINDOWS 2000 的位置,通常是無效的)。

二、是使用修復控制台修復WINDOWS 2000

一般而言,硬碟無法開機是因為開機磁區資料遺失或毀損,windows 2000 在此方面是有辦法的---也就是「修復主控台工具」。其修復的動作程序如下:

  1. 以windows 2000的光碟片開機[記得BIOS要修改成光碟機優先開機],在螢幕出現歡迎安裝的畫面時,按下鍵盤的[R]鍵進入修復主控台來修復windows 2000,記得可不要按ENTER去重新安裝windows 2000哦!
  2. 當進入修復主控台,在畫面上會出現哪一個要登入去修復的windows,由於我們是拿來做SERVER,所以只有一個windows系統來做修復選擇。
  3. 由於只有一個windows系統來做修復選擇,所以我們按1來做選擇,再按一下[Enter]鍵;但若不欲修復windows 2000,則再按一次[Enter]鍵就可以取消修復;若修復完畢後則鍵入EXIT,結束修復主控台重新啟動電腦。
  4. 當按1選擇唯一的windows,並按一下[Enter]鍵執行後,畫面會出現administrator [系統管理員的帳號],請輸入本機administrator的密碼[此用意在於防範系統的安全不致於被其他使用者任意竄改或破壞系統],在出現C:\WINDOWS>後,可以鍵入HELP以觀看有哪些可以使用的指令。
  5. 首先觀察電腦系統中,所有磁碟的狀態,故鍵入map指令,以觀察磁碟的狀態。
  6. 選擇所要修復磁碟,輸入chkdsk 磁碟機代號: /r [例如 chkdsk c: /r],再按[Enter]鍵執行,通常C碟一定要做修復[因為不能啟動WINDOS 2000]來開機。
  7. 當磁碟完成檢查之後,我們將進行開機磁區的修復,我們鍵入fixboot c: [假設開機碟為C],來修正已受損的開機磁區,並複寫入系統開機磁碟分割的預設值。
  8. 當修復完開機磁區,我們將繼續進行系統磁碟分割的主開機記錄區[MBR]修整;我們輸入 fixmbr c: 當開機紀錄區遭到病毒損毀,無法啟動作業系統的情況下使用,畫面會出現修復的警告標示,按Y繼續進行。
  9. 當修復完畢之後,我們只要鍵入EXIT就可以重新啟動電腦,檢視我們修復的成果。[若修復完畢可以進入WINDOWS 2000則表OK,反之失敗那就慘了!]

    **將修復主控台安裝置開機選單中,將可以不必透過光碟機開機來修復,

  1. 在執行視窗中鍵入  D:\i386\winnt32.exe /cmdcons  ,再按[確定]來執行。
  2. 接著會告知需要7MB磁碟空間安裝,按下是開始安裝,在安裝時會先連線到微軟的伺服器進行檢查有無新的版本可以下載,然後開始安裝。
  3. 當安裝完畢下一次重新開機後,就有修復主控台可以使用[再開機時按F8→選擇偵錯模式→WINDOWS 2000 修復主控台]。

加強學校系統安全管理的日常工作

當架設好WINDOWS 2000後,應於日常做下列安全的檢查工作:

  1. 確認在 WINDOW 2000 SERVER 下的硬碟皆是使用NTFS檔案系統。
  2. 確認系統管理的帳戶使用嚴謹且複雜的密碼,並於一段時間內不斷變更密碼以維安全。
  3. 停用不必要的系統服務功能,減少系統資源的浪費與降低漏洞的發生機會。
  4. 對於離職退休或不需使用的帳戶加以停用或刪除。
  5. GUEST的帳戶做好確實的管理,給予停用或變更其帳戶名稱。
  6. 為檔案或資料夾加密與維護,並給予適當的安全權限管理。
  7. 時時做好資料、系統相關安全資訊與登錄資料的備份於他處。
  8. 時時檢查系統中的帳戶的權限是否正常為USER層級,而非被駭客改為Administrator層級。
  9. 嚴謹規劃設定各群組人員與其權限,尤其是Administrator的帳戶群組人員更要嚴加控管。
  10. 加強宣導使用者對自己帳戶與密碼的管理,避免其成為駭客入侵的跳板。
  11. 移除所有非必要的資源分享。
  12. 安裝伺服器防毒軟體,降低病毒與駭客的入侵;並時時保持病毒碼的時時更新。
  13. 裝上做新的Service Pack 和 Hot Fix。
  14. 有空時看看事件檢視器中日誌檔,掌握系統狀況。
  15. 掌握磁碟空間的變化,並注意硬碟空間是否足夠或有不正常的檔案目錄成長。

Poledit系統原則編輯與Win2000群組原則

1.Poledit程式位置乃在於win98光碟中的資料夾中(tools→reskit→netadmin→poledit)。

2.將poledit資料夾複製在win98機器中,去執行poledit.exe程式,設定系統原則。

依微軟的指示,poledit系統原則編輯的做法如下

建立新的原則檔
1 按「檔案」功能表的「開新檔案」。
2 poledit.exe程式執行時開啟時,開啟admin.adm範本→開始登錄,系統原則可以做本機電腦與本機使用者的限制使用

本機使用者的限制

本機電腦的限制

3 要設定使用者、群組或電腦的原則時,請按要設定原則的圖示,再選「編輯」功能表的「內容」。按兩下書籍圖示,查看可以使用的設定值。
如果選一個原則,系統就會套用這個原則。例如,選「檔案分享控制無效」,則使用者就無法在網路上分享資料夾。

設定從 Windows NT或Windows 2000機器自動下載

1 按「檔案」功能表中的「開啟登錄」。

2 按兩下「本機電腦」。
3 按「網路」旁邊的加號。
4 按 Microsoft Client For Windows Networks 。
旁邊的加號,再按「登入 Windows NT」。
5 輸入 Windows NT 網域名稱。
6 在主要的網域控制器上建立一個叫做 Netlogon 資料夾,然後再分享它。(Win2000在Winet→Sysvol→Sysvol→網域名稱→Scripts資料夾中。
7 將原則檔儲存在這個資料夾中。請確認原則檔的檔名為config .pol。

 

Win2000群組原則(GPO)

 

win2000群組原則是WinNT、win2000或WinXP使用者工作環境的管理工具之一,提供比使用者設定檔有更完整的控制與管理,減低網路管理的負擔與成本;不過可惜的是win2000群組原則對於Win98或WinMe的機器是沒有用。

說明

Win2000群組原則包含對電腦機器或使用者2部分:

群組原則可以對站台 (Site)網域 (domain)組織單位OUOrganization Unit)等物件設定群組原則,而資料存放在Active Directory%systemroot%\SYSVOL\sysvol\”DomainName”\Policies)中。

 

可以針對每台電腦作local group policy,該原則設定會apply至本台電腦及local users,而資料存放於〈%systemroot%\system32\GroupPolicy〉的資料夾內。

 

在預設情況下,下層的GPO會覆蓋上層的GPO,其套用順序為本機GPO(即本機安全性原則)→SiteDomainOU,同個物件若有多個GPO而相衝突時,以排列在前面者優先。

 

一般情況下,子層會繼承父層的已設定原則(尚未設定原則不繼承),另外有特殊情況:

組原則建立方法:

【開始】/【程式集】/【系統管理工具】/【Active Directory使用者與電腦】/【網域名稱(右鍵)】/【內容】/【群組原則】/新增一個群組原則或編輯Default Domain Policy的內容,但是群組原則只對  WinNT、WIN2000 或 WINDOWS XP 的機器才有用。

 

在管理 Client 端的電腦,對於 WINDOWS 2000 網域的 Client 端來說,不外是WINDOWS 98/ME 或 WINDOWS 2000 pro / WINDOWS XP,Client 端是WINDOWS 98/ME的機器,因為群組原則對其是無效的,所以必須使用poledit去設定系統原則或使用REGEDIT去設定其登錄檔,而 Client 端為WINDOWS 2000 pro / WINDOWS XP的機器,則有二法去處理,一是不加入WINDOWS 2000網域來做,此時WINDOWS 2000 pro / WINDOWS XP的機器採用WINDOWS 98/ME的作法為其使用REGEDIT去設定其登錄檔在配合排程工作來處理,另一種則是標準WINDOWS 2000 網域的處理方法,就是設群組原則來管理Client 端的用戶使用者。茲將常用群組原則舉例一、二如下:

 

對於本機電腦

(1)帳戶原則

    電腦設定→WINDOWS設定→安全設定→帳戶原則→密碼原則

  1. 設定密碼最大存留期  (也就是密碼最長的有效天數為幾天)。

  2. 設定密碼最小存留期  (也就是密碼最短的有效天數為幾天)。

  3. 設定密碼最小長度  (即規定密碼長度最短為幾位數);但須搭配第一次密碼長度就合乎最短為幾位數且配合下次登入時必須更改密碼選項要選。

  4. 密碼必須符合複雜性需求  (也就密碼要合乎特殊字元、代號、數字,如此可避免形同虛設的帳號,如:0123456789此類的連續性密碼)。

  5. 強制執行密碼歷程記錄 (即設定取消保留密碼的記錄,當其數值設為0時,可以不儲存任何的登入密碼於電腦內,對於公用電腦的使用安全性高許多)。

    電腦設定→WINDOWS設定→安全設定→帳戶原則→帳戶鎖定原則

  1. 帳號鎖定閥值設定 (用於限定可以輸入錯誤密碼的最大次數,當超過時該帳號將自動鎖定,一般值設3-5次)。

  2. 帳戶鎖定時間 (依據電腦具體使用環境的狀況去設要鎖定時間的長短)。

(2)安全性選項

    電腦設定→WINDOWS設定→安全性設定→本機原則→安全性選項

  1. 將來賓帳戶名稱重新命名成  (就是將預設的guest帳號改成其他帳號如user以防止駭客入侵)。

對於本機使用者

(1)桌面

使用者設定→系統管理範本→桌面

  1. 隱藏桌面上的所有圖示  (可以使桌面上變得沒有任何圖示,顯得十分清爽乾淨)。

  2. 不要將最近開啟的文件共用新增到 [網路上的芳鄰]  (讓系統不會自動建立遠端共用資料夾的捷徑,令桌面保持簡潔)。

  3. 不允許新增、拖放或關閉工作列上的工具列  (取消用戶修改工作列上工具列的權限)。

(2)控制台

使用者設定→系統管理範本→控制台→新增/移除程式

  1. 隱藏 [新增/移除程式]  (將新增/移除程式選項做隱藏,以免使用者自行移除程式)。

使用者設定→系統管理範本→控制台→顯示

  1. 停用 [控制台] 中的 [顯示]  ( 將控制台中的 [顯示]做隱藏,以免使用者自行對 [顯示]調整功能的使用)。

  2. 停用變更底色圖案  ( 限制使用者透過WINDOWS內建調整功能,變更底色圖案,以保持桌面的一致化;同時也限制了 Internet Explorer 圖片內容按右鍵,設為背景的選項使用,但可惜的是無法限制使用者透過其他軟體來變更桌面的選項,比如是ACDSEE...等)。

  3. 沒有螢幕保護裝置  (限制螢幕保裝置的使用,避免設定的螢幕裝置阻斷向使用者的電腦傳送資訊的動作)。

 

Login Script 與 client 自動組態設定

Login Script

Login Script一般我們稱為使用者登錄檔,使用記事本建立好自動批次檔後,放入NETLOGON中,然後在AD中使用者設定檔的位置,給予檔名(如:path.bat),以便使用者登入時執行之。

@echo off
route add 192.57.2.0 mask 255.255.255.0 192.57.1.10 metric 2
if %OS%==Windows_NT goto nt
goto 95


:nt
net use j: \\sql\jsmis /PERSISTENT:NO
net use s: \\file\安裝用程式 /PERSISTENT:NO
net use t: \\file\filedata$\%username% /PERSISTENT:NO
net use x: \\file\辦法規章 /PERSISTENT:NO
net use y: \\file\教學檔案上傳 /PERSISTENT:NO
rem call IsRoam.bat
rem regedit %logonserver%\netlogon\ie5.reg
echo off

rem *****************************************************************
rem For UPDATE client system 
rem identify file 910325.txt 
rem need JsUpdate$ share name & jsUpdate share directory on Server
rem *****************************************************************

if exist c:\jstemp\910325.txt goto end 

ECHO UPDATE JSMIS SYSTEM NOW (910325) ! PLEASE WAIT...(校務行政2.1版sp4)

rem pause
attrib -r D:\WINNT\SYSTEM32\JSTPTN.DLL
rem COPY J:\JS\*.* D:\WINNT\SYSTEM32\
rem REGSVR32 /s/u D:\WINNT\SYSTEM32\JSTPTN.DLL
COPY \\sql\jsmis\JSDLL\JSTPTN.dll D:\WINNT\SYSTEM32\JSTPTN.DLL
REGSVR32 /s D:\WINNT\SYSTEM32\JSTPTN.DLL
REGSVR32 /s/u D:\WINNT\SYSTEM32\MSACAL70.OCX
COPY \\sql\jsmis\JSDLL\MSCAL.OCX D:\WINNT\SYSTEM32\MSCAL.OCX
REGSVR32 /s D:\WINNT\SYSTEM32\MSCAL.OCX

rem pause
COPY \\sql\JSTEMP\*.* C:\JSTEMP
COPY \\sql\JsUpdate\910325.txt C:\JSTEMP
COPY C:\jstemp\910325.txt \\sql\JsUpdate\910325.%computername%
ATTRIB -R C:\JSTEMP\*.*
rem call eudcreg.bat
goto end

:95
net use j: \\sql\jsmis 
net use s: \\file\安裝用程式
net use /s t: \\file\filedata$
net use x: \\file\辦法規章 
net use y: \\file\教學檔案上傳 
regedit j:\ie5.reg
config.pol
echo off

rem *****************************************************************
rem For UPDATE client system 
rem identify file 910325.txt 
rem need JsUpdate$ share name & jsUpdate share directory on Server
rem *****************************************************************

if exist c:\jstemp\910325.txt goto end 

ECHO UPDATE JSMIS SYSTEM NOW (910325) ! PLEASE WAIT...(校務行政2.1版sp4)


rem pause
attrib -r c:\WINdows\SYSTEM\JSTPTN.DLL
rem COPY J:\JS\*.* c:\windows\SYSTEM\
rem c:\windows\system\REGSVR32 /s/u c:\windows\system\JSTPTN.DLL
COPY \\sql\jsmis\JSDLL\JSTPTN.dll c:\windows\system\JSTPTN.DLL
c:\windows\system\REGSVR32 /s c:\windows\system\JSTPTN.DLL
c:\windows\system\REGSVR32 /s/u c:\windows\system\MSACAL70.OCX
COPY \\sql\jsmis\JSDLL\MSCAL.OCX c:\windows\system\MSCAL.OCX
c:\windows\system\REGSVR32 /s c:\windows\system\MSCAL.OCX
COPY \\sql\jsmis\JSTEMP\*.* C:\JSTEMP
COPY \\sql\JsUpdate\910325.txt C:\JSTEMP
COPY C:\jstemp\910325.txt \\sql\JsUpdate\910325.%computername%
ATTRIB -R C:\JSTEMP\*.*

:end
echo on

 client 自動組態設定

windows的機碼有六大類:

  1. HKEY_CLASSES_ROOT:記載許多副檔名的定義,也就各種檔案的類型。分別定義各種副檔名所開啟的應用程式。
  2. HKEY_CURRENT_USER:由HKEY_USERS延伸而來,其記載目前登入使用者的資料狀態,為一種個人化作業環境設定資料
  3. HKEY_LOCAL_MACHINE:電腦中各種硬體設定資料,包括印表機、光碟機、BIOS....等資料。
  4. HKEY_USERS:用於記載不同使用者的資料。若設定只有一個使用者時,HKEY_CURRENT_USER的記錄則與HKEY_USERS內的.DEFAULT相同,否則在HKEY_USERS下就會有不同使用者名稱的機碼。
  5. HKEY_LOCAL_CONFIG:記載目前使用硬體的設定檔。
  6. HKEY_DYN_DATA:此為存在記憶體中的動態資料,用於監視電腦效能,一開機時由Windows建立此機碼資料,一關機後機碼資料就消失,故無法新增機碼,此部份只有Win98/Me才有。

系統登錄檔的使用

1.系統登錄檔的檢查員:scanregw.exe  (win98下執行)

2.系統登錄檔的備份與還原:scanreg /backup  和   scanreg /restore     (dos下執行)

3.系統登錄檔的修復:scanreg /fix 

3.工作站自動設定IE組態(以proxy和cache大小為例)

下面是一個reg檔的範例,用於限制網頁首頁、proxy server、桌面...等項目,適用於WINXP和WIN98 的 Client 端使用。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.spps.tp.edu.tw/"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxy.moe.edu.tw:3128"
"ProxyOverride"="172.16.*.*;*.spps.tp.edu.tw;<local>"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content]
"CacheLimit"=dword:00005000

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\rule.bmp"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=dword:00000001

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
 

製作硬碟 Source(適應多種硬體介面)

先在一台機器安裝好所有軟體,利用ghost回寫至Server成一個*.gho檔,在派至它台機器之上,讓其去適合硬體介面,在利用ghost回寫至Server成一個*.gho檔,如此多次之後,此硬碟Source便可以適應多種硬體介面 ,但此法僅適用於 WIN98 或 WINME 的作業系統。

桌面、程式集與工作列復原排程 (用於Win98學生機上)

1.建立一個BAT檔(比如route.bat)

@echo off
rem *****************************************************************
rem 刪除本機上的桌面所有的捷徑與程式檔案
rem 複製windows資料夾中的桌面、工作列、程式集到Desktop、Start Menu、Quick linch中
rem 刪除以上網設在桌面上的背景圖片
rem *****************************************************************


rem route add 192.57.2.0 mask 255.255.255.0 192.57.1.10
rem @deltree /Y c:\windows\startm~1
rem @mkdir "c:\windows\Start Menu"
@xcopy c:\windows\程式集 c:\windows\startm~1 /Y /E
@deltree /Y c:\windows\desktop
@mkdir c:\windows\desktop
@copy c:\windows\桌面\*.* c:\windows\desktop\*.* /Y
@del /Y c:\windows\applic~1\micros~1\intern~1\quickl~1\*.*
@copy c:\windows\工作列 c:\windows\applic~1\micros~1\intern~1\quickl~1\*.*
@del c:\windows\applic~1\micros~1\intern~1\intern~1.bmp
@echo off

 

2.在windows資料夾中建立程式集、工作列和桌面三個子資料夾,並將正確的程式集和桌面為何放入其中。

3.將route.bat放入排程工作中,以便一登入Windows時就做此一工作。

做法如下:

我的電腦→Scheduled Tasks→新增排程工作→下一步→瀏覽→c:\windows\route.bat→開啟舊檔→給一排程名稱(或採預設值也可以)→在你的電腦啟動時執行→下一步→完成

4.老師機不做排程,否則桌面上的資料被清掉就慘了。

 

 

參考資料