适用环境:适用于办公室、网吧、图书馆等多人共用一台电脑的局域网环境。 解决问题:Windows系统的功能限制、磁盘管理、数据安全保护等功能集于一身,可使网管避免采用多种方案配合应用,来解决公用电脑的功能限制、数据保护等问题,能减轻网管的工作量。 对公用电脑的管理是网管工作中的难点,由于使用它的用户较多,它要完成的任务也各式各样,因此对公用电脑的日常管理和维护,要比普通电脑的管理难度大得多,所以需要一套行之有效的解决方案。现在,就让我们来看看同样遇到这个问题的网管小胖是如何解决这个问题的。 在小胖管理的局域网中,有几个部门的电脑是多人共享使用,这给小胖的日常管理带来了困难。由于用户的技术水平参差不齐,不同用户使用不同的访问账号,拥有不同的访问权限。经常有好耍小聪明的员工恶意修改注册表,安装与工作无关的软件程序,搞得公用电脑常出问题,引得怨声一片。 小胖决定尝试一下微软推出的管理工具“Microsoft Shared Computer Toolkit”(简称MSCT),用它统领网络。 下载地址: http://www.microsoft.com/downloads/details.aspx?familyid=7256D456-E3DA-42EA-857D-92B716077A84&displaylang=en 。 常见难题如何解决 1.公用电脑中供员工使用的用户账号很多,甚至是每人都分配一个账号,给管理带来了不小的麻烦。 2.常有员工将与工作无关的软件安装到公用电脑中,造成系统出现问题,逐一进行解决很麻烦。 3.由于使用公用电脑的员工较多,而且安全设置方面存在隐患,因此常会出现用户账号被盗用、文件被修改的情况。 不一般的管理工具 小胖自行设计了一套管理方案,但实现起来较为繁琐,需要很多系统功能和辅助软件相配合才能实现,如修改注册表隐藏Windows系统中的某些功能,利用还原工具保护系统分区,使用NTFS文件系统限制用户的访问权限等。 然而,每种方法只能解决一部分问题,要想真正实现全方位的管理,往往需要把这些方法综合在一起应用。可是这样就会导致管理工作非常繁琐,更为可怕的是,如果其中有一种方法被破解,其他方法有可能都失效。 而MSCT则不同,它将许多实用的限制方法都集于一身,而且环环紧扣,用户想要从某一点突破限制,基本上是不可能的。MSCT从用户访问权限、账号配置文件、安全设置等方面对公用电脑进行保护,更为重要的是它还提供了“Windows磁盘保护”功能,能够对系统分区进行全方位的呵护,一旦重新启动系统,它就能自动进行恢复,确保公用电脑的安全。 不可忽视的准备工作 在成功安装MSCT后,小胖发现MSCT还不能使用,看来他的准备工作还没做好。 1.SP2补丁包不可少 MSCT工具只能运行于“Windows XP+SP2”操作系统,如果公用电脑的Windows XP系统还没安装SP2补丁包,则无法安装和运行MSCT。 2.UPHClean组件也要装 UPHClean的全称是“Microsoft User Profile Hive Cleanup Service”,它是微软发布的一款用于加快关机速度的程序,而MSCT工具恰好需要它的支持。MSCT的安装向导会帮助用户下载并安装该组件。 3.划出未指定磁盘空间 虽然MSCT工具提供了“Windows磁盘保护”功能,能够进行文件的自动恢复,但小胖在使用该功能前,必须为它分配一个未指定的磁盘空间,这个磁盘空间的大小至少要为系统盘(如C盘)容量的10%(可用分区工具进行划分)。 MSCT的功能应用 MSCT在公用电脑中的应用其实也很简单,主要是两个部分的应用:一是设置用户使用权限,这是通过合理设置用户配置文件实现的;二是增强公用电脑的安全性,这主要通过限制某些系统功能的使用,以及应用磁盘保护功能来实现的。 1.不能各自为政,规范用户权限 小李是办公室中的追星一族,常把桌面墙纸换成“养眼”的图片,IE首页也改为某明星的官方网站,好几次被领导发现,但他仍是屡教不改,搞得小胖常给他收拾烂摊子。要想改变小李的坏习惯,看来必须实施“铁腕政策”才行,得限制他的使用权限。 要想有效地限制小李的使用权限,就必须合理修改和配置他的用户账号。只要小胖利用好MSCT的配置向导,合理设置用户账号权限,就可以做好公用电脑的基础管理工作。 对比传统:以前要限制小李的使用权限是很麻烦的,首先要使用NTFS文件系统的ACL功能控制他的文件访问权限,然后还需要逐一修改注册表中的某些项目来禁止他更换墙纸或修改IE首页,操作比较麻烦,而且效果也不太理想。而采用MSCT后则不同了,一切操作都在向导对话框中进行,非常简单。 点击“开始→程序→Microsoft Shared Computer Toolkit→Getting Started”,弹出MSCT配置向导对话框。通过这个“向导”,进行简单的设置,就可完成对公用电脑的限制操作。在“Step 1”框中会显示“The disk is properly prepared and Windows Disk Protection is Off”信息,说明MSCT所要的磁盘空间已经准备好,只是“Windows磁盘保护”功能还未启用。 在Step 1中通过验证后,小胖就会进行下文所介绍的几步操作。 ①安全设置 首先小胖利用MSCT对电脑的安全性进行设置,这样可以有效地防止他人恶意盗窃用户账号,并防止公用电脑中的重要信息外泄。 在MSCT配置向导的Step 2框体中,已经列出了用户需要的大部分安全设置项目,小胖只要根据用户的需要选择即可,如防止在“Ctrl+Alt+Delete”登录对话框中保存账户名称、防止Windows在用户配置文件中存放Passport或域凭据等。可根据需要进行选择,以此增强公用电脑的安全性。 ②创建公用账号 每个员工都使用自己的用户账号登录公用电脑,这对小胖的管理是非常不利的,因为账号过多会增加管理的难度,也容易出现安全漏洞和隐患。可以给所有的员工创建一个公用账号,并限制这个账号的使用权限,这样可使管理工作更简单。 现在小胖就要为员工们创建一个统一使用的公用账号,点击Step 3框体中的“Open User Aclearcase/" target="_blank" >ccounts”链接,就会弹出“用户账号”管理器窗口。公用账号的创建非常简单,点击“创建一个新账号”链接,接着按照向导的提示进行操作即可。为了安全起见,这里要注意的是公用账号要选择为“受限”类型。 ③设置配置文件 让员工使用公用账号访问公用电脑还是不够的,还必须限制他们的使用权限才行。 小胖通过设置公用账号配置文件就能方便地实现以上目的。在“Step 4.Configure the Public User Profile”框体中,小胖开始为公用账号设置配置文件。 首先点击下方的“Log Off Now”链接,注销当前使用的用户账号,然后使用刚才创建的公用账号登录系统。 以公用账号身份登录系统后,根据安全需要来设置公用账户的配置文件。如不允许用户编辑注册表、禁止用户对某些重要的文件夹有写入权限等。完成以上设置后,就可以注销公用账号,再次使用以前的用户账号登录系统。 ④增强配置安全 只设置公用账号配置文件就一定安全吗?还是有一定的安全隐患,有些别有用心的用户,可以利用各种诡异的方法进行修改,因此小胖还需要进一步加强配置文件的安全,如锁定用户配置文件、隐藏某些磁盘分区等。 在MSCT配置向导的“Step 5.Restrict and Lock the Public User Profile”框体中点击“Open Windows Restrictions”链接,弹出公用账号限制对话框(图1),指定员工使用的公用账号,然后勾选“Lock this profile”选项,这样就可锁定公用账号配置文件,防止恶意修改。 现在设置已经完成,到底这些设置是不是已经生效,可以在“Step 6.Test the Public User Profile”中测试一下,如果有问题,可以再使用公用账号登录系统重新进行设置。 2.不怕数据受损,我有“自动还原” 小王是个游戏爱好者,常在公用电脑中试玩各种网络游戏。不过他的技术真的不敢恭维,他常把游戏安装到不同分区中,还胡乱修改系统的各项参数。由于存储的文件过多,经常导致系统出现异常,小胖非常烦恼。恰好MSCT“Windows磁盘保护”功能的出现,可以让小王“安了也白安,改了也白改”。 对比传统:一旦重要文件丢失或被修改,传统的解决办法就是进行手工复原,如恢复文件中的数据参数,或利用第三方工具恢复被删除的文件,这些方法不但工作量大,而且还不安全,经常会出现问题。而MSCT的“Windows磁盘保护”功能则有所不同,它可以自动恢复数据,让人更省心。 为了安全起见,启用MSCT的“Windows磁盘保护”功能是非常有必要的。 在“Step 7.Turn on Windows Disk Protection”框体中,点击“Open Windows Disk Protection”链接,弹出磁盘保护对话框,选中“Turn On”(图2),最后点击“OK”按钮,就启用了Windows磁盘保护功能。这样即使系统中的数据被恶意修改,重启系统后数据仍会被自动恢复。 在MSCT的保护下,公用电脑的Windows功能限制和数据安全性都被增强了,而且这些功能都是在MSCT这一款工具的帮助下实现的,这是一般的功能单一的管理工具所做不到的,同时网管也能从繁重的公用电脑管理任务中解放出来。
全面监管公用电脑
图1 锁定公用账号配置文件
图2 启用Windows磁盘保护功能