引言:在管理維護局域網的過程中,很多管理員都有這樣的體會,網絡管理的難點不在服務器系統(tǒng),而是在于形形色色的終端系統(tǒng),常常給網絡運維操作帶來不可預知的麻煩。為了確保網絡運行穩(wěn)定,我們需要控制終端用戶的一些操作權限,不讓可能存在的“暗礁”影響網絡工作狀態(tài)。
為了維護整個網絡的運行穩(wěn)定,我們不妨進行如下設置操作,修改Windows系統(tǒng)默認的共享訪問模式,不讓終端用戶私自跳過共享認證:
圖1 選項設置duihuak
首先以超級用戶權限登錄共享資源所在主機系統(tǒng),依次單擊“開始”、“運行”命令,彈出系統(tǒng)運行對話框,在其中執(zhí)行“gpedit.msc”命令,開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該界面左側列表中,將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設置”、“安 全設置”、“本地策略”、“安全選項”節(jié)點上,找到該節(jié)點下的“網絡訪問:本地帳戶的共享和安全模型”組策略。
其次用鼠標雙擊目標組策略選項,彈出如圖1所示的選項設置對話框,選中“經典—對本地用戶進行身份驗證,不改變其本來身份”選項,單擊“確定”按鈕退出設置對話框。這樣,Windows系統(tǒng)日后就會不允許用戶私自跳過共享訪問驗證了。
如果讓終端用戶私自在自己的計算機系統(tǒng)中進行惡意BT下載操作時,那么局域網的上網出口帶寬資源很容易被過度消耗掉,嚴重的時候能影響整個局域網的運行穩(wěn)定。為了防止上述現象影響網絡穩(wěn)定,我們必須嚴格限制終端用戶在終端系統(tǒng)中私自進行BT下載操作,確保網絡帶寬資源得到有效保護,詳細的設置步驟如下:
首先逐一點擊“開始”、“運行”選項,展開系統(tǒng)運行對話框,輸入“gpedit.msc”命令并回車,開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側列表中,將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”節(jié)點上,用鼠標右鍵單擊“軟件限制策略”選項,執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令。
下面依次選中“軟件限制策略”、“強制”選項,并用鼠標雙擊目標選項,選中“所有用戶”選項,確認后保存設置操作。再打開“其他規(guī)則”選項的右鍵菜單,單擊“新建路徑規(guī)則”命令,按下“瀏覽”按鈕,將迅雷下載、網際快車之類的BT工具選中并添加進來,同時將“安全級別”參數設置為“不允許”(如圖2所示),確認后退出設置對話框即可。
圖2 路徑設置對話框
圖3 Don't Sleep界面
有的終端用戶在訪問完服務器系統(tǒng)中的共享資源后,有時會下意識地對其執(zhí)行關機操作,這容易給局域網中的其他終端用戶共享訪問帶來干擾。為了保證服務器訪問穩(wěn)定,我們可以通過“Don't Sleep”這款外力工具,控制普通權限的終端用戶,不能私自注銷、重啟、關閉局域網中的服務器系統(tǒng),以避免服務器系統(tǒng)被私自關閉現象。
開啟“Don't Sleep”工具的運行狀態(tài)后,選中如圖3所示界面中“Blocking”設置項處的所有選項,同時選中“Enabled”選 項,按 下“Options”按 鈕,切換 到“Don't Sleep”工 具的選項設置對話框,選中“Start Don't Sleep with Windows”選項,讓目標工具日后可以跟隨Windows系統(tǒng)一起自動啟動。
要是開啟了服務器系統(tǒng)中的自動開關機功能,要求每天早晨8點鐘自動啟動運行,晚上9點鐘自動執(zhí)行關機操作,這就意味著在每天8點鐘到21點鐘這一時間范圍內,終端用戶是不能私自關閉服務器系統(tǒng)的。
要實現上述控制目的,不妨選中“Timer”位置處的“Use Timer”選項,同時按下“#”按鈕,選中其后菜單中的“10h”選項,按下“OK”按鈕退出設置對話框。接著單擊“To-Tray”按鈕,讓“Don't Sleep”工具躲到系統(tǒng)后臺運行,這樣服務器系統(tǒng)在正常運行期間,就不會發(fā)生被終端用戶私自關閉現象了。即使有終端用戶因為操作不小心,意外按下“關閉”系統(tǒng)命令,服務器系統(tǒng)也不會自動執(zhí)行關機操作,仍然會繼續(xù)正常運行。
如果對上網安全性要求很高,那管理員肯定不希望終端用戶私自創(chuàng)建網絡連接,隨意進行上網訪問,而只希望他們使用事先指定的專用連接上網。那么如何才能限制終端用戶隨意創(chuàng)建連接上網訪問呢?只要進行如下設置操作,關閉網絡連接創(chuàng)建向導功能,就能輕松達到不讓私自創(chuàng)建網絡連接目的了:
首先依次點擊“開始”、“運行”命令,彈出系統(tǒng)運行對話框,輸入字符串命令“gpedit.msc”并回車,開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側列表中,將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”節(jié)點上,找到指定節(jié)點下的“禁止訪問‘新建連接向導’”組策略選項,并用鼠標雙擊之,彈出如圖4所示的組策略選項設置對話框。
圖4 組策略選項設置對話框
圖5 組策略屬性對話框
接著查看該選項設置對話框中的“已啟用”選項是否已被選中,如果發(fā)現其沒有被選中時,應該及時重新選中它,確認后退出設置對話框。這樣一來,普通用戶日后嘗試自行創(chuàng)建網絡連接上網訪問時,就會看到網絡連接不能創(chuàng)建成功。
使用過Windows 2008系統(tǒng)的用戶都知道,該系統(tǒng)默認會使用較高的安全等級進行上網訪問,以避免潛藏在網頁背后的病毒木馬攻擊服務器系統(tǒng)。不過,在默認狀態(tài)下上網訪問時,用戶一般會感覺到上網不順暢,為此很多用戶會私自降低對應系統(tǒng)的安全訪問等級,這容易給局域網的穩(wěn)定運行帶來很大威脅。為了避免這種現象的發(fā)生,我們不妨進行下面的設置操作,來禁止終端用戶自由調整上網安全等級:
首先以超級用戶權限登錄Windows 2008系統(tǒng),逐一點擊“開始”、“運行”選項,展開系統(tǒng)運行文本框,輸入“gpedit.msc”命令并回車,開啟系統(tǒng)組策略編輯器運行狀態(tài)。
在該編輯界面左側列表中,將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”節(jié)點上,找到該節(jié)點下面的“禁用安全頁”組策略選項。
接著用鼠標雙擊目標組策略,彈出如圖5所示的組策略屬性對話框,選中“已啟用”選項,確認后保存設置操作。這樣,普通用戶日后就能進入Internet Explorer的“安全”選項設置頁面,私自調整安全訪問等級配置了,那么終端系統(tǒng)自然也就不會被輕易攻擊了。