WINDOWS網域管理

农夫子oice 2007-04-29

展开全文

WINDOWS網域管理

李忠憲 960213第二次增補
李忠憲 940929增補
黃添修 930909原稿

前言

先解釋一下「網域」：Windows 網路中「網域」一詞和 DNS 裡面的「領域」，還有 IP Class 裡面的「網路」，三者因為名詞接近，而常常被等同視之，造成許多誤解和觀念混淆。Windows 網路中的「網域」，是指一群電腦透過一台或多台伺服器進行帳號整合和權限控制的集中管理，其成員電腦是否在同一個 Class C 並不重要，也就是說 windows 網域的涵蓋範圍與 IP Class 的網路範圍並不等價。至於 DNS 中的領域只是用來作 URL 與 IP 的對應，同一個領域裡的電腦，其 IP 並不一定在同一個 Class 中，也不一定要加入同一個 windows 網域。這三種名稱接近的機制，基本上是獨立運作的。

Win200x 雖然源自於 NT，但是由於網域觀念的改變幅度太大，兩種網域並無法融合的很好，如果純以 Win200x 來架構網路，當然更能發揮 Win200x 在網路機制上的嶄新功能。但是考慮企業現有NT應用程式開發與相容性問題，大多企業還是希望採行混合網域的建置。使用混合網域之前，我們先來暸解一下，到底採用純 Win200x 架構有什麼好處？

Active Directory

Win200x 採用 AD 來進行網域管理的工作，其中改革幅度最大的是帳號管理和電腦管理的機制。

帳號管理

過去帳號管理依靠 SAM 資料庫，必須透過所謂「Windows 挑戰與回應」(WCHAR)這種獨門的通訊協定來進行使用者認證，由於這個機制太特殊，微軟又不願公開內容，導致不同平台之間的整合有困難，並且也使得WinNT無法支援其它的網路設備的認證。同時由於 WCHAR 採用 DES（修改過的 MD4）來進行編密，密碼可以透過解碼程式還原，如果和 Linux 上採用的 MD5 編密法來比較，由於 MD5 無法被還原，在安全性上比 winNT 網域還要好。

新的帳號管理是將 SAM 資料庫當後端，以 LDAP 通訊協定當前端提供帳號認證功能，當使用者登入網域時，就使用 Kerberos 通訊協定來傳遞密碼，密碼則改用安全性較高的 MD5 演算法來編密，其結構如下圖：

LDAP 是衍生自 DAP 的輕型通訊協定，以 TCP/IP 來實作，許多比較複雜的資料庫操作並沒有被包含在內，原因就在於 TCP 不適合作重型傳輸，而 UDP 又不適合作資料庫動態交易。無論如何LDAP 拿來作目錄服務、帳號管理是相當合適的。LDAP 的原始精神在於契合 DNS 領域的觀念，希望發展出人類的URL定址，有點像 http://www. 是一個站台，而 ldap:///o=Taipei Edu-Network Center,c=tw??sub?(cn=李忠憲) 是一個人，換句話說，LDAP也可以當成人名錄來作查詢（outlook系列已經支援 LDAP 人員搜尋）。

LDAP 的原始設計裡面，分為幾個階層式架構，c 代表地域，o 代表組織，而 o 裡面的物件 person 和 group 分別代表個人和群組，這種設計當然與 Win200x 裡面的AD稍有不同，Win200x 為了管理上的需求，以 dc 階層取代了 c 階層，以 ou 階層取代 o 階層。

dc 階層就是指 win200x 網域的管轄範圍，對跨國企業來說，它已經超越了 c 階層的地域觀念，想像一下台灣的宏碁與美國的宏碁屬於同一個 dc 的情形，要理解 dc 階層的概念並不難。

其實就是因為 LDAP 高彈性的作法，讓 Win200x 的群組管理顯得複雜起來，不過只要把觀念弄清楚，其實也很簡單。關鍵在於 ou 階層是所謂「行政的群組」，而 group 是所謂「權限的群組」，這就好比「業務部」的陳「經理」和「研發部」的王「經理」是好朋友，「業務部」、「研發部」是ou，而「經理」是group。在 LDAP 原始設計中，o(ou) 和 group 是兩種獨立的觀念，但在AD 裡面兩者都可以被賦予原則，有許多人就在這種情形下弄擰了觀念。

使用 LDAP 除了讓帳號管理更具彈性以外，另一個好處是可以使用公開的 LDAP API 來撰寫應用程式，使應用程式與網域使用者能更緊密的結合。由於資料欄位可以自由擴充，企業可以依自己的需要開發出人事管理系統，而該人事資料又自動成為企業內各種網路設備的成員帳號。並且由於 LDAP API 的標準是公開的，因此不管由哪家廠商來開發都可以彼此相容！

電腦管理

電腦管理的問題可以分成兩方面來探討，一是電腦名稱辨識的問題，一是網域成員認證的問題。過去 winNT 的電腦名稱是以 NetBios 名稱來實作，這就造成廣播風暴問題和無法跨越 Router 問題，雖然微軟已經將 NetBios 名稱服務封裝成 TCP/IP 格式的 NetBT，但這只解決了跨越 Router 問題，廣播的問題仍然存在。

微軟後來開發的 WINS 伺服器雖然可以有效降低廣播風暴的發生，但仍然不能徹底解決頻寬被佔用的老問題，造成使用者與網管師相當程度的困擾。在 Win200x 中由於網路機制改採 TCP/IP 來實作，所以這種落伍的名稱服務已然被淘汰（相容前版模式例外），於是 DNS 就成為電腦名稱辨識的不二人選。

在 Win200x 網域內的所有成員電腦，其名稱一律沿襲 DNS 命名法，如果安裝時選擇與舊 Windows 網路相容，那麼就會將 DNS 命名的頭碼當成 NetBios 名稱。DNS 名稱會寫入 SAM 資料庫中保管，以便備份和移轉。

那麼 Win200x 又如何來辨識某電腦是否為網域成員呢？當某台工作站要求加入到網域內作為成員時，會透過 DNS 伺服器中的 SRV 紀錄找到網域主控站，網域主控站會為這台工作站建立一個電腦帳號（在 windows 網域中帳號區分為使用者帳號、電腦帳號和服務帳號三種），並產生 SID，然後由金鑰配發中心（KDC），配發憑證（金鑰），SID 及憑證會儲存於網域成員電腦的系統登錄裡面，像這樣經過網域主控站認證的電腦，我們可以將它稱為「可信任電腦」。

由於過去大家對於網域成員的認證都很忽視，例如 WinNT 也僅只對網域成員進行單向認證，所以常發生安全漏洞被駭客利用。為了改善此問題，在 Win200x 中採用 Kerberos 5 來進行雙向認證，在使用者登入前，伺服器與工作站先交換金鑰，並向 KDC 查驗是否正確，網域主控站可藉此來決定該使用者是否有權登入該主機，如果發現該使用者有登入權限，接著再以 LDAP 向 AD 查驗帳號密碼。安全性相對比起 NT 來的高許多，並且由於 Kerberos 和 LDAP 是 TCP/IP 上面的標準，所有其他平台如Solaris、Linux、FreeBSD......等等都可以透過 Win200x 帳號來進行登入。

與前版網域相容模式

在 Win200x 網域主控站安裝時，如果選擇「與Windows 2000前版網域相容」選項，裝完AD之後，就可以使用「AD網域與信任」管理工具，來建立與舊有 NT 網域之雙向信任，就可以讓擁有 NT 網域帳號的使用者分享 200x 網域的資源。

採用與前版網域相容模式，除了可以整合舊有 NT 網域外，還支援 NBT 通訊協定及 WCHAR 認證方式，讓 win9x 可以直接登入「與前版相容的 Win200x 網域」，但是因為 Win98 缺乏 Kerberos 用戶端程式會被 Win200x 當成未授權使用者，不但無法享有 Win200x 所帶來的各種安全性措施，而且為了讓 Win98 得以存取 200x 網域分享的資源，許多 Win200x 伺服器上的安全原則都必須撤離，這使得 200x 網域只能當成陽春的 NT 網域來使用。

想要升級成原始模式，首先必須衡量以下的條件：

校內已經沒有 win9x 和 winNT 工作站。
已建置與 AD 整合之 DNS。
全校所有電腦都已經加入 win200x 網域。

滿足上述條件後，始可將 DC 由相容模式變更為原始模式，但要記住一旦變更為原始模式就無法再還原了！

網域主控站

在 Win200x 網域中負責管理帳號和權限的機器稱為 DC，DC 儲存了使用者帳戶、群組、印表機….等物件的資料，DC 與 DC 之間可以透過 LDAP 彼此交換資料以達到帳號同步的目的。為了預防 DC 故障造成網域崩潰，最好是在組織網域的初期就建置冗餘的 DC，以備不時之需。

※在WIN_NT4.0中，一個網域之中必須存有一台 PDC，網域間的信任是單向，且不具遞移性，而網域的帳戶資料儲存於 PDC 的 SAM 資料庫中，容量最多 40MB。

當一個機構中的電腦分屬於不同的網域時，也就是說一個機構中具有多網域時，此刻就有信任上的問題，若根網域甲的 Domain name 為 test.，而乙是為甲的子網域，Domain name 為 class.test.，丙為為甲的子網域，Domain name 為 lib.test.。三者之間具信任關係。因為 Win200x 網域之間的信任是雙向的並具遞移性，也就是說當甲與丙互相信任，甲與乙互相信任，那麼乙和丙也會互相信任。故使用者的帳號是可以開在甲、乙或丙任何一個之中皆可。

網域本身就是一個管理單位，所以將一個學校中的網域數量降到愈少愈好，如此管理上就會比較簡單。第一個建立的網域是根網域，根網域的建立時必需建立在 DNS 的基礎之上，因為微軟公司修改了 DNS 架構新增 SRV 紀錄類型，使得網域成員可以透過 DNS 中的 SRV 紀錄查詢 AD，因此安裝 AD 時將會要求 DNS 的位址，以便建立 SRV 紀錄。其餘再建立的網域皆為子網域，而形成一個網域樹。二個以上網域樹彼此在根網域上做了彼此的信任後，則形成 Forest，原則上一個學校中最多規劃成一個 Forest 即可。

安裝 AD

安裝AD方式如下：下列二法中擇一來做

【開始】／【程式集】／【系統管理工具】／【設定你的伺服器】／選擇Active Directory，在依照步驟循序往下完成。
【開始】／【執行】／【開啟】中輸入dcpromo，在依照步驟循序往下完成。

AD目錄服務安裝過程

步驟一、從『開始』功能表打開『執行』，輸入’dcpromo ’的指令之後按『確定』

　　　　﹝如下圖﹞。

步驟二、出現 Active Directory 安裝精靈的畫面，按『下一步』。

步驟三、選擇此台 DC 在網域中所扮演的角色，若此台是您網域中的第一台 DC 請點選『新網域的網域控制站』，並按下一步。

步驟四、若這是您的第一個網域﹝也就是說不是某個現存網域的子網域﹞，請點選『建立新的網域樹狀目錄』，並按下一步。

步驟五、若這是您的第一個網域，請點選『建立新的網域樹狀目錄的新樹系』，並按下一步。

步驟六、輸入您網域的完整 DNS 名稱，並按下一步。

步驟七、輸入新網域的 NetBIOS 名稱，並按下一步。

步驟八、設定將來 AD 資料庫及紀錄檔存放的位置（建議和系統放在不同硬碟上，可以增加效率），並按下一步。

步驟九、設定 Sysvol 資料夾的位置，並按下一步。

步驟十、如果您要在本機上安裝了 DNS 請選擇『是，在這部電腦上安裝並設定 DNS』，並按下一步。

步驟十一、如果您不是在純 Win200x 環境中，請選擇上面的選項，並按下一步。

步驟十二、輸入目錄還原模式的密碼，並按下一步。

步驟十三、檢查你選取的項目，若無錯誤請按下一步。

步驟十四、AD目錄服務正在設定中。

步驟十五、按下『完成』。

步驟十六、必須重新啟動電腦。

綜合以上所言，裝 AD 的要點如下：

是新網域中的 DC，還是現存網域中冗餘 DC
是新的網域樹狀目錄嗎？若不是的話，必須先在根網域的 DNS 上先建立對應的 URL 領域。
裝 AD 時，在本機建個 DNS_Server 會比較好裝

使用者管理

使用者帳號（User Account）的種類約可以分做兩類：

第一類為本機使用者帳戶（Local User Account）：只能在單機使用的帳號，這個帳號無法用來登入其他電腦，除非是網域中有一帳號和密碼和本機使用者相同。

建立Local User Account的方法如下：
【開始】／【程式集】／【系統管理工具】／【電腦管理】／【系統工具】／【本機使用者和群組】／【使用者】
所建立的帳號基本上是在 Users 資料夾中

第二類為網域使用者帳戶（Domain User Account）：為建立在網域控制器伺服器 (DC) 的帳號，可以用來登入網域中的可信任電腦，並可存取網域中的資源（共享檔案、印表機......等)，當然我們可以在 DC 上設定哪些電腦允許哪些帳號登入，哪些共享資源允許哪些帳號使用，這就是後面會專題探討的「權限管理」機制。

建立Domain User Account的方法如下：必須使用【Active Directory使用者及電腦】嵌入單元來建立其Account，當使用這個嵌入單元來建立Account時，此帳戶會被建立在MMC主控台所找到的“第一台DC”，之後此Account會自動被複製到此Domain內所有的裝Active Directory有DC中。
【開始】／【程式集】／【系統管理工具】／【Active Directory使用者及電腦：“點選出現的網域名稱”(右鍵)】／【新增】／【使用者】

當然作比較結構化的管理，可以先建立一些不同的組織，以利你的管理和區別；因為未規劃所建的使用者會放在Users中和其他預設帳號混在一起會比較亂，所以我們必須建組織單位(OU)來作歸納分類。亦即將李小華放入石牌國小的老師中，這樣在未來做權限管理才會方便

但對上述李小華也可以將其歸類回石牌國小的老師中，亦即在李小華上按右鍵移動至石牌國小的老師。

建組織單位可以先分類歸納好，如：行政處室、教師(一年級、二年級、三年級、四年級、五年級、六年級)、實習教師......等。

WIN2000大量帳號方法

大量建帳號方法有下列三種

1. 使用 NET USER 指令

語法如下：

NET USER [username [password | *] [options] [/DOMAIN]

username {password |*} /ADD [options] [/DOMAIN]

username [/DELETE] [/DOMAIN]

根據上述語法，我們可以建立下列一個account.bat的批次檔，內容如下：

net user hjhon 10001 /add
net user hmary 10002 /add
net user hjack 10003 /add
net user hjackson 10004 /add
net user hellen 10005 /add
net user hsally 10006 /add
net user hmayhi 10007 /add
net user htelmay 10008 /add
net user hjohnson 10009 /add
net user hsala 10010 /add

※此檔可以配合由 Excel 產生，方便建連續性的帳號。

其執行結果狀況如下：

其所建的帳號皆會在users之中，其結果如下：

2. 使用自行設計的 VBS 程式：

CreateOU.vbs

程式內容

Dim cla(2)
cla(0)="校長室"
cla(1)="教務處"
cla(2)="學務處"
cla(3)="訓導處"
cla(4)="總務處"
cla(5)="輔導室"
cla(6)="人事室"
cla(7)="主計室"
cla(8)="圖書館"

wscript.echo"現在開始建立組織單位"

‘Determine the LDAP path for your domain
Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)

For x=0 to 1
claname=cla(x)
Set ouLab=TargetOU.Create("organizationalUnit","OU="& claname)
ouLab.Put "Description",claname
ouLab.SetInfo
Next
‘Done
wscript.echo"組織單位建立完畢"

CreateUsers.vbs

程式內容

dc_ip="172.16.1.1"
dc_domain="syups."
home_driver="T"
login_script="path.bat"
user_quota=10240

Set conn=CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)};DBQ=c:\win2000建帳號程式\account.mdb;"
Set rs=CreateObject("ADODB.RecordSet")
SqlStr="SELECT * FROM 帳號清單"
rs.Open SqlStr,conn,3,1

set oAD=GetObject("LDAP://RootDSE")
set wsh1 = CreateObject("WScript.Shell")

Do Until rs.EOF
Set oDomain=GetObject("LDAP://" & dc_ip & "/OU=" & rs("部門") & "," & oAD.Get("defaultNamingContext"))
struser = rs("帳號")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實姓名")
oUser.Put "userPrincipalName",struser & "@" & dc_domain
oUser.Put "mail",""&rs("電子郵件")
oUser.Put "wwwHomePage", ""&rs("個人首頁")
oUser.Put "streetAddress", ""&rs("地址")
‘oUser.Put "title", ""&rs("職稱")
‘oUser.Put "department", ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
‘oUser.Put "profilePath","\\" & dc_ip & "\user$\"&struser
oUser.Put "homeDirectory","\\" & dc_ip & "\data$\"&struser
oUser.Put "homeDrive",home_driver
oUser.Put "scriptPath",login_script
oUser.Put "maxStorage",int(user_quota)
oUser.SetInfo
oUser.SetPassword ""&rs("密碼")
Usercount=Usercount+1

‘userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser
‘mycommand = "cmd /c md " & userprofile
‘wsh1.run mycommand
mycommand = "cmd /c md " & userhome
wsh1.run mycommand
‘mycommand = "cmd /c echo y| CACLS " & userprofile & " /E /C /G " & struser & ":F"
‘wsh1.run mycommand
mycommand = "cmd /c echo y| CACLS " & userhome & " /E /C /G " & struser & ":F"
wsh1.run mycommand
End If
rs.MoveNext
Loop

msgbox"成功建立"&Usercount&"個使用者！"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing

Account.mdb內容如下：

修改檔案的存取控制清單 (CACLS)
語法如下：
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 變更指定檔案的 ACL 於
現有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代。
/C 拒絕存取的錯誤繼續發生。
/G user:perm 授與指定的使用者存取權限。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權限 (只有當 /E 存在時才有效)。
/P user:perm 取代已指定的使用者存取權限。
Perm 的值可以是: N 沒有權限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬用字元一次指定數個檔案。
您可以在命令中指定數個使用者。
縮寫:
CI - 容器繼承。
ACE 將被目錄繼承。
OI - 物件繼承。
ACE 將被檔案繼承。
IO - 僅供繼承。
ACE 不可套用到目前的檔案/目錄。

磁碟配額管理

在伺服器上的磁碟空間是有限的，尤其是當我們將伺服器上的硬碟提供給老師或其他使用者儲放資料時，硬碟的空間監管是件十分重要的事情，無論是硬碟的儲放空間所剩多少或進出伺服器的安全監管皆是十分重要；因為硬碟的儲放空間剩的太少會造成許多的問題，諸如：服務會被停用、虛擬記憶體太低、IO太頻繁...等，尤其當硬碟空間大幅減少時，要檢查是否為駭客或病毒入侵，大肆破壞了伺服器，造成無法挽救的遺憾。因此監視伺服器的硬碟中個別目錄的成長狀況是件十分重要之事，畢竟了解到硬碟空間成長的狀況，可以在發生意外狀況之前，防範於未然。

若是要提供老師或其他使用者儲放資料在伺服器上時，Win200x 的磁碟配額是一件必要的實用安全的優質管理，不過 Win200x 的磁碟配額管理只能用 NTFS 的磁碟檔案系統，其並不支援 FAT32 和 FAT 磁碟檔案系統；磁碟配額最棒之處是能限制使用者可以儲放資料的使用硬碟空間，限制其修改或複製檔案的能力範圍，降低使用者大量使用磁碟，造成系統遭到破壞的機率，且系統管理人員可依實況有效調節使用者使用磁碟的空間，不致於浪費且可以將資源有效的整合。

磁碟配額使用方法如下：

第一步將提供老師或使用者使用的硬碟(最好是外掛一個硬碟，即使是 IDE 硬碟也沒關係)，按滑鼠右鍵點選內容。

第二步在配額的選項勾選啟用配額管理和拒絕將磁碟空間給超過配額限制的使用者。並限制每個使用者的使用硬碟空間為多少，並於將超過使用磁碟空間範圍時提出警告。(每個人磁碟空間限制先設少一點空間可使用，再慢慢放寬多一點空間；本校磁碟空間使用預估法為：硬碟空間／（學校老師數／２）)

第三步在第二步時點選配額項目時就可以發現每個老師或使用者使用硬碟的空間狀況為何？

第四步若有使用者因公務或教學需求上的需要更多更大的硬碟空間時，則點選單一使用者來放寬其硬碟的空間限制。

權限管理

一、群組觀念

對於使用者的權限管理設定，我們通常會將使用者先歸類為群組後，在將其做權限控管。

win200x 的網域可分為兩大類型

混合模式(Mix Mode) ：混合模式指網域中包含 Win200x、WinNT...等機器

在 Win200x 的網路，預設為混合模式。
在混合模式中，其網域控制站可以包含 Windows NT 級的電腦，也就是在網域中可以有 NT3.5x、NT4.0、Win200x 的模式。
混合模式不支援萬用群組。
從混合模式改為原始模式的方式如下：【開始】／【程式集】／【系統管理工具】／【Active Directory 使用者與電腦】／【網域名稱（右鍵）】／【內容】／【變更模式】／【確定】，變更成為原始模式後，此變更結果會被 Copy 到網域中所有的 DC 中。
切記混合模式變更成原始模式後，是無法再恢復成混合模式。

原始模式(Native Mode)：原始模式指網域中只有 Win200x 或 xp 機器

在原始模式的網域中，其所有的DC都必須是 Win200x 的電腦。
但在網域內的成員，除了 Win200x 級的 computer 外，仍可是 WinNT3.x／4.0級的 member server。
支援所有的 Group，例如：Global group、Local group 和萬用群組。且可以是巢狀迴圈。

群組的權限

新增群組的方法，在單位組織上按右鍵→新增→群組

由上表來看群組領域分為三類

網域區域群組（Domain Local Group）：類似 NT 時代的區域群組，主要是被用來指派其所屬的網域內資料存取的權限，在原始模式中網域區域群組包含同一森林（Forests）任何網域中所有使用者帳號（User Account）、通用群組（Global Group）、萬用群組（Universal Group），可包含同一網域（Domain）內的網域區域群組 Domain Local Group，亦即為內嵌式區域群組，但無法包含其他網域（Domain）的網域區域群組（Domain Local Group）。Domain Local Group 只能夠 Access 同一 Domain 內的資源，無法跨網域來 Access 其他 Domain 的資源。
通用群組（Global Group）：其主要目的用來組織使用者，即可將多個權限相同的使用者帳戶加入到同一個通用群組（Global Group）中，通用群組（Global Group）可以存取任何一個擁有信任關係的網域（Domain）中的資源，也就是說通用群組（Global Group）可跨網域（Domain）來進行存取其他網域的資源，可在任何一個Domain 內設定某個 Global Group 的 Permission，這個 Global Group 可以在同一 Domain，也可在另一個Domain 內，所以通用群組（Global Group）在同一網域時是使用者帳號與其他通用群組的集合，當通用群組（Global Group）在跨越其他網域時則為使用者帳號的集合（可以為不同網域）。
萬用群組（Universal Group）：主要是用來指派在所有網域內的存取權限，以便能夠使用每一個網域內的資源。成員能夠包含任使用者帳號、通用群組及WIN2000網域Forests下的萬用群組。萬用群組必須在原始模式中才有，而我們各校所使用皆混合模式下是無法建立萬用群組。

群組類型：

安全性：安全群組用來管理網路上的安全問題，可以對某個安全性群組給予檔案讀取或完全控制.....等權限。
發佈：為傳送E_mail目的所建的使用者群組，與安全（權限的設定等）無關。此種群組校內工作上是不會用到的。

二、權限指派

委派控制：

選擇一個組織單位，按滑鼠右鍵，並選擇出現的快顯功能表上的委派控制。

新增使用者或群組以做控管權限

基本的資料夾權限管理

1.點資料夾按右鍵，先將資料夾→共用(共用此資料夾，給予共用名稱)→使用者人數限制(允許最大數或限制為多少人數)→給予權限(完全控制、變更、讀取)→授予群組或使用者。

若要比較詳細的權限則由安全性中去設定，進階中可以就更加詳細去設定。

NTFS基本安全權限包括

1.完全控制

2.修改

3.讀取與執行

4.清單資料夾內容

5.讀取

6.寫入

NTFS進階權限設定有

1.周遊資料夾 / 執行檔案

2.列出資料夾 / 讀取檔案

3.讀取屬性

4.讀取擴充屬性

5.建立檔案 / 寫入資料

6.建立資料夾 / 附加資料

7.寫入屬性

8.寫入擴充屬性

9.刪除子資料夾 / 檔案

10.刪除

11.讀取使用權

12.變更使用權

13.取得使用權

災難處理

做一個網管人員最怕的是自己所管理的SERVER當掉，或者是無法開機；而自己的資料又沒有備份的話。此時此刻真是要呼天搶地，企求奇蹟了。因此，我們必須於平時做好下列工作，以防意外狀況的發生：

建立緊急修復磁片，以利快速復原系統的修復。
安裝修復主控台，以利解決系統問題，無須重新安裝系統。
備份DHCP資料庫，以利快速重建DHCP伺服器。
建立鏡像磁碟、減少資料的遺失，以利快速回復系統資料。
以GHOST備份整個作業系統，以能快數於數分鐘內還原整個完整的系統。

一般而言，修復WINDOWS 2000的方法有兩種：

一、是緊急修復 WINDOWS 2000 安裝

此法，我們必須具備需要WINDOWS 2000 系統開機磁片則可以使用下列方法自行去產生；可以在WINDOWS 2000安裝光碟中[BOOTDISK]資料夾中，執行[MAKEBT32]程式，再依序放入產生4張空白磁片於A碟中，便能快速依序建好開機片。

另外，建立緊急修復磁片也是件刻不容緩之事，執行[開始→程式集→附屬應用程式→系統工具→備份]功能，來執行備份程式；在此我們可以快速建立緊急修復磁片。

假如在建立緊急修復磁片時，勾選了[同時也將登錄檔案備份到修復目錄....]，則在建立緊急修復磁片時，也會將目前登錄在C:\WINNT\repair\RegBACK資料夾內的檔案在建立一份備份到磁片中。

若勾選了［同時也將登錄檔案備份到修復目錄...］核取項，則在建立緊急修復磁片時，會將目前的登錄在 C:\WINNT\repair\RegBack 資料夾內再建立一個備份。換言之，緊急修復磁片內的檔案，就在 C:\WINNT\repair 資料夾之中。

WINDOWS 2000 的系統緊急修復磁片中，儲存了系統檔案與設定資訊。為確保建立的系統緊急修復磁片可以有效修復毀損的系統，必須時時保持系統緊急修復磁片的最新，故一旦系統設定做了重大的變更時，必須立即建立新的系統緊急修復磁片。

緊急修復 WINDOWS 2000 ，一般有所謂手動修復或快速修復，二者的差異僅在手動修復上，一切的恢復設定(系統檔案、磁碟分割開機磁區或啟動環境)皆由系統管理員自行決定，而快速修復則由電腦自動執行而已；操作方法概略如下：啟動電腦→在歡迎使用安裝程式時，按 R 選修復 WINDOWS 2000 → 在此選 M (手動修復) 或 F (快速修復) → 放入緊急修復磁片，按ENTER(按L去找安裝光碟或 WINDOWS 2000 的位置，通常是無效的)。

二、是使用修復控制台修復WINDOWS 2000

一般而言，硬碟無法開機是因為開機磁區資料遺失或毀損，windows 2000 在此方面是有辦法的---也就是「修復主控台工具」。其修復的動作程序如下：

以windows 2000的光碟片開機[記得BIOS要修改成光碟機優先開機]，在螢幕出現歡迎安裝的畫面時，按下鍵盤的[R]鍵進入修復主控台來修復windows 2000，記得可不要按ENTER去重新安裝windows 2000哦！
當進入修復主控台，在畫面上會出現哪一個要登入去修復的windows，由於我們是拿來做SERVER，所以只有一個windows系統來做修復選擇。
由於只有一個windows系統來做修復選擇，所以我們按1來做選擇，再按一下[Enter]鍵；但若不欲修復windows 2000，則再按一次[Enter]鍵就可以取消修復；若修復完畢後則鍵入EXIT，結束修復主控台重新啟動電腦。
當按1選擇唯一的windows，並按一下[Enter]鍵執行後，畫面會出現administrator [系統管理員的帳號]，請輸入本機administrator的密碼[此用意在於防範系統的安全不致於被其他使用者任意竄改或破壞系統]，在出現C:\WINDOWS>後，可以鍵入HELP以觀看有哪些可以使用的指令。
首先觀察電腦系統中，所有磁碟的狀態，故鍵入map指令，以觀察磁碟的狀態。
選擇所要修復磁碟，輸入chkdsk 磁碟機代號: /r [例如 chkdsk c: /r]，再按[Enter]鍵執行，通常C碟一定要做修復[因為不能啟動WINDOS 2000]來開機。
當磁碟完成檢查之後，我們將進行開機磁區的修復，我們鍵入fixboot c: [假設開機碟為C]，來修正已受損的開機磁區，並複寫入系統開機磁碟分割的預設值。
當修復完開機磁區，我們將繼續進行系統磁碟分割的主開機記錄區[MBR]修整；我們輸入 fixmbr c: 當開機紀錄區遭到病毒損毀，無法啟動作業系統的情況下使用，畫面會出現修復的警告標示，按Y繼續進行。
當修復完畢之後，我們只要鍵入EXIT就可以重新啟動電腦，檢視我們修復的成果。[若修復完畢可以進入WINDOWS 2000則表OK，反之失敗那就慘了！]

**將修復主控台安裝置開機選單中，將可以不必透過光碟機開機來修復，

在執行視窗中鍵入 D:\i386\winnt32.exe /cmdcons ，再按[確定]來執行。
接著會告知需要7MB磁碟空間安裝，按下是開始安裝，在安裝時會先連線到微軟的伺服器進行檢查有無新的版本可以下載，然後開始安裝。
當安裝完畢下一次重新開機後，就有修復主控台可以使用[再開機時按F8→選擇偵錯模式→WINDOWS 2000 修復主控台]。

加強學校系統安全管理的日常工作

當架設好WINDOWS 2000後，應於日常做下列安全的檢查工作：

確認所有伺服器和工作站的硬碟皆是使用NTFS檔案系統。
確認系統管理的帳戶使用嚴謹且複雜的密碼，並於一段時間內不斷變更密碼以維安全。
停用不必要的系統服務功能，減少系統資源的浪費與降低漏洞的發生機會。
對於離職退休或不需使用的帳戶加以停用或刪除。
GUEST的帳戶做好確實的管理，給予停用或變更其帳戶名稱。
為檔案或資料夾加密與維護，並給予適當的安全權限管理。
時時做好資料、系統相關安全資訊與登錄資料的備份於他處。
時時檢查系統中的帳戶的權限是否正常為USER層級，而非被駭客改為Administrator層級。
嚴謹規劃設定各群組人員與其權限，尤其是Administrator的帳戶群組人員更要嚴加控管。
加強宣導使用者對自己帳戶與密碼的管理，避免其成為駭客入侵的跳板。
移除所有非必要的資源分享。
安裝伺服器防毒軟體，降低病毒與駭客的入侵；並時時保持病毒碼的時時更新。
裝上做新的Service Pack 和 Hot Fix。
有空時看看事件檢視器中日誌檔，掌握系統狀況。
掌握磁碟空間的變化，並注意硬碟空間是否足夠或有不正常的檔案目錄成長。

系統原則與桌面管理

win9x 系統原則

win9x 系列因為使用 FAT 檔案系統，檔案上無法依據使用者的不同設定不同權限，因此系統原則程式如果放在硬碟上則任何人都可以讀取執行，由於這個緣故 poledit 程式是收錄在光碟上，使用時最好是用磁片執行不要存入硬碟中。底下範例是為了上課方便從硬碟執行，實作時不應該如此。

1.Poledit程式位置乃在於win98光碟中的資料夾中(tools→reskit→netadmin→poledit)。

2.將poledit資料夾複製在win98機器中，去執行poledit.exe程式，設定系統原則。

依微軟的指示，poledit系統原則編輯的做法如下

建立新的原則檔
1 按「檔案」功能表的「開新檔案」。
2 poledit.exe程式執行時開啟時，開啟admin.adm範本→開始登錄，系統原則可以做本機電腦與本機使用者的限制使用

要新增使用者，請按「編輯」功能表的「新增使用者」，再輸入要設定原則的使用者名稱。
要新增電腦名稱，請按「新增電腦」，再輸入要設定原則的電腦名稱。
要新增使用者群組，請按「新增群組」，再輸入要設定原則的群組名稱。

本機使用者的限制

本機電腦的限制

3 要設定使用者、群組或電腦的原則時，請按要設定原則的圖示，再選「編輯」功能表的「內容」。按兩下書籍圖示，查看可以使用的設定值。
如果選一個原則，系統就會套用這個原則。例如，選「檔案分享控制無效」，則使用者就無法在網路上分享資料夾。

設定從 Windows NT或Windows 2000機器自動下載

1 按「檔案」功能表中的「開啟登錄」。
2 按兩下「本機電腦」。
3 按「網路」旁邊的加號。
4 按 Microsoft Client For Windows Networks 。
旁邊的加號，再按「登入 Windows NT」。
5 輸入 Windows NT 網域名稱。
6 在主要的網域控制器上建立一個叫做 Netlogon 資料夾，然後再分享它。(Win2000在Winet→Sysvol→Sysvol→網域名稱→Scripts資料夾中。
7 將原則檔儲存在這個資料夾中。請確認原則檔的檔名為config .pol。

Ｗin98/XP 系統登錄組態設定

windows的機碼有六大類：

HKEY_CLASSES_ROOT：記載許多副檔名的定義，也就各種檔案的類型。分別定義各種副檔名所開啟的應用程式。
HKEY_CURRENT_USER：由HKEY_USERS延伸而來，其記載目前登入使用者的資料狀態，為一種個人化作業環境設定資料。
HKEY_LOCAL_MACHINE：電腦中各種硬體設定資料，包括印表機、光碟機、BIOS....等資料。
HKEY_USERS：用於記載不同使用者的資料。若設定只有一個使用者時，HKEY_CURRENT_USER的記錄則與HKEY_USERS內的.DEFAULT相同，否則在HKEY_USERS下就會有不同使用者名稱的機碼。
HKEY_LOCAL_CONFIG：記載目前使用硬體的設定檔。
HKEY_DYN_DATA：此為存在記憶體中的動態資料，用於監視電腦效能，一開機時由Windows建立此機碼資料，一關機後機碼資料就消失，故無法新增機碼，此部份只有Win98/Me才有。

系統登錄檔的使用

1.系統登錄檔的檢查員：scanregw.exe (win98下執行)

2.系統登錄檔的備份與還原：scanreg /backup 和 scanreg /restore (dos下執行)

3.系統登錄檔的修復：scanreg /fix

3.工作站自動設定IE組態(以proxy和cache大小為例)

參考 ie6.reg 內容，用記事本開啟。
建 ie6.reg 的方法，在一台 win98 機器上，可以將 proxy 和 cache 大小先設定好
在執行位置，鍵入regedit。
編輯→尋找→ProxyServer和編輯→尋找→CacheLimit
將滑鼠置於其上，登錄→匯出登錄檔案
將 ie6.reg 放入 Login Script 中，則所有人一登錄時就會改掉單機的設定。

下面是一個 reg 檔的範例，用於限制網頁首頁、proxy server、桌面...等項目，適用於WINXP和WIN98 的 Client 端使用。

Windows Registry Editor Version 5.00

底下範例將瀏覽器預設首頁，改為學校官方網：

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.syups./"

底下範例將瀏覽器「檢查儲存的畫面是否有較新的版本」，改為「每次查閱時」：

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Cache_Update_Frequency"="Once_Per_Session"

底下範例將啟用代理器，Proxy Server 為教育部 proxy.moe.edu.tw:3128，並將校內網段排除不透過 Proxy 連線：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="proxy.moe.edu.tw:3128"
"ProxyOverride"="172.16.*.*;*.syups.;<local>"

底下範例將網頁暫存空間 Temporary Internet file 設定為 5MB：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content]
"CacheLimit"=dword:00005000

底下範例設定桌布為 C:\WINDOWS\rule.bmp 並禁止使用者更改：

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="C:\\WINDOWS\\rule.bmp"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallpaper"=dword:00000001

底下範例將工作站 IE 瀏覽器的進階設定值「永遠將 URL 傳送成 UTF-8」關閉：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"UrlEncoding"=dword:00000001

ＷinXP 本機安全性原則

winXP 採用 NTFS 檔案系統，因此可以作精緻的權限設定，系統管理工具直接安裝於硬碟上，但只有 administrator 可以執行。

1. 從「控制台」->「系統管理工具」，打開「本機安全性原則」

2. 限制一般使用者無法變更時間。依據 kerbros 認證的運作機制，工作站時間若與 DC 時間差異達兩個小時以上，將會無法登入主機。

3. 設定成不要顯示上次登入的使用者名稱，以免帳號被收集利用。

4. 停用 Guest 帳號，以避免未被授權的使用者進入系統。

5. 在 XP 預設的情況下，允許使用者連線到網路磁碟機時，將登入的帳號密碼儲存起來，下次再連線時將不會再詢問帳號密碼，這個功能一旦開啟，其它的使用者將無法以自己的權限來操作網路磁碟機。

ＷinXP 安全性設定與分析

winXP 的安全性有三種不同機制進行管理，一是本機安全性原則，前面已經介紹過了，它是 poledit.exe 的強化版，在 winXP 裡另外提供一個 secedit.exe 可以結合登入指令稿來作動態設定。第二種機制稱為安全性設定與分析，它提供比本機安全性原則更詳細的設定選項，同時可以將設定儲存成安全性資料庫，該資料庫可於本機運作，或是上傳到 DC 上作為群組原則範本，後者的好處是網域內符合該群組的電腦都會自動套用同一設定。三是群組原則，群組原則原始設計為透過 AD 管理，在網域成員登入時自動套用到工作站上。然而這個部分僅能針對網域使用者進行管理，由於 winXP 上有所謂的本機使用者，如果校內同仁或小朋友是使用本機帳號登入，將不會受到任何限制，因此在 winXP 上另外設計了能管理本機使用者的群組原則管理程式。

1. 在開始工作列上按「開始->「執行」，輸入指令 mmc

2. 主控台視窗出現後，按「檔案」->「新增/移除嵌入式管理單元」

3. 請新增「安全性設定及分析」管理單元

4. 在管理單元上按右鍵選「開啟資料庫」->輸入資料庫檔名（自行命名）

5. 資料庫建好後，在管理單元上按右鍵選「立即分析電腦」

6. 設定方式如本機安群性原則，不再累述。完成後請按右鍵選「立即設定電腦」

ＷinXP 本機群組原則

1. 使用主控台新增嵌入式管理單元，單元名稱為「群組原則」

2. 下圖的設定內容其實就是前面介紹過的本機安全性原則，設定方式請參考前面的章節

3. 選取「使用者設定」->「系統管理範本」->「windows元件」->「Internet explorer」可以針對 IE 進行細節設定，其中「不容許使用自動完成來儲存密碼」，建議要啟用。這樣在網頁需要登入的場合，才不會出現「儲存密碼」的核取框。

AD 群組原則(GPO)

Win200x 群組原則是 Win200x 或 WinXP 使用者工作環境的管理工具之一，提供比本機電腦設定有更完整的控制選項與更廣泛的套用對象，以減低網路管理的負擔與成本。

Win200x 群組原則包含對電腦機器或使用者兩個部分：

電腦設定（Computer Configuration）：針對此台電腦設定工作環境，例如對某一個網域設定一個群組原則GPO，則此網域內的所有電腦都會套用此設定（當然只有對 Win200x 或 WinXP 的機器才有效）。
使用者設定（User Configuration）：針對使用者來設定作環境，例如對某個網域設定一個群組原則，則此網域內的所有使用者都會套用到此原則設定。

群組原則可以對站台 (Site)、網域 (domain)或組織單位OU（Organization Unit）等物件設定群組原則，而資料存放在 Active Directory（%systemroot%\sysvol\”DomainName”\Policies）中。

可以針對每台電腦作 local group policy，該原則設定會 apply 至本台電腦及 local users，而資料存放於〈%systemroot%\system32\GroupPolicy〉的資料夾內。

在預設情況下，下層的GPO會覆蓋上層的GPO，其套用順序為本機GPO（即本機安全性原則）→Site→Domain→OU，同個物件若有多個GPO而相衝突時，以排列在前面者優先。

一般情況下，子層會繼承父層的已設定原則（尚未設定原則不繼承），另外有特殊情況：

阻擋繼承：為系統預設值，若子層設定「阻礙原則繼承（Block）」，則不繼承父層的設定原則。
強制繼承：父層的關聯選項設定為No override（不覆蓋），則父層所設定的原則將強制子層繼承，即使子層設定「阻礙原則繼承（Block）」也無法違反此強制繼承的優先權。但繼承項目僅限於有設定（已啟用或已停用）項目。

群組原則建立方法：

【開始】／【程式集】／【系統管理工具】／【Active Directory使用者與電腦】／【網域名稱（右鍵）】／【內容】／【群組原則】／新增一個群組原則或編輯 Default Domain Policy 的內容。

ＷinXP 桌面管理

winXP 由於使用 NTFS 檔案系統，能有效針對不同等級使用者設定詳細的權限，因此以往在 win9x上無法可管的桌面圖示和開始功能表，現在也可以進行管理，示範如下：

首先用 admnistrator 登入後，將 c:\Documents and Settings 資料夾設為 administrator 完全控制
將所有使用者的桌面與開始功能表搬移到 All Users 資料夾中
將 All users 資料夾設定為唯讀（administrator 除外，以方便事後增刪）
如果學生是使用 user 帳號自動登入，請將 user 資料夾中的「桌面」和「開始功能表」、「我的最愛」設定為唯讀，以上設定步驟可防止一般使用者變更桌面、開始功能表和我的最愛的內容
將 C: 設定為 user 僅能唯讀，按「進階」，勾選「以顯示於此套用到子物件......」
由於部分應用程式（例如：MsWord）會在啟動時將暫存檔寫入c:\windows\temp 中，因此我們必須將這個資料夾的寫入權限打開，另外如果有安裝 Medi@show 也記得把該資料夾寫入權限打開（在 c:\program files\ 中）
設定「user的文件夾」的安全性，按「進階」，勾選「以顯示於此套用到子物件......」，取消「從父項繼承.....」核取框，按「複製」，如下圖：

設定使用者 user 的讀寫刪除權限，如下圖。由於前面已經將桌面和 C: 設為唯讀，將來從網路下載的檔案會自動擺放到我的文件夾中，而文件夾由於未設定執行權限，學生將無法玩網路上下載的執行檔，如果學生將檔案解壓縮，也無法安裝到 C: 中（前面已設定為唯讀），即使將軟體安裝到我的文件夾中，一樣不能執行。

7. 用以上方式管理學生機，唯一能自由執行程式的方法，是從 IE 暫存檔資料夾執行程式，由於該資料夾無法設定安全性，所以會留下這個漏洞。但無論如何，學生的桌面這樣管理還算妥善！

登入指令稿

@echo off
net use s: \\xxps1\data$\%username% /PERSISTENT:NO
net use t: \\file\filedata$ /PERSISTENT:NO
net use x: \\file\辦法規章 /PERSISTENT:NO
net use y: \\file\教學檔案上傳 /PERSISTENT:NO
regedit /s %logonserver%\netlogon\utf8.reg
echo on

常用系統變數：

%username%	使用者登入的帳號
%computername%	工作站的電腦名稱
%os%	工作站所使用的作業系統版本
%logonserver%	網域控制站的主機名稱

Win2000 以後的版本已經改用 VBS 來撰寫 login script，但仍然支援批次檔執行的方式。底下是 VBS 版本的登入稿：

Set net = CreateObject("WScript.Network")
net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False"
net.MapNetworkDrive "T:", "\\file\filedata$","False"
net.MapNetworkDrive "X:", "\\file\辦法規章","False"
net.MapNetworkDrive "Y:", "\\file\教學檔案上傳","False"
Set Shell = CreateObject("WScript.Shell")
DesktopPath = Shell.SpecialFolders("Desktop")
Set link = Shell.CreateShortcut(DesktopPath & "\師生網頁主機.lnk")
link.TargetPath = "\\172.16.1.3\homes"
link.WorkingDirectory = "\\172.16.1.3\homes"
link.Save
key = "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"
Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ"
Shell.RegWrite key & "Start Page", "http://www.syups./", "REG_SZ"
key = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
Shell.RegWrite key & "UrlEncoding", "1", "REG_DWORD"
　

紅字部分，請依各校之需求自行修改，程式解說如下：

Set net = CreateObject("WScript.Network")	建立一個網路物件（變數名稱為 net），以便呼叫 net 指令集，有關 net 指令集，請在命令列模式使用 net /? 來查詢
net.MapNetworkDrive "S:", "\\xxps1\data$\%username%","False"	呼叫 net 指令集中的「遠端磁碟機連線」功能，將遠端資料夾 \\xxps1\data$\%username% 連結至 S: 磁碟機代號，最後的參數 False 代表此資料夾禁止上溯到上一層資料夾
Set Shell = CreateObject("WScript.Shell")	建立一個殼層物件（變數名稱為 Shell），以便呼叫殼層指令集（該指令集用來控制桌面工作環境）
DesktopPath = Shell.SpecialFolders("Desktop")	取得系統桌面所在的路徑
Set link = Shell.CreateShortcut(DesktopPath & "\師生網頁主機.lnk")	在桌面上建立捷徑（變數名稱為 link）
link.TargetPath = "\\172.16.1.3\homes"	將該捷徑的目標設定為 \\172.16.1.3\homes
link.WorkingDirectory = "\\172.16.1.3\homes"	將該捷徑的開始位置設定為 \\172.16.1.3\homes
link.Save	將捷徑儲存在桌面上
Shell.RegWrite key & "Cache_Update_Frequency", "Once_Per_Session", "REG_SZ"	呼叫殼層指令集中的「系統登錄」功能，寫入變數 key 所指定的系統登錄樹，機碼名稱 Cache_Update_Frequency，機碼 Once_Per_Session，機碼型態為二進位資料（ REG_SZ）