论文部分内容阅读
目前中小学机房多采用硬盘还原卡(软件或硬件)来保护系统文件和硬盘,我们曾对其信任无比,认为它能提供全方位的服务。但计算机频频出现故障导致系统文件丢失,其中软件被破坏,系统被外带的存储文件感染病毒。于是我们对学生采用高压的“人治”政策,上机时不许破坏硬盘保护卡,不许带存储设备。但这样的措施也并无明显效果。偶尔开放网络,各种问题接就接踵而至。难道事后只能一遍遍地重装系统?有预防措施吗?
此外,学生作业文件的管理也是一大问题。学生机通常都安装硬盘还原卡,如果一不小心造成死机,重启后所做的一切都回归到零点。即使能完成作业,并用FTP、电子教室、文件夹共享等方法上传,但也不能让学生取回自己的文件并进行管理。有什么方法既能让学生安全地管理自己的文件,又便于教师管理全部学生文件呢?以下是我们对这两个问题的实践探索,希望能抛砖引玉。
● 追根求源
首先我们探究还原卡不能保护机器的根本原因。我们发现机房的学生机通常自动启动至桌面,而学生却以管理员身份(Administrator)操作,有权修改计算机的所有设置,对运行的所有程序也同样具有管理权力。如果这些程序激活了恶意软件,恶意软件就可以进行自安装,再操纵诸如防病毒程序之类的服务,甚至隐藏在操作系统中。如果访问一个不安全的网站,会导致恶意软件的运行。也就是说,学生以管理员身份运行计算机时,他所具有的特权能够操纵注册表,并在Windows系统目录中有意、无意地放置文件,这时还原卡常常在有挑战能力的学生面前自身难保。
综上所述,我们应该把管理员权限收回,使学生只能用计算机,而不能随意更改管理计算机设置。那么我们该给学生什么样的身份呢?最安全的身份是“User”。它提供了一个最安全的程序运行环境。在全新安装(非升级安装)的系统的NTFS格式卷上,默认的安全设置能够禁止该组成员危及操作系统的完整性及安装程序。学生不能修改系统注册表设置,操作系统文件或程序。Users身份可以创建本地组,但只能修改自己创建的本地组。他们可以运行经认证的Windows 2000或Windows XP Professional程序,这些程序由管理员安装或部署。学生对自己的数据文件(%UserProfile%)和注册表中有关自己的部分(HKEY_CURRENT_USER)具有完全控制权,但不能修改其他用户资料,彼此之间无干扰。能关闭工作站,但不能关闭服务器。
不用还原卡,学生使用Users登录使用计算机,便于管理员统一管理机器,但学生的资源、教师的资源依然不便于共享管理。这里回顾一下机房的局域网结构。一般局域网采用工作组模式。工作组网络又称为“对等式”的网络(如下页图1),因为网络上每台计算机的地位都是平等的,他们的资源与管理是分散在各个计算机上的,所以微软曾建议:如果计算机数量不多的话,可以采用工作组结构的网络,反之,建议采用域结构(如下页图2)。与工作组不同的是,域结构的网络内所有的计算机共享一个集中式的目录数据库,它包含着整个域内的用户账户与安全数据,域的安全性高于工作组。在域模式下,可以对不同的用户设置不同的资源。比如,每位学生分配单独的空间,供自己存储。除任课教师以外的其他人无权访问。
● 具体措施
那么如何设置学生User身份?如何建设机房的域模式呢?
1.建立服务器并设置
(1)将文件系统转换为NTFS。
(2)安装两台WindowsServer服务器,安装TCP/IP协议、DNS服务,设置TCP/IP。其中一台安装活动目录(AD)后成为域控制器(DC),管理用户的合法登录。另一台做文件服务器,存储共享的文件资源。
(3)在活动目录内添加学生用户,并把它们加入“Users”新建的组。
(4)为每位学生制作“作业本”(分配存储空间)。
通过活动目录(AD)为每位域用户配置的文件夹,称为主文件夹。将主文件夹映射至网络驱动器(比如z:),学生用户在“我的电脑”里可以看见网络驱动器,在这里存储文件,犹如在本机中存储一样,非常方便存取。用户盘符相同,内容不同。因为学生用户已加入Users组,他们只能把文件存储在主文件夹中。为了方便学生的个性化设置,还可以把“桌面”、“我的文档”的存储位置一并移至主文件夹内,这样每个用户可以设置个性化的计算机。这个“作业本”既可以培养学生良好的文件保存习惯,也便于学生存取学习过程中保存的个人资料。
2.学生机加入域模式
(1)将文件系统转换为NTFS。
(2)设置IP,DNS,加入域。
● 组策略管理用户工作环境
1.组策略提供的功能
(1)账户策略的设定:设定用户密码的长度、密码使用期限、账户锁定策略等。
(2)脚本(Scripts)的设定:如登录/注销、启动/关机脚本的设定。
(3)用户工作环境的设定:如隐藏用户桌面上所有的图标;删除“开始”菜单中的“运行/搜索/关机”等功能;在“开始”菜单中添加“注销”的功能等。
(4)文件夹转移:如改变“我的文档”、“开始菜单”等文件夹的存储位置。
可以针对站点、域或组织单位来配置策略。
2.组策略的组成
组策略中包含“计算机配置(ComputerConfiguration)”与“用户配置(Userconfiguration)”两部分。
(1)计算机配置:当启动计算机时,系统就会根据组策略中的“计算机配置”的内容来配置计算机环境。举例来说,如果针对域abc.com配置了组策略,那么组策略内的“计算机配置”就会被应用到此域内的所有计算机。
(2)用户配置:当用户登录时,系统就会根据“用户配置”的内容来配置用户的工作环境。举例来说,如果针对“业务部”OU设定了组策略,那么,组策略内的“用户配置”就会被应用到此OU内的所有用户。
● 对组策略的具体设置
1.对学生计算机设置
(1)统一禁用USB存储设备。USB虽然便利,但也给统一管理带来了难度,加之USB鼠标普遍应用,禁用USB存储设备似乎成了难题,可以通过组策略实现禁止。
(2)客户端的Administrator统一密码。学生机加入域模式后,登录框有本地登录和域模式两种选择。我们需要将所有Administrator添加密码。
(3)清除用户上次的用户名。在学生注销后,自动清除学生的用户名。
2.对用户设置——实现资源建设与管理
在域控制器(DC)的活动目录(AD)先对用户(这里不仅指学生,还包括教师)分组,再通过组策略分配用户对资源空间的权限。“作业本”只有学生本人能完全控制,任课教师只能读;任课教师的专用资源文件夹只有自己可以读写,其他人只能读。
这样学生用账号登录,在“我的电脑”里可以看到虚拟的盘符,所有人盘符相同,内容不同,随着登录的用户名变化,彼此之间无干扰。
经过以上三大步的设置,每天第一节课前把机器启动至交互式登录界面,学生通过用户名、密码登录,每个人可以自由地使用计算机,方便地使用资源,存取文件。下课后,注销用户。学生用户之间无任何干扰。“作业本”、“个性化电脑”随着用户走,既节省了开机等待时间,也因为无需固定座位,便于合作学习的开展。
以上的设置,不仅可以用于教学环境,也可以用于工作环境,指定用户共享打印机;当然,我们还可以在此基础上实现数字化点名、数字化评价,全方位地打造我们的数字化教学环境。只有本着为学生学习更好服务的观念,才能全方位地改进教与学的关系。
此外,学生作业文件的管理也是一大问题。学生机通常都安装硬盘还原卡,如果一不小心造成死机,重启后所做的一切都回归到零点。即使能完成作业,并用FTP、电子教室、文件夹共享等方法上传,但也不能让学生取回自己的文件并进行管理。有什么方法既能让学生安全地管理自己的文件,又便于教师管理全部学生文件呢?以下是我们对这两个问题的实践探索,希望能抛砖引玉。
● 追根求源
首先我们探究还原卡不能保护机器的根本原因。我们发现机房的学生机通常自动启动至桌面,而学生却以管理员身份(Administrator)操作,有权修改计算机的所有设置,对运行的所有程序也同样具有管理权力。如果这些程序激活了恶意软件,恶意软件就可以进行自安装,再操纵诸如防病毒程序之类的服务,甚至隐藏在操作系统中。如果访问一个不安全的网站,会导致恶意软件的运行。也就是说,学生以管理员身份运行计算机时,他所具有的特权能够操纵注册表,并在Windows系统目录中有意、无意地放置文件,这时还原卡常常在有挑战能力的学生面前自身难保。
综上所述,我们应该把管理员权限收回,使学生只能用计算机,而不能随意更改管理计算机设置。那么我们该给学生什么样的身份呢?最安全的身份是“User”。它提供了一个最安全的程序运行环境。在全新安装(非升级安装)的系统的NTFS格式卷上,默认的安全设置能够禁止该组成员危及操作系统的完整性及安装程序。学生不能修改系统注册表设置,操作系统文件或程序。Users身份可以创建本地组,但只能修改自己创建的本地组。他们可以运行经认证的Windows 2000或Windows XP Professional程序,这些程序由管理员安装或部署。学生对自己的数据文件(%UserProfile%)和注册表中有关自己的部分(HKEY_CURRENT_USER)具有完全控制权,但不能修改其他用户资料,彼此之间无干扰。能关闭工作站,但不能关闭服务器。
不用还原卡,学生使用Users登录使用计算机,便于管理员统一管理机器,但学生的资源、教师的资源依然不便于共享管理。这里回顾一下机房的局域网结构。一般局域网采用工作组模式。工作组网络又称为“对等式”的网络(如下页图1),因为网络上每台计算机的地位都是平等的,他们的资源与管理是分散在各个计算机上的,所以微软曾建议:如果计算机数量不多的话,可以采用工作组结构的网络,反之,建议采用域结构(如下页图2)。与工作组不同的是,域结构的网络内所有的计算机共享一个集中式的目录数据库,它包含着整个域内的用户账户与安全数据,域的安全性高于工作组。在域模式下,可以对不同的用户设置不同的资源。比如,每位学生分配单独的空间,供自己存储。除任课教师以外的其他人无权访问。
● 具体措施
那么如何设置学生User身份?如何建设机房的域模式呢?
1.建立服务器并设置
(1)将文件系统转换为NTFS。
(2)安装两台WindowsServer服务器,安装TCP/IP协议、DNS服务,设置TCP/IP。其中一台安装活动目录(AD)后成为域控制器(DC),管理用户的合法登录。另一台做文件服务器,存储共享的文件资源。
(3)在活动目录内添加学生用户,并把它们加入“Users”新建的组。
(4)为每位学生制作“作业本”(分配存储空间)。
通过活动目录(AD)为每位域用户配置的文件夹,称为主文件夹。将主文件夹映射至网络驱动器(比如z:),学生用户在“我的电脑”里可以看见网络驱动器,在这里存储文件,犹如在本机中存储一样,非常方便存取。用户盘符相同,内容不同。因为学生用户已加入Users组,他们只能把文件存储在主文件夹中。为了方便学生的个性化设置,还可以把“桌面”、“我的文档”的存储位置一并移至主文件夹内,这样每个用户可以设置个性化的计算机。这个“作业本”既可以培养学生良好的文件保存习惯,也便于学生存取学习过程中保存的个人资料。
2.学生机加入域模式
(1)将文件系统转换为NTFS。
(2)设置IP,DNS,加入域。
● 组策略管理用户工作环境
1.组策略提供的功能
(1)账户策略的设定:设定用户密码的长度、密码使用期限、账户锁定策略等。
(2)脚本(Scripts)的设定:如登录/注销、启动/关机脚本的设定。
(3)用户工作环境的设定:如隐藏用户桌面上所有的图标;删除“开始”菜单中的“运行/搜索/关机”等功能;在“开始”菜单中添加“注销”的功能等。
(4)文件夹转移:如改变“我的文档”、“开始菜单”等文件夹的存储位置。
可以针对站点、域或组织单位来配置策略。
2.组策略的组成
组策略中包含“计算机配置(ComputerConfiguration)”与“用户配置(Userconfiguration)”两部分。
(1)计算机配置:当启动计算机时,系统就会根据组策略中的“计算机配置”的内容来配置计算机环境。举例来说,如果针对域abc.com配置了组策略,那么组策略内的“计算机配置”就会被应用到此域内的所有计算机。
(2)用户配置:当用户登录时,系统就会根据“用户配置”的内容来配置用户的工作环境。举例来说,如果针对“业务部”OU设定了组策略,那么,组策略内的“用户配置”就会被应用到此OU内的所有用户。
● 对组策略的具体设置
1.对学生计算机设置
(1)统一禁用USB存储设备。USB虽然便利,但也给统一管理带来了难度,加之USB鼠标普遍应用,禁用USB存储设备似乎成了难题,可以通过组策略实现禁止。
(2)客户端的Administrator统一密码。学生机加入域模式后,登录框有本地登录和域模式两种选择。我们需要将所有Administrator添加密码。
(3)清除用户上次的用户名。在学生注销后,自动清除学生的用户名。
2.对用户设置——实现资源建设与管理
在域控制器(DC)的活动目录(AD)先对用户(这里不仅指学生,还包括教师)分组,再通过组策略分配用户对资源空间的权限。“作业本”只有学生本人能完全控制,任课教师只能读;任课教师的专用资源文件夹只有自己可以读写,其他人只能读。
这样学生用账号登录,在“我的电脑”里可以看到虚拟的盘符,所有人盘符相同,内容不同,随着登录的用户名变化,彼此之间无干扰。
经过以上三大步的设置,每天第一节课前把机器启动至交互式登录界面,学生通过用户名、密码登录,每个人可以自由地使用计算机,方便地使用资源,存取文件。下课后,注销用户。学生用户之间无任何干扰。“作业本”、“个性化电脑”随着用户走,既节省了开机等待时间,也因为无需固定座位,便于合作学习的开展。
以上的设置,不仅可以用于教学环境,也可以用于工作环境,指定用户共享打印机;当然,我们还可以在此基础上实现数字化点名、数字化评价,全方位地打造我们的数字化教学环境。只有本着为学生学习更好服务的观念,才能全方位地改进教与学的关系。