为适应现代教育发展的需要,在学生公用机房改变单一结构模式、为工作站配置硬盘、安装WINDOWS系统、扩大网络规模势在必行。
本文提出了实现上述要求的一种立体网络模式:在服务器上安装Netware,、Win Nt服务系统,带硬盘的学生工作站能够通过MSdos、Windows或者Nt Workstation等操作环境登录Novell网、Nt网和对等网。这种模式能够较好地适应现代教学的需要,但它同时也对管理和技术维护提出了更高的要求。本文提出采取“自保为主,软件为辅”的策略,从“Novell网络服务系统的管理”、“工作站本地资源的保护”和“严格制度管理”三个方面讨论了对该系统的维护措施。
努力做到对资源高效利用又安全方便地管理,这是本文的宗旨。
关键字:系统 安全 管理与技术维护
正文:
随着现代教育的发展和教改的深入,计算机在教学中发挥着日益重要的作用,有条件的中小学相继建立起自己的公用机房。把学生电脑连成网络、实现共享资源、统一管理成了学生公用机房的一个难题。
正文:
随着现代教育的发展和教改的深入,计算机在教学中发挥着日益重要的作用,有条件的中小学相继建立起自己的公用机房。把学生电脑连成网络、实现共享资源、统一管理成了学生公用机房的一个难题。
努力做到对资源高效利用又安全方便地管理,这是本文的宗旨。
一、目前形式与存在问题
目前,还有相当部分公用机房选择了“无硬盘,带软驱工作站”或“无硬盘,无软驱工作站,采用远程启动”的Novell网络系统。在这种集中管理的环境下,提供给学生用户使用的系统,相当于一个带有存储管理的外部存储系统(文件服务器),通过Netware系统的管理程序,管理员可以十分简单地对资源进行管理,对学生机进行维护。但随着信息技术的飞速发展,这种结构较简单的网络系统,已不能很好地适应教学的需要。较典型方面表现在:
1.教学内容受到限制,如不少非网络版软件无法使用,对必须在Win95/98操作环境下运行的应用软件也难以教学,如 Microsoft Word,Powerpoint,Authorware,等;
2.由于所有软件都必须在网上运行,使得网络负担较重,运行速度受到影响;
3.在教师整理或删除服务器硬盘资源时,学生无法备份自己的文件;
4.学生在网上只能在极其严格的统一权限范围(为安全起见)内,进行较简单的操作,这不利于发挥学生的主动性和培养学生素质。
二、为公用机房提供Windows集成环境是一种趋势
(一)为工作站配备硬盘,提供Windows集成环境
学生机配备硬盘,可以安装独立的Windows系统,如Win95或Win98,从而可以建立一个基于Windows操作环境的网络如:Windows Nt4.0,即在服务器上可以安装Netware3.12(或更高版本)和Windows Nt Server4.0,文件启动时,可以选择登录Nt Server或进入DOS操作系统;安装双网卡,内联局域网外接互联网;在所有工作站安装Win95/Win98或其它微软产品如Windows Workstation 4.0,制作与Msdos的双启动;对教师机这台特殊的工作站,要配备软驱和光驱及其它媒体设施。
学生机配备硬盘,可以安装独立的Windows系统,如Win95或Win98,从而可以建立一个基于Windows操作环境的网络如:Windows Nt4.0,即在服务器上可以安装Netware3.12(或更高版本)和Windows Nt Server4.0,文件启动时,可以选择登录Nt Server或进入DOS操作系统;安装双网卡,内联局域网外接互联网;在所有工作站安装Win95/Win98或其它微软产品如Windows Workstation 4.0,制作与Msdos的双启动;对教师机这台特殊的工作站,要配备软驱和光驱及其它媒体设施。
通过这样的设置,Dos与Windows能发挥各自的优势,又互补不足,这样的机房网络系统成立立体式结构。学生在Dos环境下可以登录Novell,也可以登录NT;在Win95/98中,既能登录NT网和Windows对等网,还能方便地进入Novell网。无软驱工作站访问服务器和共享资源变得灵活方便,教师机在工作站与服务之间起着重要的纽带作用,同时这种网络互联的模式也为解决各种故障提供了坚实的技术基础。
(二)可能出现的故障(以 Win95为例)
Windows系统的透明度大,有盘工作站的安全性显然易受到威胁。学生使用不当,就有可能破坏工作站系统,甚至会使之瘫痪,根据被破坏的对象及程度,这些影响系统正常使用的故障,体现在以下几个方面:
1.修改了Windows的设置及其它文件,但系统能工作。如:MSDOS。SYS的内容被修改,失去了双启动的功能;Windows的画面被调换或被加上屏幕保护口令等等。
2.破坏了 DOS或Windows下的某些应用软件。
3.删除了NoVell的登录文件,甚至可能还删除了MSdOS的启动文件,如MSDOS。DOS,导致无法登入Novell网。
4.破坏了Windows的系统文件,导致无法登录Windows,但可以原版本的Msdos方式进入DOS环境。
5.两个系统的系统文件均遭到严重破坏,既不能引导原Dos版,也无法进入Windows界面,但还可以进入Win95下的Dos环境。无法利用任何一个网络。
6.引导区信息被破坏,硬盘无法引导系统,自检后呈死机状态。
解决问题的根本办法在于防范,在于对系统的保护与维护。
三、系统的安全管理与技术维护
(一)Novell网络服务系统的管理与维护
(一)Novell网络服务系统的管理与维护
1.对服务器上的资源应进行合理的安排与规划
Netware的文件服务器是一个强大载体,包含了学生所使用的大部分资源,创建的文件及大量的Netware系统文件。对其硬盘上文件的规范存取,将影响到系统的使用效率,读取速度、文件安全和系统的使用寿命。
将系统文件、应用资源、用户文件存放在不同区。一种方式是建立三个卷,可以分别命名为SYS,PROGRAM,USER,并把它们映射为F,G,H驱动器;如果事先只建立了一个卷SYS(映射为F:),可以采取把子目录作为根目录映射网络驱动器的方法,如创建F:\PROGRAM与F:\USER子目录,使用map root命令分别映射为G,H。学生使用时,两种方式的效果几乎相同。F:区用来存放系统文件,G:区用来存放应用软件,H:存放所有用户目录(包含所有学生创建的文件)。此外,还得注意在F:\下建一子目录backfile,用来备份所有启动文件和各应用软件的安装文件。
2.兼顾整体与特殊,建立帐户与分配权限
建立符合学校实际的帐户清单,中小学公用机房使用的主体可能有:多个班级学生,若干个兴趣小组,教师。主体不同,应用的具体内容不同,不宜用相同的帐户。建议一个学生建一个帐户,同班学生帐户名的开头字符相同,后两位为座号,不同班组学生的开头字符呈“有序”的规律,这对查找,清除等管理极为方便;帐号以组的形式管理,一个班一个组,兴趣小组及教师视数量也建立若干个组;除此之外,需建立一定数量的独立帐户或特殊组,供各级管理员、临时或客级用户使用。
权限分配以组为单位进行,安全又便于管理。当要增加新用户时,只需把新用户放入某个组即可。用户对某目录/文件的权限可通过三种途径限制,其中“继承权限屏蔽”应尽少改变,采取直接赋权给组或用户的方式,对目录下的一些特殊文件或目录,可进行定义文件/目录属性。软件资源均放在G:盘,由于学生的使用权限基本相同,故可事先对G:盘或SYS:PROGRAM子目录设置统一的权限,这样,增加新软件和对用户的操作就非常简单了。
3.控制学生的工作软硬环境
1)为每台机子贴上标号,学生位子固定。
2)使用系统登入原稿,不用或少用用户原稿,有利于管理和指导教学。注意把学生用户目录以根目录的形式影射为H:盘,使学生均在自己独立的H:盘上工作。
3)实现人机对号,时间与空间限定。为防止盗用帐号,维护用户文件的安全,通过Novell的管理程序SYSCON来限定每个用户只能从某台工作站登入,由于用户可能上千个,可以使用F5连续选择,成批限定;还可以根据课程表,限定每个班级的允许登录时间;另外还可以0为每个用户分配最大使用空间。
4.适时整理服务器硬盘
硬盘容量有限,对用户目录下的文件要定时备份,删除。由于用户目录成百上千个,并且子目录复杂,所以有必要借助某些软件进行快速清除,或选择删除,如NC;也可以自己编写一些有相应功能的小程序,这些程序的编写,用Pascal,C,Foxbase等语言均能较容易地实现。
删除时,有两个问题值得注意:l)若有进行Pascal编程教学,应经常性的删除所有学生用户下的语言程序临时文件和备份文件,临时文件会占用大量的空间;2)使用del或deltree。exe对服务器上的文件进行删除时,只是一种“假删除”,必需经过Purge命令的清除,才能真正解放硬盘空间。对服务器的硬盘不是很大的公用机房,尤其要注意这两个问题。
适时修复卷,或者重装卷,较长时间后,有必要进行重装系统。网络应用时间过久或太频繁,都可能出现速度变慢或其它通讯故障,对卷进行修复后会得到一定改善,若情况较严重,还要考虑采取通过加载INSTALL管理程序重装卷;注意在删除卷前要备份Autoexec.ncf,StartuP.ncf,登录脚本,用户帐户等记录文件,若有必要,可以把学生所在目录的总目录也拷到教师机,在卷建立后,再恢复所有备份文件。采用这种方法建立的卷,系统得到更新,速度恢复正常,不会破坏学生的文件,操作起来也很简单。
5.要切实维护好Novell网,还得了解一定的网络布线和传输原理,在实践中不断总结经验。
(二)维护网络工作站的本地盘资源
(二)维护网络工作站的本地盘资源
1.禁止用户修改CMOSE
为CMOSE设置口令,禁止学生修改其中设置,这是保护工作站的第一关。
2.基于Windows操作系统的保护(以Win95为例)
Windows安全性的脆弱为管理工作站带来极大的不便。保护Windows即保护它的启动文件、重要信息、系统设置及应用程序。目前对于这方面的单机保护方式和相关软件,已有不少介绍。针对一个无软驱,多种用户使用的工作站的保护,可以通过应用注册表,采取“自保为主,软件为辅”的方法,具有很实际的效果,下面进行概括介绍。
根据使用者的身份,把用户分为系统管理员,一般用户与非法用户。一般用户为使用得到允许的用户名进行登录的学生或教师,非法用户为擅自使用未经登记的“用户名”,或按ESC键的登录者。管理员可以事先分别以这三种身份登入,限制相应权限,再退出,保留设置。这样做,即能保证系统安全,又能维护教学。对系统管理员自然不必作出限制,只需修改两个设置:进入控制面板的“用户配置文件”选项,选中“用户自定义首选项和桌面设置”、“在用户设置中包含桌面图标”和“在用户设置中包含‘开始’菜单和程序组”三项内容,重启,输入用户名登录;由于Win95在退出时有保留工作状态,下次启动重现的功能,为了不留下安全隐患,需给予取消,方法是:运行regedit.exe进入注册表编辑器HKEY-CURRENT-USER\SoftWare Microsoft\Windows\CurrentVersion\Policies路径下,选中explorer主键,新建二进制值NsaveSetting,键值改为01000000即可。至此,管理员一项设置完成。
对中学生一般用户与非法用户的限制可以从以下几个主要方面考虑:
Ⅰ.隐藏Windows系统所在驱动器,如C盘,而开放其它盘给用户进行读写等操作。保护了C盘上的文件,也就保护了Win95。具体操作是:进入注册表HKEY-CURRENT-USER\Software\Microsoft\Windows\Current\Version\Polices,新建二进制NoDrives,建值为040000。以下Ⅱ到Ⅵ的操作是只是路径和键值不同,九八年四月七日的电脑报,有详细叙述。
对中学生一般用户与非法用户的限制可以从以下几个主要方面考虑:
Ⅰ.隐藏Windows系统所在驱动器,如C盘,而开放其它盘给用户进行读写等操作。保护了C盘上的文件,也就保护了Win95。具体操作是:进入注册表HKEY-CURRENT-USER\Software\Microsoft\Windows\Current\Version\Polices,新建二进制NoDrives,建值为040000。以下Ⅱ到Ⅵ的操作是只是路径和键值不同,九八年四月七日的电脑报,有详细叙述。
Ⅱ.在Win95下禁用Msdos方式和禁止重启时选择切换到Msdos方式,防止用户从DOS进入被隐藏的驱动器。
Ⅲ.禁止用户进入控制面板,或禁用其中的某些项目,如:虚拟内存,文件系统,设备管理等等。防止系统的硬件配置被更改。
Ⅳ.禁止使用显示属性,或其中的某些项目。
Ⅴ.禁止学生使用“regedit.exe”。
Ⅵ.隐去桌面所有图标。
经过试验,对一般学生用户采取Ⅰ到Ⅴ项措施,有利于保护系统的安全,又不影响教学。在实际操作中,只需设置一台工作站,然后通过对等网和注册表编辑器的文件引入、文件导出功能完成全部工作站的设置。如果有需要取消所有的限制,不必重复进行操作,只要以系统管理员身份登录,恢复控制面板中的用户配置文件原有选项即可(一般用户和非法用户对控制面板的这项操作被禁止)。注册表的上述修改,虽只是局部分支变化,但如果对注册表不是很熟悉,建议在修改前,要备份当前状态的两个注册表文件。
3.基于DOS操作系统的文件保护
在原版本的DOS下,主要是保证IO.SYS,MSDOS.SYS,MSDOS.W40,COMMAND.COM,COMMAND.W40,NET.BAT及net,windows等子目录和文件不被破坏,使两个操作系统和Novell网络都能正常登录。可以通过以下途径,综合采取“加密”,“隐藏”,“限制命令”和“备份”的方法,保护这些文件/目录。
l)分出一硬盘分区,作为备份盘,备份要保护的重要文件/目录,再借用一些软件或用汇编编写一些小程序对该盘进行加密。为节省硬盘空间,可以只备份所有启动文件和Win95的安装文件,甚至可以简单地备份Dos的启动文件和登录Novell的[net]目录,因为只要能登上Novell网,即使所有其它文件均被破坏(包括Win95系统),在这无盘工作站上,都可以通过Novell网,直接在网上或下载重新安装。若事先没有更多分区,也可以只建一备份目录backfile,进行类似保护。
2)用arrib.exe外部命令对要保护的文件加隐含,只读,系统文件属性。如在C盘根目录下执行attrlb*.sys+r+s+h;attrib windows+r+s+h。若使用了备份目录backfile,也可将此目录设置成这些属性。将attrib在设置完所有其它文件的属性后,转移至备份盘(目录)。
3)修改,转移部分DOS内外部命令。学生使用某些内外部命令会给要保护的文件带来威胁,如del,deltree,copy,move,ren,fotmat,fdisk等等;在DOS环境下,建立禁止学生对本地盘进行这些相关操作,对外部命令可以转移到备份盘/目录,对内部命令,用Pctools工具,从COMMAND.COM中删除,然后用语言自行编写具有同样功能的程序,编译成外部命令使用,并存放于备份盘/目录。由于学生对Novell网上本人用户目录下文件应享有绝对的权利,所以把这些外部命令(包括自行编写的)存放一份在服务器上,并适当修改,使这些命令对F:以前的驱动器无效。由于服务器上的资源都有经过安全设置,故不会遭到破坏。此外为确保管理员是备份
目录backfile的唯一使用者,可以对backfile目录加密,或者在attrib命令转移至backfile目录后,用pctools具将DIR的/A功能取消。
目录backfile的唯一使用者,可以对backfile目录加密,或者在attrib命令转移至backfile目录后,用pctools具将DIR的/A功能取消。
在实际操作时,可写入批处理文件,放到网上,让所有工作站一起运行,完成设置。
4.上述措施要根据实际需要结合起来使用
实践证明,采取这一系列防护措施,是一种行之有效的方法。它充分利用系统本身的功能,步步为营,环环相扣,实现保护;同时也免去了寻找软件之苦。
实践证明,采取这一系列防护措施,是一种行之有效的方法。它充分利用系统本身的功能,步步为营,环环相扣,实现保护;同时也免去了寻找软件之苦。
当出现上述五个*号故障问题时,有相应办法解决。
对问题1*:修改了Windows的设置及其它文件,但系统能工作。如MSDOS.SYS的内容被修改,失去了双启动的功能;Windows的画面被调换或被加上屏幕保护口令等等。只需进入Win95恢复设置即能解决。
对问题2*:破坏了DOS或Windows下的某些应用软件。解决办法是登录某个网络,通过共享光/软驱、利用服务器上备份文件或从网上下载,进行重新安装。
对问题3*:删除了Novell的登录文件,甚至可能还删除了Msdos的启动文件,如MSDOS.DOS,导致无法登入Novell网。解决办法是从备份盘/目录恢复被删文件,或登录对等网或NT网从其它工作站拷贝得到文件。
对问题4*:破坏了Windows的系统文件,导致无法登录Windows,但可以原版本的Msdos方式进入DOs环境。解决办法是:先考虑从备份文件中复制Win95的启动文件,若仍无法登录,再从备份的安装文件或通过Novell网重新安装Win95系统。
对问题5*:两个系统的系统文件均遭到严重破坏,既不能引导原DOS版本,也无法进入Windows界面,但还可以进入Win95下的Dos环境。无法利用任何一个网络。由于不能启动原版本的Dos,无法登录Novell网,也无法进行其它网络传输,解决办法只能从备份文件所在盘,重装Win95到C盘,再在Win95下登录Novell网或对等网,拷得Dos的启动文件IO.SYS,COMMAND.COM,MSDOS.SYS等,恢复工作站原版本DOS系统。
(三)加强思想教育,严格制度管理
要做好计算机系统的安全防卫工作,任何技术方案都不应当是唯一的防护措施,它必须与相应的管理措施一起使用才能凑效。首先要对学生进行计算机安全教育,让学生了解有意破坏公用和他人文件会给集体带来的危害,认识到这是一种不文明的行为。机房计算机出现的问题,80%到90%都是由于学生的不规范操作造成的,如果教师事先有讲授正确操作的注意事项,有预先布置上机内容,学生能认真严肃对待上机课,那么大部分问题是可以避免发生的。其次,要制定严格的机房使用制度。第一节课就必须让每一个学生明确制度内容,对学生违纪情况切不可采取“宽容”政策,否则不良风气容易扩散;对还处于贪玩、好奇,同时责任感不很强的中小学生尤其要注意培养起良好的上机习惯。
四、未能解决的问题
扩大机房系统规模,为工作站安装硬盘,组建多种结构互存的整体系统,势在必然。本文所叙述的管理与维护技术,着眼于系统本身的全面、合理规划和实现系统自保,并辅助地使用应用软件。这样的处理,灵活、方便,效果实际;在DoS下的保护需要占用一定的硬盘空间,但若把备份资料精简到最低限度(包括DOS的启动文件,一些外部命令文件,及登录Novell的四个启动文件),所需空间也不超过1M。当然,这里所使用的方法还存在缺陷,需要继续简化和完善,就本文的讨论而言,还存在一个问题有待解决:当位于硬盘0道1扇区的引导信息被破坏时,工作站无法启动任何系统。此外,如果经济条件允许,建议在工作站上增加远程启动芯片,为保护工作站添加最后一道防线。
操作系统从单用户发展到多用户,是微电脑历史的一次革新,而学校公用机房如何做到“既巩固学生机的工作站地位,便于管理,适应教学,又扩大站点功能,强化它的‘个性’,两者齐驱并驾”,是今后的努力方向,如:公用机房实现监控式网络教学,工作站多媒体化等等。功能提高与技术维护是相辅相成的,相信在不远的将来,两者会有更加完美的结合。
