计算机共享权限轻松设

精彩链接

计算机安全专家

在很多环境下我们可能需要和多人共用一台计算机,怎样保证其他人仅能够使用计算机,但是却不能对系统设置进行任何更改,或者禁止访问一些私人数据?

微软发布了具有这种限制功能的软件:Microsoft Shared Computer Toolkit(微软共享计算机工具,下文简称MSCT),该软件可以在一个统一的用户界面中完成对磁盘保护、Windows功能限制、用户配置文件以及辅助选项等一系列功能的设置。

一、安装MSCT

该软件目前是测试版,你可以免费下载:http://www.microsoft.com/downloads/details.aspx?familyid=7256D456-E3DA-42EA-857D-92B716077A84&displaylang=en,同时请留意,该软件只能安装在Windows XP SP2操作系统上,而且在使用MSCT之前,被安装的计算机需要已经通过Windows正版验证。

提示:如果还没有进行过验证,系统会在征求你的同意之后自动进行。

MSCT的安装很简单,一路单击“Next”按钮即可,当出现“Customer Information”对话框时,请单击“Register Now(立即注册)”按钮,然后在微软网站上完成注册,获得一个注册代码(注册过程需要使用微软Passport登录)。

ffmsct6.jpg
单击“Register Now(立即注册)”按钮

安装结束之后会自动运行准备开始向导,这是一个包含了很多选项的窗口。首先是一排工具,它们从左到右按顺序分别是:磁盘管理、用户账户、用户配置文件、Windows限制、Windows磁盘保护、辅助选项、用户手册、帮助、命令提示行工具,以及立刻注销命令。这些工具是在你对该程序进行过详细设置之后使用的,所以建议首先将其跳过,开始下面的步骤。

ffmsct2.jpg
开始向导

二、为Windows磁盘保护功能准备磁盘空间

该功能的作用类似硬盘保护卡,设置好之后,所有非管理员(指该工具的管理员,也就是安装该工具的用户,而不是指系统中其他具有管理员权限的用户)使用计算机时对系统盘的修改都会被记录在临时分区中,同时在系统重启动后并不会应用到Windows中。要使用该功能首先需要满足一些条件:

(1)硬盘上必须要有最小1GB,或者等同于系统盘10%容量的未指派空间存在。

(2)未指派空间的位置还有要求,必须位于主分区之后,不能位于主分区之前或者扩展分区之后。

(3)包含有未指派空间的硬盘不能有超过三个主分区。

因为我们的硬盘一般情况下都不会含有未指派空间,因此在进行着一步之前首先需要使用一些专用的磁盘管理软件,例如Symantec公司的PartationMagic(分区魔术师)将系统盘或者系统盘之后的分区体积减小,划分出一块未指派空间。因为PartationMagic是商业软件,没必要为了使用该工具而专门购买,同时该操作只需要进行一次,因此我们可以免费下载一些具有该功能的共享软件,对硬盘进行调整。MSCT推荐的TeraByte Unlimited BootIT Next Generation就可以下载到功能完整的试用版,下文也将以该工具为例进行介绍。

单击“TeraByte Unlimited BootIT Next Generation”链接就可以使用浏览器打开该程序的介绍页面。首先在桌面或者其他方便的地方创建一个名为“TeraByte”的文件夹,然后分别下载http://www.terabyteunlimited.com/downloads/makedisk.zip和http://www.terabyteunlimited.com/downloads/bootitng.zip两个文件,打开后将其中的文件解压缩到之前创建的TeraByte文件夹中。随后打开该文件夹,双击运行其中的Makedisk.exe文件,按照向导一路单击Next就可以创建一张具有完整功能的引导软盘或光盘(当然,你的计算机上需要安装有软驱或者刻录机)。

随后使用这张软盘或光盘引导计算机:

在欢迎界面上单击“Cancel”进入维护模式。单击“Partition Work”图标。然后在“Work with Partitions”界面上选择C盘,单击“Resize”按钮。单击“OK”按钮对该分区的文件系统检查错误。

在随后出现的界面上按照你的需要调整系统盘的大小。

在随后出现的警告对话框中单击“Continue”按钮。

当出现Resize Completed对话框后单击“Close”按钮。

拿出引导软盘或光盘,重启动计算机。进入到Windows之后,操作系统会告诉你,系统设置已经被更改,要是更改生效必须重启动Windows,同意重启动。

当然,这只是实现硬盘分区要求的一种方法,如果你没有刻录机和软驱,也可以选择其他可以在Windows下调整硬盘分区的软件,不管使用什么软件或方法,只要保证硬盘分区能够满足前面提到的3个条件就可以了。

另外要注意,虽然这些软件都号称可以无损数据调整分区,不过安全起见如果你的系统中有重要数据,在调整之前最好能进行备份,以便发生不测造成损失。

要确定你的硬盘已经做好了准备,请在“运行”中输入“diskmgmt.msc”并回车,打开磁盘管理控制台,如果在你的系统盘后面看到一块黑色的,标记为“为指派”的空间,那么证明硬盘分区已经准备好了。

_LEVEL1__三、账户及配置文件管理

打开MSCT,其中“Step 1(第一步)”已经变为“The disk is properly prepared and Windows Disk Protection is Off(硬盘已经准备好,而Windows磁盘保护未启用)”。

展开Step 2,“Select Computer Security Settings(选择计算机安全设置)”,可以按照自己的实际需要对这些选项进行配置,每个选项的含义如下:

ffmsct4.jpg
账户及配置文件管理

(1)Prevent account names from being saved in the Ctrl+Alt+Del logon dialog:防止在Ctel+Alt+Del登录对话框中保存账户名称,如果你选择按下Ctrl+Alt+Del打开登录对话框登录到Windows,那么默认情况下系统将保存上一个成功登录到Windows的账户的名称,这可能会成为一个安全隐患,因为其他人可能借此知道该计算机中账户的名称,因此该选项可以启用。

(2)Prevent Windows from caching Passport or domain credentials within user profiles:防止Windows在用户配置文件中缓存Passport或域凭据,默认情况下,当你使用Passport或者域账户登录系统后,Windows会将这些信息缓存在用户配置文件中,以便无法联机的时候能够脱机使用这些信息。为了提高安全性,该选项可以启用。

(3)Prevent logon to locked (or roaming) user profiles that can not be found to improve security:防止使用到找不到的锁定(或漫游)配置文件登录以提高安全性。

(4)Remove cached copies of locked (or roaming) user profiles to improve privacy and save disk space:删除缓存的锁定(或漫游)配置文件副本以增强隐私并节省硬盘空间,如果这台计算机加入了域,那么可能会有人使用漫游配置文件登录域,这样就会在本地硬盘上保存该用户配置文件的副本。如果需要该选项可以启用。

(5)Remove the Shut Down and Turn Off Computer logon options:删除关闭和关闭计算机登录选项,如果你不希望每个人都能关闭计算机,那么可以启用该选项。

(6)Remove *** from the Welcome screen:从欢迎屏幕上删除***(注意,***是该工具的管理员账户,也就是安装该工具的账户),这样别人就不知道这台计算机的工具管理员账户是谁,进一步提高了安全性,建议启用。

注意:该选项只是把该账户从欢迎屏幕上删除掉了,该账户依然存在于系统中,如果启用了欢迎屏幕,你可以在欢迎屏幕上连续按Ctrl+Alt+Del两次打开登录到Windows对话框,输入该账户的名称和密码并登录管理。

之后需要为访问计算机的受限用户创建账户了,单击Step 3,“Create a Public Account for Shared Access(为共享访问创建公用账户)”,随后单击“Open User Accounts(打开用户账户)”链接,在出现的用户账户设置程序中新建账户(注意,在选择账户类型的时候最好选择“受限”)。

然后我们可以为这个公用账户配置相应的配置文件,例如使用该账户登录后可以看到什么样的墙纸,使用什么主题,开始菜单中包括哪些项目,IE的首页,IE的收藏夹中都有哪些内容,等等各种个性化的设置都可以在这里配置。展开Step 4,“Configure the Public User Profile(设置公用配置文件)”,然后单击“Log Off Now(立即注销)”按钮,并使用公用账户登录。

登录之后按照实际需要设置该账户的配置文件,我们可以把墙纸设置成统一的样式(例如公司或者学校的标志),并将IE的首页设置成公司或学校的网站,可以设置的内容还有很多,大家可以自己研究。

设置完之后注销,并使用管理员登录。如果你之前曾经设置了在欢迎屏幕上隐藏工具管理员,那么你将发现在欢迎屏幕上已经不见管理员的踪迹了(这个选项是可以立即生效的),连续按两次Ctrl+Alt+Del打开登录对话框,输入管理员的用户名和密码,并进行登录。

四、Windows限制

接着我们可以对之前为公用账户设置的配置文件进行一些限制,例如,你可能不希望公用账户更改Windows主题、IE首页以及收藏夹等内容,那么可以展开Step 5,“Restrict and Lock the Public User Profile(限制并锁定公用配置文件)”,然后单击“Open Windows Restrictions(打开Windows限制)”按钮。

在出现的Windows限制对话框中,首先单击“Select a Profile(选择配置文件)”按钮打开选择配置文件窗口,选择之前创建的公用账户的配置文件,然后单击选择右侧的“Lock this profile(锁定该配置文件)”选项,防止用户登录后对配置文件进行更改。

ffmsct3.jpg
Windows限制对话框

如果你不希望公用账户登录后看到你的某些硬盘分区,那么可以单击“Select Drivers to Restrict(选择要限制的分区)”按钮将其隐藏。在出现的对话框左侧的“Listed”列表显示了该账户登录后可以看到的分区,而“Restricted”列表显示了该账户看不到的分区。你可以根据实际需要对这里的分区进行设置。

ffmsct7.jpg
根据实际需要对这里的分区进行设置

该对话框下方的“Recommended Restrictions for shared Accounts(公用账户的建议限制)”列表中包括了大量设置,这些设置主要分为开始菜单限制、常规Windows XP限制、Internet Explorer限制、Office 2003/XP限制、软件限制策略、可选微软程序限制和开始菜单程序图标限制7大类共50项,分别对上述提及的每一类内容都进行了充分的限制,彻底堵死了公用账户更改系统的途径。你可以按照实际需要选择这里的每个选项。

设置完成之后单击“Apply(应用)”按钮,然后可以单击“Select a Profile”按钮继续限制其他账户的配置文件,或者单击“OK”退出。

接着就需要进行第七步,“Test the Public User Profile(测试公用配置文件)”了,注销出去,使用公用账户登录,并进行各种操作,以验证每个限制是否被成功应用。如果有遗忘的地方,那么可以重新使用工具管理员账户登录,并进行调整。

五、打开磁盘保护

再次使用工具管理员账户登录,我们需要完成Step 7,“Turn on Windows Disk Protection(打开Windows磁盘保护)”,因为只有这样我们才能保证系统盘不被人轻易修改,并随时可以恢复。单击“Open Windows Disk Protection(打开Windows磁盘保护)”按钮,在出现的对话框中选择“Turn On(打开)”即可打开Windows磁盘保护功能。默认情况下在打开磁盘保护功能之后对系统盘所做的任何操作都将在操作系统重启动之后被撤销。

在打开Windows磁盘保护功能之后有个问题需要注意,就是Windows补丁程序的安装和其他软件的更新。因为所有对系统盘的更改都不会保存,因此在启用磁盘保护功能之后,如果操作系统安装了补丁程序,下次重启动的时候这些补丁也会丢失。这是一个比较麻烦的问题,因为每次重启动系统之后系统都会被暴露在漏洞中,增加了危险,而每次重启动之后重新下载和安装不定程序也非常不实际。因此该工具包含了一个功能,利用脚本文件判断需要保留的更改。

默认情况下Windows自己的更新程序不会受到磁盘保护功能的影响,就算撤销了对系统盘的更改,这些补丁程序仍然会被保留。同时还有杀毒软件以及其他软件的更新彻底能够续,默认情况下该工具可以批准Computer Associates Etrust 7.0和McAfee VirusScan 2005这两个杀毒软件的病毒定义更新。

如果你使用了其他杀毒软件,或者有其他程序的更新程序需要批准,有两种方法可以实现,一是自己为需要批准的程序的补丁创建可以批准的脚本,另一种则是使用工具管理员账户登录,并批准对系统盘的更改。当然,这两种方法各有利弊,如果你有能力自己编写脚本,那么第一种方法就要简单得多,而且以后每次的更新,以及多台计算机的更新使用一个脚本就可以实现(脚本的编写方法请参考用户手册)。如果你不会编写脚本,那么用第二种方法也很方便。

设置好之后单击“OK”按钮,系统盘就开始处于Windows磁盘保护功能的保护之下了。随后系统需要重启动。

如果你需要批准对系统盘的某些更改(例如安装了新的软件,或者更改现有的设置),那么也很简单。在进行更改之前,首先重启动计算机,以清除磁盘操作记录,然后使用工具管理员账户登录系统(具体是哪个账户,如何登录,前面已经介绍过了)。打开MSCT工具,并打开“Windows Disk Protection”程序,在“Restart Option(重启动选项)”中选择“Save changes with next restart(保存下次重启动的更改)”,并单击“OK”退出设置程序。随后你就可以对系统盘进行任何设置了,安装所需软件,设置所需选项,然后重启动系统,系统会自动接受这一次更改。但是随后系统就又开始拒绝新的更改了。

ffmsct5.jpg
“Windows Disk Protection”程序

你可能注意到了,在上述对话框的“Restart Option”选项下还有其他两个内容,“Retain changes for one restart(保留下次重启动的更改)”和“Retain changes indefinitely(保留不确定更改)”。你可能会遇到这种情况,有时候需要安装一个新软件,但你不确定这个软件是否满足你的需要,或者这个软件是否像宣传的那么好,那么在这种情况下你就需要这两个选项了。在安装软件之前首先使用工具管理员账户登录,然后选择这两个选项中的任何一个。这两个选项的区别在于,第一个选项仅将系统盘的更改保留一次重启动,也就是说,当你做出更改,第一次重启动系统之后,这些更改依然存在,但是当你第二次重启动之后,这些更改就会被撤销了。而后者的含义则是在你决定接受更改或者拒绝更改之前,这些选项将一直保留。当然,这些选项必须在你对系统作出更改之前就选择好。

如果你选择了“Retain changes indefinitely”选项,发现自己所做的更改是需要被永久保留的,那么就可以以工具管理员账户登录,运行“Windows Disk Protection”程序,选择“Save changes with next restart”选项;如果你觉得对系统所做的更改不需要保留,那么只需要选择“Clear changes with each restart”选项即可。