郭福强

（新疆幼儿师范学校，新疆乌鲁木齐 830001）

多名教师安全共享一台电脑的实现方法

郭福强

（新疆幼儿师范学校，新疆乌鲁木齐 830001）

多名教师共享一台电脑的使用模式必须解决系统安全、各教师允许使用的硬盘空间应有限额、各教师存储在硬盘上的资料的隐私性等问题。本文从问题的提出、规划解决方案、实现方法、组策略与权限等方面全面详实地介绍了多名教师安全共享一台电脑的实现方法。

计算机设备；安全；共享

引言

在西部地区，经济条件较好的学校，也常常是一个办公室只配备一台电脑供教师备课或上网查阅资料。这种多名教师共享一台电脑的使用模式必须解决以下几个问题：①确保系统安全。这里的安全是指，电脑中没有账号的人员不可使用电脑或有所限制的使用，没有经过授权的用户不可修改系统配置，也不可随意修改、删除系统文件及应用软件。②硬盘空间是各用户的公共资源，确定各用户所允许使用的硬盘空间应有限额。③各用户存储在硬盘上的个人资料应具有隐私性。

一、规划解决方案

（1）操作系统采用Windows XP Professional-SP2。

（2）进行硬盘磁盘卷的划分。整个硬盘分为四个 NTFS（New Technology File System）卷。C盘为系统卷，只安装Win XP系统；D盘为软件卷，各用户使用的软件都在D盘中存放；E盘是各用户存放数据的卷，各用户具有隐私性的数据都存储在该卷上；F盘是公用数据卷，该卷用于存放拥有账号的用户和来宾账户的公开数据。任何使用机器的用户都可使用其中的数据，但各用户之间存储的数据不可相互修改与删除。

（3）安装完系统后，取消Win XP默认的“使用欢迎屏幕”登录方式并删除安装Win XP时所创建的管理员账号，只保留系统内置的管理员账号（Administrator）。

（4）使用管理员账号（Administrator）登录并安装办公软件和常用应用软件。如安装Office2003中的Word、Excel、PowerPoint和 Access，瑞星杀毒软件，压缩软件Win-RAR，图像处理软件 Photoshop，即时通讯软件QQ等。

（5）用Win XP组策略修改系统配置。

（6）建立除管理员账号之外的其他用户账号，并为用户使用的磁盘空间进行配额。

二、实现方法

以下内容以教师刘存林、黄锡忠、姚发云、努尔斯曼四名教师共享一台40GB硬盘的电脑为例，详细介绍实现方法。

1.安装操作系统

安装操作系统时，将40GB硬盘分别设置为 C盘5GB，D盘5GB，E盘20GB，剩余空间分配于F盘。

分区划分好后，以“典型设置”、“加入工作组模式”安装即可。

2.取消“使用欢迎屏幕”登录方式，并删除安装WinXP时所创建的管理员账号

单击 [开始]→[控制面板]→[用户账户]→[更改用户登录或注销方式]，将[使用欢迎屏幕]前的√取消，并单击[应用选项（A）]按钮。重新启动电脑，出现登录画面后，在[用户名（U）]输入框中输入Administrator并输入密码 （如果安装Win XP时设置了密码），再单击[确定]按钮后重新回到Win XP的桌面。

在Win XP的控制台窗口中添加“计算机管理”单元。单击[开始]→[运行]，在[运行]对话框的输入框中输入mmc启动Win XP“控制台”窗口。单击[控制台1]窗口菜单栏[文件]菜单项的[添加/删除管理单元（M）…Ctrl+M]，打开[添加/删除管理单元]，再单击[添加（D）…]按钮，选择[可用的独立管理单元：]中的[计算机管理]项并单击[添加（A）]，出现[计算机管理]窗口后，单击[完成]按钮。

用添加“计算机管理”项同样的方法添加 [组策略对象编辑器]项。完成后在“控制台1”窗口中的“控制台根节点”文件夹下应包含[计算机管理（本地）]和[“本地计算机”策略]两项。

最后，单击[控制台1]菜单栏的[文件 （F）]菜单项，保存一个名为“MyCtrl”的控制台（以后还要用到“MyCtrl”）。

在[控制台1]窗口中展开[计算机管理（本地）]→[系统工具]→[本地用户和组]，单击[本地用户和组]下的[用户]文件夹。此时，可看到安装Win XP时建立的管理员账户名，右键单击该账户名即可删除该账户。

值得注意的是，安装Win XP时建立的管理员账户虽然已被删除，但该账户启动时所创建的启动用配置文件夹（里面含有该账户用的启动配置文件——隐含的）并未从系统中删除。为使系统结构清晰，最好也把该账户启动时所创建的启动用文件夹从系统中删除。使用Win XP的资源管理器展开C盘的“Documents and Settings” 文件夹，即可看到与该账户名同名的一个文件夹，将其删除即可。

3.安装办公软件和常用应用软件

使用管理员账号（Administrator）登录，安装下列软件。

（1）将瑞星杀毒软件2009版安装在D: isingRav。

（2）将 PhotoshopCS 简体中文版安装在D:AdobePhotoshop CS。

（3）将 WinRAR安装在 D:WinRAR。

（4） 将 qq2008betl安装在 D:TencentQQ。

（5）将 Office2003安装在 D:Microsoft Office。

注意：安装Office时应选择自定义安装，其中含五笔字型输入法86版和98版，只有通过自定义安装方式才能将五笔字型输入法安装到系统。

若安装其他厂商开发的五笔字型输入法，如极品五笔等，安装完后除以管理员账号Administrator登录外，其他用户将无法使用五笔字型输入法。

4.用WinXP组策略修改系统配置

单击[开始]→[运行]，在[运行]对话框的输入框输入mmc后单击[确定]按钮，再次打开控制台管理器保存的“MyCtrl”。

展开[“本地计算机”策略]→[计算机配置]→[管理模板]→[Windows Installer]节点，双击[防止非管理员应用供应商签名的更新]使其设置为“已启用”。①

展开[“本地计算机”策略]→[用户配置]→[管理模板]→[任务栏和「开始」菜单]节点，双击[阻止更改“任务栏和「开始」菜单]，使其设置为“已启用”。②

[计算机配置]节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

[用户配置]节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但也有例外，如注②中的设置，不仅影响用户Administrator，而且它对Users组中的所有成员都有效，但对Guests组中的成员不起作用。

另外，基于策略的设置可以对计算机进行更加灵活的管理，有许多设置值得我们去探究。

5.建立各用户的账号并为用户使用磁盘空间进行配额

打开Win XP的资源管理器，选择[工具（T）]→[文件夹选项（O）…]→[查看]，将[使用简单文件共享（推荐）]前的√取消。

单击[开始]→[运行]，在[运行]对话框的输入框输入mmc后单击[确定]按钮，Win XP的控制台被打开，在控制台中打开上面保存的“MyCtrl”，展开[计算机管理（本地）]→[系统工具]→[本地用户和组]节点，右击[用户]新建用户名“刘存林”、“黄锡忠”、“姚发云”、“努尔斯曼”四个用户账号。

右键单击E盘盘符，打开E盘“属性”面板后单击[安全]选项卡，将[安全]选项卡中的Users组删除。

打开资源管理器，在E盘的根目录下分别建立名为 “刘存林”、“黄锡忠”、“姚发云”、“努尔斯曼”四个文件夹（用真实姓名作为文件夹名的目的是，使用机器的教师看到自己的名字就知道这是自己的文件夹）。这四个文件夹分别用于存放四名教师的隐私数据。

右键单击E盘中名为 “刘存林”的文件夹，打开“刘存林”文件夹的“属性”面板，选择其中的[安全]选项卡，将账户“刘存林”加入其中并将权限中的[完全控制]的[允许]框打上绿色。对名为“黄锡忠”、“姚发云”、“努尔斯曼”的文件夹进行类似的设置。设置完成后，四个文件夹就分别成了四名教师存放隐私数据的文件夹了，接下来对四名教师所能使用的磁盘空间进行磁盘配额设置。

右键单击E盘盘符打开E盘“属性”面板，单击[配额]选项卡将[启用配额管理（E）]和[拒绝将磁盘空间给超过配额限制的用户（D）]前的方框打上对勾，再单击[配额]选项卡上的[配额项（Q）…]，打开[本地磁盘（E：）的配额项目]窗口后，单击[配额（Q）]→[新建配额项（N）…]，打开[选择用户]对话窗口，在输入框中输入账户名“刘存林”后单击[检查名称（C）]按钮，再单击[确定]按钮，将出现[添加新配额项]面板，对账户“刘存林”进行2GB的配额限制。其他账户配置方法类同，不再赘述。设置完成后，这四个用户分别就有了2GB的私人空间。

经笔者实际测试，需要说明的是：“刘存林”、“黄锡忠”、“姚发云”、“努尔斯曼”这四个用户账户也可分别进行C盘、D盘的配额限制。不过不能将四个用户对C、D盘配额限制设置为0，最小值只能为1KB。

因为，每个用户在启动时都要使用启动配置文件 （启动配置文件夹大小约为5MB），而各用户的启动配置文件都存放在系统盘C上。所以配额限制值过小，将导致用户无法启动机器，因此，笔者为每用户设置的配额限制值为10MB。

打开来宾账号Guest后，F盘不用做任何设置，因此就成了用户 “刘存林”、“黄锡忠”、“姚发云”、“努尔斯曼”、“Guest”竞争使用的磁盘空间了。这四个用户在F盘存放的数据可以相互共享，但不可相互删除、修改。

四、组策略与权限

1.组策略

“组策略”是Win2k/WinXP中用来帮助用户自定义计算机的一个管理单元，它有着与“注册表编辑器”同样强大的功能，但使用起来却比 “注册表编辑器”方便得多。

2.权限

当我们用鼠标右键单击一个磁盘盘符或磁盘根目录下的一个文件夹，选择［属性］→［安全］，就可以对一个磁盘或者一个磁盘下面的文件夹进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入以及特别的权限。“完全控制”就是对此盘或文件夹拥有不受限制的完全访问，选中了“完全控制”，下面的五项属性将被自动选中。选中了“修改”，下面的四项属性将被自动选中，下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个盘或文件夹下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该盘或文件夹下的子文件夹，不能读取，也不能运行。“读取”是能够读取该盘或文件夹下的数据。“写入”就是能往该盘或文件夹下写入数据。而“特别”则是对以上的六种权限进行了细分。

（编辑：鲁利瑞）

①启用此策略设置，只有管理员或有管理特权的用户可以将更新应用到基于Wi n d o w s安装程序的应用程序。

②如果用户用鼠标右键单击任务栏并单击“属性”，系统会出现一个错误消息，解释是某个设置禁止了这个操作。

T P309.1

A

1673-8454（2010）20-0086-03