1、 系統加固 Windows 2000 終端服務器建議配置步驟如何配置一個高效、安全的終端服務器，是系統管理員的一件大事，Windows 2000服務器可以作為一個獨立的終端服務器，應用于中小規模的環境，作為域控制器在較大規模地環境下應用，服務器本身作為一個域控制器，或者作為某個域下的一個成員服務器，對于這兩種不同的應用規模，對服務器的規劃、配置將采用不同的方法，作為終端服務器，比較常見的是作為一個獨立服務器，在中小型規模的應用，這里將根據專家的經驗，對于中小規模的應用，給予一些建議。以下作為一個步驟的方式，對服務器進行規劃和配置，按照這個步驟，你將可以得到一個配置相對合理的，使用比較安全的服務

2、器。一、 服務器的選擇： 對于普通的終端服務器模式110個用戶的，建議配置256兆內存，PIII600的CPU的高檔PC,1025個用戶的，建議配置512兆內存，PIII700的CPU的高檔PC，當然如果采用專用的服務器，效果更好了，25個用戶以上的，服務器盡量配置雙CPU的專用服務器，比如可以采用HP、浪潮的服務器，內存的計算是，Windows 2000操作系統啟動占用了100兆內存左右，每個終端用戶按20兆的內存空間來計算，總的消耗的內存可以達到物理內存的1.21.5倍，比如按照以上方法的內存為600兆，而服務器采用512兆內存，基本也可以滿足需求，30個終端用戶的服務器，便可以配置640

3、兆內存，雙CPU PIII600的專用服務器。有時服務器已經達到了比較高的配置了，所帶的終端的數目也不多，但就是速度比較慢，此時一個很可能的原因是由于網絡引起的，服務器的網卡、交換機的不匹配，都有可能引起服務器的速度異常，某些操作會引起服務器的CPU地占用率達到100，這一般是由于應用程序存在某種BUG引起。對于服務器的硬件引起的異常可以采用Windows 2000本身提供的性能查看器進行監控和分析，一些比較常用的計數器和對應的閥值見本文的附表（該表為微軟的性能監視器的幫助中提供）。二、 硬盤的規劃：目前的硬盤的容量在擴大，速度、性能在提高，而價格卻在下降，對于硬盤，建議配置大一些，對于20個

4、以下的中小規模的應用，可以采用高檔的PC來當作服務器，選擇IDE接口的硬盤，推薦采用大于10G的硬盤，比如一個20G的硬盤，便可以分成3個邏輯分區C、D、E了，大小為8G、10G和2G，其中C盤為系統盤，安裝了操作系統，程序，用戶的應用軟件，D盤設置成的數據盤，每個用戶都有自己固定的目錄，E盤為放臨時文件用，硬盤一定要采用NTFS的格式，才能支持2000的一些高級特性，比如活動目錄、安全性、磁盤配額、壓縮屬性等。三、 如果你沒有購買正版的終端授權許可證，Terminal-CAL，那么在安裝之前，記著將時間向后改，比如改成2005.1.1。四、 安裝操作系統時，安裝盡可能少的組件，比如IIS服務

5、、附件和工具中沒有用的工具和游戲、腳本調試器、網絡服務等都可以不安裝，當然終端服務和終端服務授權是一定要安裝的，具體的安裝步驟 請參看相關資料。五、 如果你需要通過串口來連接一些外設，或者你購買的是升騰2000的終端或者升騰2100終端仿真卡，記住安裝CDS軟件。六、 如果硬盤空間比較小，可以點擊驅動器的圖標，點擊右鍵，屬性中有一欄“壓縮驅動器以節約磁盤空間”選上，應用一把，應用于所有的文件和子文件夾，采用壓縮驅動器的方法存儲，可以節省出一倍的磁盤空間，并且對服務器的速度的影響并不大，在硬盤空間不夠時，可以推薦使用，當然了，如果空間不是瓶頸，那就沒有必要壓縮了。七、 現在可以將用戶的數據文件移

6、動到D盤去了，在做這項工作之前，最好僅僅是超級用戶有登陸過，其他的用戶未登陸過，具體的做法是：用超級用戶登陸，運行regedit注冊表編輯器，找到HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NT CurrentVersionProfileList下的一個項ProfilesDirectory，原來的值為 %SystemDrive%Documents and Settings，將%SystemDrive%改成D：，如果你需要采用每個用戶都有一個固定的驅動器名，比如g：，都固定的指向每個用戶自己的私人目錄，則需要將Documents and Setting

7、s改為一個沒有空格的目錄名稱，比如將ProfilesDirectory項的值改為D:Doc_and_seting，現在，便將以后登陸的用戶的“我的文檔”、“配置文件”等都移動到了D盤了，此時用一個新建的用戶試登陸一次，便會自動在D盤建立一個對應注冊表中的主文件夾了，當然該用戶目前還是無法登陸的，還需要將原c: Documents and Settings的All Users、Default User拷貝到D盤的Documents and Settings目錄下，Default User目錄是隱含屬性的，需要在文件夾選項中，顯示隱含文件的選項選上，按照原C盤的Documents and Sett

8、ings目錄設置的權限，對D盤的Documents and Settings目錄設置權限。記住，如果需要移動Documents and Settings，盡量在除超級用戶外，其他用戶都沒有登陸的情況下來更改，更改后，C：Documents and Settings也不能刪除，因為超級用戶的設置還在里面，新建一個用戶，加入到超級用戶組中，用該帳號登陸到系統中，將C：Documents and SettingsAdministrator目錄刪除掉，再用超級用戶登陸一次，你便可以發現，超級用戶的設置也移動到了D盤了，重新啟動機器一次，刪除C: Documents and Settings目錄，到此，

9、便將用戶的數據目錄放置在其他的驅動器中，便于管理。八、 設置磁盤配額，可以給用戶設置C盤100兆，D盤200兆，E盤沒有限制。九、 設置磁盤的安全性，在Windows 2000操作系統中，對于驅動器，都是Everyone都是完全控制的，現在可以設置C盤，D盤添加Administrator、system為完全控制，將Everyone寫入權限刪除。雖然C盤沒有寫權限，但是可以執行在C盤中的程序和應用軟件，對D的根沒有寫權限，但具體的用戶對Documents and Settings下的私人目錄的權限是不受影響的。甚至可以將C盤的EveryOne地全部權限都刪除，具體的根據你的需求了，對E盤可以不作

10、任何地限制。十、 剪切去D:Documents and SettingsAll Users開始菜單程序管理工具 下的所有內容，粘貼到D:Documents and SettingsAdministrator開始菜單程序管理工具 目錄下，以后開始菜單中的管理工具一項，只用超級用戶可以看到，其他的用戶無法看到其中的項目了。十一、 安裝輸入法，比較常見的五筆字型輸入法。十二、 配置一個標準的用戶：大家知道，在Windows 2000操作系統中，如果添加了一種輸入法，需要每個用戶都自己添加一次，用戶想在狀態欄的右邊顯示時間，也需要每個用戶自己添加顯示時間的屬性，是否有辦法使得用戶一登陸，缺省的便已經添

11、加進來了呢，可以的，采用一個普通的用戶登陸一次，并且添加上所需要的輸入法，也把任務欄的時鐘顯示添加進來(添加的方法為在任務欄上，鼠標點擊右鍵，屬性中添加顯示時鐘)，那么在D: Documents and Settings目錄下，便有一個與登陸用戶名一樣的目錄，該目錄便是該用戶的私人目錄，進入該目錄，用該目錄下NTUSER.DAT文件，替換掉D: Documents and SettingsDefault User目錄下的NTUSER.DAT文件，記住NTUSER.DAT文件是一個隱含文件。以后的所有用戶登陸上來，便按照配置的缺省用戶地設置了，沒有必要為每個用戶都添加輸入法了。十三、 安裝常用的

12、應用軟件，象office 2000等比較常用的應用軟件。十四、 設置終端連接的屬性：Windows 2000提供了終端服務，終端可以通過RDP、ICA協議與服務器相連，在缺省的情況下，終端與服務器之間建立了一條連接，該連接對應服務器上一組運行的進程，直到終端用戶注銷了，才將對應的進程刪除，如果僅僅是“中斷”和用直接關電源的方式強行關終端，那么在服務器上的進程不會刪除，在服務器上占用了大量的資源，也即在服務器上有大量的死進程，這些進程的存在帶來了兩個問題，一個是在服務器上占用的大量的CPU、內存資源，另外是增加了不安全的隱患，因為這些進程一直存在在服務器上，下次終端用戶如果也用相同的用戶帳號登陸

13、，那么將直接進入到斷開的位置，如果由于系統管理員的疏忽，存在有多個用戶共用一個帳號的情況，那么便有可能發生安全隱患，比如用戶登陸到服務器上，運行金融、財務的軟件，這些軟件進入時每個人還有自己的軟件帳號，如果使用者沒有退出這些軟件便強行關機了，那么下個使用相同的登陸帳號的用戶，一登陸到服務器上，便直接進入上個用戶的金融、財務軟件的界面，這是非常危險的，當然如果每個用戶都有自己的帳號，安全上是沒有什么，但也會占用資源，解決的方法是恰當地設置終端連接的屬性。用系統管理員的身份登陸，運行開始程序管理工具終端服務配置，點擊連接，將出項RDP、ICA連接，雙擊您終端采用的連接方式的條目，出現如下的對話框，

14、選擇會話屬性。如下圖對應設置的意思是：如果一個斷開的連接達到了15分鐘，將自動注銷該終端連接，如果一臺終端有30分鐘沒有任何地操作，也自動注銷該終端連接。十五、 通過組策略設置，在關機一欄中，如果是終端用戶，那么只有注銷一項，刪除斷開項，終端用戶便沒辦法使用正常的斷開功能了，具體的方法請參見相應文章。十六、 設置Regedit.exe regedt32.exe command.exe cmd.exe等敏感程序的執行權限。十七、 設置控制面板的設置權限，具體的方法是找到C:WINNT目錄下控制面板的文件，也即擴展名為CPL的文件，設置這些文件為只有Administrator、System，有完全

15、控制的權限，其他的用戶沒有權限，普通的用戶以后便沒有辦法來運行控制面板中的所有的項目了，同樣的瀏覽器的選項普通用戶也沒有辦法更改，那么普通用戶想通過更改Proxy服務器來訪問Internet是沒有辦法的，只有超級用戶幫助普通用戶預先設置好Proxy服務器的地址，普通用戶才能通過Proxy去訪問Internet了，當然了控制面板的限制可以通過組策略來限制，具體的方法請參見相應文章。十八、 如果用戶需要使用終端的外設，安裝了CDS軟件后，在D:Documents and SettingsAll Users開始菜單程序啟動下添加一個bat腳本文件，該文件的內容為Net use com1 client

16、com1$，如果串口二也需要使用，則再加入一行 net use com2 clientcom2$。十九、 可以設置每個用戶的私人目錄為一個固定的驅動器盤符，比如G:，可以在D:Documents and SettingsAll Users開始菜單程序啟動下添加一個bat腳本文件，該文件的內容為subst g: % USERPROFILE%，那么所有的用戶都有一個相同的G驅動器了，每個用戶的G驅動器指向了每個用戶自己的私人目錄，通過這種方法，對于一些比較特殊的應用軟件的安裝特別有效。二十、 是否希望做到超級用戶可以在我的電腦中看到所有的磁盤盤，其他的用戶在我的電腦中看不到所有的磁盤，當然了每個用

17、戶訪問他自己的“我的文檔”是沒有問題的，如果有這個需要，具體的步驟是：在組策略中設置成看不到所有的磁盤，具體的方法具體的方法請參見相應文章，然后超級用戶運行regedit，找到以下項目HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer，在其中一定有一個項目NoDrives，將該項目刪除，則以后是超級用戶在我的電腦中看到所有的磁盤驅動器，而其他的用戶都無法看到了，該更改只有在重新登陸后才能生效的。二十一、 其實可以在組策略中，按照您的具體的需求，進行詳細的配置，配置后，超級用戶運行regedit，找到HK

18、EY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies，該項目中又有一些子項目，可以將子項目中的內容全部刪除掉，則對組策略的所有的設置對超級用戶都不生效了。這種方法是我們在使用中具體發現的，你如果向微軟咨詢，微軟一定會建議你將服務器升級成域控制器，然后將用戶放置到不同的組織單元中，為每個組織單元設置不同的組策略。二十二、 如果你沒有購買正版的Terminal-CAL，在前面的步驟中已經將服務器的CMOS時間向后更改了，現在你可以采用實達的終端登陸一次，讓服務器給終端頒布一個臨時的訪問許可證，該許可證的使用時間也是3個月，不過是

19、從你機器目前的時間開始的3個月了，最好是你擁有的所有終端都能登陸一次，使得所有的終端都有得到一個臨時的訪問許可證，再把時間調整成正常的時間。 Windows 2000 Server的配置內容多多，以上講的僅僅是如何配置一個獨立服務器的方法，一個小規模的應用可以這樣配置，如果一個較大規模的應用的配置，又是另外的方法了，還可以采用我們的終端管理工具來進行設置，另外再寫了。注：以下數據項來自windows 2000 Server的性能監視器，下表包含特定計數器的閥值，可以幫助決定計算機報告的值是否指明問題。如果“系統監視器”報告這些值達到閥值，可能是系統存在瓶頸，應當采取措施來調整或升級受影響的資源。資源對象計數器建議的閥值注釋磁盤PhysicalDisk%Disk Time90% PhysicalDiskDisk reads/secPhysicalDiskDisk Writes/sec取決于制造商的規格檢查磁盤的指定傳送速度，以驗證此速度沒有超出規格。通常，Ultra Wide SCSI磁盤每秒可以處理50次I/O操作。PhysicalDiskCurrent Disk Queue Length主軸數加2這是即時計數器：觀