2003年底，我校同其他十幾所中小學(xué)一起裝配了NC教室。NC教室的主要配置為：清華同方超強TR200 2680服務(wù)器（Windows 2000 Server操作系統(tǒng)）、港灣快速以太網(wǎng)交換機、京東方網(wǎng)絡(luò)計算機（國產(chǎn)方舟2號400MHz CPU）。在裝配時，京東方及北控軟件公司的工程師們?yōu)槲覀兊南到y(tǒng)進(jìn)行了安全設(shè)置：屏蔽了開始菜單中的運行、搜索、控制面板等功能，并隱藏了各個磁盤的盤符。這樣一來，我們就不用擔(dān)心學(xué)生有意、無意刪改系統(tǒng)文件而造成系統(tǒng)癱瘓，機房管理也變得更加方便。

但是經(jīng)過一段時間的使用，筆者發(fā)現(xiàn)機房中還存在一個安全隱患。當(dāng)打開“育典網(wǎng)絡(luò)教學(xué)系統(tǒng)”的瀏覽器時，在“工具菜單”下選擇“Internet選項”，在“常規(guī)”選項卡下找到“Internet臨時文件”并選擇“設(shè)置→查看對象”，竟然可以可以一級一級向上訪問到C盤或其他任意磁盤驅(qū)動器。這顯然是機房中的一個重大安全隱患。既然找到了這個后門，我們就趕快像微軟一樣打補丁吧。方法非常簡單，以管理員的身份登錄到Windows 2000 Server，打開“我的電腦”，鼠標(biāo)右鍵單擊C盤，選擇“共享”，在新窗口中選擇“安全菜單”，可以看到在“名稱”下面列出了用戶和組信息。選擇之前建立的Student組，在權(quán)限設(shè)置中將該組設(shè)置為“讀取”（或一項權(quán)限也不設(shè)置），這樣Student組的成員就無法訪問C盤，更不要說刪改磁盤中的文件了。當(dāng)學(xué)生想通過上面的方法訪問磁盤時，會彈出對話框警告其無權(quán)訪問。最后別忘了對其他磁盤也進(jìn)行相應(yīng)設(shè)置。

最后要說明的一點是，如果在您的機房中學(xué)生所屬的組不只是Student組，還屬于User組或其他組的話，一定要把這些組的權(quán)限也進(jìn)行如上設(shè)置才行，因為在Windows 2000中用戶所擁有的權(quán)限是疊加的。