目前中小學機房多采用硬盤還原卡（軟件或硬件）來保護系統(tǒng)文件和硬盤，我們曾對其信任無比，認為它能提供全方位的服務。但計算機頻頻出現(xiàn)故障導致系統(tǒng)文件丟失，其中軟件被破壞，系統(tǒng)被外帶的存儲文件感染病毒。于是我們對學生采用高壓的“人治”政策，上機時不許破壞硬盤保護卡，不許帶存儲設備。但這樣的措施也并無明顯效果。偶爾開放網(wǎng)絡，各種問題接就接踵而至。難道事后只能一遍遍地重裝系統(tǒng)？有預防措施嗎？
　　此外，學生作業(yè)文件的管理也是一大問題。學生機通常都安裝硬盤還原卡，如果一不小心造成死機，重啟后所做的一切都回歸到零點。即使能完成作業(yè)，并用FTP、電子教室、文件夾共享等方法上傳，但也不能讓學生取回自己的文件并進行管理。有什么方法既能讓學生安全地管理自己的文件，又便于教師管理全部學生文件呢？以下是我們對這兩個問題的實踐探索，希望能拋磚引玉。
　　● 追根求源
　　首先我們探究還原卡不能保護機器的根本原因。我們發(fā)現(xiàn)機房的學生機通常自動啟動至桌面，而學生卻以管理員身份（Administrator）操作，有權修改計算機的所有設置，對運行的所有程序也同樣具有管理權力。如果這些程序激活了惡意軟件，惡意軟件就可以進行自安裝，再操縱諸如防病毒程序之類的服務，甚至隱藏在操作系統(tǒng)中。如果訪問一個不安全的網(wǎng)站，會導致惡意軟件的運行。也就是說，學生以管理員身份運行計算機時，他所具有的特權能夠操縱注冊表，并在Windows系統(tǒng)目錄中有意、無意地放置文件，這時還原卡常常在有挑戰(zhàn)能力的學生面前自身難保。
　　綜上所述，我們應該把管理員權限收回，使學生只能用計算機，而不能隨意更改管理計算機設置。那么我們該給學生什么樣的身份呢？最安全的身份是“User”。它提供了一個最安全的程序運行環(huán)境。在全新安裝（非升級安裝）的系統(tǒng)的NTFS格式卷上，默認的安全設置能夠禁止該組成員危及操作系統(tǒng)的完整性及安裝程序。學生不能修改系統(tǒng)注冊表設置，操作系統(tǒng)文件或程序。Users身份可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。他們可以運行經(jīng)認證的Windows 2000或Windows XP Professional程序，這些程序由管理員安裝或部署。學生對自己的數(shù)據(jù)文件（%UserProfile%）和注冊表中有關自己的部分（HKEY_CURRENT_USER）具有完全控制權，但不能修改其他用戶資料，彼此之間無干擾。能關閉工作站，但不能關閉服務器。
　　不用還原卡，學生使用Users登錄使用計算機，便于管理員統(tǒng)一管理機器，但學生的資源、教師的資源依然不便于共享管理。這里回顧一下機房的局域網(wǎng)結構。一般局域網(wǎng)采用工作組模式。工作組網(wǎng)絡又稱為“對等式”的網(wǎng)絡（如下頁圖1），因為網(wǎng)絡上每臺計算機的地位都是平等的，他們的資源與管理是分散在各個計算機上的，所以微軟曾建議：如果計算機數(shù)量不多的話，可以采用工作組結構的網(wǎng)絡，反之，建議采用域結構（如下頁圖2）。與工作組不同的是，域結構的網(wǎng)絡內(nèi)所有的計算機共享一個集中式的目錄數(shù)據(jù)庫，它包含著整個域內(nèi)的用戶賬戶與安全數(shù)據(jù)，域的安全性高于工作組。在域模式下，可以對不同的用戶設置不同的資源。比如，每位學生分配單獨的空間，供自己存儲。除任課教師以外的其他人無權訪問。
　　● 具體措施
　　那么如何設置學生User身份？如何建設機房的域模式呢？
　　1.建立服務器并設置
　　（1）將文件系統(tǒng)轉(zhuǎn)換為NTFS。
　　（2）安裝兩臺WindowsServer服務器，安裝TCP/IP協(xié)議、DNS服務，設置TCP/IP。其中一臺安裝活動目錄（AD）后成為域控制器(DC)，管理用戶的合法登錄。另一臺做文件服務器，存儲共享的文件資源。
　?。?）在活動目錄內(nèi)添加學生用戶，并把它們加入“Users”新建的組。
　?。?）為每位學生制作“作業(yè)本”（分配存儲空間）。
　　通過活動目錄（AD）為每位域用戶配置的文件夾，稱為主文件夾。將主文件夾映射至網(wǎng)絡驅(qū)動器（比如z：），學生用戶在“我的電腦”里可以看見網(wǎng)絡驅(qū)動器，在這里存儲文件，猶如在本機中存儲一樣，非常方便存取。用戶盤符相同，內(nèi)容不同。因為學生用戶已加入Users組，他們只能把文件存儲在主文件夾中。為了方便學生的個性化設置，還可以把“桌面”、“我的文檔”的存儲位置一并移至主文件夾內(nèi)，這樣每個用戶可以設置個性化的計算機。這個“作業(yè)本”既可以培養(yǎng)學生良好的文件保存習慣，也便于學生存取學習過程中保存的個人資料。
　　2.學生機加入域模式
　　（1）將文件系統(tǒng)轉(zhuǎn)換為NTFS。
　?。?）設置IP，DNS，加入域。
　　● 組策略管理用戶工作環(huán)境
　　1.組策略提供的功能
　?。?）賬戶策略的設定：設定用戶密碼的長度、密碼使用期限、賬戶鎖定策略等。
　?。?）腳本（Scripts）的設定：如登錄/注銷、啟動/關機腳本的設定。
　　（3）用戶工作環(huán)境的設定：如隱藏用戶桌面上所有的圖標；刪除“開始”菜單中的“運行/搜索/關機”等功能；在“開始”菜單中添加“注銷”的功能等。
　　（4）文件夾轉(zhuǎn)移：如改變“我的文檔”、“開始菜單”等文件夾的存儲位置。
　　可以針對站點、域或組織單位來配置策略。
　　2.組策略的組成
　　組策略中包含“計算機配置（ComputerConfiguration）”與“用戶配置(Userconfiguration)”兩部分。
　?。?）計算機配置：當啟動計算機時，系統(tǒng)就會根據(jù)組策略中的“計算機配置”的內(nèi)容來配置計算機環(huán)境。舉例來說，如果針對域abc.com配置了組策略，那么組策略內(nèi)的“計算機配置”就會被應用到此域內(nèi)的所有計算機。
　?。?）用戶配置：當用戶登錄時，系統(tǒng)就會根據(jù)“用戶配置”的內(nèi)容來配置用戶的工作環(huán)境。舉例來說，如果針對“業(yè)務部”O(jiān)U設定了組策略，那么，組策略內(nèi)的“用戶配置”就會被應用到此OU內(nèi)的所有用戶。
　　● 對組策略的具體設置
　　1.對學生計算機設置
　?。?）統(tǒng)一禁用USB存儲設備。USB雖然便利，但也給統(tǒng)一管理帶來了難度，加之USB鼠標普遍應用，禁用USB存儲設備似乎成了難題，可以通過組策略實現(xiàn)禁止。
　?。?）客戶端的Administrator統(tǒng)一密碼。學生機加入域模式后，登錄框有本地登錄和域模式兩種選擇。我們需要將所有Administrator添加密碼。
　?。?）清除用戶上次的用戶名。在學生注銷后，自動清除學生的用戶名。
　　2.對用戶設置——實現(xiàn)資源建設與管理
　　在域控制器（DC）的活動目錄（AD）先對用戶（這里不僅指學生，還包括教師）分組，再通過組策略分配用戶對資源空間的權限?！白鳂I(yè)本”只有學生本人能完全控制，任課教師只能讀；任課教師的專用資源文件夾只有自己可以讀寫，其他人只能讀。
　　這樣學生用賬號登錄，在“我的電腦”里可以看到虛擬的盤符，所有人盤符相同，內(nèi)容不同，隨著登錄的用戶名變化，彼此之間無干擾。
　　經(jīng)過以上三大步的設置，每天第一節(jié)課前把機器啟動至交互式登錄界面，學生通過用戶名、密碼登錄，每個人可以自由地使用計算機，方便地使用資源，存取文件。下課后，注銷用戶。學生用戶之間無任何干擾。“作業(yè)本”、“個性化電腦”隨著用戶走，既節(jié)省了開機等待時間，也因為無需固定座位，便于合作學習的開展。
　　以上的設置，不僅可以用于教學環(huán)境，也可以用于工作環(huán)境，指定用戶共享打印機；當然，我們還可以在此基礎上實現(xiàn)數(shù)字化點名、數(shù)字化評價，全方位地打造我們的數(shù)字化教學環(huán)境。只有本著為學生學習更好服務的觀念，才能全方位地改進教與學的關系。