高校學生機房的管理是公認的難題。上機制度甚至嚴厲的處罰措施都不足以杜絕誤操作者或敢于“以身試法”者對系統安全的危害或破壞。唯有采取有效的技術措施，才能確保機器、系統安然無恙。下面是筆者的一些經驗。  

　　對策一：無盤工作站+虛擬盤――不花錢，多辦事  
　　此策適用于至今仍采用MS-DOS平臺工作的學生機房。這類機房一般采用Novell無盤工作站形式進行管理，即將所有機器的軟驅、硬盤都去掉，一來可以大大降低系統造價；二來可以防止學生用軟盤傳播病毒；三來防止機房中的軟件被人擅自拷貝。只要網絡權限設置得當，這種方案在系統安全性方面應該說是無懈可擊，但其弊病也很明顯。因為沒有軟驅，學生無法學習軟盤的使用。其次由于沒有軟驅，只好在網絡上給學生開設工作目錄。而面對眾多學生，如果每人開一個目錄，勢必使網絡不堪重負。如果公用一些目錄，那么學生編寫的程序、文檔等可能被其他人隨意刪改。還有一個問題，就是有些軟件如Pctools、KV300+等必須有物理盤才能使用。所以筆者認為Novell工作站不配置軟驅實在是弊大于利。  

　　那么，對有軟驅的工作站，如何解決系統防病毒和軟件資源不流失問題呢？實踐證明，可以通過在工作站上生成虛擬盤的方法得到完善解決。具體方法是在制作工作站遠程引導盤時，保證其config.sys文件中有以下內容：  

　　device=himem.sys  

　　device=emm386.exe auto ram  

　　dos=high，umb  

　　files=70  

　　buffers=20  

　　devicehigh=ram  

　　ive.sys1500/e  

　　其中前三行是為了優化內存，files=70和buffers=20是為了滿足等級考試對系統設置的要求，而最后一句的作用就是在工作站上生成一個與1.44MB軟盤容量相當的虛擬C盤。然后用dosgen命令生成無盤工作站遠程引導文件net$dos.sys，存放在服務器的sys:login目錄下。同時使用戶注冊正本內容只有以下兩句：  

　　map  

　　ive c:  

　　這樣，學生開機后，通常情況都是通過網絡遠程引導啟動，注冊入網后則自動轉到虛擬的“C盤”。一般學生上機練習時產生的文件只存放在這個虛擬盤中，在重新啟動后自動消失，免除了管理員經常清理垃圾文件之勞。  

　　如果有必要長久保存文件（如未完成的程序等），可由學生用軟盤拷貝帶走。由于學生用戶在網絡服務器上沒有可用空間（只要在建立學生用戶時不為之建立用戶工作目錄，并在用戶帳戶中將其在服務器磁盤上的最大可用空間設為0），加上網絡權限限制，即使學生帶來的軟盤本身有病毒，也只傳染虛擬的“C盤”，而這個虛擬盤在重新啟動時會自動銷毀一切所存數據，包括在它上面的一切病毒程序，所以完全不必擔心學生盤上的病毒危害系統的安全。  

　　為了防止學生通過軟盤拷貝網絡上保密的程序，可在有關程序所在的目錄下執行以下命令：  

　　flag *.* rox  

　　該命令將所在目錄下所有可執行文件設置為“僅執行”（X）屬性和“只讀”（Ro）屬性。設置為僅執行屬性后的.exe和.com文件只能執行，無法拷貝到其他位置，但可以被移動到其他位置，加上Ro屬性后就無法移動了。當然，這些目錄的A權和M權不能授予學生用戶，否則其中的網絡高手可以解除這些屬性限制。  

　　對策二：超級保鏢+FAT32――少花錢，辦實事  
　　此策適用于采用Windows 9X平臺工作的學生機房。這類機房中的各臺機器均配有硬盤（也有人采用無盤聯網形式，但站點一多運行起來就慢如蝸牛，幾乎失去實用價值）。于是一個令人頭痛的問題就出來了――學生可以隨意刪改本地硬盤上的各種文件和系統設置。  

　　為了解決這個問題，不少學校機房或采用加插硬盤保護卡的方法來防止和消除學生對系統的修改，或采用硬盤克隆技術來盡快恢復被毀壞的系統。但實踐表明二者均有明顯不足之處。加插保護卡首先要增加機器成本，其次會降低系統運行速度（至少部份產品如此），更使人感到不便的是要占用一個擴展槽。現在不少電腦擴展槽數量不足，裝上網卡、聲卡等后可能就沒有多余的槽可用，也容易引起中斷沖突等軟故障。采用克隆技術則純粹是“亡羊補牢”之舉。實際上，克隆技術更適用于成批購買新機時系統的快速安裝，用于學校機房的技術管理，實在只是一種無奈之余的補救而已。  

　　“超級保鏢2000”軟件的推出為機房管理帶來了新的曙光。用戶可以將硬盤分成系統區（一般為C盤）和用戶區，讓超級保鏢只保護系統區。屬于超級保鏢保護范圍內的文件系統不管遭到多么嚴重的刪改，只要在啟動時按下F10鍵并輸入正確密碼，就可以完全恢復到超級保鏢初裝時的原始狀態。對于超級保鏢安裝后修改過的或新建的文件，可通過其“高級設置”及時加以補充保護。  

　　我們在使用中發現超級保鏢實際上是將系統原始狀態通過各個硬盤的T!A和T!B目錄進行保存，這也許就是超級保鏢所謂“整體寫保護”的秘密所在。由于采用特殊技術，這兩個重要目錄在Windows下（包括MS-DOS方式或啟動時進入命令狀態）是完全不可訪問和查看的，但是如果機器啟動時學生按下F8并選擇Previous version of MS-DOS，或用DOS軟盤啟動，就可以訪問這兩個目錄，并對其文件進行刪改，以此攻破超級保鏢建立的系統防線。  

　　了解了這一秘密，就可以采取措施來堵塞這一漏洞。我們采取的方法很簡單――把欲保護的硬盤分區設置為FAT32（FAT32分區是MS-DOS無法訪問的）。設置為FAT32分區后，還可以加快硬盤讀寫速度，增大硬盤存儲空間。  

　　對策三：NetWare 5+ZENworks――花大錢，辦大事  
　　此策既適用于Windows 9X平臺環境，也適用于Windows NT平臺環境。  

　　ZENworks是Novell公司為解決Windows平臺用戶桌面管理而推出的所謂“零管理”軟件。ZENworks以NDS目錄服務為核心，將Windows系統配置（注冊表、系統策略等）作為NDS的對象庫進行統一管理調配，而將Windows 9X/NT工作站固化成一個只執行相關應用程序的所謂“瘦客戶端”，從網絡上實現對桌面系統的徹底管理。  

　　當用戶進行NDS網絡登錄認證后，NDS自動將Windows配置對象庫的參數復制到Windows工作站上并立即生效，桌面配置被改寫，應用程序自動到達用戶機上，形成統一桌面設置（統一壁紙、統一屏幕保護、統一鼠標等），并能實現應用程序的自動分配和自動復原。如果用戶端軟件環境被破壞或關鍵文件丟失無法啟動，只要用戶登錄網絡，丟失的文件會自動從網絡上復制到用戶機上，從而保證用戶機的正常運行，而這一自動修復過程完全不需要管理員介入。而且用戶不管從哪臺機上登錄網絡，其桌面設置保持不變。  

　　這套系統還有一個很出色的功能，特別適用于學校機房，即必要時可針對不同用戶登錄情況分發相應的應用軟件，使學生機由多任務的Windows進程變成單任務教學環境。如規定第一節上Word，第二節上Access，第三節上網頁制作，管理員可在不同時段分配相應的應用程序Word、Access和FrontPage，這樣在規定時間內學生只能使用指定的應用程序，從而防止學生上機時“不務正業”或進行惡意破壞。