在Windows 7本身以及與Active Directory整合應用中,有許多與磁碟控管需求相關的技巧是平常不易察覺的,本文將介紹實用的進階磁碟管理技巧以整合MSE(Microsoft Security Essentials)防毒系統的集中管理,其中包括Windows 7如何建立自動備援磁碟、如何以虛擬硬碟實作多重開機的作業環境、如何集中設定Windows 7磁碟機的隱藏、如何集中管理Windows 7網路磁碟機對應設定,以及如何集中控管MSE防毒軟體設定。
目前,無論是桌上型電腦還是筆記型電腦大多安裝的作業系統都是Windows 7或Windows Server 2008,它們在磁碟管理應用上都可以做到許多原本在伺服器才有的進階應用。
例如自動備援磁碟和多重作業系統建置,前者可以最低的成本達到磁碟資料保護的效益,後者則能以更具彈性的虛擬磁碟管理方式建構所需的多重作業系統。
而在用戶端Windows 7磁碟集中控管的應用部分,許多IT人員最想知道的無非是網路磁碟設定的集中配置方法,以及隱藏重要磁碟機的集中控管方法(同樣適用在Windows終端機服務的架構管理中)。
此外,對於磁碟中的防毒保護,還可以整合由Microsoft網站上所提供的MSE,達到集中管理的目的。以上這些技巧都將在以下的Active Directory群組原則實戰中詳細說明。
TOP1:Windows 7如何建立自動備援磁碟
設計部門是敝公司相當重要的資產,因此希望可以在他們每個人所使用的Windows 7電腦上加裝第二顆硬碟,並且可以透過像伺服器硬體所使用的磁碟鏡像功能(RAID 1)來自動備援第一顆硬碟的運作,請問這該怎麼做呢?
Windows 7在磁碟鏡像功能需求上的設定是相當容易的。一開始,預先安裝好第二顆硬碟(容量必須大於或等於第一顆硬碟),然後在開機登入後開啟「電腦管理」介面。
此時便會立即出現如圖1所示的訊息視窗,直接按下〔確定〕按鈕來完成初始化。
|
▲圖1 初始化磁碟。 |
接著,將第一顆與第二顆硬碟都轉換成Windows特有的動態磁碟格式。
如圖2所示,在任一磁碟項目上按一下滑鼠右鍵,然後點選快速選單中的【轉換到動態磁碟】。
|
▲圖2 磁碟管理員。 |
接著,在如圖3所示的「轉換到動態磁碟」頁面中,確認已勾選這兩顆硬碟,然後按下〔確定〕按鈕。
|
▲圖3 轉換動態磁碟設定。 |
在正式轉換之前還會再顯示一次磁碟清單資訊,確認無誤後按下〔轉換〕按鈕繼續。
此時將出現如圖4所示的警示訊息,內容主要是告知如果目前使用多重作業系統開機的配置方式,轉換成動態磁碟後將會導致其他位在相同磁區內的作業系統無法啟動。
|
▲圖4 跳出警示訊息視窗。 |
完成動態磁碟的轉換作業後,接著將這些磁區設定為鏡像關係。如圖5所示,在第一個系統保留的分割區中按一下滑鼠右鍵,然後點選快速選單中的【新增鏡像】。
隨後在「新增鏡像」頁面中確認選取鏡像目標的磁碟,然後按下〔新增鏡像〕按鈕即可。
完成系統保留區磁碟的鏡像設定後,緊接著如圖6所示選取安裝作業系統的磁碟區,然後按一下滑鼠右鍵,並點選快速選單中的【新增鏡像】來完成第一次的鏡像同步作業。第一次同步的時間多寡視硬碟的轉速與資料量而定。
|
▲圖5 新增鏡像。 |
|
▲圖6 新增其他鏡像設定。 |
圖7所示是將系統保留區與作業系統的磁區完成鏡像後的範例。往後,若想將這些鏡像關係解除,只要按一下滑鼠右鍵,並點選快速選單中的【移除鏡像】即可。
|
▲圖7 管理鏡像磁碟。 |
當鏡像的主磁碟區發生故障時,該怎麼辦呢?
當發生主硬碟故障時,別擔心!因為這時候可以讓前面步驟中預先設定好的鏡像備援機制派上用場。
|
▲圖8 開機選單。 |
在電腦開機時,如圖8所示改由選取「Windows 7 – 次要網狀磁碟區」選項來啟動即可。
不過必須注意的是,在某些狀況之下可能必須先修改BIOS中的磁碟開機順序,才能夠順利看到此開機選單。
開機登入以後,可以再進入到「電腦管理」介面中來查看磁碟管理員頁面。
此時,會看到原有的鏡像磁碟上出現「遺失」的錯誤,這個情況只要針對所有鏡像的鏡像磁區按一下滑鼠右鍵,然後點選快速選單中的【移除鏡像】即可。
等到又安裝第二顆新硬碟之後,再重新設定好鏡像功能,便可以恢復備援狀態。
TOP2:如何以虛擬硬碟實作多重開機的作業環境
我是一位從事資訊服務的工程師,由於許多時候需要到客戶端去展示各類的應用系統解決方案,因此隨身的筆記型電腦就必須安裝多個作業系統,以利於隨時進行切換至各種作業系統來展示不同的應用程式,但是這樣的做法卻可能導致系統檔案共存因為混淆而發生問題,因此想知道Windows 7作業系統對於多個作業系統的安裝是否有更好的辦法?
這裡提出的需求有兩種解決方法,第一是安裝Windows Virtual PC與使用虛擬機器(VM),第二則是透過建立虛擬硬碟(VHD)在不同的虛擬硬碟內安裝多重作業系統來解決。
如此一來,就解決了可能造成作業系統檔案與元件的混淆或衝突問題。以下來講解第二種方法的實作步驟。
假設第一個已在使用中的作業系統為Windows 7,而現在要做的是在此作業系統內建立新的虛擬硬碟,並且使用此虛擬硬碟來存放後續安裝的第二個作業系統Windows Server 2008 R2,最後讓電腦每次開機時都能夠自由選擇所要進入的作業系統。
|
▲圖9 建立虛擬硬碟。 |
首先開啟「電腦管理」視窗,如圖9所示切換至「存放裝置」→「磁碟管理」節點上,然後按下滑鼠右鍵,並點選快速選單中的【建立VHD】。
接著,會開啟「建立並連結虛擬硬碟」頁面,在此必須先設定虛擬硬碟的儲存位置及大小,然後再設定虛擬硬碟格式為「固定大小」,而不是「動態擴充」。
在建立虛擬硬碟的過程中,系統會在右下角提示安裝Microsoft VHD HBA驅動程式的訊息,點選之後才會出現如圖10所示的頁面。
至於前面所指定的虛擬硬碟的存放路徑,開啟以後,將會看到這個虛擬硬碟的檔案。而虛擬硬碟在建立完成之後,必須像實體硬碟一樣的來進行初始化的動作。
最後只要在「初始化磁碟」頁面中確認已經選取該虛擬磁碟,然後按下〔確定〕按鈕即可。
|
▲圖10 安裝虛擬硬碟驅動程式。 |
初始化虛擬硬碟之後,接著建立磁碟分割區。如圖11所示,在虛擬硬碟上按一下滑鼠右鍵,然後點選快速選單中的【新增簡單磁碟區】。
|
▲圖11 新增簡單磁區。 |
緊接著在「指定磁碟區大小」頁面中,輸入所要規劃的第一個主要分割區大小並按下〔下一步〕按鈕繼續。
然後,切換至「指派磁碟機代號或路徑」頁面內,如圖12所示選擇一個尚未使用的磁碟機代號,並按下〔下一步〕按鈕。
|
▲圖12 設定磁碟代號。 |
接著,如圖13所示在「磁碟分割格式化」頁面中確認已選擇「NTFS」作為檔案系統,然後輸入一個磁碟區標籤,並勾選「執行快速格式化」選項,最後按下〔下一步〕按鈕。
|
▲圖13 進行磁碟格式化設定。 |
圖14所示就是一個虛擬硬碟機完成新增簡單磁區後的結果。
|
▲圖14 完成簡單磁區新增。 |
接著,將Windows Server 2008 R2作業系統安裝碟片放入光碟機內,並且重新開機。成功開機並且完成語言、時間及貨幣、鍵盤輸入的設定後,立即按下〔Shift〕+〔F10〕組合鍵來開啟命令提示字元。
開啟「命令提示字元」視窗後,如圖15所示輸入「diskpart」命令,接著再輸入「select vdisk file=虛擬硬碟檔案路徑」。
確認成功選取虛擬硬碟檔案後,輸入命令「attach vdisk」來完成與虛擬硬碟檔案的連接。成功連接後,執行「exit」命令離線diskpart命令工具並關閉視窗,然後按下〔下一步〕按鈕繼續。
|
▲圖15 虛擬磁碟連接設定。 |
之後會出現「立即安裝」選項。按下之後,會進入如圖16所示的「您要在哪裡安裝Windows」頁面中,選取前面步驟中所建立的虛擬硬碟分割區。
選取之後,將出現「Windows無法安裝至磁碟分割區」訊息。可點選此連線來查看詳細資料。
|
▲圖16 選取安裝磁碟。 |
如圖17所示,此警告訊息主要告知若將作業系統安裝於此,可能導致無法正常開機。
無須理會此訊息,在上一步驟中按下〔下一步〕按鈕,便能正式進入整個作業系統程式的安裝作業程序。
|
▲圖17 出現磁碟警告訊息。 |
安裝好第二個作業系統之後,會發現重新開機後電腦直接以這個作業系統進行啟動而沒有出現選單。別擔心!請在登入後如圖18所示開啟「命令提示字元」,然後輸入「bcdedit」命令即可重整開機選單。
|
▲圖18 重新載入開機選單。 |
|
▲圖19 開機選單。 |
再一次重新開機之後,便會如圖19所示看到正確的作業系統選單。
必須注意的是,其中的次要網狀磁碟區在讀者的作業環境內可能不會出現,因為這個選項是在設定磁區鏡像功能之後自動產生的,主要目的是當主要網狀磁碟區發生問題時,可以在修改好BIOS啟動磁碟設定之後選擇此項目來啟動系統。
TOP3:如何集中設定Windows 7磁碟機的隱藏
敝公司某些使用者主要的資源存取方式,都是透過Windows Server 2008 R2的遠端桌面服務(RDS)來進行,然而我希望這些使用者在登入遠端桌面服務時,只能夠看到自動對應連接的網路磁碟(用戶端本機磁碟),而不顯示遠端桌面服務主機上的本機磁碟,請問這該如何設定?
想要讓使用者在登入遠端桌面服務主機時自動隱藏該主機上的本機磁碟,可以透過群組原則設定來解決,不過這些用戶端使用者必須改以登入本機電腦的方式來存取,否則當他們以網域使用者方式登入時,也會因群組原則設定而導致本機磁碟遭到隱藏。接著,一同來了解有關於群組原則這個部分的設定說明。
首先在「群組原則管理」介面中完成建立群組原則物件(GPO),以及與所要套用的組織單位容器完成連結,接著便可以對該GPO進行編輯。
在開啟「群組原則管理編輯器」介面後,如圖20所示展開至「使用者設定」→「原則」→「系統管理範本」→「Windows元件」→「Windows檔案總管」節點頁面中,然後按兩下「隱藏[我的電腦]中這些指定的磁碟機」項目。
|
▲圖20 進行Windows檔案總管的原則設定。 |
如圖21所示,在「隱藏[我的電腦]中這些指定的磁碟機」頁面中,先將設定改為「已啟用」,然後從下拉選單中選取所要設定的項目,並且按下〔確定〕按鈕。
|
▲圖21 隱藏指定的磁碟機。 |
如圖22所示,回到已重新開機並套用該群組原則的Windows 7電腦時,便會發現在「我的電腦」視窗內會根據隱藏設定來顯示最後結果。在此範例中便是限制了所有磁碟的顯示。
|
▲圖22 在「我的電腦」視窗內隱藏所有的磁碟代號。 |
TOP4:如何集中管理Windows 7網路磁碟機對應設定
在公司的網域環境中,不同部門的使用者有連線不同網路資源的存取需求。就以網路磁碟機的連線對應來說,我希望可以讓不同部門的使用者在開機登入網域時,系統便自動完成他們各自所需的網路磁碟對應連線,請問這項需求可以做得到嗎?
想要集中設定各部門使用者電腦的網路磁碟對應,可以透過群組原則的配置來完成,不過前提是已經預先完成各部門組織容器的建立,並且也配置好容器內的使用者物件。接下來,說明如何以群組原則來集中管理網路磁碟機的連線對應。
首先進入「群組原則管理」介面,在「群組原則物件」節點上按一下滑鼠右鍵,然後點選快速選單中的【新增GPO】,隨後會開啟如圖23所示的「新增GPO」視窗。輸入一個唯一識別名稱,並且按下〔確定〕按鈕繼續。
|
▲圖23 新增 GPO。 |
接著,針對所建立的GPO項目按下滑鼠右鍵,並點選快速選單中的【編輯】選項。接下來,以套用在使用者身上為例進行說明。
如圖24所示,展開至「使用者設定」→「喜好設定」→「Windows 設定」→「磁碟機對應」節點,然後按一下滑鼠右鍵,並點選快速選單中的【新增】→【對應磁碟機】。
|
▲圖24 進行磁碟機對應設定。 |
接著出現如圖25所示的對應磁碟機設定頁面。先從「動作」下拉選單中選擇【建立】,然後點選「位置」欄位右邊的〔...〕按鈕。
|
▲圖25 設定磁碟對應組態。 |
在「尋找」視窗內可以透過自訂搜尋設定,找到已發布至Active Directory中的共用資料夾,以作為所要連接的網路共用位置。
如果伺服器的共用資料夾並未發布至網域,也可以直接以UNC的路徑方式來手動輸入位址。
若想要臨時設定共用資料夾的發布,則可以如圖26所示到「Active Directory使用者和電腦」視窗內,在任一組織容器節點上按一下滑鼠右鍵,開啟快速選單來新增即可。
|
▲圖26 檢視網域共用發布。 |
接著,還必須在上一個步驟頁面中,設定想要使用的網路磁碟代號以及連線身分與相對密碼(可省略)。
編輯好群組原則物件之後,務必記得與所要套用的組織容器建立連結,然後便可以立刻在容器中的任一部Windows 7電腦前開啟命令提示字元,執行「GPUPDATE」然後重新登入電腦。
圖27便是一部已被套用網路磁碟機對應設定的Windows 7用戶端電腦的範例。
|
▲圖27 成功套用群組原則。 |
TOP5:如何集中控管MSE防毒軟體設定
微軟網站上提供的MSE防毒系統,所介紹的皆是在單機操作與設定上的講解,如果資訊人員想要進一步強制集中控管MSE的某些組態設定,是否還有其他的辦法呢?
MSE是Microsoft專為家用電腦以及只有10部電腦以內的小型企業所提供的安全防護軟體,如果想要集中控管設定,就必須透過結合Active Directory的群組原則來完成才行。
不過,在群組原則管理介面中所內建的原則項目,並沒有針對MSE提供的原則項目,因此必須善用登錄項目的集中配置方式來解決這項需求。
首先,從網域控制站主機上開啟「系統管理工具」下的「群組原則管理」。開啟「群組原則管理」視窗後,如圖28所示在「群組原則物件」項目上按下滑鼠右鍵,然後點選快速選單中的【新增】。
|
▲圖28 新增群組原則物件。 |
開啟「新增GPO」視窗以後,接著輸入唯一的名稱,並按下〔確定〕按鈕。新增完成之後,選取該GPO物件並且按一下滑鼠右鍵,然後點選快速選單中的【編輯】。
接著,如圖29所示在「群組原則管理編輯器」視窗內,依序展開至「電腦設定」→「喜好設定」→「Windows設定」→「登錄」節點,然後在「登錄」節點上按一下滑鼠右鍵,點選快速選單中的【新增】→【登錄項目】。
從登錄檔配置中可以針對不同的管理需求進行設定,包含排程掃描的設定、即時防護的選項設定、即時防護的進階選項設定等等,而在每一項原則設定中,其「動作」設定都必須如圖30所示選擇【更新】,而「Hive」欄位部分則必須輸入「HKEY_LOCAL_MACHINE」。
|
▲圖29 新增登錄項目。 |
|
▲圖30 設定排成掃描時間。 |
如果要設定排程掃描組態,「機碼路徑」欄位內必須指定為「Software\Microsoft\Microsoft Antimalware\Scan」。若想設定排程時間則必須在「數值名稱」欄位中鍵入「ScheduleTime」,而「數值類型」必須選擇【REG_DWORD】。
至於「數值資料」欄位,須輸入以十六進位表示法的時間數值,例如「00000000」即代表12:00AM,以此類推。
在排程日期方面,只要將其中的「數值名稱」欄位值改為「ScheduleDay」,然後再修改「數值資料」欄位值即可。
當設定值為0時,表示每一天都掃描,設定為1代表為每周日,設定為2表示為每周一,設定為3表示為每周二,以此類推。
如果要即時掃描封存檔案如ZIP、RAR、CAB等等,則可以新增一筆「預設」欄位值「DisableArchiveScanning」,「數值類型」一樣選擇【REG_DWORD】,「數值資料」則同樣輸入「00000000」。
最後,如果要即時掃描USB隨身碟裡面的檔案,新增一筆「預設」欄位值為「DisableRemovableDriveScanning」,「數值類型」一樣設定為【REG_DWORD】,而「數值資料」欄位內填入「00000000」。
在啟用即時保護設定部分,理所當然地,也要將它設定為啟用狀態,因此必須如圖31所示先在「機碼路徑」欄位內輸入「Software\Microsoft\Microsoft Antimalware\Scan」,接著將「預設」欄位值設定成「DisableOnAccessProtection」。
而「數值類型」選擇【REG_DWORD】,「數值資料」欄位輸入「00000000」,如此一來,將可確保使用者上網下載檔案和開啟附件時的安全性。
如果想要即時監控每一個檔案的開啟以及程式的活動情形,則可以新增一筆「預設」欄位值「DisableIOAVProtection」,「數值類型」選擇【REG_DWORD】,「數值資料」欄位輸入「00000000」。
|
▲圖31 啟用即時防護功能。 |
圖32所示便是根據實際管理需求所建立的登錄設定,必要的話,也可以在此將這項設定匯出成一個文字檔當作備份。
|
▲圖32 完成登錄檔配置。 |
既然能夠執行匯出,也就能夠進行匯入,將這個檔案分享給其他公司來使用。只要執行匯入,便會出現「確認匯入」訊息對話盒,按下〔是〕按鈕即可。
完成上述群組原物件規則設定之後,再回到「群組原則管理」視窗。只要如圖33所示針對所要套用的組織單位節點按一下滑鼠右鍵,然後點選快速選單中的【連結到現有的GPO】,便可以選擇前面所建立的GPO。
|
▲圖33 設定組織單位GPO連結。 |
最後,若想知道每一個不同群組原則物件(GPO)所設定的摘要內容,在選取物件後,切換至〔設定〕頁面,即可看見前面所設定的原則項目與其設定值。
結語
在單機的作業環境中,若懂得做好磁碟的管理,將可確保資料的安全性與完整性,而在企業網域的環境中,若IT人員懂得集中管理好用戶端電腦對於磁碟的存取需求,不僅節省許多人力上的支援,還能夠讓平日管理工作的效率更加提升。