第11章 用戶環境管理及組策略
每個人都習慣在熟悉的工作環境工作,無論是在自己的工作台,還是在計算機前。用戶環境管理可以幫助我們置身於熟悉的環境之中,得心應手地完成各種不同類型的任務。環境的管理,不但適用於未聯網的單機,還可以通過網絡為用戶進行配置,從而簡化了管理員的管理工作。
總的來說,用戶的工作環境管理可以通過包括用戶配置文件(User Profile)、係統規則(System Policy)、登錄腳本(Login Script)以及環境變量(Environment Variables )的手段進行管理。
本章內容包括:
?用戶配置文件
?Windows 2000的組策略
?安全設置
?管理模板
?腳本管理
?主目錄管理
11.1 配置文件
簡單地說,用戶配置文件是當用戶登錄時係統自動加載的信息,包括用戶對Windows 2000環境的設置,如屏幕顏色、網絡連接、打印機的連接、鼠標設置、窗口的大小和位置。
用戶在退出到下一次登錄過程中,係統會保留上次的一些配置。這樣一來,用戶重新登錄後,將回到自己熟悉的工作環境,比如漂亮的桌麵背景,桌麵上自設的應用程序的快捷方式,開始菜單的個人程序組,顯示器的設置,網絡和打印機的連接等都會和退出時一樣,就像在工作台中,書籍的擺設、文具的擺放,以及椅子的高低等都按自己喜歡的位置擺放。這些信息就存放在用戶配置文件中,幫助你迅速進入工作狀態。
下麵是用戶配置文件應用的一些例子:
在資源管理器中對查看工具欄、狀態欄、瀏覽欄、大圖標、小圖標等的設置;
?在桌麵上添加的應用程序快捷方式及其圖標;
?屏幕保護及背景圖案;
?查閱幫助裏添加的書簽;
?對應用程序組的設置等。
用戶配置文件包括以下3種類型:本地配置文件(Local User Profile),漫遊配置文件(Roaming User Profile)和強製配置文件(Mandatory User Profile)。
■ 本地配置文件
用戶在運行Windows 2000 或Windows NT的機器上第一次登錄時,計算機自動在本地創建的配置文件。
■ 漫遊配置文件
與本地配置文件不同的是,漫遊配置文件是建立並保存在服務器中的。當用戶登錄時,漫遊配置文件從服務器上下載到用戶的本地計算機中;用戶注銷後,所做的配置改動將對服務器上和本地的配置文件都進行更新。
■ 強製配置文件
與漫遊配置文件一樣,強製配置文件也存在網絡的服務器中。但二者也有區別:用戶所做的配置改動無法更新強製配置文件。
在後麵對這3種配置文件還將有更詳細的介紹。
11.1.1 配置文件的結構組成
保存在用戶配置文件中的設置可以用表11-1說明。
表11-1 配置文件設置
來源 保存的配置參數
控製麵板 用戶定義的設置值
附件 對計算器、時鍾、記事本等附件項目的具體設置
資源管理器 所有在資源管理器中設置的自定義項
任務欄 個人程序組、程序項及其屬性
Windows 應用程序 用戶對應用程序的設置
幫助文件 在幫助係統中添加的書簽
打印設置 網絡打印機的連接
用戶配置文件並不是一個特定的文件,它實際上由三部分組成,它們是用戶配置文件夾、All Users配置文件夾以及注冊表中的HKEY_CURRENT_USER的內容。
11.1.1.1 用戶配置文件夾(User Profile)
每個用戶的用戶配置文件夾與用戶名相同,而且每個用戶都會有其自己的用戶配置文件夾,這些文件夾存放在C:/Documents and Settings/路徑下。從資源管理器中打開後,可以看見這一目錄,如圖11-1所示。
圖11-1 用戶配置文件夾
打開每個用戶的用戶名配置文件夾,可以看到開始菜單、桌麵、Favorites、My Documents和Cookies5個文件夾。但實際上為了安全起見,係統還自動隱藏了一些文件夾和文件。要想顯示隱藏文件,請按以下步驟操作:
(1)在資源管理器中,打開“工具”→“文件夾選項”菜單,或者在控製麵板中,雙擊選擇文件夾選項。
(2)選擇查看選項卡,此時的對話框如圖11-2所示。
(3)在如圖11-2的對話框中,選擇“顯示所有文件和文件夾”(缺省為“不顯示隱藏的文件和文件夾”)。
圖11-2 選擇顯示文件和文件夾
此時將有可能出現警告提示,按“確定”按鈕即可。
回到資源管理器中再次查看用戶配置文件夾,將出現更多的文件夾和文件,現在對每個文件夾所存放內容闡述如表11-2所示。
表11-2 用戶配置文件內容
用戶配置文件夾 內容
“開始”菜單 用戶開始菜單中的個人部分程序項
Application Data 客戶的應用程序數據
Cookies
Favorites 包括媒體,鏈接兩個文件夾,提供了微軟在互聯網上網頁的快捷方式
Local Settings 包括一些最近訪問過的網頁以及臨時文件
My Documents 存放著我的文檔,包括傳真、圖片、網頁等一些文檔數據
NetHood 網上鄰居中定義的快捷方式
PrintHood 打印機文件夾定義的快捷方式
Recent 被一些應用程序最近使用的文檔,比如Word文檔
SendTo 在文件或者文件夾上單擊右鍵出現的快捷菜單中,“發送到”菜單項出現的目標地
Templates 指向模板項目的快捷方式
桌麵 用戶桌麵上非係統設置的快捷方式圖標
讀者可以發現,在Documents and Settings中,除了用戶配置文件夾外,還有兩個特定的文件夾,那就是All Users和Default Users文件夾。一般說來,當某個用戶第一次登錄時,由於不具備自己的用戶配置文件,這時係統就會從Default Users文件夾中指定一個默認的配置文件,並初始化這個用戶的工作環境。當用戶注銷後,對設置的改動會保存到該用戶的個人配置文件夾中。我們再來看看All Users文件夾。
11.1.1.2 All Users文件夾
與於個人設置相對應的是一些公用的、適用於所有用戶的工作環境配置,這些信息就存放在All Users文件夾,與用戶的個人配置文件夾共同構成了用戶的工作環境。
在Windows 2000以前的Windows 95或者 Windows NT中,開始菜單尚未得到簡化(開始菜單的簡化詳見第3章),用戶想必會注意到程序下級聯菜單中的分隔線,分隔線下方的就是係統定義的公用程序組。在Windows 2000中,簡化開始菜單後,雖然分隔線沒再出現,但All Users文件夾仍然存在。
公用程序組及其他公用的配置定義在All Users文件夾中,包括桌麵及開始菜單的設置,與其他用戶配置文件夾不同的是,All Users文件夾中隻有“開始”菜單、Application Data、Documents、Favorites、Templates及桌麵6個文件夾。
需要提醒的是:添加應用程序時,安裝程序(Setup.exe或者Install.exe)會把應用程序快捷方式的圖標放在開始菜單下級聯的程序菜單中,但具體存放在個人用戶配置文件夾中還是公用的All Users文件夾中,則不是確定的。可以在程序安裝完成後,再在資源管理器中具體查看。
11.1.1.3 Ntuser.dat文件
用戶工作環境的配置還有第3個重要組成部分是Ntuser.dat文件。當在“資源管理器”中查看用戶配置文件,並已經選擇了查看所有文件和文件夾而不是隱藏受保護的文件後,就可以看見Ntuser.dat文件,如圖11-3所示。
圖11-3 不被隱藏的Ntuser.dat文件
Ntuser.dat數據文件是與注冊表的HKEY_CURRENT_USER根鍵相關聯的這個文件保存了用戶配置文件中除去各文件夾中的其他內容,如圖11-4所示。
圖11-4 注冊表的HKEY_CURRENT_USER根鍵
在如圖11-4所示的注冊表編輯器中,可以看到HKEY_CURRENT_USER根鍵下所包含的內容,很容易想到,此根鍵保存的是當前用戶(CURRENT USER)的配置信息,包括用戶對控製麵板(Control Panel)、鍵盤布局(Keyboard Layout )、已安裝的軟件(Software)、網絡連接(Network)等的設置。用戶對控製麵板等的設置項存放在係統注冊表中,對這些信息的處理有別於其他的用戶配置文件,這時候引用了Ntuser.dat文件。
此外還有一個名為Ntuser.dat.LOG的日誌文件。用戶對配置的更改會保存在該日誌文件中,當用戶注銷時,更改的數據會再複製到Ntuser.dat文件中去。
HKEY_CURRENT_USER根鍵下的內容視當前用戶而有區別,而且Ntuser.dat文件與HKEY_CURRENT_USER根鍵是雙向聯係的。當某個用戶登錄時,其用戶配置文件夾下的Ntuser.dat文件會對HKEY_CURRENT_USER根鍵的內容初始化;而當用戶注銷時,HKEY_CURRENT_USER根鍵將再對Ntuser.dat文件進行更新。
由此可以看出,用戶配置文件夾和注冊表中HKEY_CURRENT_USER的內容組成了用戶的個人配置,而All Users文件夾則是公用的配置信息。
下麵我們來看看用戶配置文件的工作。
11.1.2 配置文件的分類
11.1.2 1 本地配置文件
如前所述,當用戶登錄時,用戶配置文件夾下的各子文件夾和Ntuser.dat文件會初始化用戶的個人配置,它們和All Users文件夾共同構成了用戶的工作環境。
如果用戶是第一次登錄,那麼係統會把Default Users文件夾和All Users文件夾一同供用戶使用,配置用戶的工作環境。此後將會在Documents and Settings文件夾中建立一個以用戶名命名的本地配置文件夾(實際上是把Default Users文件夾複製到此新建的用戶配置文件夾中),當用戶注銷後,所做的改動就會保存在此用戶配置文件夾中,供用戶下次登錄時使用。而Default Users文件夾的內容不變。
有時讀者可能會看到這樣的情況:假設用戶名為wang,此時在Documents and Settings文件夾中出現了兩個配置文件夾,一個名為wang,而另一個名為wang.000,這是怎麼回事呢?當然,該用戶在本地計算機上有用戶名為wang的賬號,如果此用戶在域上還有一個賬號,就會出現這樣的情況。用戶在本地計算機和域中分別建立賬號後,係統會給兩者不同的SID號,實際上將兩者區別對待。這樣用戶以不同身份登錄,就會有不同的用戶配置文件。當兩個賬號有相同的用戶名時,為了區分不同的用戶配置文件,就在一者後麵加上.000以示區分。用戶以不同身份登錄,係統啟用的是不同的用戶配置文件;同樣的道理,用戶注銷時,改動也會保存到不同的用戶配置文件中。
11.1.2.2 漫遊配置文件
與本地配置文件不同,漫遊配置文件不是保存在用戶登錄的本地計算機中,而是保存在網絡上的服務器計算機中。
漫遊配置文件的建立是出於這樣的考慮:在網絡中,如果用戶需要在不同的計算機上登錄,而又希望總能在熟悉的工作環境中工作,這時候就應當建立一個保存在服務器中的配置文件,當用戶“漫遊”在網絡中時,他可以打開這個配置文件來初始化自己的工作環境。當用戶注銷時,所做的改動會保存在服務器上的漫遊配置文件中。
與本地配置文件不同,不會有一個Default Users文件夾存放在服務器中,自動為用戶建立漫遊配置,需要管理員親自設置。
為用戶設立一個漫遊配置文件的方法是:
(1)以係統管理員身份登錄,打開用戶管理器。
(2)找到需要設立漫遊配置文件的用戶。
(3)在用戶名上單擊右鍵,在彈出的快捷菜單中,選擇“屬性”命令。
(4)在屬性對話框中,選擇配置文件選項卡。如圖11-5所示。
圖11-5 設立漫遊配置文件
(5)在“配置文件路徑”文本框中,輸入為用戶設置的漫遊配置文件的路徑與名稱,其中路徑名稱包括服務器以及下屬的文件夾名。
在圖11-5所示的文本框中,輸入的是UNC名(Universal Naming Convention)。UNC名是在Windows 域中,指明網絡資源的統一命名約定,采用兩個反斜線開始一個計算機名,一個反斜線開始該計算機中的共享文件名,之後是底下的子目錄,其格式為\\server name\profiles folder name\user profile name。