用户操作环境管理.ppt

第九章 用户操作环境管理,9.1 设置用户配置文件,用户配置文件是用来存储用户桌面设置、应用程序设置以及用户个人资料在运行 Windows 2000 的计算机上，用户配置文件将自动创建和维护本地计算机上的每个用户工作环境的桌面设置,当用户第一次登录到计算机的时候，系统为每个用户创建一个用户配置文件多个用户可以使用同一台计算机，并且每个用户在登录时都会收到自己的桌面设置。当用户登录到工作站时，将收到上次注销时的桌面设置。一个用户对桌面环境的自定义设置不会影响其他用户的设置。用户配置文件可以存储在服务器上，以便它们可以跟随用户到网络上任意一台运行 Windows NT 4.0 或者 Windows 2000 的计算机上。这称为漫游用户配置文件。,用户配置文件为系统管理提供以下选项,可以创建适合用户任务的默认用户配置文件。可以建立不保存用户对桌面设置所做更改的强制用户配置文件。可以指定要添加到所有的个人用户配置文件中的默认用户设置。,使用以下工具来管理用户的工作环境,用户配置文件登录脚本主文件夹组策略环境变量磁盘配额,本地用户配置文件漫游用户配置文件强制用户配置文件强制用户配置文件（漫游配置文件）,用户配置文件的类型,用户配置文件的结构（三部分）,用户配置文件的文件夹开始菜单Application DataCookiesFavoritesLocal SettingsMy Documents,NetHoodPrintHoodRecentSendToTemplates桌面,用户配置文件的结构（三部分）,Ntuser.dat文件当前登录用户的环境设置数据是HKEY_CURRENT_USER数据存储的位置All Users文件夹包含【开始】菜单、“桌面”等所有用户共享的设置数据公用程序组个人程序组,创建本地用户配置文件,对于 Windows 2000 Server 的全新安装的用户，本地用户配置文件将保存于Documents and Settings 文件夹中的用户名下对于 Windows 2000 Server 的升级安装的用户，本地用户配置文件将保存在 WINNTprofiles 文件夹中的用户名下用户配置文件，与所有用户文件夹中的公用程序组设置一起创建用户的桌面,漫游用户配置文件用户在网络中任何一台Windows2K计算机登录时使用相同的用户配置文件强制用户配置文件属于漫游用户配置文件用户无法更改此配置文件的内容默认用户配置文件若用户未被指定使用位于服务器上的漫游用户配置文件、强制用户配置文件，并且第一次在这台计算机登录用户无法读取其本地用户配置文件时系统默认配置文件,9.2 登录脚本,就是当用户登录时会自动运行的程序扩展名为.BAT或.CMD的批处理文件扩展名为.EXE的可执行文件Windows脚本宿主,9.3 主目录,存储私人信息位置：我的文档映射到：“Documents and Settings用户帐号My Documents”文件夹内另一个存储私人信息的位置：主文件将宿主目录添加到配置文件中在“Active Directory 用户和计算机”或“本地用户和组”中指定的主目录是用户可以访问并包含该用户的文件和程序的文件夹。一般此文件夹用于在网络上存储用户的文件和程序，从私密和安全角度考虑，管理员也无权察看其中内容。当使用 Windows 2000 终端服务时，用户配置文件是默认的宿主目录,添加步骤,步骤1 打开 Active Directory 用户和计算机。步骤2 在控制台树的用户详细信息窗口中，右键单击可用的用户帐户。步骤3 单击“属性”。步骤4 在“属性”对话框中，单击“配置文件”选项卡。步骤5 在主文件夹中，键入目录信息。,9.4 组策略,组策略对象GPO组策略继承创建GPO应用组策略为管理模板配置组策略设置为登录脚本与启动脚本配置组策略设置为重定向用户文件夹配置组策略设置组策略实现原则,组策略概念,组策略就是修改注册表中的配置。组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大组策略将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的,组策略分类磁盘配额策略加密文件系统恢复策略安全策略用户和计算机策略文件夹重定向策略登陆/注销脚本软件安装,组策略对象GPO,GPO的内容存储在两个不同位置：组策略容器GPC和组策略模板GPT组策略对象的基本组成元素REGISTRY.POL文件ADM文件夹USER文件夹Machine文件夹,组策略容器GPC活动目录对象包括版本信息、状态信息、扩展列表组策略模板GPT是域控制器上的Sysvol文件夹中的文件夹分级层次结构是所有关于模板、安全、软件安装、脚本和文件夹重定向的所有组策略信息的容器,策略的层次NT系统策略本地策略站点策略域策略OU策略,活动目录中的组策略继承,组策略继承活动目录简化管理工作的一种途径组策略设置具备继承性和累积性继承顺序：本地组策略（本地安全策略）站点的组策略域的组策略组织单位的组策略,组策略应用顺序和规则,应用顺序本地组策略站点的组策略域的组策略组织单位的组策略应用规则策略继承可能出现的情况阻止策略继承和强迫继承策略,解决组策略继承冲突,默认情况下，应用顺序在后的组织单位的组策略覆盖之前应用的组策略子GPO未被配置父设置发生作用子GPO被配置，而且兼容两项设置都发生作用子GPO被配置，但不兼容只有子设置发生作用,修改继承禁止覆盖阻止策略继承,组策略对象的处理顺序,计算机启动根据计算机配置内容来设置计算机的环境启动脚本将按顺序运行所有影响计算机帐号的GPO都必须在用户登录之前被处理用户登录用户配置内容被处理通过组策略发生作用的登录脚本将运行其他与用户帐号相关联的脚本最后被运行,组策略对象GPO的设置,域控制器：针对整个域设置组策略域控制器：针对所有的域控制器设置组策略成员服务器、独立服务器：针对本地计算机设置组策略Windows2K Professional：针对本地计算机设置组策略,管理组策略对象权限,把域或OU与GPO关联把站点与GPO关联修改权限授权控制权限,管理模板策略的设置,在Windows 2000/XP/2003目录中包含了几个.adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息：System.adm：默认情况下安装在“组策略”中，用于系统设置Inetres.adm：默认情况下安装在“组策略”中；用于Internet Explorer策略设置Wmplayer.adm：用于Windows Media Player 设置Conf.adm：用于NetMeeting 设置,组策略控制台,如果是Windows 2000/XP/2003系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc并确定，即可运行程序，打开的就是当前计算机的组策略对象,组策略控制台,打开组策略计算机配置用户配置设置文件夹,使用组策略配置注册表,管理模板包括所有给予注册表的组策略信息用户组策略写在：HKEY_CURRENT_USERSoftwarePolicies计算机的组策略写在HKEY_LOCAL_MACHINESoftwarePolicies在管理模板中修改组策略设置,帐号策略的设置,与用户帐号有关的设置和更改针对域设置帐号策略，则应用于域内的所有计算机针对某个组织单位设置，则应用于这个组织单位内的计算机密码策略密码最长存留期密码最长存留期密码长度最小值强制密码历史,本地策略的设置,本地策略分为“审核策略”、“用户权利指派策略”与“安全选项策略”用户权利指派策略：本地登录域中添加工作站关闭系统从网络访问此计算机从远端系统强制关机备份和还原文件与目录管理审核和安全日志装载和卸载设备驱动程序取得文件和其他对象的所有权,安全选项策略,登录屏幕上不要显示上次登录的用户名允许在未登录前关机在密码到期前提示用户更改密码禁用按Crtl+Alt+Del进行登录的设置用户试图登录时消息文字与用户试图登录时消息标题,文件夹重定向,重定向作用可以将数据放置在网络上用户配置文件中的一系列文件夹中，以获得高可用性和及时更新重定向对象：应用程序数据桌面我的文档我的图启动菜单重定向方式针对每个用户设置针对某个组设置,