Windows 2000 Advanced Server的用戶管理
配置文件
用戶的桌面、顯示器、網(wǎng)絡(luò)、打印機(jī)、鼠標(biāo)等項的設(shè)置均由用戶配置文件管理。配置文件分如下三類:
1、本地用戶配置文件,通常位于“C:Documents and Settings%Username%”路徑下,用戶可以隨意支配,不在控制之列。
2、漫游用戶配置文件,這是針對網(wǎng)絡(luò)域登錄用戶而設(shè)置的,一般位于服務(wù)器的某一個共享文件夾內(nèi),保證用戶無論從域中哪一臺PC 上登錄都可以獲得自己喜愛的用戶環(huán)境。
圖1
3、強(qiáng)制用戶配置文件,這是一種在漫游用戶配置文件基礎(chǔ)上加強(qiáng)得來的。設(shè)置方法是:進(jìn)入“管理工具活動目錄用戶和計算機(jī)”,在某一個用戶賬號的“屬性配置文件”中輸入諸如“ServerShare%Username”的UNC路徑名(圖1)。當(dāng)然,事先應(yīng)建好共享文件夾。這樣當(dāng)重新用該賬戶登錄時,你會在那個路徑下見到名為“Ntuser.dat”的文件,此即配置文件,不過有點害羞(Hidden屬性)。它們的差別很大,漫游時配置可以改,可以保存;而強(qiáng)制則必須把上述文件改為“Ntuser.man”,并且盡管也可以修改登錄后的環(huán)境,但僅為本次使用,無法保存,下次登錄依然是“外甥打燈籠——照舊”。
文件夾重定向
文件夾重定向分兩步實施。
1、GPO的設(shè)置
Windows 2000 Advanced Server可供重定向控制的有四項,即:Application Data、My Documents、桌面和開始菜單四個文件夾,你可以對它們分別設(shè)置。以重定向“開始菜單”為例,操作步驟是:進(jìn)入“管理工具活動目錄用戶和計算機(jī)”,選擇“OU屬性組策略編輯用戶配置Windows配置文件夾重定向”,(圖2)。右擊“屬性”,可見“目標(biāo)”和“設(shè)置”兩個標(biāo)簽項。先設(shè)置“目標(biāo)”項,在“設(shè)置”框中,一般選“基本”,而“目標(biāo)文件夾位置”設(shè)為“ServerShare”。“設(shè)置”標(biāo)簽項最好選“刪除策略時將文件夾移回本地用戶配置文件位置” 。
圖2
2、共享文件夾安全設(shè)置
上一步僅僅指明文件夾重定向的位置,但并不能進(jìn)行限制性設(shè)置,要做到這一點,必須從NTFS的安全選項入手。找到相應(yīng)的重定向共享文件夾,進(jìn)入“屬性安全”,僅給“Everyone”以“只讀”權(quán)力,而給網(wǎng)管以 “全控”大權(quán),如此一來,每個域用戶的“開始菜單”設(shè)置權(quán)就難逃你這個“如來佛的手掌”了(如圖3)。
圖3
管理模板
利用管理模板(圖4),任務(wù)欄和“開始”菜單上的“文檔”、“關(guān)機(jī)”、“運(yùn)行”、“搜索”等各項的生死存亡全在你一念之間。“桌面”項還可以隱藏、禁改、禁存甚至“消滅”桌面上所有圖標(biāo)。有的讀者會說從Windows 95起就有注冊表,可以做到上述修改設(shè)置。但管理模板的直觀性非注冊表能比的。況且注冊表只是針對某個用戶,而管理模板以O(shè)U為單位(一個OU可放n個用戶)。
圖4
這“三板斧”可謂斧斧生威。不過,唐僧的緊箍咒也不是老用。像文件夾重定向中“My Documents”的設(shè)置,其本意就是方便用戶隨時隨地都能掌握自己的文檔,若你硬是給它強(qiáng)行來個“只讀”,豈不是與原意背道而馳?另外,如果某些人確實因為工作需要有適當(dāng)?shù)淖灾鳈?quán),你也應(yīng)該格外“開恩”。
網(wǎng)公網(wǎng)安備