Rozdzia³ 34
Zarz¹dzanie
profilami
u¿ytkownika
i zasadami
Czêœæ VIII: Administracja systemu
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
Jak ju¿ niew¹tpliwie odkry³eœ, system Microsoft
Windows XP oferuje u¿ytkownikom ró¿nego ro-
dzaju mo¿liwoœci dostosowywania. U¿ywaj¹c
ró¿norodnych ustawieñ w Panelu sterowania
oraz innych miejsc, u¿ytkownicy mog¹ kontrolo-
waæ wygl¹d ich pulpitu, paska zadañ, menu
Start, okien folderów i wielu innych elementów;
mog¹ okreœlaæ dŸwiêki, które s¹ odtwarzane, kie-
dy wyst¹pi¹ pewne zdarzenia; mog¹ dodawaæ
lub usuwaæ programy itd. Jest to wspania³a rzecz
dla pojedynczego komputera obs³ugiwanego
przez jednego u¿ytkownika, który chce dobrze
w³adaæ swoim œrodowiskiem pracy.
Natomiast je¿eli musisz utrzymaæ w dzia³aniu
wiêcej ni¿ jeden komputer i zapewniæ mo¿liwoœæ
wydajnej pracy wiêcej ni¿ jednemu u¿ytkowni-
kowi, mo¿esz jako administrator chcieæ samemu
dostosowaæ œrodowisko pracy dla poszcze-
gólnych u¿ytkowników. Za pomoc¹ narzêdzi do-
starczonych przez Windows XP mo¿esz wybraæ
ustawienia dla u¿ytkowników, którzy nie dyspo-
nuj¹ odpowiedni¹ wiedz¹, doœwiadczeniem albo
czasem potrzebnym do samodzielnego wprowa-
dzenia tych ustawieñ. Jeœli bêdzie to potrzebne,
mo¿esz wprowadziæ ograniczenia, które zapobiegn¹
zniszczeniu konfiguracji przez niedoœwiadczo-
nych albo nieuwa¿nych u¿ytkowników.
Ten rozdzia³ opisuje dwie funkcje systemu Win-
dows XP, których administrator mo¿e u¿yæ do
dostosowania i kontrolowania systemu: profile
u¿ytkownika oraz zasady grupy.
Wprowadzenie do profili
u¿ytkownika
942
Praca z profilami u¿ytkownika
946
U¿ywanie Profili mobilnych
u¿ytkownika
954
Kontrolowanie mo¿liwoœci
u¿ytkowników za pomoc¹
Zasad grupy
958
Konfigurowanie praw
u¿ytkownika
970
Wprowadzenie do profili u¿ytkownika
Profil u¿ytkownika zawiera wszystkie ustawienia oraz pliki dla œrodowiska pracy u¿yt-
kownika. Zawarte s¹ tu osobiste ustawienia rejestru dla wszystkiego, pocz¹wszy od
wskaŸników myszy, po ustawienia widoku u¿ywane w programie Microsoft Word
oraz pliki, które s¹ specyficzne dla danego u¿ytkownika, takie jak pliki cookie, odbie-
rane podczas korzystania z przegl¹darki Microsoft Internet Explorer, dokumenty
w folderze Moje dokumenty i jego podfolderach oraz skróty do miejsc sieciowych.
Po³o¿enie i zawartoœæ profili u¿ytkownika
Domyœlnie ka¿dy u¿ytkownik, który loguje siê na komputerze, posiada lokalny profil
u¿ytkownika, który jest tworzony podczas jego pierwszego logowania. Lokalne pro-
file u¿ytkownika przechowywane s¹ w folderze %SystemDrive%\Documents and
Settings. Ka¿dy profil u¿ytkownika przechowywany jest w podfolderze o takiej samej
nazwie jak nazwa u¿ytkownika (na przyk³ad C:\Documents and Settings\Marek).
Pe³na œcie¿ka do bie¿¹cego profilu u¿ytkownika przechowywana jest w innej po-
wszechnie u¿ywanej zmiennej œrodowiskowej %UserProfile%.
UWAGA
Je¿eli dokona³eœ aktualizacji systemu z Microsoft Windows NT 4 (zamiast wykonaæ now¹ instalacjê albo
aktualizacjê z innej wersji systemu Windows), profile u¿ytkownika przechowywane s¹ w folderze %Sys-
temRoot%\Profiles.
Wewn¹trz folderu profilu u¿ytkownika odnajdziesz hierarchiê folderów, tak jak po-
kazano na Rysunku 34-1. G³ówny katalog profilu (czyli podfolder folderu Documents
and Settings, o nazwie takiej jak nazwa u¿ytkownika) zawiera plik Ntuser.dat, który
jest kawa³kiem rejestru (innymi s³owy, ga³êzi¹ klucza HKCU). W dodatku komputer,
który jest cz³onkiem domeny systemu Microsoft Windows NT Server, mo¿e posiadaæ
plik Ntuser.pol, który zawiera ustawienia zasad systemu. (Zasady systemu s¹ po-
przednikiem Zasad grupy, wprowadzonych w systemie Microsoft Windows 2000).
Profil zawiera nastêpuj¹ce foldery:
§
Dane aplikacji. Ten ukryty folder zawiera specyficzne dane aplikacji, takie jak
s³ownik u¿ytkownika dla edytorów tekstu, listy nadawców wysy³aj¹cych spam
dla programów poczty elektronicznej, bazê danych p³yt CD dla programów od-
twarzaj¹cych p³yty z muzyk¹ itd. Twórcy aplikacji decyduj¹, jakie informacje maj¹
byæ umieszczone w tym folderze.
§
Cookies. Folder ten zawiera pliki cookie przegl¹darki Internet Explorer.
§
Pulpit. Folder ten zawiera wszystkie elementy przechowywane na pulpicie u¿yt-
kownika, w³¹czaj¹c w to pliki i skróty.
§
Ulubione. Folder ten zawiera elementy listy Ulubione przegl¹darki Internet
Explorer.
942
Czêœæ VIII: Administracja systemu
Rysunek 34-1. Ka¿dy profil u¿ytkownika zawiera kilka folderów, w tym kilka ukrytych.
§
Ustawienia lokalne. Ten ukryty folder zawiera ustawienia i pliki, które nie prze-
chodz¹ z profilem, poniewa¿ s¹ powi¹zane ze specyfik¹ komputera albo s¹ tak
du¿e, ¿e szkoda zachodu na umieszczanie ich w mobilnym profilu u¿ytkownika,
który musi byæ kopiowany z i na serwer przy ka¿dym logowaniu i wylogowaniu.
(Mobilne profile u¿ytkownika omówione s¹ w nastêpnym podrozdziale). Na
przyk³ad obszar przechowywania danych dla wypalania p³yt CD – który zale¿y
od komputera i jest potencjalnie bardzo du¿y – przechowywany jest w podfolde-
rze folderu Ustawienia lokalne. Folder Ustawienia lokalne zawiera cztery podfol-
dery:
§
Dane aplikacji. Ten ukryty folder zawiera specyficzne dla komputera dane
aplikacji.
§
Historia. Folder ten zawiera historiê odwiedzanych przez u¿ytkownika stron
programu Internet Explorer.
§
Temp. Folder ten zawiera tymczasowe pliki utworzone przez aplikacje.
§
Temporary Internet Files. Folder ten zawiera pliki do u¿ytku w trybie offline
przegl¹darki Internet Explorer.
§
Moje dokumenty. Folder ten jest domyœlnym miejscem docelowym dla skrótu
Moje dokumenty, który pokazuje siê w menu Start, panelu zadañ Eksploratora
Windows (w sekcji Inne miejsca) itd. Folder Moje dokumenty jest domyœln¹ lokali-
zacj¹ do przechowywania dokumentów u¿ytkowników w wiêkszoœci aplikacji.
Kiedy przegl¹dasz foldery profilu innego u¿ytkownika, s³owo Moje zostaje
zast¹pione przez jego nazwê u¿ytkownika, chocia¿ w³aœciw¹ nazw¹ folderu dla
wszystkich u¿ytkowników jest Moje dokumenty.
§
NetHood. Ten ukryty folder zawiera skróty, które ukazuj¹ siê w Moich miejscach
sieciowych.
§
PrintHood. Rzadko u¿ywany ukryty folder; mo¿e zawieraæ skróty do elementów
w folderze Drukarki i faksy.
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
943
Aby unikn¹æ pomy³ek, folder
Moje dokumenty innego
u¿ytkownika pokazany jest
wraz z nazw¹ u¿ytkownika
tej osoby
§
Recent. Ten ukryty folder zawiera skróty do ostatnio u¿ywanych dokumentów;
najbardziej aktualne z nich mog¹ siê pojawiæ w menu Start. Chocia¿ w Eksplorato-
rze Windows folder ten pojawia siê jako Moje bie¿¹ce dokumenty, jego faktyczna
nazwa to Recent.
§
SendTo. Ten ukryty folder zawiera skróty do folderów i aplikacji, które pojawiaj¹
siê w podmenu Wyœlij do. Wyœlij do jest poleceniem, które pojawia siê w menu Plik
w Eksploratorze Windows, kiedy zaznaczysz plik lub folder; pojawia siê równie¿ w
menu podrêcznym, kiedy klikniesz prawym przyciskiem myszy plik albo folder.
§
Menu Start. Folder ten zawiera elementy (takie jak skróty do aplikacji i dokumen-
tów), które ukazuj¹ siê w podmenu Wszystkie programy menu Start.
§
Szablony. Ten ukryty folder zawiera skróty do szablonów dokumentów. Szablony te
u¿ywane s¹ zazwyczaj przez polecenie Nowy (w menu Plik oraz w menu podrêcz-
nym) w Eksploratorze Windows i okreœlone s¹ przez wartoœæ FileName w kluczu
HKCR\klasa\ShellNew, gdzie klasa odnosi siê do rozszerzenia i typu pliku.
UWAGA
Ustawienia Zasad grupy zawsze maj¹ pierwszeñstwo przed ustawieniami w profilach u¿ytkownika. Pozwa-
la to administratorom uniemo¿liwiæ u¿ytkownikom, którzy maj¹ potrzebn¹ wiedzê i uprawnienia, przepro-
wadzenie zmian bezpoœrednio w ich w³asnym profilu u¿ytkownika.
Typy profili
System Windows XP obs³uguje trzy typy profili:
§
Profil lokalny u¿ytkownika. Profil lokalny u¿ytkownika przechowywany jest w
folderze %SystemDrive%\Documents and Settings (albo %SystemRoot%\Profi-
les) na lokalnym dysku twardym. Windows tworzy profil lokalny u¿ytkownika
przy pierwszym logowaniu u¿ytkownika na komputerze. Je¿eli u¿ytkownik
wprowadzi zmiany w profilu, to zmiany te maj¹ wp³yw jedynie na komputer, na
którym zosta³y wprowadzone.
§
Profil mobilny u¿ytkownika. Profil mobilny u¿ytkownika przechowywany jest
na serwerze sieciowym, który udostêpnia go, kiedy u¿ytkownik loguje siê na do-
wolnym komputerze w sieci. Windows tworzy lokaln¹ kopiê profilu u¿ytkowni-
ka, który po raz pierwszy loguje siê na komputerze. Je¿eli u¿ytkownik wprowadzi
zmiany w profilu, Windows wprowadza zmiany w kopii na serwerze, kiedy u¿yt-
kownik wylogowuje siê. Dlatego te¿ poprawiony profil dostêpny jest przy nastêp-
nym logowaniu u¿ytkownika na dowolnym komputerze. Mobilne profile s¹ ³atwe
do zarz¹dzania oraz idealnie dopasowane do systemów Windows .NET Server i
Windows 2000 Server. Jednak przy odrobinie wysi³ku mo¿esz uzyskaæ niektóre
korzyœci jakie daje profil mobilny u¿ytkownika, nawet je¿eli nie posiadasz serwe-
rowej edycji systemu Windows. Aby uzyskaæ informacje na ten temat, patrz „U¿y-
wanie Profili mobilnych u¿ytkownika” na stronie 954.
§
Profil obowi¹zkowy u¿ytkownika. Profil obowi¹zkowy u¿ytkownika jest profi-
lem, który mo¿e byæ zmieniany tylko przez administratora. Tak jak profil mobilny
u¿ytkownika, profil obowi¹zkowy przechowywany jest na serwerze sieciowym,
a Windows tworzy kopiê lokaln¹ przy pierwszym logowaniu u¿ytkownika, do
którego przypisany zosta³ profil obowi¹zkowy. W przeciwieñstwie do profilu mo-
944
Czêœæ VIII: Administracja systemu
bilnego, profil obowi¹zkowy nie jest uaktualniany, kiedy u¿ytkownik wylogowu-
je siê. Czyni to profil obowi¹zkowy bardzo u¿ytecznym, nie tylko w odniesieniu
do u¿ytkowników indywidualnych, dla których chcesz wprowadziæ istotne ogra-
niczenia, ale równie¿ dla wielu u¿ytkowników (na przyk³ad wszystkich u¿ytkow-
ników wykonuj¹cych okreœlone zadanie), dla których chcesz zastosowaæ specy-
ficzne dla danego zadania ustawienia. Wielu u¿ytkowników mo¿e wspó³dzieliæ
profil obowi¹zkowy u¿ytkownika, bez wp³ywania na innych. U¿ytkownicy, do
których przypisany zosta³ profil obowi¹zkowy, mog¹ wprowadzaæ zmiany w pro-
filu, kiedy siê loguj¹ (o ile nie zabraniaj¹ tego ustawienia zasad), ale kopia sieciowa
pozostaje nie zmieniona. Chocia¿ kopia profilu pozostaje na komputerze po tym
jak u¿ytkownik siê wyloguje, przy nastêpnym logowaniu Windows ponownie ko-
piuje oryginalny profil z udzia³u sieciowego. Dodatkowe informacje o przypisy-
waniu profilu obowi¹zkowego u¿ytkownika znajdziesz w ramce „U¿ywanie pro-
filu obowi¹zkowego” na stronie 957.
Profile powszechne
W folderze profilów (%SystemDrive%\Documents and Settings albo %SystemRo-
ot%\Profiles) odnajdziesz dwa profile, które nie s¹ powi¹zane z okreœlonym kontem
u¿ytkownika: All Users oraz Default User. (Folder Default User jest ukryty).
§
All Users. Zawartoœæ folderu All Users pojawia siê dla wszystkich u¿ytkowników,
którzy zaloguj¹ siê na stacji roboczej, obok zawartoœci w³asnego folderu profilu ka-
¿dego u¿ytkownika. Na przyk³ad elementy w folderze All Users\Pulpit pojawiaj¹
siê na pulpicie wraz ze wszystkimi elementami, które aktualny u¿ytkownik ma za-
pisane na pulpicie. Podobnie, menu Start pokazuje po³¹czon¹ zawartoœæ folderu
All Users\Menu Start oraz folderu Menu Start bie¿¹cego u¿ytkownika. Folder All
Users\Dokumenty (który w Eksploratorze Windows pojawia siê jako folder Do-
kumenty Udostêpnione) zawiera dokumenty, które s¹ dostêpne dla wszystkich
u¿ytkowników. Wyj¹tkiem jest folder All Users\Ulubione, który nie s³u¿y do ni-
czego.
Domyœlnie tylko cz³onkowie grupy Administratorzy oraz U¿ytkownicy zaawan-
sowani mog¹ dodawaæ elementy do folderów Pulpit oraz Menu Start w profilu All
Users. Wszyscy u¿ytkownicy mog¹ dodawaæ elementy do folderu Dokumenty
udostêpnione.
WSKAZÓWKA
Przegl¹danie folderu Menu Start
Windows oferuje prosty sposób na dostanie siê bezpoœrednio do obu ga³êzi hierarchii menu Start. Kliknij
prawym przyciskiem myszy przycisk Start i wybierz Otwórz albo Eksploruj, je¿eli chcesz obejrzeæ folder
Menu Start w profilu bie¿¹cego u¿ytkownika; wybierz Otwórz wszystkich u¿ytkowników albo Eksploruj
wszystkich u¿ytkowników, aby zobaczyæ folder All Users\Menu Start w Eksploratorze Windows.
§
Default User. Kiedy u¿ytkownik loguje siê na komputerze po raz pierwszy (a jego
konto nie jest skonfigurowane do u¿ywania profilu mobilnego albo profilu obo-
wi¹zkowego), system Windows tworzy nowy profil lokalny, kopiuj¹c zawartoœæ
folderu Default User do nowego folderu i nazywaj¹c go nazw¹ u¿ytkownika. Dla-
tego te¿ mo¿esz skonfigurowaæ profil Default User w taki sposób, w jaki chcesz,
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
945
aby Windows na pocz¹tku ukazywa³ siê nowym u¿ytkownikom. Przy domyœl-
nych ustawieniach zabezpieczeñ tylko cz³onkowie grupy Administratorzy mog¹
wprowadzaæ zmiany w profilu Default User.
Praca z profilami u¿ytkownika
Uzbrojony w wiedzê o tym, gdzie umieszczone s¹ profile oraz co zawieraj¹, mo¿esz
pokusiæ siê modyfikowanie ich bezpoœrednio w Eksploratorze Windows albo z wier-
sza polecenia. Chocia¿ mo¿esz bezpiecznie dodawaæ, modyfikowaæ albo usuwaæ ele-
menty takie jak te z menu Start i pulpitu, to nie powinieneœ przenosiæ, kopiowaæ ani
usuwaæ w ten sposób ca³ych profili. Zamiast tego, powinieneœ u¿yæ okna dialogowe-
go Profile u¿ytkownika, pokazanego na rysunku 34-2. Aby siê tam dostaæ, kliknij pra-
wym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci (albo wybierz System
w Panelu sterowania). Na karcie Zaawansowane kliknij przycisk Ustawienia w sekcji
Profile u¿ytkownika.
Rysunek 34-2. U¿yj okna dialogowego Profile u¿ytkownika do skopiowania albo usuniêcia profilu u¿ytkownika.
946
Czêœæ VIII: Administracja systemu
Konfigurowanie profilu domyœlnego
W profilu Default User mo¿esz umieœciæ pliki, które maj¹ byæ dostêpne dla ka¿dego
nowego u¿ytkownika. W szczególnoœci mo¿esz chcieæ dostarczyæ w ten sposób, ze-
staw ³¹czy internetowych, kilka skrótów pulpitu, a tak¿e trochê dokumentów.
Mo¿esz to bardzo ³atwo zrobiæ, po prostu kopiuj¹c odpowiednie skróty oraz pliki do
folderów: Ulubione, Pulpit i Moje Dokumenty. (Poniewa¿ folder Default User jest
ukryty, najpierw musisz wyœwietliæ ukryte foldery, otwieraj¹c Opcje folderów i za-
znaczaj¹c opcjê Poka¿ ukryte pliki i foldery, na karcie Widok).
Upewnij siê, ¿e skopiowa³eœ pliki do profilu Default User, tak ¿e odziedziczy³y one
odpowiednie uprawnienia folderu docelowego. Je¿eli przenios³eœ pliki do tego fol-
deru, pozostan¹ one przy istniej¹cych uprawnieniach, które prawdopodobnie
uniemo¿liwi¹ skopiowanie ich póŸniej do profilu nowego u¿ytkownika.
UWAGA
U¿ytkownicy, którzy nie s¹ cz³onkami grupy Administratorzy, nie mog¹ zobaczyæ innych profili u¿ytkowni-
ka w oknie dialogowym Profile u¿ytkownika ani te¿ nie mog¹ usuwaæ, kopiowaæ ani zmieniaæ swojego
w³asnego profilu.
Usuwanie profilu u¿ytkownika
Okno dialogowe Profile u¿ytkownika pokazuje miejsce na dysku, zajmowane przez
profil. Poniewa¿ dokumenty ka¿dego u¿ytkownika przechowywane s¹ w jego profi-
lu, mo¿e byæ to znacz¹cy obszar. Aby odzyskaæ przestrzeñ zajmowan¹ przez nie u¿y-
wane profile, mo¿esz usun¹æ profil na dwa sposoby:
§
Otwórz Konta u¿ytkowników w Panelu sterowania i usuñ konto u¿ytkownika
powi¹zane z okreœlonym profilem. Szczegó³owe informacje znajdziesz w podroz-
dziale „Usuwanie konta” na stronie 87. Metoda ta usuwa konto u¿ytkownika jak
równie¿ profil, oraz oferuje mo¿liwoœæ zachowania dokumentów z profilu.
§
W oknie dialogowym Profile u¿ytkownika po prostu zaznacz profil i kliknij przy-
cisk Usuñ. Nie mo¿esz usun¹æ profilu, który jest aktualnie zalogowany. Usuwanie
profilów w ten sposób (zamiast na przyk³ad za pomoc¹ Eksploratora Windows)
zapewnia, ¿e odpowiedni profil zostanie równie¿ usuniêty z rejestru. (Ka¿dy pro-
fil u¿ytkownika zajmuje podklucz klucza HKLM\Software\Microsoft\Windows
NT\CurrentVersion\ProfileList).
UWAGA
Je¿eli u¿ywasz profili mobilnych u¿ytkownika, system Windows zwykle zapisuje kopiê profilu, który zosta³
skopiowany na lokalny dysk twardy. Windows u¿ywa tej lokalnej kopii, je¿eli zdarzy siê, ¿e kopia sieciowa
jest niedostêpna, kiedy u¿ytkownik siê loguje. Je¿eli posiadasz komputer, który jest dostêpny dla wielu
u¿ytkowników, ta okazjonalna wygoda mo¿e kosztowaæ ciê znaczn¹ iloœæ przestrzeni dyskowej. Mo¿esz
jednak wymusiæ, aby system Windows automatycznie usuwa³ lokaln¹ kopiê profilu mobilnego, kiedy u¿yt-
kownik wylogowuje siê. Aby to zrobiæ, otwórz Zasady grupy (Gpedit.msc), przejdŸ do folderu Konfiguracja
komputera\Szablony administracyjne\System\Profile u¿ytkownika i w³¹cz zasadê o nazwie Usuwaj buforo-
wane kopie profilów mobilnych. Inne zasady znajduj¹ce siê w tym samym folderze równie¿ wp³ywaj¹ na
sposób, w jaki stosowane s¹ profile mobilne. W celu uzyskania dalszych informacji, patrz „Kontrolowanie
mo¿liwoœci u¿ytkowników za pomoc¹ Zasad grupy” na stronie 958.
Kopiowanie profilu u¿ytkownika
Kopiowanie profilu u¿ytkownika (poprzez zaznaczenie profilu i klikniêcie przycisku
Kopiuj do) nie dodaje profilu do rejestru. Dzieje siê to przy pierwszym logowaniu
u¿ytkownika, któremu zosta³ przypisany profil, który skopiowa³eœ. Ale kopiowanie
w oknie Profile u¿ytkownika zamiast w oknie Eksploratora Windows daje istotn¹ ko-
rzyœæ: Windows przypisuje odpowiednie uprawnienia do kopii. To znaczy, ¿e nadaje
uprawnienie Pe³na kontrola u¿ytkownikowi lub grupie, któr¹ okreœlisz, oraz usunie
uprawnienia dla innych u¿ytkowników nie bêd¹cych administratorami. Uprawnie-
nia takie s¹ potrzebne do uzyskania przez u¿ytkownika dostêpu do jego w³asnego
profilu – ale nie profili innych u¿ytkowników.
UWAGA
Nie mo¿esz skopiowaæ profilu, który jest aktualnie zalogowany, ³¹cznie z twoim w³asnym profilem. Je¿eli
chcesz skopiowaæ swój profil, musisz zalogowaæ siê, u¿ywaj¹c innego profilu.
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
947
Przypisywanie profilu
Je¿eli chcesz przypisaæ profil do konta u¿ytkownika, u¿yj programu Microsoft Mana-
gement Console z przystawk¹ U¿ytkownicy i grupy lokalne. Mo¿esz j¹ znaleŸæ w pro-
gramie Zarz¹dzanie komputerem w Narzêdziach systemowych albo otworzyæ w jej
w³asnym oknie, wpisuj¹c w wierszu polecenia lusrmgr.msc. W folderze U¿ytkowni-
cy kliknij dwukrotnie nazwê u¿ytkownika, do którego chcesz przypisaæ profil, a na-
stêpnie kliknij kartê Profil, pokazan¹ na rysunku 34-3.
UWAGA
Przystawka U¿ytkownicy i grupy lokalne nie jest dostêpna w systemie Windows XP Home Edition. Jednak
ten sam rezultat mo¿esz osi¹gn¹æ, u¿ywaj¹c prze³¹cznika /Profilepath z poleceniem Net User. Wiêcej infor-
macji uzyskasz, wpisuj¹c w wierszu polecenia net help user.
948
Czêœæ VIII: Administracja systemu
DLA EKSPERTÓW
Poniewa¿ tak wiele istotnych danych przechowywanych jest w twoim profilu, mo¿esz przechowywaæ dwie
kopie profilu na ró¿nych dyskach. U¿ywaj¹c niektórych technik, które przeznaczone s¹ do zarz¹dzania pro-
filami mobilnymi, mo¿esz tworzyæ automatyczne kopie zapasowe. Oto w jaki sposób:
1. Skopiuj profil, którego chcesz u¿ywaæ, na inny dysk. Musisz zalogowaæ siê, u¿ywaj¹c innego konta
administratora, poniewa¿ nie mo¿esz kopiowaæ profilu, którego aktualnie u¿ywasz. W oknie dialogo-
wym Profile u¿ytkownika zaznacz profil i kliknij przycisk Kopiuj do. W oknie dialogowym Kopiowanie
do okreœl folder znajduj¹cy siê na innym dysku. Nie musisz zmieniaæ pozwolenia dla u¿ytkowników.
2. Otwórz przystawkê U¿ytkownicy i grupy lokalne (Lusrmgr.msc), otwórz folder U¿ytkownicy i kliknij dwu-
krotnie swoj¹ nazwê u¿ytkownika. Na karcie Profil okreœl œcie¿kê do kopii profilu w polu Œcie¿ka profilu.
Teraz, kiedy siê zalogujesz, system Windows skopiuje profil, który stworzy³eœ na drugim dysku, do fol-
deru Documents and Settings. Kopia ta stanie siê twoj¹ kopi¹ robocz¹ i wszystkie zmiany, które wprowa-
dzisz w ustawieniach lub plikach, bêd¹ tam zapisywane. Kiedy siê wylogowujesz, profil w folderze Docu-
ments and Settings jest kopiowany z powrotem na drugi dysk. Proste!
ROZWI¹ZYWANIE PROBLEMÓW
§
B³¹d uniemo¿liwia ci zalogowanie siê
Je¿eli powi¹zany z profilem b³¹d wyst¹pi, kiedy spróbujesz siê zalogowaæ, albo zauwa¿ysz taki b³¹d
w dzienniku zdarzeñ aplikacji, przyczyn mo¿e byæ kilka:
§
Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu.
§
Twoje konto musi posiadaæ (co najmniej) dostêp do odczytu do folderu %UserProfile%, niezale¿nie
czy jest to profil lokalny, czy profil mobilny albo obowi¹zkowy przechowywany na innym komputerze.
§
Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu do folderu profili – folder, który zawiera
indywidualne profile (na wiêkszoœci komputerów %SystemDrive%\Documents and Settings). Konto
Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego folderu. Dodatkowo, je¿eli jest to udostêp-
niony folder na dysku sieciowym, konto Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego
udzia³u.
§
Twojemu systemowi brakuje przestrzeni dyskowej.
§
Profil zosta³ uszkodzony. W wiêkszoœci przypadków jedynym rozwi¹zaniem w tej sytuacji jest usuniê-
cie profilu. Zanim podejmiesz ten drastyczny krok, spróbuj u¿yæ Przywracania systemu aby powróciæ
do dzia³aj¹cego profilu. Jednak b¹dŸ ostro¿ny, poniewa¿ to przywróci wszystkie profile utworzenia do
czasu punktu przywracania.
Rysunek 34-3. U¿yj karty Profil, aby okreœliæ profil u¿ytkownika, skrypt logowania oraz folder macierzysty. Na karcie
Profil mo¿esz okreœliæ nastêpuj¹ce rzeczy:
§
Po³o¿enie profilu u¿ytkownika. (Zwróæ uwagê, ¿e musisz to zrobiæ jedynie wte-
dy, gdy chcesz u¿ywaæ profilu, który nie jest przechowywany w domyœlnym
po³o¿eniu, takiego jak profil mobilny u¿ytkownika albo profil obowi¹zkowy u¿yt-
kownika). Dodatkowe informacje na ten temat znajdziesz w podrozdziale „U¿y-
wanie Profili mobilnych u¿ytkownika” na stronie 954.
§
Po³o¿enie i nazwê pliku skryptu logowania – programu, który uruchamia siê
przy ka¿dym logowaniu siê u¿ytkownika. Dodatkowe informacje na ten temat
znajduj¹ siê w ramce „U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu,
wylogowywaniu, uruchamianiu i zamykaniu systemu” na stronie 951.
§
Œcie¿kê do macierzystego folderu u¿ytkownika. Folder macierzysty jest folderem,
w którym u¿ytkownik mo¿e przechowywaæ swoje pliki i programy. Chocia¿ wiêk-
szoœæ programów u¿ywa folderu Moje dokumenty jako domyœlnego folderu dla
poleceñ Plik Otwórz oraz Plik Zapisz, starsze programy u¿ywaj¹ folderu macie-
rzystego. Folder macierzysty jest równie¿ pocz¹tkowym folderem bie¿¹cym dla
sesji Wiersza polecenia. Folder macierzysty mo¿e byæ folderem lokalnym albo
znajdowaæ siê na wspó³dzielonym dysku sieciowym; kilku u¿ytkowników mo¿e
wspó³dzieliæ folder macierzysty. Aby okreœliæ lokalny folder macierzysty, podaj
œcie¿kê w polu tekstowym Œcie¿ka lokalna. Aby u¿ywaæ folderu na serwerze sie-
ciowym jako folderu macierzystego, wybierz literê dysku (system Windows zma-
puje folder do tej litery dysku przy ka¿dym logowaniu) i okreœl pe³n¹ œcie¿kê sie-
ciow¹ do tego folderu. (Je¿eli nie okreœlisz folderu macierzystego, Windows bê-
dzie u¿ywaæ jako folderu macierzystego folderu %UserProfile%).
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
949
ROZWI¹ZYWANIE PROBLEMÓW
Twoje pliki zaginê³y albo masz dwa profile
Powszechnym problemem z profilami jest to, ¿e z takiego lub innego powodu w pewnym momencie masz
wiêcej ni¿ jeden profil dla konta u¿ytkownika. Symptomami s¹ przek³amania: nagle twoje dokumenty gin¹,
z menu Start znikaj¹ programy albo zmieniaj¹ siê twoje ustawienia. Pojawia siê to zazwyczaj wtedy, kiedy
przy³¹czasz siê do domeny, a nastêpnie logujesz, u¿ywaj¹c nazwy u¿ytkownika, jakiej u¿ywa³eœ, zanim
przy³¹czy³eœ siê do domeny. W takim wypadku oznacza to, ¿e stworzy³eœ (byæ mo¿e bezwiednie) dwa kon-
ta u¿ytkownika: lokalne konto oraz konto domeny. Ka¿de konto powi¹zane jest ze swoim w³asnym profi-
lem.
Je¿eli nie u¿ywa³eœ jeszcze swojego nowego profilu do przechowywania dokumentów albo nie wybiera³eœ
¿adnych ustawieñ oraz jesteœ w stanie okreœliæ, które konto jest powi¹zane z którym profilem, mo¿esz za-
radziæ tej sytuacji, po prostu przypisuj¹c w³aœciwy profil do twojego konta.
Lepszym rozwi¹zaniem jest u¿ycie Kreatora transferu plików i ustawieñ. Zaloguj siê za pomoc¹ konta, któ-
rego nie planujesz ju¿ u¿ywaæ, i zapisz swoje pliki i ustawienia. Nastêpnie zaloguj siê za pomoc¹ drugiego
konta i importuj swoje informacje. Dodatkowe informacje na ten temat znajdziesz w podrozdziale „Trans-
fer plików i ustawieñ” na stronie 45.
W niektórych przypadkach – zw³aszcza jeœli chcesz tylko odzyskaæ swoje dokumenty – ³atwiej jest u¿yæ
Eksploratora Windows, aby przenieϾ dokumenty z jednego profilu do drugiego. (Foldery profili w folderze
Documents and Settings zaczynaj¹ siê od nazwy u¿ytkownika, ale przynajmniej jeden z nich posiada, dla
odró¿nienia, równie¿ nazwê komputera albo domeny).
Niezale¿nie od tego, którego sposobu u¿yjesz do przeniesienia informacji, mo¿esz nastêpnie usun¹æ pro-
fil, którego ju¿ nie potrzebujesz. (Zwykle jest to profil powi¹zany z lokalnym kontem, jeœli normalnie logu-
jesz siê, u¿ywaj¹c twojego konta domeny).
Przenoszenie folderów ze standardowego po³o¿enia profili
W ³atwy sposób mo¿esz zmieniæ po³o¿enie folderu Moje dokumenty oraz jego podfol-
derów Moja muzyka i Moje obrazy. Mo¿esz chcieæ to zrobiæ, na przyk³ad je¿eli dysk,
na którym przechowywany jest twój profil, zape³ni siê. Jako alternatywê dla u¿ywa-
nia innej lokalizacji na twoim komputerze mo¿esz rozwa¿yæ przeniesienie folderów
zawieraj¹cych dokumenty do udostêpnionego folderu w dowolnym miejscu w sieci.
Przechowywanie tego typu danych na serwerze sieciowym, z dala od profilu u¿yt-
kownika, daje dwie istotne korzyœci:
§
Przechowywanie danych u¿ytkownika w centralnej lokalizacji mo¿e u³atwiæ two-
rzenie kopii zapasowych.
§
Oddzielenie danych u¿ytkownika od profilu u¿ytkownika przyspiesza proces lo-
gowania i wylogowywania siê dla u¿ytkowników z profilem mobilnym. (Je¿eli
dokumenty u¿ytkownika przechowywane s¹ wewn¹trz profilu, kopiowane s¹
z serwera sieciowego na komputer lokalny przy ka¿dym logowaniu, a nastêpnie
kopiowane s¹ z powrotem przy wylogowywaniu. Dziêki przechowywaniu ich
z dala od profilu ka¿dy plik przenoszony jest tylko wtedy, gdy jest potrzebny).
Aby przenieœæ folder Moje dokumenty, wykonaj nastêpuj¹ce czynnoœci:
1. Kliknij prawym przyciskiem myszy Moje dokumenty i wybierz W³aœciwoœci. Na
karcie Element docelowy kliknij Przenieœ.
2. Wybierz œcie¿kê folderu, w którym chcesz trzymaæ Moje dokumenty, albo na two-
im w³asnym komputerze, albo udostêpnionym folderze sieciowym. Poni¿ej za-
znaczony zosta³ folder Dane znajduj¹cy siê na serwerze sieciowym.
950
Czêœæ VIII: Administracja systemu
3. Kliknij OK w ka¿dym z okien. Kliknij Tak, je¿eli chcesz przenieœæ istniej¹ce doku-
menty do nowego miejsca docelowego.
Nowa funkcja!
Aby przenieϾ foldery Moja muzyka oraz Moje obrazy do nowej lokalizacji, po prostu
u¿yj Eksploratora Windows. System Windows XP automatycznie uaktualni wszystkie
odwo³ania do tego folderu, w³¹czaj¹c te z menu Start.
Je¿eli nie u¿ywasz profili mobilnych u¿ytkownika do przeniesienia ich masowo,
przenoszenie innych folderów profili jest niepraktyczne, o ile twój komputer nie jest
przy³¹czony do domeny. W sieci bazuj¹cej na domenie ustawienia Zasad grupy po-
zwalaj¹ administratorowi na u¿ycie przekierowania folderu do przechowywania na
serwerze sieciowym plików danych z profilu u¿ytkownika. Rozszerzenie Przekiero-
wanie folderu dla kont bazuj¹cych na domenie, dostêpne w przystawce Zasady gru-
py, pozwala administratorom ³atwo zmieniæ po³o¿enie folderów Dane aplikacji, Pul-
pit, Moje dokumenty oraz sk³adników menu Start profilu u¿ytkownika – a u¿ytkow-
nik nawet nie zauwa¿y ró¿nicy.
UWAGA
Mo¿liwe – ale nie zawsze po¿yteczne – jest przeniesienie ca³ego folderu Documents and Settings. Szcze-
gó³owe informacje znajdziesz w artykule Q236621 w bazie Knowledge Base.
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
951
U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu,
wylogowywaniu, uruchamianiu i zamykaniu systemu
W wypadku profili u¿ytkownika oraz zasad grupy mo¿esz zastosowaæ skrypty,
które bêd¹ uruchamia³y siê automatycznie. Skrypt logowania jest programem, który
uruchamia siê, kiedy tylko u¿ytkownik siê loguje. Ka¿dy plik wykonywalny – czyli
program wsadowy (rozszerzenie .bat albo .cmd), skrypt Hosta skryptów systemu
Windows (WSH) (rozszerzenie .vbs, .js, lub.wsf) albo program (rozszerzenie .exe
Dokoñczenie na nastêpnej stronie
952
Czêœæ VIII: Administracja systemu
lub .com) – mo¿e byæ u¿yty jako skrypt logowania. Dodatkowe informacje do-
tycz¹ce programów wsadowych oraz skryptów WSH, znajdziesz w rozdziale 10
„Automatyzacja Windows XP”.
Skrypty logowania s¹ powszechnie u¿ywane do mapowania dysków sieciowych
do liter dysków, do uruchamiania pewnych programów oraz wykonywania in-
nych podobnych zadañ, które powinny mieæ miejsce przy ka¿dym logowaniu. Tak
jak w przypadku wiêkszoœci zadañ w Windows, mo¿esz u¿yæ innych sposobów,
aby przeprowadziæ ka¿de z nich – ale skrypty logowania s¹ metod¹ wygodn¹ i ela-
styczn¹.
Zwróæ uwagê, ¿e u¿ywanie zmiennych œrodowiskowych, takich jak %UserName%,
sprawia, ¿e u¿ywanie tego samego skryptu dla ró¿nych u¿ytkowników jest ³atwe.
Windows zastêpuje j¹ odpowiedni¹ nazw¹ u¿ytkownika, kiedy uruchamia skrypt.
Aby u¿yæ skryptu logowania dla lokalnego konta u¿ytkownika, podaj œcie¿kê
skryptu oraz nazwê pliku w polu Skrypt logowania na karcie Profil w oknie dialo-
gowym w³aœciwoœci u¿ytkownika (pokazanym wczeœniej, na rysunku 34-3).
System Windows XP Professional (ale nie Home Edition) oferuje równie¿ wsparcie
dla czterech innych typów skryptów:
§
Skrypt logowania dla Zasad grupy, który uruchamia siê, kiedy u¿ytkownik siê
loguje
§
Skrypt wylogowywania dla Zasad grupy, który uruchamia siê, kiedy u¿ytkow-
nik siê wylogowuje
§
Skrypt uruchamiania dla Zasad grupy, który uruchamia siê, kiedy komputer
jest w³¹czany
§
Skrypt zamykania dla Zasad grupy, który uruchamia siê, kiedy komputer jest
wy³¹czany
Tak jak w wypadku zwyk³ych skryptów logowania, mo¿esz u¿yæ pliku typu wyko-
nywalnego dla dowolnego z tych skryptów. Chocia¿ mo¿esz przechowywaæ
skrypty, gdzie tylko chcesz, ka¿dy typ skryptów posiada lokalizacjê domyœln¹.
Skrypt logowania
%SystemRoot%\System32\GroupPolicy\User\
Scripts\Logon
Skrypt wylogowywania
%SystemRoot%\System32\GroupPolicy\User\
Scripts\Logoff
Skrypt uruchamiania
%SystemRoot%\System32\GroupPolicy\Machine\
Scripts\Startup
Skrypt zamykania
%SystemRoot%\System32\GroupPolicy\Machine\
Scripts\Shutdown
Zwróæ uwagê, ¿e %SystemRoot%System32\GroupPolicy jest folderem ukrytym.
Aby zastosowaæ któryœ z tych skryptów, uruchom Zasady grupy (Gpedit.msc)
i przejdŸ do folderu Konfiguracja komputera\Ustawienia systemu Win-
dows\Skrypty (dla skryptów uruchamiania i zamykania) albo Konfiguracja u¿yt-
kownika\Ustawienia systemu Windows\Skrypty (dla skryptów logowania i wy-
logowywania).
Dokoñczenie z poprzedniej strony
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
953
Kiedy dwukrotnie klikniesz jedn¹ z pozycji w tych folderach, zauwa¿ysz kilka do-
datkowych korzyœci ze skryptów logowania:
§
Mo¿esz okreœliæ wiêcej ni¿ jeden skrypt dla ka¿dego z tych zdarzeñ oraz mo¿esz
okreœliæ kolejnoœæ, w jakiej maj¹ byæ uruchamiane.
§
Mo¿esz okreœliæ parametry wiersza polecenia dla ka¿dego skryptu.
Zasady grupy oferuj¹ równie¿ kilka ustawieñ zasad, które wp³ywaj¹ na sposób
dzia³ania skryptów – synchroniczny albo asynchroniczny, ukryty albo widzialny.
(W tym wypadku synchronicznie oznacza, w efekcie, ¿e nic innego nie jest urucha-
miane, dopóki skrypt nie zakoñczy dzia³ania). Ustawienia te odnajdziesz, wraz z
bardziej szczegó³owym wyjaœnieniem ich dzia³ania, w folderze Konfiguracja kom-
putera\Szablony administracyjne\System\Skrypty oraz Konfiguracja u¿ytkowni-
ka\Szablony administracyjne\System\Skrypty. Niektóre zasady pojawiaj¹ siê w
obu miejscach; je¿eli ustawienia te s¹ ró¿nie skonfigurowane, to ta, która znajduje
siê w Konfiguracji komputera, ma pierwszeñstwo.
U¿ywanie Profili mobilnych u¿ytkownika
Profil mobilny u¿ytkownika pozwala u¿ytkownikowi na logowanie siê na stacji roboczej
i ujrzenie znajomych ustawieñ na pulpicie, w menu Start itd. Profile mobilne u¿yt-
kownika dzia³aj¹ dziêki przechowywaniu profilu u¿ytkownika w udostêpnionym
folderze sieciowym. Kiedy u¿ytkownik siê loguje, informacje profilu s¹ kopiowane
z udzia³u sieciowego na lokalny dysk twardy. Kiedy u¿ytkownik wylogowuje siê, in-
formacje te – które mog³y ulec zmianie w czasie sesji – kopiowane s¹ z powrotem do
udostêpnionego folderu.
Je¿eli u¿ywasz wiêcej ni¿ jednego komputera, mo¿esz odczuæ przydatnoœæ profilów
mobilnych u¿ytkownika. Na przyk³ad je¿eli posiadasz ma³¹ firmê z dzia³em obs³ugi
klienta oraz zapleczem, mo¿esz spêdzaæ czas zarówno w jednym, jak i drugim miejscu.
Chocia¿ stosunkowo ³atwo skonfigurowaæ twoje pliki danych w udziale sieciowym do
³atwego dostêpu, prawdopodobnie stwierdzisz, ¿e twoja wydajnoœæ ucierpi z powodu
drobnych zmian w ustawieniach – na przyk³ad twój osobisty s³ownik pisowni w Wor-
dzie albo lista Ulubionych witryn sieciowych – które s¹ ró¿ne w tych dwóch miejscach.
U¿ywanie profilu mobilnego u¿ytkownika rozwi¹zuje ten problem.
Zwykle profile mobilne u¿ytkownika s¹ cech¹ sieci bazuj¹cych na domenach (to zna-
czy sieci, która wykorzystuje system nale¿¹cy do rodziny Windows .NET Server,
Windows 2000 Server albo Windows NT Server jako kontroler domeny). Jednak przy
odrobinie dodatkowej pracy mo¿esz cieszyæ siê niektórymi z tych korzyœci w œrodo-
wisku grupy roboczej. W œrodowisku domeny konta u¿ytkowników oraz konta kom-
puterów s¹ centralnie zarz¹dzane na poziomie domeny, tak ¿e zmiany musisz wpro-
wadzaæ tylko jeden raz i tylko w jednym miejscu. Uzyskanie dostêpu do profilu po raz
pierwszy z nowego komputera jest automatyczne. W przeciwieñstwie do tego, w gru-
pie roboczej musisz stworzyæ podobne konta u¿ytkownika na ka¿dym komputerze,
na którym zamierzasz siê logowaæ, zanim bêdziesz móg³ siê zalogowaæ.
Aby zadzia³a³o to w œrodowisku grupy roboczej, ka¿dy u¿ytkownik, któremu chcesz
skonfigurowaæ profil mobilny u¿ytkownika, musi posiadaæ konto na ka¿dym kom-
puterze, na którym bêdzie siê logowaæ, oraz konto na komputerze, który zawiera
udostêpniony folder profilów. Konto u¿ytkownika na ka¿dym komputerze musi
mieæ tê sam¹ nazwê u¿ytkownika oraz has³o.
OSTRZE¿ENIE
Nasze eksperymenty pokaza³y, ¿e konfigurowanie profili mobilnych oraz profili obowi¹zkowych w œrodowi-
sku grupy roboczej tylko z systemem Windows XP jest trudne – w najlepszym wypadku. Ze wzglêdu na
sposób, w jaki stosowane s¹ ustawienia (w szczególnoœci ustawienia zwi¹zane z nowym sposobem obs³ugi
tematów i nowym menu Start), nie wszystkie ustawienia przechodz¹ poprawnie i dzia³anie jest czasami nie-
przewidywalne, je¿eli nie skonfigurujesz wszystkiego poprawnie. Je¿eli perfekcyjne dzia³anie tych funkcji jest
wa¿ne dla ciebie i twojej firmy, powinieneœ rozwa¿yæ aktualizacjê do systemu Windows .NET Server, który
czyni konfiguracjê u¿ytkownika znacznie ³atwiejsz¹ i du¿o bardziej niezawodn¹.
Konfigurowanie udostêpnionego folderu dla profili mobilnych
Poniewa¿ na pewno bêdziesz chcia³ przegl¹daæ i modyfikowaæ uprawnienia, kompu-
ter, na którym zamierzasz przechowywaæ profile mobilne, musi dzia³aæ w systemie
Windows XP Professional i mieæ wy³¹czon¹ opcjê Proste udostêpnianie plików.
954
Czêœæ VIII: Administracja systemu
Aby skonfigurowaæ folder udostêpniony, wykonaj nastêpuj¹ce czynnoœci:
1. Zaloguj siê jako cz³onek grupy Administratorzy danego komputera.
2. U¿ywaj¹c Eksploratora Windows, utwórz folder o nazwie Profiles.
3. W Eksploratorze Windows kliknij prawym przyciskiem myszy i wybierz Udo-
stêpnianie i zabezpieczenia.
4. Na karcie Udostêpnianie okna dialogowego W³aœciwoœci: Profiles, które siê poja-
wi, zaznacz opcjê Udostêpnij ten folder. Domyœlne uprawnienia udostêpniania,
które daj¹ dostêp z Pe³n¹ kontrol¹ grupie Wszyscy, s¹ w³aœciwe.
5. Kliknij kartê Zabezpieczenia (je¿eli utworzy³eœ folder na woluminie NTFS)
i upewnij siê, ¿e Wszyscy maj¹ uprawnienie Pe³na kontrola.
Konfigurowanie kont u¿ytkowników
Aby skonfigurowaæ konta u¿ytkowników, wykonaj poni¿sze czynnoœci:
1. Na ka¿dym komputerze (³¹cznie z „serwerem”, który skonfigurowa³eœ w po-
przedniej procedurze) zaloguj siê jako cz³onek grupy Administratorzy.
2. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Zarz¹dzaj.
3. W programie Zarz¹dzanie komputerem przejdŸ do folderu Narzêdzia systemo-
we\U¿ytkownicy i grupy lokalne\U¿ytkownicy.
4. Je¿eli konto, którego potrzebujesz, jeszcze nie istnieje, wybierz Akcja, Nowy u¿yt-
kownik i utwórz konto u¿ytkownika. Upewnij siê, ¿e u¿ywasz tej samej nazwy
u¿ytkownika i has³a na ka¿dym komputerze. Wyczyœæ pole U¿ytkownik musi
zmieniæ has³o przy nastêpnym logowaniu, zanim klikniesz przycisk Utwórz.
5. W prawym okienku konsoli Zarz¹dzanie komputerem dwukrotnie kliknij nazwê
u¿ytkownika, aby wyœwietliæ okno dialogowe w³aœciwoœci.
6. Kliknij kartê Profil. W polu Œcie¿ka profilu wpisz œcie¿kê sieciow¹ do udostêpnio-
nego folderu profili, tak jak pokazano na rysunku 34-4. Zalet¹ u¿ywania zmiennej
œrodowiskowej %UserName% jest jedynie wygoda: mo¿esz u¿ywaæ tego samego
ci¹gu znaków dla ka¿dego u¿ytkownika, bez potrzeby zatrzymywania siê po to,
¿eby sprawdziæ w³aœciw¹ nazwê folderu profilu.
UWAGA
Komputer klient – nie ten, na którym przechowywany jest profil – mo¿e dzia³aæ z systemem Windows XP
Home Edition. Chocia¿ wersja Home Edition nie zawiera przystawki U¿ytkownicy i grupy lokalne, mo¿esz
u¿yæ innych narzêdzi, aby osi¹gni¹æ ten sam rezultat. Je¿eli potrzeba, utwórz nowe konto u¿ytkownika i
przypisz do niego has³o za pomoc¹ Kont u¿ytkownika w Panelu sterowania. Aby przypisaæ œcie¿kê profilu,
u¿yj polecenia Net User. Na przyk³ad aby wykonaæ takie samo przypisanie jak na rysunku 34-4, w wierszu
polecenia wpisz net user marek /profilepath:\\badlands\profiles\marek.
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
955
Rysunek 34-4. Zmienna œrodowiskowa %UserName% jest zamieniana na nazwê u¿ytkownika, kiedy przejdziesz do
nastêpnego pola albo klikniesz OK.
Tworzenie profilu
Aby utworzyæ profil, który ma byæ u¿yty jako profil mobilny u¿ytkownika, i skopio-
waæ go do udostêpnionego folderu profili, wykonaj nastêpuj¹ce czynnoœci:
1. Utwórz profil poprzez zalogowanie siê (najlepiej u¿ywaj¹c tymczasowego konta
u¿ytkownika, utworzonego w tym celu) i wprowadŸ ustawienia jakie chcesz.
2. Wyloguj siê, a nastêpnie ponownie zaloguj jako cz³onek grupy Administratorzy.
UWAGA
Je¿eli kopiujesz profil z innego komputera ni¿ ten, który zawiera udostêpniony folder profili, konto na które
siê zalogowa³eœ, musi mieæ tê sam¹ nazwê u¿ytkownika i has³o co konto, które ma uprawnienia admini-
stracyjne na komputerze docelowym.
3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci.
W oknie dialogowym W³aœciwoœci systemu kliknij kartê Zaawansowane, a nastêp-
nie kliknij przycisk Ustawienia w sekcji Profile u¿ytkownika.
4. Zaznacz profil, który utworzy³eœ, i kliknij przycisk Kopiuj do.
956
Czêœæ VIII: Administracja systemu
5. W polu Kopiowanie profilu do wpisz pe³n¹ œcie¿kê do folderu przeznaczenia. Na
przyk³ad je¿eli chcesz utworzyæ profil dla u¿ytkownika o nazwie Marek w udziale
Profiles na komputerze o nazwie Badlands, wpisz \\badlands\profiles\marek.
Upewnij siê, ¿e folder przeznaczenia, który poda³eœ, nie istnieje; je¿eli istnieje,
Windows usunie jego zawartoϾ, zanim skopiuje profil.
6. W sekcji Pozwolenie na u¿ywanie kliknij przycisk Zmieñ i wpisz nazwê u¿ytkow-
nika, który bêdzie u¿ywa³ profilu.
Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil
u¿ytkownika do okreœlonego folderu i ustawi uprawnienia na folderze docelowym
i jego zawartoœci. Windows daje uprawnienie Pe³na kontrola dla grupy Administrato-
rzy, u¿ytkownika lub grupy, któr¹ poda³eœ w polu Pozwolenie na u¿ywanie, oraz
konta systemowego. Uniemo¿liwia to u¿ytkownikom nie bêd¹cym administratorami
dostêp do profili innych ni¿ ich w³asne.
Je¿eli skopiowa³eœ profil z jednego komputera do udostêpnionego folderu na innym
komputerze, uprawnienia, które utworzy³ system Windows, nie s¹ do koñca popraw-
ne i musisz wykonaæ jeszcze jedn¹ czynnoœæ, aby je poprawiæ.
Na komputerze z udostêpnionym folderem profili kliknij prawym przyciskiem my-
szy folder nowego profilu, wybierz W³aœciwoœci i kliknij Zabezpieczenia. Je¿eli jedna
z nazw pokazuje identyfikator zabezpieczeñ nieznanego u¿ytkownika, jak pokazano
na rysunku 34-5, musisz dodaæ w³aœciwe konto u¿ytkownika (w tym przypadku Ma-
rek) i nadaæ mu uprawnienie Pe³na kontrola. Mo¿esz usun¹æ nieznanego u¿ytkowni-
ka, aczkolwiek nie ma potrzeby, aby to robiæ. (Konto nieznanego u¿ytkownika w rze-
czywistoœci jest poprawn¹ nazw¹ u¿ytkownika, ale jest to konto z komputera
Ÿród³owego, a nie konto na komputerze lokalnym. Jest to jedna z niebezpiecznych
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
957
U¿ywanie profilu obowi¹zkowego
Profil obowi¹zkowy dzia³a w du¿ym stopniu tak, jak profil mobilny u¿ytkownika:
kiedy u¿ytkownik siê loguje, profil jest kopiowany z lokalizacji sieciowej do folde-
ru lokalnego, tym samym dostarczaj¹c znajomych ustawieñ. Ró¿nica jest taka, ¿e
profil obowi¹zkowy nie jest uaktualniany na podstawie zmian u¿ytkownika, kiedy
u¿ytkownik siê wylogowuje.
Aby przypisaæ profil obowi¹zkowy do jednego lub wiêcej u¿ytkowników, wykonaj
te same procedury, jak w wypadku u¿ycia profilu mobilnego u¿ytkownika. Na-
stêpnie na komputerze, na którym przechowywany jest udostêpniony folder,
wprowadŸ nastêpuj¹ce zmiany:
1. Zmieñ uprawnienia folderu, usuwaj¹c uprawnienia Pe³na kontrola, Modyfika-
cja oraz Zapis dla konta u¿ytkownika (lub kont), które bêdzie u¿ywaæ profilu –
pozostawiaj¹c jedynie uprawnienia Odczyt i wykonanie, Wyœwietlanie zawar-
toœci folderu oraz Odczyt.
2. Zmieñ nazwê ukrytego pliku Ntuser.dat (w folderze najwy¿szego poziomu pro-
filu) na Ntuser.man. (Upewnij siê, ¿e zmieni³eœ Ntuser.dat, a nie Ntuser.dat.log,
którego rozszerzenie jest normalnie ukryte). Rozszerzenie .man okreœla profil
obowi¹zkowy (ang. mandatory).
i irytuj¹cych rzeczy zwi¹zanych z poleganiem na oddzielnych bazach danych zabez-
pieczeñ – jak robi model grupy roboczej – zamiast u¿ywania scentralizowanej bazy
danych zabezpieczeñ, jak ma to miejsce w wypadku domeny. W celu uzyskania dal-
szych informacji, patrz „Lokalne konta i grupy a konta i grupy domeny” na stronie 77).
Rysunek 34-5. Je¿eli uprawnienia dla profilu nie zawieraj¹ lokalnego konta u¿ytkownika, u¿ytkownik nie bêdzie móg³
siê zalogowaæ.
ROZWI¹ZYWANIE PROBLEMÓW
Niektóre pliki s¹ niedostêpne dla profilu mobilnego
Mo¿esz mieæ problemy, je¿eli niektóre ustawienia profilu u¿ytkownika polegaj¹ na plikach, przechowy-
wanych na lokalnym dysku twardym. Na przyk³ad mo¿esz ustawiæ t³o pulpitu jako plik przechowywany na
dysku C. Kiedy zalogujesz siê na innym komputerze, t³o nie pojawia siê (chyba ¿e zdarzy siê, ¿e taki sam
plik bêdzie w tej samej lokalizacji na innym komputerze). Mo¿esz z³agodziæ problemy tego typu, przekiero-
wuj¹c Moje dokumenty do udostêpnionego folderu profili, a nastêpnie u¿ywaj¹c go do przechowywania
dokumentów i innych plików, do których chcesz mieæ dostêp z innych komputerów.
Kontrolowanie mo¿liwoœci u¿ytkowników
za pomoc¹ Zasad grupy
Zasady grupy s¹ bardzo zachwalan¹ funkcj¹ us³ugi Active Directory, która jest czê-
œci¹ systemów Windows .NET Server oraz Windows 2000 Server. W tym œrodowisku
Zasady grupy s¹ z pewnoœci¹ potê¿nym narzêdziem, które pozwala administratorom
na konfigurowanie komputerów w ró¿nych lokalizacjach, domenach czy te¿ jednost-
kach organizacyjnych. Oprócz ustawiania standardowych konfiguracji pulpitu oraz
ustalania, którzy u¿ytkownicy mog¹ wprowadzaæ zmiany, administratorzy mog¹
u¿ywaæ Zasad grupy do centralnego zarz¹dzania instalacj¹, konfiguracj¹, uaktualnia-
niem oraz usuwaniem oprogramowania, okreœlaæ skrypty wykorzystywane przy
uruchamianiu, zamykaniu, logowaniu oraz wylogowywaniu, a tak¿e przekierowy-
waæ specjalne foldery u¿ytkowników (takie jak Moje dokumenty) do sieci. Admini-
958
Czêœæ VIII: Administracja systemu
stratorzy mog¹ dopasowywaæ wszystkie te ustawienia dla posczególnych kompute-
rów, u¿ytkowników oraz grup.
Jednak Zasady grupy mog¹ okazaæ siê przydatnym narzêdziem do zarz¹dzania kom-
puterami w ma³ej sieci albo nawet do zarz¹dzania pojedynczym komputerem z kilko-
ma u¿ytkownikami. U¿ywaj¹c jedynie lokalnego obiektu Zasad grupy na kompute-
rze z uruchomionym systemem Windows XP Professional, mo¿esz:
§
Zarz¹dzaæ zasadami bazuj¹cymi na rejestrze – wszystko, pocz¹wszy od konfigu-
rowania pulpitu do ukrywania pewnych napêdów dyskowych, po zapobieganie
tworzeniu zadañ zaplanowanych. Ustawienia te – oraz setki innych – przechowy-
wane s¹ w ga³êziach kluczy HKLM oraz HKCU rejestru systemu, który mo¿esz
edytowaæ bezpoœrednio. Jednak Zasady grupy dostarczaj¹ istotnych korzyœci: s¹
du¿o ³atwiejsze w u¿yciu ni¿ edytor rejestru oraz okresowo automatycznie uaktu-
alniaj¹ rejestr (tym samym utrzymuj¹c twoje zasady w dzia³aniu, nawet je¿eli re-
jestr zostanie zmodyfikowany w inny sposób).
§
Przypisaæ skrypty do uruchamiania i wy³¹czania komputera oraz logowania i wy-
logowywania u¿ytkownika. (W celu uzyskania szczegó³ów, patrz „U¿ywanie
skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu
i zamykaniu systemu” na stronie 951).
§
Okreœlaæ opcje zabezpieczeñ.
W œrodowisku domeny Zasady grupy pozwalaj¹ administratorowi na zastosowanie
zasad zabezpieczeñ oraz ograniczeñ dla u¿ytkowników i komputerów (oraz grup
jednych i drugich) za jednym zamachem. W grupie roboczej musisz zastosowaæ po-
dobne ustawienia Zasad grupy na ka¿dym komputerze, na którym chcesz wprowa-
dziæ takie ograniczenia.
UWAGA
Zasady grupy nie s¹ dostêpne w systemie Windows XP Home Edition.
Uruchamianie Zasad grupy
Ustawienia Zasad grupy wybiera siê, u¿ywaj¹c przystawki Zasady grupy dla progra-
mu Microsoft Management Console (MMC), pokazanej na rysunku 34-6. System Win-
dows XP Professional zawiera konsolê MMC, która pokazuje tylko tê przystawkê, ale
nie odnajdziesz jej w menu Start. Aby otworzyæ tê konsolê, przejdŸ do menu Start,
kliknij Uruchom i wpisz gpedit.msc. Musisz byæ zalogowany jako cz³onek grupy Ad-
ministratorzy, aby móc u¿ywaæ Zasad grupy.
Je¿eli twój komputer jest przy³¹czony do domeny z zasadami bazuj¹cymi na us³udze
Active Directory i jeœli posiadasz odpowiednie uprawnienia administracyjne dome-
ny, mo¿esz skonfigurowaæ Zasady grupy do wyœwietlania rozszerzeñ przystawki,
które pozwol¹ ci przegl¹daæ oraz modyfikowaæ zasady domeny, jak równie¿ rozsze-
rzenia dla lokalnego obiektu Zasady grupy. (Dodatkowe informacje na ten temat
znajdziesz w podrozdziale „W jaki sposób lokalne ustawienia Zasad grupy od-
dzia³uj¹ z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory” na
stronie 965). Jednak, poniewa¿ w ksi¹¿ce tej skupiamy siê na systemie Windows XP,
w tym rozdziale opiszemy jedynie lokalny obiekt Zasady grupy.
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
959
Rysunek 34-6. Wpisanie gpedit.msc w wierszu polecenia otwiera konsolê Zasady grupy.
Uruchamianie Zasad grupy dla komputerów zdalnych
Dla niektórych przystawek konsoli MMC (na przyk³ad Zarz¹dzanie komputerem)
mo¿esz u¿yæ poleceñ menu do prze³¹czenia siê z komputera lokalnego na inny kom-
puter w sieci. Jednak nie dzia³a to w ten sposób w przypadku Zasad grupy, które raz
uruchomione, kieruj¹ swoj¹ uwagê na pojedynczy komputer. Jednak mo¿esz urucho-
miæ Zasady grupy, kieruj¹c ich uwagê ku innemu komputerowi. Aby tak zrobiæ, mu-
sisz posiadaæ uprawnienia administracyjne na obu komputerach, swoim i tym dru-
gim. Nawet bez systemu Windows .NET Server (albo Windows 2000 Server) i us³ugi
Active Directory, mo¿esz administrowaæ wszystkimi komputerami w sieci z poziomu
jednej konsoli. (Zasadnicza ró¿nica polega na tym, ¿e musisz ustawiaæ lokalne Zasa-
dy grupy na ka¿dym komputerze, zamiast ustawiæ Zasady grupy bazuj¹ce na
us³udze Active Directory, które stosowane s¹ do wszystkich komputerów). Mo¿esz
u¿yæ dwóch sposobów, aby uruchomiæ Zasady grupy dla komputera zdalnego: para-
metru wiersza polecenia albo w³asnej konsoli MMC.
Naj³atwiejszym sposobem jest do³¹czenie parametru /Gpcomputer, tak jak zrobiliœ-
my w poni¿szym przyk³adzie:
Gpedit.msc /gpcomputer:"equinoxe"
Nazwa komputera, która nastêpuje po parametrze /Gpcomputer, mo¿e byæ podana
w stylu NetBIOS (tak jak tu) albo w stylu DNS (na przyk³ad equinoxe.rm.com.pl), któ-
ry jest podstawow¹ form¹ nazewnictwa u¿ywan¹ przez domeny systemów Windows
.NET Server oraz Windows 2000 Server. W obu przypadkach musisz umieœciæ nazwê
komputera w cudzys³owie.
Metod¹ alternatywn¹ jest stworzenie w³asnej konsoli, która otwiera lokalny obiekt Za-
sad grupy innego komputera. Przewag¹ tego rozwi¹zania jest to, ¿e mo¿esz utworzyæ
pojedyncz¹ konsolê, otwieraj¹c¹ Zasady grupy dla ka¿dego komputera, którym chcesz
zarz¹dzaæ. Aby utworzyæ w³asn¹ konsolê, wykonaj nastêpuj¹ce czynnoœci:
1. W menu Start kliknij Uruchom i wpisz mmc.
2. Otwórz menu Plik i wybierz Dodaj/Usuñ przystawkê.
3. Na karcie Autonomiczna kliknij przycisk Dodaj.
960
Czêœæ VIII: Administracja systemu
4. Wybierz przystawkê Zasady grupy i kliknij przycisk Dodaj.
5. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij Przegl¹daj.
6. Na karcie Komputery zaznacz pole Inny komputer, a nastêpnie wpisz nazwê kom-
putera albo kliknij przycisk Przegl¹daj, Zaawansowane, ZnajdŸ teraz, aby wybraæ
go z listy.
7. Kliknij OK, a nastêpnie Zakoñcz.
8. Powtórz kroki od 4 do 7, aby dodaæ inne komputery do konsoli.
9. Kliknij przycisk Zamknij, a nastêpnie OK.
Dodatkowe informacje na temat konsoli MMC znajdziesz w podrozdziale „Tworzenie w³asnych konsoli MMC” na stronie 1025.
Dopasowywanie okna Zasad grupy
Konsola Zasady grupy posiada kilka ³atwych do przeoczenia opcji, których nie znaj-
dziesz w innych przystawkach konsoli MMC. Mo¿esz dodawaæ albo usuwaæ szablo-
ny administracyjne, a tak¿e ograniczyæ widok tylko do tych zasad, które zosta³y skon-
figurowane.
Dodawanie lub usuwanie szablonów zasad
Foldery Szablonów administracyjnych (pod elementami Konfiguracja komputera
i Konfiguracja u¿ytkownika) s¹ rozwijalne. Zasady Szablonów administracyjnych
zdefiniowane s¹ w pliku .adm. System Windows XP zawiera kilka plików .adm, z któ-
rych cztery wyœwietlane s¹ domyœlnie, co pokazano w tabeli 34-1.
Mo¿esz usun¹æ szablony, które zawieraj¹ zasady, których nigdy nie u¿ywasz, albo
mo¿esz dodaæ w³asny szablon dostarczony przez inny program. Na przyk³ad Micro-
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
961
soft Office XP Resource Kit zawiera szablony zasad do zarz¹dzania pakietem Microsoft
Office; wiêcej szczegó³ów odnajdziesz, odwiedzaj¹c stronê www.microsoft.com/offi-
ce/ork.
Tabela 34-1. Pliki Szablonów administracyjnych zawarte w Windows XP
Nazwa pliku
Opis
Conf.adm
(wyœwietlany domyœlnie)
Ustawienia konferencyjne dla programu Microsoft NetMeeting, które ukazuj¹
siê w folderze Szablony administracyjne\Sk³adniki systemu Windows\NetMeeting
(pod elementami Konfiguracja komputera i Konfiguracja u¿ytkownika)
Intercorp.adm
Ustawienia programu Microsoft Internet Explorer do u¿ytku z zestawem
Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy
Inetres.adm
(wyœwietlany domyœlnie)
Ustawienia programu Microsoft Internet Explorer, które ukazuj¹ siê w folderze
Szablony administracyjne\Sk³adniki systemu Windows\Internet Explorer (pod
elementami Konfiguracja komputera i Konfiguracja u¿ytkownika)
Inetset.adm
Ustawienia programu Microsoft Internet Explorer do u¿ytku z zestawem
Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy
System.adm
(wyœwietlany domyœlnie)
Du¿a ró¿norodnoœæ ustawieñ dla Windows XP, obejmuj¹cych wiêkszoœæ
zasad ukazuj¹cych siê w Zasadach grupy
Wmplayer.adm
(wyœwietlany domyœlnie)
Ustawienia programu Windows Media Player, które ukazuj¹ siê w folderze
Konfiguracja u¿ytkownika\Szablony administracyjne\Sk³adniki systemu
Windows\Program Windows Media Player
Aby dodaæ albo usun¹æ szablon zasad, kliknij prawym przyciskiem myszy Szablony
administracyjne (jeden z folderów) i wybierz Dodaj/Usuñ szablony. Po wpro-
wadzeniu zmian i klikniiêciu przycisku Zamknij w oknie dialogowym Dodawa-
nie/Usuwanie szablonów, oba foldery Szablony administracyjne odzwierciedl¹ twój
nowy wybór.
Dodawanie szablonu zasad jedynie kopiuje plik .adm do folderu %SystemRoot%\Sys-
tem32\GroupPolicy\Adm; usuniêcie szablonu usuwa kopiê w tym folderze. Dodawa-
nie lub usuwanie szablonów zasad nie zmienia kryj¹cych siê za nimi ustawieñ zasad;
decyduje to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy.
Nowa funkcja!
Wyœwietlanie tylko wybranych zasad
Nawet z samymi standardowo zainstalowanymi szablonami, Zasady grupy oferuj¹
setki zasad, które mo¿esz ustawiaæ. Wiele z tych zasad mo¿e dotyczyæ obszarów sys-
temu Windows, których nigdy nie u¿ywasz. W³¹czenie ich do konsoli Zasady grupy,
powoduje jedynie jej zaœmiecenie. Teraz system Windows oferuje sposób na selek-
tywne filtrowanie listy wyœwietlanych zasad Szablonów administracyjnych, tak aby
zwiera³a ona jedynie te, które mog¹ ciê interesowaæ.
Aby u¿yæ tej funkcji, kliknij prawym przyciskiem myszy Szablony administracyjne
i wybierz Widok, a nastêpnie Filtrowanie. W oknie dialogowym Filtrowanie, pokaza-
nym na rysunku 34-7, mo¿esz zdecydowaæ o ukryciu elementów, które dotycz¹ tylko
okreœlonych wersji systemu Windows lub programu Internet Explorer. (Przydatne
jest to g³ównie wtedy, gdy zdalnie edytujesz zasady na innym komputerze, który
mo¿e nie dzia³aæ pod systemem Windows XP). Kiedy ju¿ skonfigurujesz Zasady gru-
py, tak jak chcia³eœ (jak opisano dalej w tym rozdziale), mo¿esz wyczyœciæ ekran ukry-
962
Czêœæ VIII: Administracja systemu
waj¹c niezliczon¹ iloœæ zasad, których ustawianiem nie jesteœ zainteresowany: za-
znacz pole Poka¿ tylko skonfigurowane ustawienia zasad.
Rysunek 34-7. Mo¿esz ukryæ zasady, którymi nie jesteœ zainteresowany.
Filtrowanie wyœwietlania zasad nie zmienia kryj¹cych siê za nimi ustawieñ; decyduje
to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy.
W przeciwieñstwie do polecenia Dodaj/Usuñ szablony, filtrowanie dotyczy jedynie
folderu Szablony administracyjne, który zaznaczy³eœ. Je¿eli chcesz przefiltrowaæ za-
sady zarówno w Konfiguracji komputera, jak i w Konfiguracji u¿ytkownika, musisz
powtórzyæ ten proces w obu folderach.
Lokalny obiekt Zasad grupy
Obiekt Zasad grupy jest kolekcj¹ ustawieñ Zasad grupy. W domenie bazuj¹cej na syste-
mie Windows .NET Server lub Windows 2000 Server obiekty Zasad grupy przecho-
wywane s¹ na poziomie domeny i dotycz¹ u¿ytkowników i komputerów, opieraj¹c
siê na ich cz³onkostwie w lokalizacjach sieciowych, domenach oraz jednostkach orga-
nizacyjnych. Ka¿dy komputer z systemem Windows XP posiada pojedynczy lokalny
obiekt Zasad grupy. Poniewa¿ nie bazuje on na serwerowej wersji systemu Windows,
na nim siê tutaj skupimy.
Lokalny obiekt Zasad grupy przechowywany jest jako seria plików i folderów
w ukrytym folderze %SystemRoot%\System32\GroupPolicy. Domyœlnie lokalna
grupa Administratorzy oraz system operacyjny posiadaj¹ uprawnienia Pe³na kontro-
la dla tego folderu oraz wszystkich folderów, które zawiera; Uwierzytelnieni u¿yt-
kownicy posiadaj¹ uprawnienia Zapis i wykonanie. Folder GroupPolicy typowo za-
wiera nastêpuj¹ce pliki i foldery:
§
Gpt.ini. Plik ten przechowuje informacje o tym, które rozszerzenia (identyfikowa-
ne przez ich globalnie unikatowy identyfikator, GUID) zawieraj¹ zmodyfikowane
ustawienia oraz o tym, czy ga³¹Ÿ Konfiguracja komputera albo Konfiguracja u¿yt-
kownika jest wy³¹czona.
§
Adm. Folder ten zawiera szablony administracyjne (przechowywane jako pliki
.adm), które s¹ w u¿yciu. (Patrz „Dodawanie lub usuwanie szablonów zasad” na
stronie 961).
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
963
§
User. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia rejestru,
dotycz¹ce u¿ytkowników. Folder User zawiera nastêpuj¹ce podfoldery:
§
Microsoft\IEAK, który zawiera ustawienia dla elementów, ukazuj¹cych siê w
folderze \Konfiguracja u¿ytkownika\Ustawienia systemu Windows\Konser-
wacja programu Internet Explorer w Zasadach grupy.
§
Scripts, który zawiera dwa foldery: Logon oraz Logoff, zawieraj¹ce skrypty
uruchamiane kiedy u¿ytkownik siê loguje lub wylogowywuje.
§
Machine. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia reje-
stru, dotycz¹ce komputera. Wewn¹trz folderu Machine znajduje siê podfolder
Scripts, który z kolei zawiera dwa foldery: Startup oraz Shutdown. Zawieraj¹ one
skrypty, uruchamiane, kiedy komputer jest uruchamiany alby wy³¹czany.
UWAGA
Niektóre z tych plików i folderów s¹ tworzone jedynie wtedy, gdy uruchomisz Zasady grupy i wprowadzisz
jakieœ ustawienia.
W jaki sposób dzia³aj¹ Zasady grupy
Wiêkszoœæ ustawieñ Zasad grupy znajduje siê w rozszerzeniach Szablonów admini-
stracyjnych przystawki Zasady grupy. (Jak napisano w innym miejscu w tym rozdzia-
le, zawartoœæ folderów Szablony administracyjne wywodzi siê z plików .adm w obiek-
cie Zasad grupy). Kiedy konfigurujesz zasadê w folderze Szablony administracyjne (to
znaczy wybierasz albo W³¹czone, albo Wy³¹czone i opcjonalnie, ustawiasz wartoœæ),
Zasady grupy przechowuj¹ te informacje jako w³asne ustawienie rejestru w jednym
z dwóch plików Registry.pol. Tak jak móg³byœ siê spodziewaæ, Zasady grupy u¿ywaj¹
pliku Registry.pol w folderze %SystemRoot%\System32\GroupPolicy\Machine dla
ustawieñ, które wprowadzisz w folderze Konfiguracja komputera\Szablony admini-
stracyjne w Zasadach grupy, oraz u¿ywaj¹ pliku w folderze Users dla ustawieñ jakie
wprowadzisz w folderze Konfiguracja u¿ytkownika\Szablony administracyjne.
Ustawienia Zasad Grupy powi¹zane z komputerem – te przechowywane w pliku Ma-
chine\Registry.pol – kopiowane s¹ do odpowiednich kluczy rejestru w ga³êzi HKLM,
podczas startu systemu operacyjnego oraz podczas okresowego odœwie¿ania. Usta-
wienia powi¹zane z u¿ytkownikiem (w pliku User\Registry.pol) kopiowane s¹ do
odpowiednich kluczy w ga³êzi HKCU, kiedy u¿ytkownik loguje siê oraz podczas
okresowego odœwie¿ania.
UWAGA
Ustawienia Zasad grupy – zarówno lokalne, jak i bazuj¹ce na us³udze Active Directory – maj¹ pierwszeñstwo
przed ustawieniami u¿ytkownika (czyli ustawieniami, które wprowadzisz w Panelu sterowania i innymi sposo-
bami dostêpnymi dla zwyk³ych u¿ytkowników). Dzieje siê tak, poniewa¿ ustawienia Zasad grupy nie s¹ zapisy-
wane do „normalnego” klucza rejestru dla konkretnego ustawienia; zamiast tego zapisywane s¹ w wartoœci w
kluczu „zasad”. Na przyk³ad je¿eli u¿yjesz okna dialogowego W³aœciwoœci paska zadañ i menu Start do wy³¹cze-
nia menu spersonalizowanych, dane w wartoœci Intellimenus w kluczu HKCU\Software\Microsoft\Win-
dows\CurrentVersion\Explorer\Advanced zmieni¹ siê. Ale je¿eli u¿yjesz Zasad grupy, zamiast tego zmieni siê
wartoϾ Intellimenus w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. W przy-
padku konfliktów wartoœæ w kluczu Policies uniewa¿nia tê drug¹.
964
Czêœæ VIII: Administracja systemu
Okresowe odœwie¿anie wystêpuje w odstêpach, które okreœlisz jako ustawienie Zasad
grupy. Domyœlnie pliki Registry.pol kopiowane s¹ do rejestru co 90 minut plus prze-
suniêcie losowe od 0 do 30 minut. (Przesuniêcie losowe pomyœlane jest dla zasad ba-
zuj¹cych na us³udze Active Directory; w ogromnych sieciach by³oby niewskazane,
aby wszystkie dzia³ania odœwie¿ania pojawi³y siê równoczeœnie. W wypadku lokal-
nych Zasad grupy, przesuniêcie nie pe³ni ¿adnej u¿ytecznej funkcji, ale mimo to jest
dodawane). Poprzez w³¹czenie i zmodyfikowanie ustawienia Interwa³ odœwie¿ania
zasad grupy dla komputerów w folderze Konfiguracja komputera\Szablony admini-
stracyjne\System\Zasady grupy oraz ustawienia Interwa³ odœwie¿ania zasad grupy
dla u¿ytkowników w folderze Konfiguracja u¿ytkownika\Szablony administracyj-
ne\System\Zasady grupy, mo¿esz zmieniæ interwa³ oraz opóŸnienie. Mo¿esz usta-
wiæ interwa³ na dowoln¹ wartoœæ od 0 minut (w tym wypadku ustawienia s¹ odœwie-
¿ane co 7 sekund) do 64 800 minut (45 dni).
Aby natychmiast odœwie¿yæ ustawienia Zasad grupy, w wierszu polecenia wpisz
gpupdate. Aby wyœwietliæ listê opcjonalnych prze³¹czników dla programu Gpupda-
te.exe, wpisz gpupdate /?.
W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹ z ustawieniami Zasad grupy
bazuj¹cymi na us³udze Active Directory
Je¿eli twój komputer jest przy³¹czony do domeny, mog¹ na niego oddzia³ywaæ usta-
wienia Zasad grupy, inne ni¿ te, które ustawi³eœ w lokalnym obiekcie Zasad grupy.
Ustawienia Zasad grupy s¹ stosowane w nastêpuj¹cej kolejnoœci:
1. Ustawienia z lokalnego obiektu Zasad grupy
2. Ustawienia z obiektów Zasad grupy lokalizacji, w administracyjnie okreœlonej kolej-
noœci
3. Ustawienia z obiektów Zasad grupy domeny, w administracyjnie okreœlonej kolej-
noœci
4. Ustawienia z obiektów Zasad grupy jednostki organizacyjnej, od najwiêkszej do
najmniejszej jednostki organizacyjnej (od nadrzêdnej do podrzêdnej jednostki or-
ganizacyjnej), oraz w administracyjnie okreœlonej kolejnoœci na poziomie ka¿dej
jednostki organizacyjnej.
Zasady zastosowane póŸniej nadpisuj¹ wczeœniej zastosowane zasady, co oznacza, ¿e
w przypadku ustawieñ bêd¹cych w konflikcie pierwszeñstwo maj¹ zasady najwy¿-
szego poziomu bazuj¹ce na us³udze Active Directory. Ustawienia zasad kumuluj¹ siê,
tak ¿e wszystkie przyczyniaj¹ siê do efektywnej polityki. Efektywna polityka nazy-
wana jest Wynikowym zestawem zasad (Resultant Set of Policy - RSoP).
Aby zobaczyæ, które ustawienia maj¹ wp³yw na okreœlonego u¿ytkownika, mo¿esz
u¿yæ narzêdzia wiersza polecenia (Gpresult.exe). Aby wyœwietliæ RSoP dla siebie, po
prostu wpisz w wierszu polecenia gpresult. Aby uzyskaæ informacje o innych opcjach
wpisz gpresult /?.
Centrum pomocy i obs³ugi technicznej równie¿ zawiera narzêdzie, które pokazuje
efektywne ustawienia Zasad grupy dla bie¿¹cego u¿ytkownika. Aby u¿yæ tego narzê-
dzia, otwórz Centrum pomocy i obs³ugi technicznej. Na stronie pocz¹tkowej kliknij
w prawym panelu odnoœnik U¿yj narzêdzi, aby wyœwietliæ informacje o komputerze
i przeanalizowaæ problemy. Nastêpnie w lewym panelu kliknij Zaawansowane infor-
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
965
macje o systemie, a nastêpnie kliknij odnoœnik Wyœwietl zastosowane ustawienia za-
sad grupy w prawym panelu. Rysunek 34-8 pokazuje przyk³ad.
Rysunek 34-8. Narzêdzie Zasady grupy w Centrum pomocy i obs³ugi technicznej pokazuje, które ustawienia s¹
w u¿yciu – coœ, co nie³atwo stwierdziæ w œrodowisku domeny.
Typy ustawieñ
Ga³¹Ÿ Konfiguracja komputera w Zasadach grupy zawiera ró¿norodne ustawienia
powi¹zane z komputerem, a ga³¹Ÿ Konfiguracja u¿ytkownika zawiera ró¿norodne
ustawienia powi¹zane z u¿ytkownikiem. Jedna linia miêdzy ustawieniami kompute-
ra i ustawieniami u¿ytkownika jest czêsto rozmyta. Poniewa¿ lokalne Zasady grupy
stosowane s¹ do wszystkich u¿ytkowników, najlepszym sposobem na odkrycie za-
sad, których potrzebujesz, jest przetestowanie ich wszystkich. Odnajdziesz prawdzi-
wy skarb w postaci u¿ytecznych ustawieñ, w³¹czaj¹c w to wiele takich, które nie
mog¹ byæ wprowadzone w inny sposób. W folderze Szablony administracyjne znaj-
dziesz ponad 240 ustawieñ komputera i ponad 440 ustawieñ u¿ytkownika, co spra-
wia, ¿e brzmi to trochê zniechêcaj¹co – ale wkrótce zorientujesz siê, ¿e mo¿esz szybko
przejrzeæ zasady w ka¿dym folderze i zignorowaæ wiêkszoœæ z nich.
Nowa funkcja!
Aby dowiedzieæ siê wiêcej o ka¿dej zasadzie, po prostu zaznacz j¹, tak jak pokazano
na rysunku 34-9. Je¿eli masz zaznaczon¹ kartê Rozszerzony na dole okna, w central-
nym panelu pojawi siê opis dla zaznaczonej zasady.
Niektóre ustawienia pojawiaj¹ siê w obu ga³êziach: Konfiguracja komputera i Konfi-
guracja u¿ytkownika. W przypadku ustawieñ bêd¹cych w konflikcie, zawsze pierw-
szeñstwo ma ustawienie Konfiguracji komputera.
966
Czêœæ VIII: Administracja systemu
GPO Ÿród³a
identyfikuje
obiekt Zasad
grupy, który
kontroluje
okreœlone
ustawienie
Rysunek 34-9. Karta Rozszerzony zawiera opis zaznaczonej zasady.
Mo¿esz przyspieszyæ zastosowanie ustawieñ Zasad grup wy³¹czaj¹c zasady, których
nie u¿ywasz. Aby wyraŸnie zobaczyæ, które typy zasad s¹ w u¿yciu, kliknij prawym
przyciskiem myszy Zasady Komputer lokalny (na górze drzewa konsoli) i wybierz
W³aœciwoœci. W oknie dialogowym, które siê pojawi, pokazanym na rysunku 34-10, li-
nia Poprawki w sekcji Podsumowanie pokazuje liczbê bêd¹cych w u¿yciu ustawieñ
Konfiguracji komputera i Konfiguracji u¿ytkownika. Je¿eli któraœ z wartoœci to 0 (albo
je¿eli chcesz wy³¹czyæ ustawienia Zasad grupy z jakiegoœ powodu), zaznacz odpo-
wiednie pole wyboru w sekcji Wy³¹czanie.
Rysunek 34-10. Mo¿esz selektywnie wy³¹czyæ ustawienia Zasad grupy powi¹zane z komputerem albo powi¹zane
z u¿ytkownikiem.
Wprowadzanie ustawieñ
Ka¿da zasada w folderach Szablony administracyjne Zasad grupy posiada jedno
z trzech ustawieñ: Nie skonfigurowano, W³¹czone, albo Wy³¹czone. Domyœlnie
wszystkie zasady w lokalnym obiekcie Zasad grupy pocz¹tkowo s¹ ustawione na Nie
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
967
£atwo mo¿esz zobaczyæ, jak wiele zasad
jest ustawionych w ka¿dej ga³êzi
skonfigurowano. (Zasady w folderach Ustawienia systemu Windows nie posiadaj¹
opcji Nie skonfigurowano i dlatego maj¹ inne ustawienia domyœlne).
Aby zmieniæ ustawienie, po prostu dwukrotnie kliknij nazwê zasady, któr¹ chcesz
zmieniæ, albo kliknij odnoœnik W³aœciwoœci, który pojawia siê w centralnym panelu
karty Rozszerzony. Pojawi siê wtedy okno dialogowe w³aœciwoœci. Okno dialogowe
dla ka¿dej zasady w folderze Szablony administracyjne w du¿ym stopniu wygl¹da
tak, jak to pokazane na rysunku 34-11. Karta Ustawienie zawiera trzy opcje – Nie
skonfigurowano, W³¹czone, oraz Wy³¹czone – oraz du¿y obszar w którym mo¿esz wy-
konaæ specyficzne dla zasady ustawienia. Kontrolki w tej œrodkowej czêœci pojawiaj¹
siê wyszarzone i s¹ niedostêpne, dopóki nie zaznaczysz opcji W³¹czone. (Wiele pro-
stych zasad pozostawia ten obszar pusty, poniewa¿ zasada nie wymaga ¿adnych dal-
szych ustawieñ). Karta Wyjaœnienie dostarcza szczegó³owych informacji dotycz¹cych
zasady (te same informacje, które pojawiaj¹ siê w centralnym panelu karty Rozszerzo-
ny). Jedynym miejscem, gdzie prawdopodobnie znajdziesz wiêcej informacji do-
tycz¹cych ka¿dej zasady, jest Microsoft Windows XP Professional Resource Kit Documen-
tation (Microsoft Press, 2001). Obie karty zawieraj¹ przyciski Poprzednie ustawienie
oraz Nastêpne ustawienie, które u³atwiaj¹ przejœcie przez ca³y folder bez potrzeby
otwierania i zamykania okna dialogowego w³aœciwoœci oddzielnie dla ka¿dej zasady.
Rysunek 34-11. Okna dialogowe w³aœciwoœci dla wszystkich zasad folderów Szablony administracyjne s¹ podobne do
tego.
UWAGA
Zwróæ szczególn¹ uwagê na nazwê ka¿dej zasady, poniewa¿ ustawienia mog¹ dzia³aæ odwrotnie. Wiele za-
sad zaczyna siê od s³owa Wy³¹cz (Wy³¹czanie) (Na przyk³ad zasada Wy³¹cz pulpit Active Desktop w folde-
rze Konfiguracja u¿ytkownika\Szablony administracyjne\Pulpit\Active Desktop). Dla tych zasad, je¿eli chcesz
zezwoliæ na okreœlon¹ opcjê, musisz zaznaczyæ ustawienie Wy³¹czone. (Innymi s³owy, musisz wy³¹czyæ zasa-
dê wy³¹czaj¹c¹). Je¿eli chcesz zabroniæ tej opcji, musisz zaznaczyæ W³¹czone.
968
Czêœæ VIII: Administracja systemu
Wprowadzanie ró¿nych ustawieñ dla ró¿nych u¿ytkowników
Ogólnie zarz¹dzane ustawienia Zasad grupy – to znaczy, te, które s¹ przechowywane
w us³udze Active Directory w systemie Windows .NET Server lub Windows 2000 Se-
rver – mog¹ byæ stosowane do indywidualnych u¿ytkowników, komputerów lub ich
grup. Mo¿esz mieæ kilka zestawów obiektów Zasad grupy bazuj¹cych na us³udze Ac-
tive Directory, co umo¿liwi ci stworzenie ca³kowicie ró¿nych kolekcji ustawieñ dla
ró¿nych u¿ytkowników i komputerów.
Jednak nie dzia³a to w przypadku lokalnych Zasad grupy. Ustawienia lokalnych Za-
sad grupy dotycz¹ wszystkich u¿ytkowników, którzy zaloguj¹ siê na komputerze.
(Jednak je¿eli komputer przy³¹czony jest do domeny, ustawienia lokalne mog¹ byæ unie-
wa¿nione przez ustawienia bazuj¹ce na us³udze Active Directory. Dalsze szczegó³y znaj-
dziesz w podrozdziale „W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹
z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory” na stronie
965). Nie mo¿esz posiadaæ kilku zestawów lokalnych obiektów Zasad grupy.
Chocia¿ mo¿esz mieæ dostosowane ustawienia dla ka¿dej z kilku grup, efektywnie
mo¿esz mieæ dwie grupy u¿ytkowników: tych bêd¹cych pod wp³ywem ustawieñ lo-
kalnych Zasad grupy oraz tych, na których one nie wp³ywaj¹. Ten dwojaki wp³yw do-
tyczy jedynie ustawieñ Konfiguracji u¿ytkownika; ustawienia Konfiguracji kompute-
ra stosowane s¹, zanim ktokolwiek siê zaloguje.
Mo¿esz to zrobiæ, poniewa¿ lokalne Zasady grupy zale¿¹ od posiadania przez u¿yt-
kownika dostêpu do odczytu do lokalnego obiektu Zasad grupy, który przechowy-
wany jest w folderze %SystemRoot%\System32\GroupPolicy. Zasady nie s¹ stoso-
wane do u¿ytkowników, którzy nie maj¹ dostêpu do odczytu, dlatego te¿ odma-
wiaj¹c dostêpu do odczytu administratorom oraz innym, których nie chcesz ograni-
czaæ, uwalniasz tych u¿ytkowników od kontroli zasad grupy. Aby u¿yæ tej metody,
wykonaj nastêpuj¹ce czynnoœci:
1. WprowadŸ odpowiedni¹ zmianê ustawienia Zasad grupy.
2. W Eksploratorze Windows kliknij prawym przyciskiem myszy folder %System-
Root%\System32\GroupPolicy i wybierz W³aœciwoœci. (Folder GroupPolicy jest
ukryty; je¿eli nie mo¿esz go odnaleŸæ, w folderze System32 wybierz Narzêdzia,
Opcje folderów, Widok i zaznacz opcjê Poka¿ ukryte pliki i foldery).
3. Na karcie Zabezpieczenia okna dialogowego W³aœciwoœci: GroupPolicy zaznacz
grupê Administratorzy i zaznacz pole Odmów przy uprawnieniu Odczyt. (Je¿eli
chcesz wy³¹czyæ spod kontroli Zasad grupy jakichkolwiek innych u¿ytkowników
lub grupy, dodaj ich do listy Nazwy grupy lub u¿ytkownika, a nastêpnie zaznacz
dla nich pole Odmów przy uprawnieniu Odczyt).
UWAGA
Musisz zaznaczyæ pole Odmów dla uprawnienia Odczyt, a nie po prostu wyczyœciæ pole Zezwalaj. W prze-
ciwnym wypadku wszyscy u¿ytkownicy dalej bêd¹ dziedziczyæ uprawnienie Odczyt ze wzglêdu na automa-
tyczne cz³onkostwo w grupie U¿ytkownicy uwierzytelnieni.
Przy nastêpnym logowaniu z u¿yciem konta u¿ytkownika z wy³¹czonym uprawnie-
niem Odczyt stwierdzisz, ¿e nie jesteœ ju¿ obci¹¿ony ustawieniami Zasad grupy. Jed-
nak stwierdzisz równie¿, ¿e bez uprawnienia Odczyt nie mo¿esz uruchomiæ Zasad
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
969
grupy – a wiêc nie mo¿esz przegl¹daæ ani modyfikowaæ ustawieñ Zasad grupy. Aby
odzyskaæ tê w³adzê, musisz ponownie odwiedziæ okno dialogowe W³aœciwoœci: Gro-
upPolicy i przyznaæ sobie uprawnienie Pe³na kontrola.
Miej na uwadze to, ¿e nawet bez wspomnianego wy¿ej oszukania zabezpieczeñ do-
myœlne ustawienia zabezpieczeñ efektywnie tworz¹ dwie grupy u¿ytkowników.
Chocia¿ lokalne ustawienia Zasad grupy stosowane s¹ do wszystkich u¿ytkowników
(sprostowanie: wszystkich u¿ytkowników, którzy maj¹ dostêp do odczytu do lokal-
nego obiektu Zasad grupy), tylko cz³onkowie lokalnej grupy Administratorzy mog¹
przegl¹daæ lub zmieniaæ te ustawienia.
Je¿eli dostosowanie dzia³ania ustawieñ Zasad grupy bazuj¹cego na cz³onkostwie
w grupie jest dla ciebie istotne, powinieneœ zainstalowaæ system Windows .NET Server
albo Windows 2000 Server i skonfigurowaæ us³ugê Active Directory. Natomiast metody
opisane w tym rozdziale dostarczaj¹ ³atwego i kompromisowego rozwi¹zania.
Konfigurowanie praw u¿ytkownika
Prawo u¿ytkownika jest uwierzytelnieniem pozwalaj¹cym na przeprowadzenie operacji,
która wp³ywa na ca³y komputer. (Odwrotnie uprawnienie, jest uwierzytelnieniem do
przeprowadzenia operacji na okreœlonym obiekcie – takim jak plik lub drukarka – na
komputerze). Dla ka¿dego prawa u¿ytkownika mo¿esz okreœliæ, które konta u¿yt-
kowników i grupy maj¹ prawo u¿ytkownika. Aby przejrzeæ albo ustawiæ prawa u¿yt-
kownika, w Zasadach grupy (Gpedit.msc) przejdŸ do folderu Konfiguracja kompute-
ra\Ustawienia systemu Windows\Ustawienia zabezpieczeñ\Zasady lokalne\Przypi-
sywanie praw u¿ytkownika. Nastêpnie kliknij dwukrotnie prawo u¿ytkownika, aby
zobaczyæ lub zmieniæ listê u¿ytkowników i grup, tak jak pokazano na rysunku 34-12.
Rysunek 34-12. Aby przejrzeæ albo zmieniæ lokalne ustawienia dla praw u¿ytkownika, dwukrotnie kliknij prawo
u¿ytkownika w folderze Przypisywanie praw u¿ytkownika.
970
Czêœæ VIII: Administracja systemu
WSKAZÓWKA
U¿yj konsoli Ustawienia zabezpieczeñ lokalnych
Konsola Ustawienia zabezpieczeñ lokalnych dostarcza krótszej œcie¿ki do folderu Przypisywanie praw u¿yt-
kownika, a wiêc jest przydatna, jeœli nie ustawiasz innych zasad, takich jak te w folderach Szablony admini-
stracyjne. Aby otworzyæ konsolê Ustawienia zabezpieczeñ lokalnych, kliknij dwukrotnie skrót Zasady
zabezpieczeñ lokalnych w folderze Narzêdzia administracyjne albo w wierszu polecenia wpisz secpol.msc.
Dziesiêæ spoœród praw u¿ytkownika – Uzyskiwanie dostêpu do tego komputera z sie-
ci, Zezwalaj na logowanie za pomoc¹ us³ug terminalowych, Logowanie w trybie wsa-
dowym, Logowanie w trybie us³ugi, Logowanie lokalne oraz odpowiadaj¹ce im pra-
wa u¿ytkownika „Odmowa” – jest znanych lepiej jako prawa logowania. Kontroluj¹
one sposób, w jaki u¿ytkownicy uzyskuj¹ dostêp do komputera – czy z klawiatury
(„lokalnie”), czy te¿ poprzez po³¹czenie sieciowe, czy te¿ jako us³uga lub program
wsadowy (np. Harmonogram zadañ). Mo¿esz u¿yæ praw logowania (w szczególnoœci
Logowanie lokalne oraz Odmowa logowania lokalnego), aby kontrolowaæ, kto mo¿e
zalogowaæ siê na twoim komputerze. Domyœlnie prawo Logowanie lokalne jest przy-
znane dla lokalnego konta Goœæ oraz cz³onków grup: Administratorzy, Operatorzy
kopii zapasowych, U¿ytkownicy zaawansowani oraz U¿ytkownicy. Je¿eli chcesz
uniemo¿liwiæ niektórym u¿ytkownikom zalogowanie siê z klawiatury (ale ci¹gle
umo¿liwiaj¹c im np. logowanie siê poprzez sieæ), utwórz grupê, dodaj do niej te konta
u¿ytkowników, a nastêpnie przypisz do tej grupy prawo u¿ytkownika Odmowa lo-
gowania lokalnego. Tak jak uprawnienia odmowy, prawa odmowy logowania maj¹
pierwszeñstwo przed prawami logowania, a wiêc jeœli u¿ytkownik jest cz³onkiem
grupy, która jest dopuszczona do logowania siê (takiej jak U¿ytkownicy zaawanso-
wani) oraz grupy, która nie jest (takiej jak opisana w poprzednim zdaniu), u¿ytkow-
nik ten nie bêdzie móg³ siê zalogowaæ. (U¿ytkownicy tacy zostaj¹ odrzuceni i widz¹
komunikat o b³êdzie, po tym jak wpisz¹ swoj¹ nazwê u¿ytkownika i has³o w oknie
dialogowym Logowanie do systemu Windows).
Microsoft Windows XP Professional Resource Kit Documentation zawiera opis ka¿dego
z praw u¿ytkownika. Tabela 34-2 wymienia domyœlne prawa przypisane do wbudo-
wanych grup u¿ytkowników.
Tabela 34-2. Domyœlne prawa wbudowanych grup u¿ytkowników w systemie Windows XP
Professional
Grupa
Domyœlne prawa
Administratorzy
§ Analizowanie programów
§ Dopasowywanie przydzia³ów pamiêci dla procesu
§ Logowanie lokalne
§ £adowanie i usuwanie sterowników urz¹dzeñ
§ Modyfikowanie zmiennych œrodowiskowych systemu
§ Odtwarzanie plików i katalogów
§ Pomijanie sprawdzania przebiegu
§ Profilowanie pojedynczego procesu
§ Profilowanie wydajnoœci systemu
§ Przejmowanie w³asnoœci plików lub innych obiektów
§ Tworzenie kopii zapasowych plików i folderów
§ Tworzenie pliku stronicowania
§ Usuwanie komputera ze stacji dokuj¹cej
§ Uzyskiwanie dostêpu do tego komputera z sieci
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami
971
Grupa
Domyœlne prawa
§ Wykonywanie zadañ konserwacji woluminu
§ Wymuszanie zamkniêcia systemu z systemu zdalnego
§ Zamykanie systemu
§ Zarz¹dzanie inspekcj¹ i dziennikiem zabezpieczeñ
§ Zezwalaj na logowanie za pomoc¹ us³ug terminalowych
§ Zmiana czasu systemowego
§ Zwiêkszanie priorytetu szeregowania
Operatorzy kopii zapasowych § Logowanie lokalne
§ Odtwarzanie plików i katalogów
§ Pomijanie sprawdzania przebiegu
§ Tworzenie kopii zapasowych plików i folderów
§ Uzyskiwanie dostêpu do tego komputera z sieci
§ Zamykanie systemu
Wszyscy
§ Pomijanie sprawdzania przebiegu
§ Uzyskiwanie dostêpu do tego komputera z sieci
GoϾ (konto)
§ Logowanie lokalne
§ Odmowa dostêpu do tego komputera z sieci
1
§ Odmowa logowania lokalnego
U¿ytkownicy zaawansowani
§ Logowanie lokalne
§ Pomijanie sprawdzania przebiegu
§ Profilowanie pojedynczego procesu
§ Usuwanie komputera ze stacji dokuj¹cej
§ Uzyskiwanie dostêpu do tego komputera z sieci
§ Zamykanie systemu
§ Zmiana czasu systemowego
U¿ytkownicy pulpitu zdalnego § Zezwalaj na logowanie za pomoc¹ us³ug terminalowych
U¿ytkownicy
§ Logowanie lokalne
§ Pomijanie sprawdzania przebiegu
§ Usuwanie komputera ze stacji dokuj¹cej
§ Uzyskiwanie dostêpu do tego komputera z sieci
§ Zamykanie systemu
(Nie przypisane do ¿adnej
§ Blokowanie stron w pamiêci
grupy)
§ Dodawanie stacji roboczych do domeny
§ Dzia³anie jako element systemu operacyjnego
§ Generowanie zdarzeñ inspekcji zabezpieczeñ
§ Logowanie w trybie us³ugi
§ Logowanie w trybie wsadowym
§ Odmawiaj logowania za pomoc¹ us³ug terminalowych
§ Odmowa logowania w trybie us³ugi
§ Odmowa logowania w trybie wsadowym
§ Synchronizowanie danych us³ug katalogowych
§ Tworzenie stale udostêpnianych obiektów
§ Tworzenie ¿etonu
§ W³¹czanie zaufania dla komputera i kont u¿ytkowników do delegowania
§ Zamiana ¿etonu na poziomie procesu
1
Konto Goœæ jest usuwane z listy kont z prawem Odmowa dostêpu do tego komputera z sieci, kiedy
w³¹czysz udostêpnianie plików w sieci.
972
Czêœæ VIII: Administracja systemu