Rozdzia³ 34

Zarz¹dzanie

profilami

u¿ytkownika

i zasadami

Czêœæ VIII: Administracja systemu
Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

Jak ju¿ niew¹tpliwie odkry³eœ, system Microsoft

Windows XP oferuje u¿ytkownikom ró¿nego ro-

dzaju mo¿liwoœci dostosowywania. U¿ywaj¹c

ró¿norodnych ustawieñ w Panelu sterowania

oraz innych miejsc, u¿ytkownicy mog¹ kontrolo-

waæ wygl¹d ich pulpitu, paska zadañ, menu

Start, okien folderów i wielu innych elementów;

mog¹ okreœlaæ dŸwiêki, które s¹ odtwarzane, kie-

dy wyst¹pi¹ pewne zdarzenia; mog¹ dodawaæ

lub usuwaæ programy itd. Jest to wspania³a rzecz

dla pojedynczego komputera obs³ugiwanego

przez jednego u¿ytkownika, który chce dobrze

w³adaæ swoim œrodowiskiem pracy.
Natomiast je¿eli musisz utrzymaæ w dzia³aniu

wiêcej ni¿ jeden komputer i zapewniæ mo¿liwoœæ

wydajnej pracy wiêcej ni¿ jednemu u¿ytkowni-

kowi, mo¿esz jako administrator chcieæ samemu

dostosowaæ œrodowisko pracy dla poszcze-

gólnych u¿ytkowników. Za pomoc¹ narzêdzi do-

starczonych przez Windows XP mo¿esz wybraæ

ustawienia dla u¿ytkowników, którzy nie dyspo-

nuj¹ odpowiedni¹ wiedz¹, doœwiadczeniem albo

czasem potrzebnym do samodzielnego wprowa-

dzenia tych ustawieñ. Jeœli bêdzie to potrzebne,

mo¿esz wprowadziæ ograniczenia, które zapobiegn¹

zniszczeniu konfiguracji przez niedoœwiadczo-

nych albo nieuwa¿nych u¿ytkowników.
Ten rozdzia³ opisuje dwie funkcje systemu Win-

dows XP, których administrator mo¿e u¿yæ do

dostosowania i kontrolowania systemu: profile

u¿ytkownika oraz zasady grupy.

Wprowadzenie do profili

u¿ytkownika

942

Praca z profilami u¿ytkownika

946

U¿ywanie Profili mobilnych

u¿ytkownika

954

Kontrolowanie mo¿liwoœci

u¿ytkowników za pomoc¹

Zasad grupy

958

Konfigurowanie praw

u¿ytkownika

970

Wprowadzenie do profili u¿ytkownika

Profil u¿ytkownika zawiera wszystkie ustawienia oraz pliki dla œrodowiska pracy u¿yt-

kownika. Zawarte s¹ tu osobiste ustawienia rejestru dla wszystkiego, pocz¹wszy od

wskaŸników myszy, po ustawienia widoku u¿ywane w programie Microsoft Word

oraz pliki, które s¹ specyficzne dla danego u¿ytkownika, takie jak pliki cookie, odbie-

rane podczas korzystania z przegl¹darki Microsoft Internet Explorer, dokumenty

w folderze Moje dokumenty i jego podfolderach oraz skróty do miejsc sieciowych.

Po³o¿enie i zawartoœæ profili u¿ytkownika

Domyœlnie ka¿dy u¿ytkownik, który loguje siê na komputerze, posiada lokalny profil

u¿ytkownika, który jest tworzony podczas jego pierwszego logowania. Lokalne pro-

file u¿ytkownika przechowywane s¹ w folderze %SystemDrive%\Documents and

Settings. Ka¿dy profil u¿ytkownika przechowywany jest w podfolderze o takiej samej

nazwie jak nazwa u¿ytkownika (na przyk³ad C:\Documents and Settings\Marek).

Pe³na œcie¿ka do bie¿¹cego profilu u¿ytkownika przechowywana jest w innej po-

wszechnie u¿ywanej zmiennej œrodowiskowej %UserProfile%.

UWAGA

Je¿eli dokona³eœ aktualizacji systemu z Microsoft Windows NT 4 (zamiast wykonaæ now¹ instalacjê albo

aktualizacjê z innej wersji systemu Windows), profile u¿ytkownika przechowywane s¹ w folderze %Sys-

temRoot%\Profiles.

Wewn¹trz folderu profilu u¿ytkownika odnajdziesz hierarchiê folderów, tak jak po-

kazano na Rysunku 34-1. G³ówny katalog profilu (czyli podfolder folderu Documents

and Settings, o nazwie takiej jak nazwa u¿ytkownika) zawiera plik Ntuser.dat, który

jest kawa³kiem rejestru (innymi s³owy, ga³êzi¹ klucza HKCU). W dodatku komputer,

który jest cz³onkiem domeny systemu Microsoft Windows NT Server, mo¿e posiadaæ

plik Ntuser.pol, który zawiera ustawienia zasad systemu. (Zasady systemu s¹ po-

przednikiem Zasad grupy, wprowadzonych w systemie Microsoft Windows 2000).
Profil zawiera nastêpuj¹ce foldery:

§

Dane aplikacji. Ten ukryty folder zawiera specyficzne dane aplikacji, takie jak

s³ownik u¿ytkownika dla edytorów tekstu, listy nadawców wysy³aj¹cych spam

dla programów poczty elektronicznej, bazê danych p³yt CD dla programów od-

twarzaj¹cych p³yty z muzyk¹ itd. Twórcy aplikacji decyduj¹, jakie informacje maj¹

byæ umieszczone w tym folderze.

§

Cookies. Folder ten zawiera pliki cookie przegl¹darki Internet Explorer.

§

Pulpit. Folder ten zawiera wszystkie elementy przechowywane na pulpicie u¿yt-

kownika, w³¹czaj¹c w to pliki i skróty.

§

Ulubione. Folder ten zawiera elementy listy Ulubione przegl¹darki Internet

Explorer.

942

Czêœæ VIII: Administracja systemu

Rysunek 34-1. Ka¿dy profil u¿ytkownika zawiera kilka folderów, w tym kilka ukrytych.

§

Ustawienia lokalne. Ten ukryty folder zawiera ustawienia i pliki, które nie prze-

chodz¹ z profilem, poniewa¿ s¹ powi¹zane ze specyfik¹ komputera albo s¹ tak

du¿e, ¿e szkoda zachodu na umieszczanie ich w mobilnym profilu u¿ytkownika,

który musi byæ kopiowany z i na serwer przy ka¿dym logowaniu i wylogowaniu.

(Mobilne profile u¿ytkownika omówione s¹ w nastêpnym podrozdziale). Na

przyk³ad obszar przechowywania danych dla wypalania p³yt CD – który zale¿y

od komputera i jest potencjalnie bardzo du¿y – przechowywany jest w podfolde-

rze folderu Ustawienia lokalne. Folder Ustawienia lokalne zawiera cztery podfol-

dery:

§

Dane aplikacji. Ten ukryty folder zawiera specyficzne dla komputera dane

aplikacji.

§

Historia. Folder ten zawiera historiê odwiedzanych przez u¿ytkownika stron

programu Internet Explorer.

§

Temp. Folder ten zawiera tymczasowe pliki utworzone przez aplikacje.

§

Temporary Internet Files. Folder ten zawiera pliki do u¿ytku w trybie offline

przegl¹darki Internet Explorer.

§

Moje dokumenty. Folder ten jest domyœlnym miejscem docelowym dla skrótu

Moje dokumenty, który pokazuje siê w menu Start, panelu zadañ Eksploratora

Windows (w sekcji Inne miejsca) itd. Folder Moje dokumenty jest domyœln¹ lokali-

zacj¹ do przechowywania dokumentów u¿ytkowników w wiêkszoœci aplikacji.

Kiedy przegl¹dasz foldery profilu innego u¿ytkownika, s³owo Moje zostaje

zast¹pione przez jego nazwê u¿ytkownika, chocia¿ w³aœciw¹ nazw¹ folderu dla

wszystkich u¿ytkowników jest Moje dokumenty.

§

NetHood. Ten ukryty folder zawiera skróty, które ukazuj¹ siê w Moich miejscach

sieciowych.

§

PrintHood. Rzadko u¿ywany ukryty folder; mo¿e zawieraæ skróty do elementów

w folderze Drukarki i faksy.

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

943

Aby unikn¹æ pomy³ek, folder

Moje dokumenty innego

u¿ytkownika pokazany jest

wraz z nazw¹ u¿ytkownika

tej osoby

§

Recent. Ten ukryty folder zawiera skróty do ostatnio u¿ywanych dokumentów;

najbardziej aktualne z nich mog¹ siê pojawiæ w menu Start. Chocia¿ w Eksplorato-

rze Windows folder ten pojawia siê jako Moje bie¿¹ce dokumenty, jego faktyczna

nazwa to Recent.

§

SendTo. Ten ukryty folder zawiera skróty do folderów i aplikacji, które pojawiaj¹

siê w podmenu Wyœlij do. Wyœlij do jest poleceniem, które pojawia siê w menu Plik

w Eksploratorze Windows, kiedy zaznaczysz plik lub folder; pojawia siê równie¿ w

menu podrêcznym, kiedy klikniesz prawym przyciskiem myszy plik albo folder.

§

Menu Start. Folder ten zawiera elementy (takie jak skróty do aplikacji i dokumen-

tów), które ukazuj¹ siê w podmenu Wszystkie programy menu Start.

§

Szablony. Ten ukryty folder zawiera skróty do szablonów dokumentów. Szablony te

u¿ywane s¹ zazwyczaj przez polecenie Nowy (w menu Plik oraz w menu podrêcz-

nym) w Eksploratorze Windows i okreœlone s¹ przez wartoœæ FileName w kluczu

HKCR\klasa\ShellNew, gdzie klasa odnosi siê do rozszerzenia i typu pliku.

UWAGA

Ustawienia Zasad grupy zawsze maj¹ pierwszeñstwo przed ustawieniami w profilach u¿ytkownika. Pozwa-

la to administratorom uniemo¿liwiæ u¿ytkownikom, którzy maj¹ potrzebn¹ wiedzê i uprawnienia, przepro-

wadzenie zmian bezpoœrednio w ich w³asnym profilu u¿ytkownika.

Typy profili

System Windows XP obs³uguje trzy typy profili:

§

Profil lokalny u¿ytkownika. Profil lokalny u¿ytkownika przechowywany jest w

folderze %SystemDrive%\Documents and Settings (albo %SystemRoot%\Profi-

les) na lokalnym dysku twardym. Windows tworzy profil lokalny u¿ytkownika

przy pierwszym logowaniu u¿ytkownika na komputerze. Je¿eli u¿ytkownik

wprowadzi zmiany w profilu, to zmiany te maj¹ wp³yw jedynie na komputer, na

którym zosta³y wprowadzone.

§

Profil mobilny u¿ytkownika. Profil mobilny u¿ytkownika przechowywany jest

na serwerze sieciowym, który udostêpnia go, kiedy u¿ytkownik loguje siê na do-

wolnym komputerze w sieci. Windows tworzy lokaln¹ kopiê profilu u¿ytkowni-

ka, który po raz pierwszy loguje siê na komputerze. Je¿eli u¿ytkownik wprowadzi

zmiany w profilu, Windows wprowadza zmiany w kopii na serwerze, kiedy u¿yt-

kownik wylogowuje siê. Dlatego te¿ poprawiony profil dostêpny jest przy nastêp-

nym logowaniu u¿ytkownika na dowolnym komputerze. Mobilne profile s¹ ³atwe

do zarz¹dzania oraz idealnie dopasowane do systemów Windows .NET Server i

Windows 2000 Server. Jednak przy odrobinie wysi³ku mo¿esz uzyskaæ niektóre

korzyœci jakie daje profil mobilny u¿ytkownika, nawet je¿eli nie posiadasz serwe-

rowej edycji systemu Windows. Aby uzyskaæ informacje na ten temat, patrz „U¿y-

wanie Profili mobilnych u¿ytkownika” na stronie 954.

§

Profil obowi¹zkowy u¿ytkownika. Profil obowi¹zkowy u¿ytkownika jest profi-

lem, który mo¿e byæ zmieniany tylko przez administratora. Tak jak profil mobilny

u¿ytkownika, profil obowi¹zkowy przechowywany jest na serwerze sieciowym,

a Windows tworzy kopiê lokaln¹ przy pierwszym logowaniu u¿ytkownika, do

którego przypisany zosta³ profil obowi¹zkowy. W przeciwieñstwie do profilu mo-

944

Czêœæ VIII: Administracja systemu

bilnego, profil obowi¹zkowy nie jest uaktualniany, kiedy u¿ytkownik wylogowu-

je siê. Czyni to profil obowi¹zkowy bardzo u¿ytecznym, nie tylko w odniesieniu

do u¿ytkowników indywidualnych, dla których chcesz wprowadziæ istotne ogra-

niczenia, ale równie¿ dla wielu u¿ytkowników (na przyk³ad wszystkich u¿ytkow-

ników wykonuj¹cych okreœlone zadanie), dla których chcesz zastosowaæ specy-

ficzne dla danego zadania ustawienia. Wielu u¿ytkowników mo¿e wspó³dzieliæ

profil obowi¹zkowy u¿ytkownika, bez wp³ywania na innych. U¿ytkownicy, do

których przypisany zosta³ profil obowi¹zkowy, mog¹ wprowadzaæ zmiany w pro-

filu, kiedy siê loguj¹ (o ile nie zabraniaj¹ tego ustawienia zasad), ale kopia sieciowa

pozostaje nie zmieniona. Chocia¿ kopia profilu pozostaje na komputerze po tym

jak u¿ytkownik siê wyloguje, przy nastêpnym logowaniu Windows ponownie ko-

piuje oryginalny profil z udzia³u sieciowego. Dodatkowe informacje o przypisy-

waniu profilu obowi¹zkowego u¿ytkownika znajdziesz w ramce „U¿ywanie pro-

filu obowi¹zkowego” na stronie 957.

Profile powszechne

W folderze profilów (%SystemDrive%\Documents and Settings albo %SystemRo-

ot%\Profiles) odnajdziesz dwa profile, które nie s¹ powi¹zane z okreœlonym kontem

u¿ytkownika: All Users oraz Default User. (Folder Default User jest ukryty).

§

All Users. Zawartoœæ folderu All Users pojawia siê dla wszystkich u¿ytkowników,

którzy zaloguj¹ siê na stacji roboczej, obok zawartoœci w³asnego folderu profilu ka-

¿dego u¿ytkownika. Na przyk³ad elementy w folderze All Users\Pulpit pojawiaj¹

siê na pulpicie wraz ze wszystkimi elementami, które aktualny u¿ytkownik ma za-

pisane na pulpicie. Podobnie, menu Start pokazuje po³¹czon¹ zawartoœæ folderu

All Users\Menu Start oraz folderu Menu Start bie¿¹cego u¿ytkownika. Folder All

Users\Dokumenty (który w Eksploratorze Windows pojawia siê jako folder Do-

kumenty Udostêpnione) zawiera dokumenty, które s¹ dostêpne dla wszystkich

u¿ytkowników. Wyj¹tkiem jest folder All Users\Ulubione, który nie s³u¿y do ni-

czego.
Domyœlnie tylko cz³onkowie grupy Administratorzy oraz U¿ytkownicy zaawan-

sowani mog¹ dodawaæ elementy do folderów Pulpit oraz Menu Start w profilu All

Users. Wszyscy u¿ytkownicy mog¹ dodawaæ elementy do folderu Dokumenty

udostêpnione.

WSKAZÓWKA

Przegl¹danie folderu Menu Start

Windows oferuje prosty sposób na dostanie siê bezpoœrednio do obu ga³êzi hierarchii menu Start. Kliknij

prawym przyciskiem myszy przycisk Start i wybierz Otwórz albo Eksploruj, je¿eli chcesz obejrzeæ folder

Menu Start w profilu bie¿¹cego u¿ytkownika; wybierz Otwórz wszystkich u¿ytkowników albo Eksploruj

wszystkich u¿ytkowników, aby zobaczyæ folder All Users\Menu Start w Eksploratorze Windows.

§

Default User. Kiedy u¿ytkownik loguje siê na komputerze po raz pierwszy (a jego

konto nie jest skonfigurowane do u¿ywania profilu mobilnego albo profilu obo-

wi¹zkowego), system Windows tworzy nowy profil lokalny, kopiuj¹c zawartoœæ

folderu Default User do nowego folderu i nazywaj¹c go nazw¹ u¿ytkownika. Dla-

tego te¿ mo¿esz skonfigurowaæ profil Default User w taki sposób, w jaki chcesz,

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

945

aby Windows na pocz¹tku ukazywa³ siê nowym u¿ytkownikom. Przy domyœl-

nych ustawieniach zabezpieczeñ tylko cz³onkowie grupy Administratorzy mog¹

wprowadzaæ zmiany w profilu Default User.

Praca z profilami u¿ytkownika

Uzbrojony w wiedzê o tym, gdzie umieszczone s¹ profile oraz co zawieraj¹, mo¿esz

pokusiæ siê modyfikowanie ich bezpoœrednio w Eksploratorze Windows albo z wier-

sza polecenia. Chocia¿ mo¿esz bezpiecznie dodawaæ, modyfikowaæ albo usuwaæ ele-

menty takie jak te z menu Start i pulpitu, to nie powinieneœ przenosiæ, kopiowaæ ani

usuwaæ w ten sposób ca³ych profili. Zamiast tego, powinieneœ u¿yæ okna dialogowe-

go Profile u¿ytkownika, pokazanego na rysunku 34-2. Aby siê tam dostaæ, kliknij pra-

wym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci (albo wybierz System

w Panelu sterowania). Na karcie Zaawansowane kliknij przycisk Ustawienia w sekcji

Profile u¿ytkownika.

Rysunek 34-2. U¿yj okna dialogowego Profile u¿ytkownika do skopiowania albo usuniêcia profilu u¿ytkownika.

946

Czêœæ VIII: Administracja systemu

Konfigurowanie profilu domyœlnego

W profilu Default User mo¿esz umieœciæ pliki, które maj¹ byæ dostêpne dla ka¿dego

nowego u¿ytkownika. W szczególnoœci mo¿esz chcieæ dostarczyæ w ten sposób, ze-

staw ³¹czy internetowych, kilka skrótów pulpitu, a tak¿e trochê dokumentów.

Mo¿esz to bardzo ³atwo zrobiæ, po prostu kopiuj¹c odpowiednie skróty oraz pliki do

folderów: Ulubione, Pulpit i Moje Dokumenty. (Poniewa¿ folder Default User jest

ukryty, najpierw musisz wyœwietliæ ukryte foldery, otwieraj¹c Opcje folderów i za-

znaczaj¹c opcjê Poka¿ ukryte pliki i foldery, na karcie Widok).
Upewnij siê, ¿e skopiowa³eœ pliki do profilu Default User, tak ¿e odziedziczy³y one

odpowiednie uprawnienia folderu docelowego. Je¿eli przenios³eœ pliki do tego fol-

deru, pozostan¹ one przy istniej¹cych uprawnieniach, które prawdopodobnie

uniemo¿liwi¹ skopiowanie ich póŸniej do profilu nowego u¿ytkownika.

UWAGA

U¿ytkownicy, którzy nie s¹ cz³onkami grupy Administratorzy, nie mog¹ zobaczyæ innych profili u¿ytkowni-

ka w oknie dialogowym Profile u¿ytkownika ani te¿ nie mog¹ usuwaæ, kopiowaæ ani zmieniaæ swojego

w³asnego profilu.

Usuwanie profilu u¿ytkownika

Okno dialogowe Profile u¿ytkownika pokazuje miejsce na dysku, zajmowane przez

profil. Poniewa¿ dokumenty ka¿dego u¿ytkownika przechowywane s¹ w jego profi-

lu, mo¿e byæ to znacz¹cy obszar. Aby odzyskaæ przestrzeñ zajmowan¹ przez nie u¿y-

wane profile, mo¿esz usun¹æ profil na dwa sposoby:

§

Otwórz Konta u¿ytkowników w Panelu sterowania i usuñ konto u¿ytkownika

powi¹zane z okreœlonym profilem. Szczegó³owe informacje znajdziesz w podroz-

dziale „Usuwanie konta” na stronie 87. Metoda ta usuwa konto u¿ytkownika jak

równie¿ profil, oraz oferuje mo¿liwoœæ zachowania dokumentów z profilu.

§

W oknie dialogowym Profile u¿ytkownika po prostu zaznacz profil i kliknij przy-

cisk Usuñ. Nie mo¿esz usun¹æ profilu, który jest aktualnie zalogowany. Usuwanie

profilów w ten sposób (zamiast na przyk³ad za pomoc¹ Eksploratora Windows)

zapewnia, ¿e odpowiedni profil zostanie równie¿ usuniêty z rejestru. (Ka¿dy pro-

fil u¿ytkownika zajmuje podklucz klucza HKLM\Software\Microsoft\Windows

NT\CurrentVersion\ProfileList).

UWAGA

Je¿eli u¿ywasz profili mobilnych u¿ytkownika, system Windows zwykle zapisuje kopiê profilu, który zosta³

skopiowany na lokalny dysk twardy. Windows u¿ywa tej lokalnej kopii, je¿eli zdarzy siê, ¿e kopia sieciowa

jest niedostêpna, kiedy u¿ytkownik siê loguje. Je¿eli posiadasz komputer, który jest dostêpny dla wielu

u¿ytkowników, ta okazjonalna wygoda mo¿e kosztowaæ ciê znaczn¹ iloœæ przestrzeni dyskowej. Mo¿esz

jednak wymusiæ, aby system Windows automatycznie usuwa³ lokaln¹ kopiê profilu mobilnego, kiedy u¿yt-

kownik wylogowuje siê. Aby to zrobiæ, otwórz Zasady grupy (Gpedit.msc), przejdŸ do folderu Konfiguracja

komputera\Szablony administracyjne\System\Profile u¿ytkownika i w³¹cz zasadê o nazwie Usuwaj buforo-

wane kopie profilów mobilnych. Inne zasady znajduj¹ce siê w tym samym folderze równie¿ wp³ywaj¹ na

sposób, w jaki stosowane s¹ profile mobilne. W celu uzyskania dalszych informacji, patrz „Kontrolowanie

mo¿liwoœci u¿ytkowników za pomoc¹ Zasad grupy” na stronie 958.

Kopiowanie profilu u¿ytkownika

Kopiowanie profilu u¿ytkownika (poprzez zaznaczenie profilu i klikniêcie przycisku

Kopiuj do) nie dodaje profilu do rejestru. Dzieje siê to przy pierwszym logowaniu

u¿ytkownika, któremu zosta³ przypisany profil, który skopiowa³eœ. Ale kopiowanie

w oknie Profile u¿ytkownika zamiast w oknie Eksploratora Windows daje istotn¹ ko-

rzyœæ: Windows przypisuje odpowiednie uprawnienia do kopii. To znaczy, ¿e nadaje

uprawnienie Pe³na kontrola u¿ytkownikowi lub grupie, któr¹ okreœlisz, oraz usunie

uprawnienia dla innych u¿ytkowników nie bêd¹cych administratorami. Uprawnie-

nia takie s¹ potrzebne do uzyskania przez u¿ytkownika dostêpu do jego w³asnego

profilu – ale nie profili innych u¿ytkowników.

UWAGA

Nie mo¿esz skopiowaæ profilu, który jest aktualnie zalogowany, ³¹cznie z twoim w³asnym profilem. Je¿eli

chcesz skopiowaæ swój profil, musisz zalogowaæ siê, u¿ywaj¹c innego profilu.

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

947

Przypisywanie profilu

Je¿eli chcesz przypisaæ profil do konta u¿ytkownika, u¿yj programu Microsoft Mana-

gement Console z przystawk¹ U¿ytkownicy i grupy lokalne. Mo¿esz j¹ znaleŸæ w pro-

gramie Zarz¹dzanie komputerem w Narzêdziach systemowych albo otworzyæ w jej

w³asnym oknie, wpisuj¹c w wierszu polecenia lusrmgr.msc. W folderze U¿ytkowni-

cy kliknij dwukrotnie nazwê u¿ytkownika, do którego chcesz przypisaæ profil, a na-

stêpnie kliknij kartê Profil, pokazan¹ na rysunku 34-3.

UWAGA

Przystawka U¿ytkownicy i grupy lokalne nie jest dostêpna w systemie Windows XP Home Edition. Jednak

ten sam rezultat mo¿esz osi¹gn¹æ, u¿ywaj¹c prze³¹cznika /Profilepath z poleceniem Net User. Wiêcej infor-

macji uzyskasz, wpisuj¹c w wierszu polecenia net help user.

948

Czêœæ VIII: Administracja systemu

DLA EKSPERTÓW

Poniewa¿ tak wiele istotnych danych przechowywanych jest w twoim profilu, mo¿esz przechowywaæ dwie

kopie profilu na ró¿nych dyskach. U¿ywaj¹c niektórych technik, które przeznaczone s¹ do zarz¹dzania pro-

filami mobilnymi, mo¿esz tworzyæ automatyczne kopie zapasowe. Oto w jaki sposób:
1. Skopiuj profil, którego chcesz u¿ywaæ, na inny dysk. Musisz zalogowaæ siê, u¿ywaj¹c innego konta

administratora, poniewa¿ nie mo¿esz kopiowaæ profilu, którego aktualnie u¿ywasz. W oknie dialogo-

wym Profile u¿ytkownika zaznacz profil i kliknij przycisk Kopiuj do. W oknie dialogowym Kopiowanie

do okreœl folder znajduj¹cy siê na innym dysku. Nie musisz zmieniaæ pozwolenia dla u¿ytkowników.

2. Otwórz przystawkê U¿ytkownicy i grupy lokalne (Lusrmgr.msc), otwórz folder U¿ytkownicy i kliknij dwu-

krotnie swoj¹ nazwê u¿ytkownika. Na karcie Profil okreœl œcie¿kê do kopii profilu w polu Œcie¿ka profilu.

Teraz, kiedy siê zalogujesz, system Windows skopiuje profil, który stworzy³eœ na drugim dysku, do fol-

deru Documents and Settings. Kopia ta stanie siê twoj¹ kopi¹ robocz¹ i wszystkie zmiany, które wprowa-

dzisz w ustawieniach lub plikach, bêd¹ tam zapisywane. Kiedy siê wylogowujesz, profil w folderze Docu-

ments and Settings jest kopiowany z powrotem na drugi dysk. Proste!

ROZWI¹ZYWANIE PROBLEMÓW

§

B³¹d uniemo¿liwia ci zalogowanie siê

Je¿eli powi¹zany z profilem b³¹d wyst¹pi, kiedy spróbujesz siê zalogowaæ, albo zauwa¿ysz taki b³¹d

w dzienniku zdarzeñ aplikacji, przyczyn mo¿e byæ kilka:

§

Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu.

§

Twoje konto musi posiadaæ (co najmniej) dostêp do odczytu do folderu %UserProfile%, niezale¿nie

czy jest to profil lokalny, czy profil mobilny albo obowi¹zkowy przechowywany na innym komputerze.

§

Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu do folderu profili – folder, który zawiera

indywidualne profile (na wiêkszoœci komputerów %SystemDrive%\Documents and Settings). Konto

Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego folderu. Dodatkowo, je¿eli jest to udostêp-

niony folder na dysku sieciowym, konto Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego

udzia³u.

§

Twojemu systemowi brakuje przestrzeni dyskowej.

§

Profil zosta³ uszkodzony. W wiêkszoœci przypadków jedynym rozwi¹zaniem w tej sytuacji jest usuniê-

cie profilu. Zanim podejmiesz ten drastyczny krok, spróbuj u¿yæ Przywracania systemu aby powróciæ

do dzia³aj¹cego profilu. Jednak b¹dŸ ostro¿ny, poniewa¿ to przywróci wszystkie profile utworzenia do

czasu punktu przywracania.

Rysunek 34-3. U¿yj karty Profil, aby okreœliæ profil u¿ytkownika, skrypt logowania oraz folder macierzysty. Na karcie

Profil mo¿esz okreœliæ nastêpuj¹ce rzeczy:

§

Po³o¿enie profilu u¿ytkownika. (Zwróæ uwagê, ¿e musisz to zrobiæ jedynie wte-

dy, gdy chcesz u¿ywaæ profilu, który nie jest przechowywany w domyœlnym

po³o¿eniu, takiego jak profil mobilny u¿ytkownika albo profil obowi¹zkowy u¿yt-

kownika). Dodatkowe informacje na ten temat znajdziesz w podrozdziale „U¿y-

wanie Profili mobilnych u¿ytkownika” na stronie 954.

§

Po³o¿enie i nazwê pliku skryptu logowania – programu, który uruchamia siê

przy ka¿dym logowaniu siê u¿ytkownika. Dodatkowe informacje na ten temat

znajduj¹ siê w ramce „U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu,

wylogowywaniu, uruchamianiu i zamykaniu systemu” na stronie 951.

§

Œcie¿kê do macierzystego folderu u¿ytkownika. Folder macierzysty jest folderem,

w którym u¿ytkownik mo¿e przechowywaæ swoje pliki i programy. Chocia¿ wiêk-

szoœæ programów u¿ywa folderu Moje dokumenty jako domyœlnego folderu dla

poleceñ Plik Otwórz oraz Plik Zapisz, starsze programy u¿ywaj¹ folderu macie-

rzystego. Folder macierzysty jest równie¿ pocz¹tkowym folderem bie¿¹cym dla

sesji Wiersza polecenia. Folder macierzysty mo¿e byæ folderem lokalnym albo

znajdowaæ siê na wspó³dzielonym dysku sieciowym; kilku u¿ytkowników mo¿e

wspó³dzieliæ folder macierzysty. Aby okreœliæ lokalny folder macierzysty, podaj

œcie¿kê w polu tekstowym Œcie¿ka lokalna. Aby u¿ywaæ folderu na serwerze sie-

ciowym jako folderu macierzystego, wybierz literê dysku (system Windows zma-

puje folder do tej litery dysku przy ka¿dym logowaniu) i okreœl pe³n¹ œcie¿kê sie-

ciow¹ do tego folderu. (Je¿eli nie okreœlisz folderu macierzystego, Windows bê-

dzie u¿ywaæ jako folderu macierzystego folderu %UserProfile%).

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

949

ROZWI¹ZYWANIE PROBLEMÓW

Twoje pliki zaginê³y albo masz dwa profile

Powszechnym problemem z profilami jest to, ¿e z takiego lub innego powodu w pewnym momencie masz

wiêcej ni¿ jeden profil dla konta u¿ytkownika. Symptomami s¹ przek³amania: nagle twoje dokumenty gin¹,

z menu Start znikaj¹ programy albo zmieniaj¹ siê twoje ustawienia. Pojawia siê to zazwyczaj wtedy, kiedy

przy³¹czasz siê do domeny, a nastêpnie logujesz, u¿ywaj¹c nazwy u¿ytkownika, jakiej u¿ywa³eœ, zanim

przy³¹czy³eœ siê do domeny. W takim wypadku oznacza to, ¿e stworzy³eœ (byæ mo¿e bezwiednie) dwa kon-

ta u¿ytkownika: lokalne konto oraz konto domeny. Ka¿de konto powi¹zane jest ze swoim w³asnym profi-

lem.

Je¿eli nie u¿ywa³eœ jeszcze swojego nowego profilu do przechowywania dokumentów albo nie wybiera³eœ

¿adnych ustawieñ oraz jesteœ w stanie okreœliæ, które konto jest powi¹zane z którym profilem, mo¿esz za-

radziæ tej sytuacji, po prostu przypisuj¹c w³aœciwy profil do twojego konta.

Lepszym rozwi¹zaniem jest u¿ycie Kreatora transferu plików i ustawieñ. Zaloguj siê za pomoc¹ konta, któ-

rego nie planujesz ju¿ u¿ywaæ, i zapisz swoje pliki i ustawienia. Nastêpnie zaloguj siê za pomoc¹ drugiego

konta i importuj swoje informacje. Dodatkowe informacje na ten temat znajdziesz w podrozdziale „Trans-

fer plików i ustawieñ” na stronie 45.

W niektórych przypadkach – zw³aszcza jeœli chcesz tylko odzyskaæ swoje dokumenty – ³atwiej jest u¿yæ

Eksploratora Windows, aby przenieϾ dokumenty z jednego profilu do drugiego. (Foldery profili w folderze

Documents and Settings zaczynaj¹ siê od nazwy u¿ytkownika, ale przynajmniej jeden z nich posiada, dla

odró¿nienia, równie¿ nazwê komputera albo domeny).

Niezale¿nie od tego, którego sposobu u¿yjesz do przeniesienia informacji, mo¿esz nastêpnie usun¹æ pro-

fil, którego ju¿ nie potrzebujesz. (Zwykle jest to profil powi¹zany z lokalnym kontem, jeœli normalnie logu-

jesz siê, u¿ywaj¹c twojego konta domeny).

Przenoszenie folderów ze standardowego po³o¿enia profili

W ³atwy sposób mo¿esz zmieniæ po³o¿enie folderu Moje dokumenty oraz jego podfol-

derów Moja muzyka i Moje obrazy. Mo¿esz chcieæ to zrobiæ, na przyk³ad je¿eli dysk,

na którym przechowywany jest twój profil, zape³ni siê. Jako alternatywê dla u¿ywa-

nia innej lokalizacji na twoim komputerze mo¿esz rozwa¿yæ przeniesienie folderów

zawieraj¹cych dokumenty do udostêpnionego folderu w dowolnym miejscu w sieci.

Przechowywanie tego typu danych na serwerze sieciowym, z dala od profilu u¿yt-

kownika, daje dwie istotne korzyœci:

§

Przechowywanie danych u¿ytkownika w centralnej lokalizacji mo¿e u³atwiæ two-

rzenie kopii zapasowych.

§

Oddzielenie danych u¿ytkownika od profilu u¿ytkownika przyspiesza proces lo-

gowania i wylogowywania siê dla u¿ytkowników z profilem mobilnym. (Je¿eli

dokumenty u¿ytkownika przechowywane s¹ wewn¹trz profilu, kopiowane s¹

z serwera sieciowego na komputer lokalny przy ka¿dym logowaniu, a nastêpnie

kopiowane s¹ z powrotem przy wylogowywaniu. Dziêki przechowywaniu ich

z dala od profilu ka¿dy plik przenoszony jest tylko wtedy, gdy jest potrzebny).

Aby przenieœæ folder Moje dokumenty, wykonaj nastêpuj¹ce czynnoœci:
1. Kliknij prawym przyciskiem myszy Moje dokumenty i wybierz W³aœciwoœci. Na

karcie Element docelowy kliknij Przenieœ.

2. Wybierz œcie¿kê folderu, w którym chcesz trzymaæ Moje dokumenty, albo na two-

im w³asnym komputerze, albo udostêpnionym folderze sieciowym. Poni¿ej za-

znaczony zosta³ folder Dane znajduj¹cy siê na serwerze sieciowym.

950

Czêœæ VIII: Administracja systemu

3. Kliknij OK w ka¿dym z okien. Kliknij Tak, je¿eli chcesz przenieœæ istniej¹ce doku-

menty do nowego miejsca docelowego.

Nowa funkcja!

Aby przenieϾ foldery Moja muzyka oraz Moje obrazy do nowej lokalizacji, po prostu

u¿yj Eksploratora Windows. System Windows XP automatycznie uaktualni wszystkie

odwo³ania do tego folderu, w³¹czaj¹c te z menu Start.
Je¿eli nie u¿ywasz profili mobilnych u¿ytkownika do przeniesienia ich masowo,

przenoszenie innych folderów profili jest niepraktyczne, o ile twój komputer nie jest

przy³¹czony do domeny. W sieci bazuj¹cej na domenie ustawienia Zasad grupy po-

zwalaj¹ administratorowi na u¿ycie przekierowania folderu do przechowywania na

serwerze sieciowym plików danych z profilu u¿ytkownika. Rozszerzenie Przekiero-

wanie folderu dla kont bazuj¹cych na domenie, dostêpne w przystawce Zasady gru-

py, pozwala administratorom ³atwo zmieniæ po³o¿enie folderów Dane aplikacji, Pul-

pit, Moje dokumenty oraz sk³adników menu Start profilu u¿ytkownika – a u¿ytkow-

nik nawet nie zauwa¿y ró¿nicy.

UWAGA

Mo¿liwe – ale nie zawsze po¿yteczne – jest przeniesienie ca³ego folderu Documents and Settings. Szcze-

gó³owe informacje znajdziesz w artykule Q236621 w bazie Knowledge Base.

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

951

U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu,

wylogowywaniu, uruchamianiu i zamykaniu systemu

W wypadku profili u¿ytkownika oraz zasad grupy mo¿esz zastosowaæ skrypty,

które bêd¹ uruchamia³y siê automatycznie. Skrypt logowania jest programem, który

uruchamia siê, kiedy tylko u¿ytkownik siê loguje. Ka¿dy plik wykonywalny – czyli

program wsadowy (rozszerzenie .bat albo .cmd), skrypt Hosta skryptów systemu

Windows (WSH) (rozszerzenie .vbs, .js, lub.wsf) albo program (rozszerzenie .exe

Dokoñczenie na nastêpnej stronie

952

Czêœæ VIII: Administracja systemu

lub .com) – mo¿e byæ u¿yty jako skrypt logowania. Dodatkowe informacje do-

tycz¹ce programów wsadowych oraz skryptów WSH, znajdziesz w rozdziale 10

„Automatyzacja Windows XP”.
Skrypty logowania s¹ powszechnie u¿ywane do mapowania dysków sieciowych

do liter dysków, do uruchamiania pewnych programów oraz wykonywania in-

nych podobnych zadañ, które powinny mieæ miejsce przy ka¿dym logowaniu. Tak

jak w przypadku wiêkszoœci zadañ w Windows, mo¿esz u¿yæ innych sposobów,

aby przeprowadziæ ka¿de z nich – ale skrypty logowania s¹ metod¹ wygodn¹ i ela-

styczn¹.
Zwróæ uwagê, ¿e u¿ywanie zmiennych œrodowiskowych, takich jak %UserName%,

sprawia, ¿e u¿ywanie tego samego skryptu dla ró¿nych u¿ytkowników jest ³atwe.

Windows zastêpuje j¹ odpowiedni¹ nazw¹ u¿ytkownika, kiedy uruchamia skrypt.
Aby u¿yæ skryptu logowania dla lokalnego konta u¿ytkownika, podaj œcie¿kê

skryptu oraz nazwê pliku w polu Skrypt logowania na karcie Profil w oknie dialo-

gowym w³aœciwoœci u¿ytkownika (pokazanym wczeœniej, na rysunku 34-3).
System Windows XP Professional (ale nie Home Edition) oferuje równie¿ wsparcie

dla czterech innych typów skryptów:

§

Skrypt logowania dla Zasad grupy, który uruchamia siê, kiedy u¿ytkownik siê

loguje

§

Skrypt wylogowywania dla Zasad grupy, który uruchamia siê, kiedy u¿ytkow-

nik siê wylogowuje

§

Skrypt uruchamiania dla Zasad grupy, który uruchamia siê, kiedy komputer

jest w³¹czany

§

Skrypt zamykania dla Zasad grupy, który uruchamia siê, kiedy komputer jest

wy³¹czany

Tak jak w wypadku zwyk³ych skryptów logowania, mo¿esz u¿yæ pliku typu wyko-

nywalnego dla dowolnego z tych skryptów. Chocia¿ mo¿esz przechowywaæ

skrypty, gdzie tylko chcesz, ka¿dy typ skryptów posiada lokalizacjê domyœln¹.
Skrypt logowania

%SystemRoot%\System32\GroupPolicy\User\

Scripts\Logon

Skrypt wylogowywania

%SystemRoot%\System32\GroupPolicy\User\

Scripts\Logoff

Skrypt uruchamiania

%SystemRoot%\System32\GroupPolicy\Machine\

Scripts\Startup

Skrypt zamykania

%SystemRoot%\System32\GroupPolicy\Machine\

Scripts\Shutdown

Zwróæ uwagê, ¿e %SystemRoot%System32\GroupPolicy jest folderem ukrytym.
Aby zastosowaæ któryœ z tych skryptów, uruchom Zasady grupy (Gpedit.msc)

i przejdŸ do folderu Konfiguracja komputera\Ustawienia systemu Win-

dows\Skrypty (dla skryptów uruchamiania i zamykania) albo Konfiguracja u¿yt-

kownika\Ustawienia systemu Windows\Skrypty (dla skryptów logowania i wy-

logowywania).

Dokoñczenie z poprzedniej strony

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

953

Kiedy dwukrotnie klikniesz jedn¹ z pozycji w tych folderach, zauwa¿ysz kilka do-

datkowych korzyœci ze skryptów logowania:

§

Mo¿esz okreœliæ wiêcej ni¿ jeden skrypt dla ka¿dego z tych zdarzeñ oraz mo¿esz

okreœliæ kolejnoœæ, w jakiej maj¹ byæ uruchamiane.

§

Mo¿esz okreœliæ parametry wiersza polecenia dla ka¿dego skryptu.

Zasady grupy oferuj¹ równie¿ kilka ustawieñ zasad, które wp³ywaj¹ na sposób

dzia³ania skryptów – synchroniczny albo asynchroniczny, ukryty albo widzialny.

(W tym wypadku synchronicznie oznacza, w efekcie, ¿e nic innego nie jest urucha-

miane, dopóki skrypt nie zakoñczy dzia³ania). Ustawienia te odnajdziesz, wraz z

bardziej szczegó³owym wyjaœnieniem ich dzia³ania, w folderze Konfiguracja kom-

putera\Szablony administracyjne\System\Skrypty oraz Konfiguracja u¿ytkowni-

ka\Szablony administracyjne\System\Skrypty. Niektóre zasady pojawiaj¹ siê w

obu miejscach; je¿eli ustawienia te s¹ ró¿nie skonfigurowane, to ta, która znajduje

siê w Konfiguracji komputera, ma pierwszeñstwo.

U¿ywanie Profili mobilnych u¿ytkownika

Profil mobilny u¿ytkownika pozwala u¿ytkownikowi na logowanie siê na stacji roboczej

i ujrzenie znajomych ustawieñ na pulpicie, w menu Start itd. Profile mobilne u¿yt-

kownika dzia³aj¹ dziêki przechowywaniu profilu u¿ytkownika w udostêpnionym

folderze sieciowym. Kiedy u¿ytkownik siê loguje, informacje profilu s¹ kopiowane

z udzia³u sieciowego na lokalny dysk twardy. Kiedy u¿ytkownik wylogowuje siê, in-

formacje te – które mog³y ulec zmianie w czasie sesji – kopiowane s¹ z powrotem do

udostêpnionego folderu.
Je¿eli u¿ywasz wiêcej ni¿ jednego komputera, mo¿esz odczuæ przydatnoœæ profilów

mobilnych u¿ytkownika. Na przyk³ad je¿eli posiadasz ma³¹ firmê z dzia³em obs³ugi

klienta oraz zapleczem, mo¿esz spêdzaæ czas zarówno w jednym, jak i drugim miejscu.

Chocia¿ stosunkowo ³atwo skonfigurowaæ twoje pliki danych w udziale sieciowym do

³atwego dostêpu, prawdopodobnie stwierdzisz, ¿e twoja wydajnoœæ ucierpi z powodu

drobnych zmian w ustawieniach – na przyk³ad twój osobisty s³ownik pisowni w Wor-

dzie albo lista Ulubionych witryn sieciowych – które s¹ ró¿ne w tych dwóch miejscach.

U¿ywanie profilu mobilnego u¿ytkownika rozwi¹zuje ten problem.
Zwykle profile mobilne u¿ytkownika s¹ cech¹ sieci bazuj¹cych na domenach (to zna-

czy sieci, która wykorzystuje system nale¿¹cy do rodziny Windows .NET Server,

Windows 2000 Server albo Windows NT Server jako kontroler domeny). Jednak przy

odrobinie dodatkowej pracy mo¿esz cieszyæ siê niektórymi z tych korzyœci w œrodo-

wisku grupy roboczej. W œrodowisku domeny konta u¿ytkowników oraz konta kom-

puterów s¹ centralnie zarz¹dzane na poziomie domeny, tak ¿e zmiany musisz wpro-

wadzaæ tylko jeden raz i tylko w jednym miejscu. Uzyskanie dostêpu do profilu po raz

pierwszy z nowego komputera jest automatyczne. W przeciwieñstwie do tego, w gru-

pie roboczej musisz stworzyæ podobne konta u¿ytkownika na ka¿dym komputerze,

na którym zamierzasz siê logowaæ, zanim bêdziesz móg³ siê zalogowaæ.
Aby zadzia³a³o to w œrodowisku grupy roboczej, ka¿dy u¿ytkownik, któremu chcesz

skonfigurowaæ profil mobilny u¿ytkownika, musi posiadaæ konto na ka¿dym kom-

puterze, na którym bêdzie siê logowaæ, oraz konto na komputerze, który zawiera

udostêpniony folder profilów. Konto u¿ytkownika na ka¿dym komputerze musi

mieæ tê sam¹ nazwê u¿ytkownika oraz has³o.

OSTRZE¿ENIE

Nasze eksperymenty pokaza³y, ¿e konfigurowanie profili mobilnych oraz profili obowi¹zkowych w œrodowi-

sku grupy roboczej tylko z systemem Windows XP jest trudne – w najlepszym wypadku. Ze wzglêdu na

sposób, w jaki stosowane s¹ ustawienia (w szczególnoœci ustawienia zwi¹zane z nowym sposobem obs³ugi

tematów i nowym menu Start), nie wszystkie ustawienia przechodz¹ poprawnie i dzia³anie jest czasami nie-

przewidywalne, je¿eli nie skonfigurujesz wszystkiego poprawnie. Je¿eli perfekcyjne dzia³anie tych funkcji jest

wa¿ne dla ciebie i twojej firmy, powinieneœ rozwa¿yæ aktualizacjê do systemu Windows .NET Server, który

czyni konfiguracjê u¿ytkownika znacznie ³atwiejsz¹ i du¿o bardziej niezawodn¹.

Konfigurowanie udostêpnionego folderu dla profili mobilnych

Poniewa¿ na pewno bêdziesz chcia³ przegl¹daæ i modyfikowaæ uprawnienia, kompu-

ter, na którym zamierzasz przechowywaæ profile mobilne, musi dzia³aæ w systemie

Windows XP Professional i mieæ wy³¹czon¹ opcjê Proste udostêpnianie plików.

954

Czêœæ VIII: Administracja systemu

Aby skonfigurowaæ folder udostêpniony, wykonaj nastêpuj¹ce czynnoœci:
1. Zaloguj siê jako cz³onek grupy Administratorzy danego komputera.
2. U¿ywaj¹c Eksploratora Windows, utwórz folder o nazwie Profiles.
3. W Eksploratorze Windows kliknij prawym przyciskiem myszy i wybierz Udo-

stêpnianie i zabezpieczenia.

4. Na karcie Udostêpnianie okna dialogowego W³aœciwoœci: Profiles, które siê poja-

wi, zaznacz opcjê Udostêpnij ten folder. Domyœlne uprawnienia udostêpniania,

które daj¹ dostêp z Pe³n¹ kontrol¹ grupie Wszyscy, s¹ w³aœciwe.

5. Kliknij kartê Zabezpieczenia (je¿eli utworzy³eœ folder na woluminie NTFS)

i upewnij siê, ¿e Wszyscy maj¹ uprawnienie Pe³na kontrola.

Konfigurowanie kont u¿ytkowników

Aby skonfigurowaæ konta u¿ytkowników, wykonaj poni¿sze czynnoœci:
1. Na ka¿dym komputerze (³¹cznie z „serwerem”, który skonfigurowa³eœ w po-

przedniej procedurze) zaloguj siê jako cz³onek grupy Administratorzy.

2. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Zarz¹dzaj.
3. W programie Zarz¹dzanie komputerem przejdŸ do folderu Narzêdzia systemo-

we\U¿ytkownicy i grupy lokalne\U¿ytkownicy.

4. Je¿eli konto, którego potrzebujesz, jeszcze nie istnieje, wybierz Akcja, Nowy u¿yt-

kownik i utwórz konto u¿ytkownika. Upewnij siê, ¿e u¿ywasz tej samej nazwy

u¿ytkownika i has³a na ka¿dym komputerze. Wyczyœæ pole U¿ytkownik musi

zmieniæ has³o przy nastêpnym logowaniu, zanim klikniesz przycisk Utwórz.

5. W prawym okienku konsoli Zarz¹dzanie komputerem dwukrotnie kliknij nazwê

u¿ytkownika, aby wyœwietliæ okno dialogowe w³aœciwoœci.

6. Kliknij kartê Profil. W polu Œcie¿ka profilu wpisz œcie¿kê sieciow¹ do udostêpnio-

nego folderu profili, tak jak pokazano na rysunku 34-4. Zalet¹ u¿ywania zmiennej

œrodowiskowej %UserName% jest jedynie wygoda: mo¿esz u¿ywaæ tego samego

ci¹gu znaków dla ka¿dego u¿ytkownika, bez potrzeby zatrzymywania siê po to,

¿eby sprawdziæ w³aœciw¹ nazwê folderu profilu.

UWAGA

Komputer klient – nie ten, na którym przechowywany jest profil – mo¿e dzia³aæ z systemem Windows XP

Home Edition. Chocia¿ wersja Home Edition nie zawiera przystawki U¿ytkownicy i grupy lokalne, mo¿esz

u¿yæ innych narzêdzi, aby osi¹gni¹æ ten sam rezultat. Je¿eli potrzeba, utwórz nowe konto u¿ytkownika i

przypisz do niego has³o za pomoc¹ Kont u¿ytkownika w Panelu sterowania. Aby przypisaæ œcie¿kê profilu,

u¿yj polecenia Net User. Na przyk³ad aby wykonaæ takie samo przypisanie jak na rysunku 34-4, w wierszu

polecenia wpisz net user marek /profilepath:\\badlands\profiles\marek.

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

955

Rysunek 34-4. Zmienna œrodowiskowa %UserName% jest zamieniana na nazwê u¿ytkownika, kiedy przejdziesz do

nastêpnego pola albo klikniesz OK.

Tworzenie profilu

Aby utworzyæ profil, który ma byæ u¿yty jako profil mobilny u¿ytkownika, i skopio-

waæ go do udostêpnionego folderu profili, wykonaj nastêpuj¹ce czynnoœci:
1. Utwórz profil poprzez zalogowanie siê (najlepiej u¿ywaj¹c tymczasowego konta

u¿ytkownika, utworzonego w tym celu) i wprowadŸ ustawienia jakie chcesz.

2. Wyloguj siê, a nastêpnie ponownie zaloguj jako cz³onek grupy Administratorzy.

UWAGA

Je¿eli kopiujesz profil z innego komputera ni¿ ten, który zawiera udostêpniony folder profili, konto na które

siê zalogowa³eœ, musi mieæ tê sam¹ nazwê u¿ytkownika i has³o co konto, które ma uprawnienia admini-

stracyjne na komputerze docelowym.

3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci.

W oknie dialogowym W³aœciwoœci systemu kliknij kartê Zaawansowane, a nastêp-

nie kliknij przycisk Ustawienia w sekcji Profile u¿ytkownika.

4. Zaznacz profil, który utworzy³eœ, i kliknij przycisk Kopiuj do.

956

Czêœæ VIII: Administracja systemu

5. W polu Kopiowanie profilu do wpisz pe³n¹ œcie¿kê do folderu przeznaczenia. Na

przyk³ad je¿eli chcesz utworzyæ profil dla u¿ytkownika o nazwie Marek w udziale

Profiles na komputerze o nazwie Badlands, wpisz \\badlands\profiles\marek.

Upewnij siê, ¿e folder przeznaczenia, który poda³eœ, nie istnieje; je¿eli istnieje,

Windows usunie jego zawartoϾ, zanim skopiuje profil.

6. W sekcji Pozwolenie na u¿ywanie kliknij przycisk Zmieñ i wpisz nazwê u¿ytkow-

nika, który bêdzie u¿ywa³ profilu.

Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil

u¿ytkownika do okreœlonego folderu i ustawi uprawnienia na folderze docelowym

i jego zawartoœci. Windows daje uprawnienie Pe³na kontrola dla grupy Administrato-

rzy, u¿ytkownika lub grupy, któr¹ poda³eœ w polu Pozwolenie na u¿ywanie, oraz

konta systemowego. Uniemo¿liwia to u¿ytkownikom nie bêd¹cym administratorami

dostêp do profili innych ni¿ ich w³asne.
Je¿eli skopiowa³eœ profil z jednego komputera do udostêpnionego folderu na innym

komputerze, uprawnienia, które utworzy³ system Windows, nie s¹ do koñca popraw-

ne i musisz wykonaæ jeszcze jedn¹ czynnoœæ, aby je poprawiæ.
Na komputerze z udostêpnionym folderem profili kliknij prawym przyciskiem my-

szy folder nowego profilu, wybierz W³aœciwoœci i kliknij Zabezpieczenia. Je¿eli jedna

z nazw pokazuje identyfikator zabezpieczeñ nieznanego u¿ytkownika, jak pokazano

na rysunku 34-5, musisz dodaæ w³aœciwe konto u¿ytkownika (w tym przypadku Ma-

rek) i nadaæ mu uprawnienie Pe³na kontrola. Mo¿esz usun¹æ nieznanego u¿ytkowni-

ka, aczkolwiek nie ma potrzeby, aby to robiæ. (Konto nieznanego u¿ytkownika w rze-

czywistoœci jest poprawn¹ nazw¹ u¿ytkownika, ale jest to konto z komputera

Ÿród³owego, a nie konto na komputerze lokalnym. Jest to jedna z niebezpiecznych

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

957

U¿ywanie profilu obowi¹zkowego

Profil obowi¹zkowy dzia³a w du¿ym stopniu tak, jak profil mobilny u¿ytkownika:

kiedy u¿ytkownik siê loguje, profil jest kopiowany z lokalizacji sieciowej do folde-

ru lokalnego, tym samym dostarczaj¹c znajomych ustawieñ. Ró¿nica jest taka, ¿e

profil obowi¹zkowy nie jest uaktualniany na podstawie zmian u¿ytkownika, kiedy

u¿ytkownik siê wylogowuje.
Aby przypisaæ profil obowi¹zkowy do jednego lub wiêcej u¿ytkowników, wykonaj

te same procedury, jak w wypadku u¿ycia profilu mobilnego u¿ytkownika. Na-

stêpnie na komputerze, na którym przechowywany jest udostêpniony folder,

wprowadŸ nastêpuj¹ce zmiany:
1. Zmieñ uprawnienia folderu, usuwaj¹c uprawnienia Pe³na kontrola, Modyfika-

cja oraz Zapis dla konta u¿ytkownika (lub kont), które bêdzie u¿ywaæ profilu –

pozostawiaj¹c jedynie uprawnienia Odczyt i wykonanie, Wyœwietlanie zawar-

toœci folderu oraz Odczyt.

2. Zmieñ nazwê ukrytego pliku Ntuser.dat (w folderze najwy¿szego poziomu pro-

filu) na Ntuser.man. (Upewnij siê, ¿e zmieni³eœ Ntuser.dat, a nie Ntuser.dat.log,

którego rozszerzenie jest normalnie ukryte). Rozszerzenie .man okreœla profil

obowi¹zkowy (ang. mandatory).

i irytuj¹cych rzeczy zwi¹zanych z poleganiem na oddzielnych bazach danych zabez-

pieczeñ – jak robi model grupy roboczej – zamiast u¿ywania scentralizowanej bazy

danych zabezpieczeñ, jak ma to miejsce w wypadku domeny. W celu uzyskania dal-

szych informacji, patrz „Lokalne konta i grupy a konta i grupy domeny” na stronie 77).

Rysunek 34-5. Je¿eli uprawnienia dla profilu nie zawieraj¹ lokalnego konta u¿ytkownika, u¿ytkownik nie bêdzie móg³

siê zalogowaæ.

ROZWI¹ZYWANIE PROBLEMÓW

Niektóre pliki s¹ niedostêpne dla profilu mobilnego

Mo¿esz mieæ problemy, je¿eli niektóre ustawienia profilu u¿ytkownika polegaj¹ na plikach, przechowy-

wanych na lokalnym dysku twardym. Na przyk³ad mo¿esz ustawiæ t³o pulpitu jako plik przechowywany na

dysku C. Kiedy zalogujesz siê na innym komputerze, t³o nie pojawia siê (chyba ¿e zdarzy siê, ¿e taki sam

plik bêdzie w tej samej lokalizacji na innym komputerze). Mo¿esz z³agodziæ problemy tego typu, przekiero-

wuj¹c Moje dokumenty do udostêpnionego folderu profili, a nastêpnie u¿ywaj¹c go do przechowywania

dokumentów i innych plików, do których chcesz mieæ dostêp z innych komputerów.

Kontrolowanie mo¿liwoœci u¿ytkowników

za pomoc¹ Zasad grupy

Zasady grupy s¹ bardzo zachwalan¹ funkcj¹ us³ugi Active Directory, która jest czê-

œci¹ systemów Windows .NET Server oraz Windows 2000 Server. W tym œrodowisku

Zasady grupy s¹ z pewnoœci¹ potê¿nym narzêdziem, które pozwala administratorom

na konfigurowanie komputerów w ró¿nych lokalizacjach, domenach czy te¿ jednost-

kach organizacyjnych. Oprócz ustawiania standardowych konfiguracji pulpitu oraz

ustalania, którzy u¿ytkownicy mog¹ wprowadzaæ zmiany, administratorzy mog¹

u¿ywaæ Zasad grupy do centralnego zarz¹dzania instalacj¹, konfiguracj¹, uaktualnia-

niem oraz usuwaniem oprogramowania, okreœlaæ skrypty wykorzystywane przy

uruchamianiu, zamykaniu, logowaniu oraz wylogowywaniu, a tak¿e przekierowy-

waæ specjalne foldery u¿ytkowników (takie jak Moje dokumenty) do sieci. Admini-

958

Czêœæ VIII: Administracja systemu

stratorzy mog¹ dopasowywaæ wszystkie te ustawienia dla posczególnych kompute-

rów, u¿ytkowników oraz grup.
Jednak Zasady grupy mog¹ okazaæ siê przydatnym narzêdziem do zarz¹dzania kom-

puterami w ma³ej sieci albo nawet do zarz¹dzania pojedynczym komputerem z kilko-

ma u¿ytkownikami. U¿ywaj¹c jedynie lokalnego obiektu Zasad grupy na kompute-

rze z uruchomionym systemem Windows XP Professional, mo¿esz:

§

Zarz¹dzaæ zasadami bazuj¹cymi na rejestrze – wszystko, pocz¹wszy od konfigu-

rowania pulpitu do ukrywania pewnych napêdów dyskowych, po zapobieganie

tworzeniu zadañ zaplanowanych. Ustawienia te – oraz setki innych – przechowy-

wane s¹ w ga³êziach kluczy HKLM oraz HKCU rejestru systemu, który mo¿esz

edytowaæ bezpoœrednio. Jednak Zasady grupy dostarczaj¹ istotnych korzyœci: s¹

du¿o ³atwiejsze w u¿yciu ni¿ edytor rejestru oraz okresowo automatycznie uaktu-

alniaj¹ rejestr (tym samym utrzymuj¹c twoje zasady w dzia³aniu, nawet je¿eli re-

jestr zostanie zmodyfikowany w inny sposób).

§

Przypisaæ skrypty do uruchamiania i wy³¹czania komputera oraz logowania i wy-

logowywania u¿ytkownika. (W celu uzyskania szczegó³ów, patrz „U¿ywanie

skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu

i zamykaniu systemu” na stronie 951).

§

Okreœlaæ opcje zabezpieczeñ.

W œrodowisku domeny Zasady grupy pozwalaj¹ administratorowi na zastosowanie

zasad zabezpieczeñ oraz ograniczeñ dla u¿ytkowników i komputerów (oraz grup

jednych i drugich) za jednym zamachem. W grupie roboczej musisz zastosowaæ po-

dobne ustawienia Zasad grupy na ka¿dym komputerze, na którym chcesz wprowa-

dziæ takie ograniczenia.

UWAGA

Zasady grupy nie s¹ dostêpne w systemie Windows XP Home Edition.

Uruchamianie Zasad grupy

Ustawienia Zasad grupy wybiera siê, u¿ywaj¹c przystawki Zasady grupy dla progra-

mu Microsoft Management Console (MMC), pokazanej na rysunku 34-6. System Win-

dows XP Professional zawiera konsolê MMC, która pokazuje tylko tê przystawkê, ale

nie odnajdziesz jej w menu Start. Aby otworzyæ tê konsolê, przejdŸ do menu Start,

kliknij Uruchom i wpisz gpedit.msc. Musisz byæ zalogowany jako cz³onek grupy Ad-

ministratorzy, aby móc u¿ywaæ Zasad grupy.
Je¿eli twój komputer jest przy³¹czony do domeny z zasadami bazuj¹cymi na us³udze

Active Directory i jeœli posiadasz odpowiednie uprawnienia administracyjne dome-

ny, mo¿esz skonfigurowaæ Zasady grupy do wyœwietlania rozszerzeñ przystawki,

które pozwol¹ ci przegl¹daæ oraz modyfikowaæ zasady domeny, jak równie¿ rozsze-

rzenia dla lokalnego obiektu Zasady grupy. (Dodatkowe informacje na ten temat

znajdziesz w podrozdziale „W jaki sposób lokalne ustawienia Zasad grupy od-

dzia³uj¹ z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory” na

stronie 965). Jednak, poniewa¿ w ksi¹¿ce tej skupiamy siê na systemie Windows XP,

w tym rozdziale opiszemy jedynie lokalny obiekt Zasady grupy.

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

959

Rysunek 34-6. Wpisanie gpedit.msc w wierszu polecenia otwiera konsolê Zasady grupy.

Uruchamianie Zasad grupy dla komputerów zdalnych
Dla niektórych przystawek konsoli MMC (na przyk³ad Zarz¹dzanie komputerem)

mo¿esz u¿yæ poleceñ menu do prze³¹czenia siê z komputera lokalnego na inny kom-

puter w sieci. Jednak nie dzia³a to w ten sposób w przypadku Zasad grupy, które raz

uruchomione, kieruj¹ swoj¹ uwagê na pojedynczy komputer. Jednak mo¿esz urucho-

miæ Zasady grupy, kieruj¹c ich uwagê ku innemu komputerowi. Aby tak zrobiæ, mu-

sisz posiadaæ uprawnienia administracyjne na obu komputerach, swoim i tym dru-

gim. Nawet bez systemu Windows .NET Server (albo Windows 2000 Server) i us³ugi

Active Directory, mo¿esz administrowaæ wszystkimi komputerami w sieci z poziomu

jednej konsoli. (Zasadnicza ró¿nica polega na tym, ¿e musisz ustawiaæ lokalne Zasa-

dy grupy na ka¿dym komputerze, zamiast ustawiæ Zasady grupy bazuj¹ce na

us³udze Active Directory, które stosowane s¹ do wszystkich komputerów). Mo¿esz

u¿yæ dwóch sposobów, aby uruchomiæ Zasady grupy dla komputera zdalnego: para-

metru wiersza polecenia albo w³asnej konsoli MMC.
Naj³atwiejszym sposobem jest do³¹czenie parametru /Gpcomputer, tak jak zrobiliœ-

my w poni¿szym przyk³adzie:

Gpedit.msc /gpcomputer:"equinoxe"

Nazwa komputera, która nastêpuje po parametrze /Gpcomputer, mo¿e byæ podana

w stylu NetBIOS (tak jak tu) albo w stylu DNS (na przyk³ad equinoxe.rm.com.pl), któ-

ry jest podstawow¹ form¹ nazewnictwa u¿ywan¹ przez domeny systemów Windows

.NET Server oraz Windows 2000 Server. W obu przypadkach musisz umieœciæ nazwê

komputera w cudzys³owie.
Metod¹ alternatywn¹ jest stworzenie w³asnej konsoli, która otwiera lokalny obiekt Za-

sad grupy innego komputera. Przewag¹ tego rozwi¹zania jest to, ¿e mo¿esz utworzyæ

pojedyncz¹ konsolê, otwieraj¹c¹ Zasady grupy dla ka¿dego komputera, którym chcesz

zarz¹dzaæ. Aby utworzyæ w³asn¹ konsolê, wykonaj nastêpuj¹ce czynnoœci:
1. W menu Start kliknij Uruchom i wpisz mmc.
2. Otwórz menu Plik i wybierz Dodaj/Usuñ przystawkê.
3. Na karcie Autonomiczna kliknij przycisk Dodaj.

960

Czêœæ VIII: Administracja systemu

4. Wybierz przystawkê Zasady grupy i kliknij przycisk Dodaj.
5. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij Przegl¹daj.
6. Na karcie Komputery zaznacz pole Inny komputer, a nastêpnie wpisz nazwê kom-

putera albo kliknij przycisk Przegl¹daj, Zaawansowane, ZnajdŸ teraz, aby wybraæ

go z listy.

7. Kliknij OK, a nastêpnie Zakoñcz.
8. Powtórz kroki od 4 do 7, aby dodaæ inne komputery do konsoli.
9. Kliknij przycisk Zamknij, a nastêpnie OK.

Dodatkowe informacje na temat konsoli MMC znajdziesz w podrozdziale „Tworzenie w³asnych konsoli MMC” na stronie 1025.

Dopasowywanie okna Zasad grupy
Konsola Zasady grupy posiada kilka ³atwych do przeoczenia opcji, których nie znaj-

dziesz w innych przystawkach konsoli MMC. Mo¿esz dodawaæ albo usuwaæ szablo-

ny administracyjne, a tak¿e ograniczyæ widok tylko do tych zasad, które zosta³y skon-

figurowane.
Dodawanie lub usuwanie szablonów zasad

Foldery Szablonów administracyjnych (pod elementami Konfiguracja komputera

i Konfiguracja u¿ytkownika) s¹ rozwijalne. Zasady Szablonów administracyjnych

zdefiniowane s¹ w pliku .adm. System Windows XP zawiera kilka plików .adm, z któ-

rych cztery wyœwietlane s¹ domyœlnie, co pokazano w tabeli 34-1.
Mo¿esz usun¹æ szablony, które zawieraj¹ zasady, których nigdy nie u¿ywasz, albo

mo¿esz dodaæ w³asny szablon dostarczony przez inny program. Na przyk³ad Micro-

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

961

soft Office XP Resource Kit zawiera szablony zasad do zarz¹dzania pakietem Microsoft

Office; wiêcej szczegó³ów odnajdziesz, odwiedzaj¹c stronê www.microsoft.com/offi-

ce/ork.

Tabela 34-1. Pliki Szablonów administracyjnych zawarte w Windows XP

Nazwa pliku

Opis

Conf.adm

(wyœwietlany domyœlnie)

Ustawienia konferencyjne dla programu Microsoft NetMeeting, które ukazuj¹

siê w folderze Szablony administracyjne\Sk³adniki systemu Windows\NetMeeting

(pod elementami Konfiguracja komputera i Konfiguracja u¿ytkownika)

Intercorp.adm

Ustawienia programu Microsoft Internet Explorer do u¿ytku z zestawem

Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy

Inetres.adm

(wyœwietlany domyœlnie)

Ustawienia programu Microsoft Internet Explorer, które ukazuj¹ siê w folderze

Szablony administracyjne\Sk³adniki systemu Windows\Internet Explorer (pod

elementami Konfiguracja komputera i Konfiguracja u¿ytkownika)

Inetset.adm

Ustawienia programu Microsoft Internet Explorer do u¿ytku z zestawem

Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy

System.adm

(wyœwietlany domyœlnie)

Du¿a ró¿norodnoœæ ustawieñ dla Windows XP, obejmuj¹cych wiêkszoœæ

zasad ukazuj¹cych siê w Zasadach grupy

Wmplayer.adm

(wyœwietlany domyœlnie)

Ustawienia programu Windows Media Player, które ukazuj¹ siê w folderze

Konfiguracja u¿ytkownika\Szablony administracyjne\Sk³adniki systemu

Windows\Program Windows Media Player

Aby dodaæ albo usun¹æ szablon zasad, kliknij prawym przyciskiem myszy Szablony

administracyjne (jeden z folderów) i wybierz Dodaj/Usuñ szablony. Po wpro-

wadzeniu zmian i klikniiêciu przycisku Zamknij w oknie dialogowym Dodawa-

nie/Usuwanie szablonów, oba foldery Szablony administracyjne odzwierciedl¹ twój

nowy wybór.
Dodawanie szablonu zasad jedynie kopiuje plik .adm do folderu %SystemRoot%\Sys-

tem32\GroupPolicy\Adm; usuniêcie szablonu usuwa kopiê w tym folderze. Dodawa-

nie lub usuwanie szablonów zasad nie zmienia kryj¹cych siê za nimi ustawieñ zasad;

decyduje to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy.

Nowa funkcja!

Wyœwietlanie tylko wybranych zasad

Nawet z samymi standardowo zainstalowanymi szablonami, Zasady grupy oferuj¹

setki zasad, które mo¿esz ustawiaæ. Wiele z tych zasad mo¿e dotyczyæ obszarów sys-

temu Windows, których nigdy nie u¿ywasz. W³¹czenie ich do konsoli Zasady grupy,

powoduje jedynie jej zaœmiecenie. Teraz system Windows oferuje sposób na selek-

tywne filtrowanie listy wyœwietlanych zasad Szablonów administracyjnych, tak aby

zwiera³a ona jedynie te, które mog¹ ciê interesowaæ.
Aby u¿yæ tej funkcji, kliknij prawym przyciskiem myszy Szablony administracyjne

i wybierz Widok, a nastêpnie Filtrowanie. W oknie dialogowym Filtrowanie, pokaza-

nym na rysunku 34-7, mo¿esz zdecydowaæ o ukryciu elementów, które dotycz¹ tylko

okreœlonych wersji systemu Windows lub programu Internet Explorer. (Przydatne

jest to g³ównie wtedy, gdy zdalnie edytujesz zasady na innym komputerze, który

mo¿e nie dzia³aæ pod systemem Windows XP). Kiedy ju¿ skonfigurujesz Zasady gru-

py, tak jak chcia³eœ (jak opisano dalej w tym rozdziale), mo¿esz wyczyœciæ ekran ukry-

962

Czêœæ VIII: Administracja systemu

waj¹c niezliczon¹ iloœæ zasad, których ustawianiem nie jesteœ zainteresowany: za-

znacz pole Poka¿ tylko skonfigurowane ustawienia zasad.

Rysunek 34-7. Mo¿esz ukryæ zasady, którymi nie jesteœ zainteresowany.

Filtrowanie wyœwietlania zasad nie zmienia kryj¹cych siê za nimi ustawieñ; decyduje

to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy.
W przeciwieñstwie do polecenia Dodaj/Usuñ szablony, filtrowanie dotyczy jedynie

folderu Szablony administracyjne, który zaznaczy³eœ. Je¿eli chcesz przefiltrowaæ za-

sady zarówno w Konfiguracji komputera, jak i w Konfiguracji u¿ytkownika, musisz

powtórzyæ ten proces w obu folderach.

Lokalny obiekt Zasad grupy

Obiekt Zasad grupy jest kolekcj¹ ustawieñ Zasad grupy. W domenie bazuj¹cej na syste-

mie Windows .NET Server lub Windows 2000 Server obiekty Zasad grupy przecho-

wywane s¹ na poziomie domeny i dotycz¹ u¿ytkowników i komputerów, opieraj¹c

siê na ich cz³onkostwie w lokalizacjach sieciowych, domenach oraz jednostkach orga-

nizacyjnych. Ka¿dy komputer z systemem Windows XP posiada pojedynczy lokalny

obiekt Zasad grupy. Poniewa¿ nie bazuje on na serwerowej wersji systemu Windows,

na nim siê tutaj skupimy.
Lokalny obiekt Zasad grupy przechowywany jest jako seria plików i folderów

w ukrytym folderze %SystemRoot%\System32\GroupPolicy. Domyœlnie lokalna

grupa Administratorzy oraz system operacyjny posiadaj¹ uprawnienia Pe³na kontro-

la dla tego folderu oraz wszystkich folderów, które zawiera; Uwierzytelnieni u¿yt-

kownicy posiadaj¹ uprawnienia Zapis i wykonanie. Folder GroupPolicy typowo za-

wiera nastêpuj¹ce pliki i foldery:

§

Gpt.ini. Plik ten przechowuje informacje o tym, które rozszerzenia (identyfikowa-

ne przez ich globalnie unikatowy identyfikator, GUID) zawieraj¹ zmodyfikowane

ustawienia oraz o tym, czy ga³¹Ÿ Konfiguracja komputera albo Konfiguracja u¿yt-

kownika jest wy³¹czona.

§

Adm. Folder ten zawiera szablony administracyjne (przechowywane jako pliki

.adm), które s¹ w u¿yciu. (Patrz „Dodawanie lub usuwanie szablonów zasad” na

stronie 961).

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

963

§

User. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia rejestru,

dotycz¹ce u¿ytkowników. Folder User zawiera nastêpuj¹ce podfoldery:

§

Microsoft\IEAK, który zawiera ustawienia dla elementów, ukazuj¹cych siê w

folderze \Konfiguracja u¿ytkownika\Ustawienia systemu Windows\Konser-

wacja programu Internet Explorer w Zasadach grupy.

§

Scripts, który zawiera dwa foldery: Logon oraz Logoff, zawieraj¹ce skrypty

uruchamiane kiedy u¿ytkownik siê loguje lub wylogowywuje.

§

Machine. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia reje-

stru, dotycz¹ce komputera. Wewn¹trz folderu Machine znajduje siê podfolder

Scripts, który z kolei zawiera dwa foldery: Startup oraz Shutdown. Zawieraj¹ one

skrypty, uruchamiane, kiedy komputer jest uruchamiany alby wy³¹czany.

UWAGA

Niektóre z tych plików i folderów s¹ tworzone jedynie wtedy, gdy uruchomisz Zasady grupy i wprowadzisz

jakieœ ustawienia.

W jaki sposób dzia³aj¹ Zasady grupy
Wiêkszoœæ ustawieñ Zasad grupy znajduje siê w rozszerzeniach Szablonów admini-

stracyjnych przystawki Zasady grupy. (Jak napisano w innym miejscu w tym rozdzia-

le, zawartoœæ folderów Szablony administracyjne wywodzi siê z plików .adm w obiek-

cie Zasad grupy). Kiedy konfigurujesz zasadê w folderze Szablony administracyjne (to

znaczy wybierasz albo W³¹czone, albo Wy³¹czone i opcjonalnie, ustawiasz wartoœæ),

Zasady grupy przechowuj¹ te informacje jako w³asne ustawienie rejestru w jednym

z dwóch plików Registry.pol. Tak jak móg³byœ siê spodziewaæ, Zasady grupy u¿ywaj¹

pliku Registry.pol w folderze %SystemRoot%\System32\GroupPolicy\Machine dla

ustawieñ, które wprowadzisz w folderze Konfiguracja komputera\Szablony admini-

stracyjne w Zasadach grupy, oraz u¿ywaj¹ pliku w folderze Users dla ustawieñ jakie

wprowadzisz w folderze Konfiguracja u¿ytkownika\Szablony administracyjne.
Ustawienia Zasad Grupy powi¹zane z komputerem – te przechowywane w pliku Ma-

chine\Registry.pol – kopiowane s¹ do odpowiednich kluczy rejestru w ga³êzi HKLM,

podczas startu systemu operacyjnego oraz podczas okresowego odœwie¿ania. Usta-

wienia powi¹zane z u¿ytkownikiem (w pliku User\Registry.pol) kopiowane s¹ do

odpowiednich kluczy w ga³êzi HKCU, kiedy u¿ytkownik loguje siê oraz podczas

okresowego odœwie¿ania.

UWAGA

Ustawienia Zasad grupy – zarówno lokalne, jak i bazuj¹ce na us³udze Active Directory – maj¹ pierwszeñstwo

przed ustawieniami u¿ytkownika (czyli ustawieniami, które wprowadzisz w Panelu sterowania i innymi sposo-

bami dostêpnymi dla zwyk³ych u¿ytkowników). Dzieje siê tak, poniewa¿ ustawienia Zasad grupy nie s¹ zapisy-

wane do „normalnego” klucza rejestru dla konkretnego ustawienia; zamiast tego zapisywane s¹ w wartoœci w

kluczu „zasad”. Na przyk³ad je¿eli u¿yjesz okna dialogowego W³aœciwoœci paska zadañ i menu Start do wy³¹cze-

nia menu spersonalizowanych, dane w wartoœci Intellimenus w kluczu HKCU\Software\Microsoft\Win-

dows\CurrentVersion\Explorer\Advanced zmieni¹ siê. Ale je¿eli u¿yjesz Zasad grupy, zamiast tego zmieni siê

wartoϾ Intellimenus w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. W przy-

padku konfliktów wartoœæ w kluczu Policies uniewa¿nia tê drug¹.

964

Czêœæ VIII: Administracja systemu

Okresowe odœwie¿anie wystêpuje w odstêpach, które okreœlisz jako ustawienie Zasad

grupy. Domyœlnie pliki Registry.pol kopiowane s¹ do rejestru co 90 minut plus prze-

suniêcie losowe od 0 do 30 minut. (Przesuniêcie losowe pomyœlane jest dla zasad ba-

zuj¹cych na us³udze Active Directory; w ogromnych sieciach by³oby niewskazane,

aby wszystkie dzia³ania odœwie¿ania pojawi³y siê równoczeœnie. W wypadku lokal-

nych Zasad grupy, przesuniêcie nie pe³ni ¿adnej u¿ytecznej funkcji, ale mimo to jest

dodawane). Poprzez w³¹czenie i zmodyfikowanie ustawienia Interwa³ odœwie¿ania

zasad grupy dla komputerów w folderze Konfiguracja komputera\Szablony admini-

stracyjne\System\Zasady grupy oraz ustawienia Interwa³ odœwie¿ania zasad grupy

dla u¿ytkowników w folderze Konfiguracja u¿ytkownika\Szablony administracyj-

ne\System\Zasady grupy, mo¿esz zmieniæ interwa³ oraz opóŸnienie. Mo¿esz usta-

wiæ interwa³ na dowoln¹ wartoœæ od 0 minut (w tym wypadku ustawienia s¹ odœwie-

¿ane co 7 sekund) do 64 800 minut (45 dni).
Aby natychmiast odœwie¿yæ ustawienia Zasad grupy, w wierszu polecenia wpisz

gpupdate. Aby wyœwietliæ listê opcjonalnych prze³¹czników dla programu Gpupda-

te.exe, wpisz gpupdate /?.

W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹ z ustawieniami Zasad grupy

bazuj¹cymi na us³udze Active Directory
Je¿eli twój komputer jest przy³¹czony do domeny, mog¹ na niego oddzia³ywaæ usta-

wienia Zasad grupy, inne ni¿ te, które ustawi³eœ w lokalnym obiekcie Zasad grupy.

Ustawienia Zasad grupy s¹ stosowane w nastêpuj¹cej kolejnoœci:
1. Ustawienia z lokalnego obiektu Zasad grupy
2. Ustawienia z obiektów Zasad grupy lokalizacji, w administracyjnie okreœlonej kolej-

noœci

3. Ustawienia z obiektów Zasad grupy domeny, w administracyjnie okreœlonej kolej-

noœci

4. Ustawienia z obiektów Zasad grupy jednostki organizacyjnej, od najwiêkszej do

najmniejszej jednostki organizacyjnej (od nadrzêdnej do podrzêdnej jednostki or-

ganizacyjnej), oraz w administracyjnie okreœlonej kolejnoœci na poziomie ka¿dej

jednostki organizacyjnej.

Zasady zastosowane póŸniej nadpisuj¹ wczeœniej zastosowane zasady, co oznacza, ¿e

w przypadku ustawieñ bêd¹cych w konflikcie pierwszeñstwo maj¹ zasady najwy¿-

szego poziomu bazuj¹ce na us³udze Active Directory. Ustawienia zasad kumuluj¹ siê,

tak ¿e wszystkie przyczyniaj¹ siê do efektywnej polityki. Efektywna polityka nazy-

wana jest Wynikowym zestawem zasad (Resultant Set of Policy - RSoP).
Aby zobaczyæ, które ustawienia maj¹ wp³yw na okreœlonego u¿ytkownika, mo¿esz

u¿yæ narzêdzia wiersza polecenia (Gpresult.exe). Aby wyœwietliæ RSoP dla siebie, po

prostu wpisz w wierszu polecenia gpresult. Aby uzyskaæ informacje o innych opcjach

wpisz gpresult /?.
Centrum pomocy i obs³ugi technicznej równie¿ zawiera narzêdzie, które pokazuje

efektywne ustawienia Zasad grupy dla bie¿¹cego u¿ytkownika. Aby u¿yæ tego narzê-

dzia, otwórz Centrum pomocy i obs³ugi technicznej. Na stronie pocz¹tkowej kliknij

w prawym panelu odnoœnik U¿yj narzêdzi, aby wyœwietliæ informacje o komputerze

i przeanalizowaæ problemy. Nastêpnie w lewym panelu kliknij Zaawansowane infor-

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

965

macje o systemie, a nastêpnie kliknij odnoœnik Wyœwietl zastosowane ustawienia za-

sad grupy w prawym panelu. Rysunek 34-8 pokazuje przyk³ad.

Rysunek 34-8. Narzêdzie Zasady grupy w Centrum pomocy i obs³ugi technicznej pokazuje, które ustawienia s¹

w u¿yciu – coœ, co nie³atwo stwierdziæ w œrodowisku domeny.

Typy ustawieñ
Ga³¹Ÿ Konfiguracja komputera w Zasadach grupy zawiera ró¿norodne ustawienia

powi¹zane z komputerem, a ga³¹Ÿ Konfiguracja u¿ytkownika zawiera ró¿norodne

ustawienia powi¹zane z u¿ytkownikiem. Jedna linia miêdzy ustawieniami kompute-

ra i ustawieniami u¿ytkownika jest czêsto rozmyta. Poniewa¿ lokalne Zasady grupy

stosowane s¹ do wszystkich u¿ytkowników, najlepszym sposobem na odkrycie za-

sad, których potrzebujesz, jest przetestowanie ich wszystkich. Odnajdziesz prawdzi-

wy skarb w postaci u¿ytecznych ustawieñ, w³¹czaj¹c w to wiele takich, które nie

mog¹ byæ wprowadzone w inny sposób. W folderze Szablony administracyjne znaj-

dziesz ponad 240 ustawieñ komputera i ponad 440 ustawieñ u¿ytkownika, co spra-

wia, ¿e brzmi to trochê zniechêcaj¹co – ale wkrótce zorientujesz siê, ¿e mo¿esz szybko

przejrzeæ zasady w ka¿dym folderze i zignorowaæ wiêkszoœæ z nich.

Nowa funkcja!

Aby dowiedzieæ siê wiêcej o ka¿dej zasadzie, po prostu zaznacz j¹, tak jak pokazano

na rysunku 34-9. Je¿eli masz zaznaczon¹ kartê Rozszerzony na dole okna, w central-

nym panelu pojawi siê opis dla zaznaczonej zasady.
Niektóre ustawienia pojawiaj¹ siê w obu ga³êziach: Konfiguracja komputera i Konfi-

guracja u¿ytkownika. W przypadku ustawieñ bêd¹cych w konflikcie, zawsze pierw-

szeñstwo ma ustawienie Konfiguracji komputera.

966

Czêœæ VIII: Administracja systemu

GPO Ÿród³a

identyfikuje

obiekt Zasad

grupy, który

kontroluje

okreœlone

ustawienie

Rysunek 34-9. Karta Rozszerzony zawiera opis zaznaczonej zasady.

Mo¿esz przyspieszyæ zastosowanie ustawieñ Zasad grup wy³¹czaj¹c zasady, których

nie u¿ywasz. Aby wyraŸnie zobaczyæ, które typy zasad s¹ w u¿yciu, kliknij prawym

przyciskiem myszy Zasady Komputer lokalny (na górze drzewa konsoli) i wybierz

W³aœciwoœci. W oknie dialogowym, które siê pojawi, pokazanym na rysunku 34-10, li-

nia Poprawki w sekcji Podsumowanie pokazuje liczbê bêd¹cych w u¿yciu ustawieñ

Konfiguracji komputera i Konfiguracji u¿ytkownika. Je¿eli któraœ z wartoœci to 0 (albo

je¿eli chcesz wy³¹czyæ ustawienia Zasad grupy z jakiegoœ powodu), zaznacz odpo-

wiednie pole wyboru w sekcji Wy³¹czanie.

Rysunek 34-10. Mo¿esz selektywnie wy³¹czyæ ustawienia Zasad grupy powi¹zane z komputerem albo powi¹zane

z u¿ytkownikiem.

Wprowadzanie ustawieñ

Ka¿da zasada w folderach Szablony administracyjne Zasad grupy posiada jedno

z trzech ustawieñ: Nie skonfigurowano, W³¹czone, albo Wy³¹czone. Domyœlnie

wszystkie zasady w lokalnym obiekcie Zasad grupy pocz¹tkowo s¹ ustawione na Nie

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

967

£atwo mo¿esz zobaczyæ, jak wiele zasad

jest ustawionych w ka¿dej ga³êzi

skonfigurowano. (Zasady w folderach Ustawienia systemu Windows nie posiadaj¹

opcji Nie skonfigurowano i dlatego maj¹ inne ustawienia domyœlne).
Aby zmieniæ ustawienie, po prostu dwukrotnie kliknij nazwê zasady, któr¹ chcesz

zmieniæ, albo kliknij odnoœnik W³aœciwoœci, który pojawia siê w centralnym panelu

karty Rozszerzony. Pojawi siê wtedy okno dialogowe w³aœciwoœci. Okno dialogowe

dla ka¿dej zasady w folderze Szablony administracyjne w du¿ym stopniu wygl¹da

tak, jak to pokazane na rysunku 34-11. Karta Ustawienie zawiera trzy opcje – Nie

skonfigurowano, W³¹czone, oraz Wy³¹czone – oraz du¿y obszar w którym mo¿esz wy-

konaæ specyficzne dla zasady ustawienia. Kontrolki w tej œrodkowej czêœci pojawiaj¹

siê wyszarzone i s¹ niedostêpne, dopóki nie zaznaczysz opcji W³¹czone. (Wiele pro-

stych zasad pozostawia ten obszar pusty, poniewa¿ zasada nie wymaga ¿adnych dal-

szych ustawieñ). Karta Wyjaœnienie dostarcza szczegó³owych informacji dotycz¹cych

zasady (te same informacje, które pojawiaj¹ siê w centralnym panelu karty Rozszerzo-

ny). Jedynym miejscem, gdzie prawdopodobnie znajdziesz wiêcej informacji do-

tycz¹cych ka¿dej zasady, jest Microsoft Windows XP Professional Resource Kit Documen-

tation (Microsoft Press, 2001). Obie karty zawieraj¹ przyciski Poprzednie ustawienie

oraz Nastêpne ustawienie, które u³atwiaj¹ przejœcie przez ca³y folder bez potrzeby

otwierania i zamykania okna dialogowego w³aœciwoœci oddzielnie dla ka¿dej zasady.

Rysunek 34-11. Okna dialogowe w³aœciwoœci dla wszystkich zasad folderów Szablony administracyjne s¹ podobne do

tego.

UWAGA

Zwróæ szczególn¹ uwagê na nazwê ka¿dej zasady, poniewa¿ ustawienia mog¹ dzia³aæ odwrotnie. Wiele za-

sad zaczyna siê od s³owa Wy³¹cz (Wy³¹czanie) (Na przyk³ad zasada Wy³¹cz pulpit Active Desktop w folde-

rze Konfiguracja u¿ytkownika\Szablony administracyjne\Pulpit\Active Desktop). Dla tych zasad, je¿eli chcesz

zezwoliæ na okreœlon¹ opcjê, musisz zaznaczyæ ustawienie Wy³¹czone. (Innymi s³owy, musisz wy³¹czyæ zasa-

dê wy³¹czaj¹c¹). Je¿eli chcesz zabroniæ tej opcji, musisz zaznaczyæ W³¹czone.

968

Czêœæ VIII: Administracja systemu

Wprowadzanie ró¿nych ustawieñ dla ró¿nych u¿ytkowników

Ogólnie zarz¹dzane ustawienia Zasad grupy – to znaczy, te, które s¹ przechowywane

w us³udze Active Directory w systemie Windows .NET Server lub Windows 2000 Se-

rver – mog¹ byæ stosowane do indywidualnych u¿ytkowników, komputerów lub ich

grup. Mo¿esz mieæ kilka zestawów obiektów Zasad grupy bazuj¹cych na us³udze Ac-

tive Directory, co umo¿liwi ci stworzenie ca³kowicie ró¿nych kolekcji ustawieñ dla

ró¿nych u¿ytkowników i komputerów.
Jednak nie dzia³a to w przypadku lokalnych Zasad grupy. Ustawienia lokalnych Za-

sad grupy dotycz¹ wszystkich u¿ytkowników, którzy zaloguj¹ siê na komputerze.

(Jednak je¿eli komputer przy³¹czony jest do domeny, ustawienia lokalne mog¹ byæ unie-

wa¿nione przez ustawienia bazuj¹ce na us³udze Active Directory. Dalsze szczegó³y znaj-

dziesz w podrozdziale „W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹

z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory” na stronie

965). Nie mo¿esz posiadaæ kilku zestawów lokalnych obiektów Zasad grupy.
Chocia¿ mo¿esz mieæ dostosowane ustawienia dla ka¿dej z kilku grup, efektywnie

mo¿esz mieæ dwie grupy u¿ytkowników: tych bêd¹cych pod wp³ywem ustawieñ lo-

kalnych Zasad grupy oraz tych, na których one nie wp³ywaj¹. Ten dwojaki wp³yw do-

tyczy jedynie ustawieñ Konfiguracji u¿ytkownika; ustawienia Konfiguracji kompute-

ra stosowane s¹, zanim ktokolwiek siê zaloguje.
Mo¿esz to zrobiæ, poniewa¿ lokalne Zasady grupy zale¿¹ od posiadania przez u¿yt-

kownika dostêpu do odczytu do lokalnego obiektu Zasad grupy, który przechowy-

wany jest w folderze %SystemRoot%\System32\GroupPolicy. Zasady nie s¹ stoso-

wane do u¿ytkowników, którzy nie maj¹ dostêpu do odczytu, dlatego te¿ odma-

wiaj¹c dostêpu do odczytu administratorom oraz innym, których nie chcesz ograni-

czaæ, uwalniasz tych u¿ytkowników od kontroli zasad grupy. Aby u¿yæ tej metody,

wykonaj nastêpuj¹ce czynnoœci:
1. WprowadŸ odpowiedni¹ zmianê ustawienia Zasad grupy.
2. W Eksploratorze Windows kliknij prawym przyciskiem myszy folder %System-

Root%\System32\GroupPolicy i wybierz W³aœciwoœci. (Folder GroupPolicy jest

ukryty; je¿eli nie mo¿esz go odnaleŸæ, w folderze System32 wybierz Narzêdzia,

Opcje folderów, Widok i zaznacz opcjê Poka¿ ukryte pliki i foldery).

3. Na karcie Zabezpieczenia okna dialogowego W³aœciwoœci: GroupPolicy zaznacz

grupê Administratorzy i zaznacz pole Odmów przy uprawnieniu Odczyt. (Je¿eli

chcesz wy³¹czyæ spod kontroli Zasad grupy jakichkolwiek innych u¿ytkowników

lub grupy, dodaj ich do listy Nazwy grupy lub u¿ytkownika, a nastêpnie zaznacz

dla nich pole Odmów przy uprawnieniu Odczyt).

UWAGA

Musisz zaznaczyæ pole Odmów dla uprawnienia Odczyt, a nie po prostu wyczyœciæ pole Zezwalaj. W prze-

ciwnym wypadku wszyscy u¿ytkownicy dalej bêd¹ dziedziczyæ uprawnienie Odczyt ze wzglêdu na automa-

tyczne cz³onkostwo w grupie U¿ytkownicy uwierzytelnieni.

Przy nastêpnym logowaniu z u¿yciem konta u¿ytkownika z wy³¹czonym uprawnie-

niem Odczyt stwierdzisz, ¿e nie jesteœ ju¿ obci¹¿ony ustawieniami Zasad grupy. Jed-

nak stwierdzisz równie¿, ¿e bez uprawnienia Odczyt nie mo¿esz uruchomiæ Zasad

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

969

grupy – a wiêc nie mo¿esz przegl¹daæ ani modyfikowaæ ustawieñ Zasad grupy. Aby

odzyskaæ tê w³adzê, musisz ponownie odwiedziæ okno dialogowe W³aœciwoœci: Gro-

upPolicy i przyznaæ sobie uprawnienie Pe³na kontrola.
Miej na uwadze to, ¿e nawet bez wspomnianego wy¿ej oszukania zabezpieczeñ do-

myœlne ustawienia zabezpieczeñ efektywnie tworz¹ dwie grupy u¿ytkowników.

Chocia¿ lokalne ustawienia Zasad grupy stosowane s¹ do wszystkich u¿ytkowników

(sprostowanie: wszystkich u¿ytkowników, którzy maj¹ dostêp do odczytu do lokal-

nego obiektu Zasad grupy), tylko cz³onkowie lokalnej grupy Administratorzy mog¹

przegl¹daæ lub zmieniaæ te ustawienia.
Je¿eli dostosowanie dzia³ania ustawieñ Zasad grupy bazuj¹cego na cz³onkostwie

w grupie jest dla ciebie istotne, powinieneœ zainstalowaæ system Windows .NET Server

albo Windows 2000 Server i skonfigurowaæ us³ugê Active Directory. Natomiast metody

opisane w tym rozdziale dostarczaj¹ ³atwego i kompromisowego rozwi¹zania.

Konfigurowanie praw u¿ytkownika

Prawo u¿ytkownika jest uwierzytelnieniem pozwalaj¹cym na przeprowadzenie operacji,

która wp³ywa na ca³y komputer. (Odwrotnie uprawnienie, jest uwierzytelnieniem do

przeprowadzenia operacji na okreœlonym obiekcie – takim jak plik lub drukarka – na

komputerze). Dla ka¿dego prawa u¿ytkownika mo¿esz okreœliæ, które konta u¿yt-

kowników i grupy maj¹ prawo u¿ytkownika. Aby przejrzeæ albo ustawiæ prawa u¿yt-

kownika, w Zasadach grupy (Gpedit.msc) przejdŸ do folderu Konfiguracja kompute-

ra\Ustawienia systemu Windows\Ustawienia zabezpieczeñ\Zasady lokalne\Przypi-

sywanie praw u¿ytkownika. Nastêpnie kliknij dwukrotnie prawo u¿ytkownika, aby

zobaczyæ lub zmieniæ listê u¿ytkowników i grup, tak jak pokazano na rysunku 34-12.

Rysunek 34-12. Aby przejrzeæ albo zmieniæ lokalne ustawienia dla praw u¿ytkownika, dwukrotnie kliknij prawo

u¿ytkownika w folderze Przypisywanie praw u¿ytkownika.

970

Czêœæ VIII: Administracja systemu

WSKAZÓWKA

U¿yj konsoli Ustawienia zabezpieczeñ lokalnych

Konsola Ustawienia zabezpieczeñ lokalnych dostarcza krótszej œcie¿ki do folderu Przypisywanie praw u¿yt-

kownika, a wiêc jest przydatna, jeœli nie ustawiasz innych zasad, takich jak te w folderach Szablony admini-

stracyjne. Aby otworzyæ konsolê Ustawienia zabezpieczeñ lokalnych, kliknij dwukrotnie skrót Zasady

zabezpieczeñ lokalnych w folderze Narzêdzia administracyjne albo w wierszu polecenia wpisz secpol.msc.

Dziesiêæ spoœród praw u¿ytkownika – Uzyskiwanie dostêpu do tego komputera z sie-

ci, Zezwalaj na logowanie za pomoc¹ us³ug terminalowych, Logowanie w trybie wsa-

dowym, Logowanie w trybie us³ugi, Logowanie lokalne oraz odpowiadaj¹ce im pra-

wa u¿ytkownika „Odmowa” – jest znanych lepiej jako prawa logowania. Kontroluj¹

one sposób, w jaki u¿ytkownicy uzyskuj¹ dostêp do komputera – czy z klawiatury

(„lokalnie”), czy te¿ poprzez po³¹czenie sieciowe, czy te¿ jako us³uga lub program

wsadowy (np. Harmonogram zadañ). Mo¿esz u¿yæ praw logowania (w szczególnoœci

Logowanie lokalne oraz Odmowa logowania lokalnego), aby kontrolowaæ, kto mo¿e

zalogowaæ siê na twoim komputerze. Domyœlnie prawo Logowanie lokalne jest przy-

znane dla lokalnego konta Goœæ oraz cz³onków grup: Administratorzy, Operatorzy

kopii zapasowych, U¿ytkownicy zaawansowani oraz U¿ytkownicy. Je¿eli chcesz

uniemo¿liwiæ niektórym u¿ytkownikom zalogowanie siê z klawiatury (ale ci¹gle

umo¿liwiaj¹c im np. logowanie siê poprzez sieæ), utwórz grupê, dodaj do niej te konta

u¿ytkowników, a nastêpnie przypisz do tej grupy prawo u¿ytkownika Odmowa lo-

gowania lokalnego. Tak jak uprawnienia odmowy, prawa odmowy logowania maj¹

pierwszeñstwo przed prawami logowania, a wiêc jeœli u¿ytkownik jest cz³onkiem

grupy, która jest dopuszczona do logowania siê (takiej jak U¿ytkownicy zaawanso-

wani) oraz grupy, która nie jest (takiej jak opisana w poprzednim zdaniu), u¿ytkow-

nik ten nie bêdzie móg³ siê zalogowaæ. (U¿ytkownicy tacy zostaj¹ odrzuceni i widz¹

komunikat o b³êdzie, po tym jak wpisz¹ swoj¹ nazwê u¿ytkownika i has³o w oknie

dialogowym Logowanie do systemu Windows).
Microsoft Windows XP Professional Resource Kit Documentation zawiera opis ka¿dego

z praw u¿ytkownika. Tabela 34-2 wymienia domyœlne prawa przypisane do wbudo-

wanych grup u¿ytkowników.

Tabela 34-2. Domyœlne prawa wbudowanych grup u¿ytkowników w systemie Windows XP

Professional

Grupa

Domyœlne prawa

Administratorzy

§ Analizowanie programów

§ Dopasowywanie przydzia³ów pamiêci dla procesu

§ Logowanie lokalne

§ £adowanie i usuwanie sterowników urz¹dzeñ

§ Modyfikowanie zmiennych œrodowiskowych systemu

§ Odtwarzanie plików i katalogów

§ Pomijanie sprawdzania przebiegu

§ Profilowanie pojedynczego procesu

§ Profilowanie wydajnoœci systemu

§ Przejmowanie w³asnoœci plików lub innych obiektów

§ Tworzenie kopii zapasowych plików i folderów

§ Tworzenie pliku stronicowania

§ Usuwanie komputera ze stacji dokuj¹cej

§ Uzyskiwanie dostêpu do tego komputera z sieci

Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami

971

Grupa

Domyœlne prawa
§ Wykonywanie zadañ konserwacji woluminu

§ Wymuszanie zamkniêcia systemu z systemu zdalnego

§ Zamykanie systemu

§ Zarz¹dzanie inspekcj¹ i dziennikiem zabezpieczeñ

§ Zezwalaj na logowanie za pomoc¹ us³ug terminalowych

§ Zmiana czasu systemowego

§ Zwiêkszanie priorytetu szeregowania

Operatorzy kopii zapasowych § Logowanie lokalne

§ Odtwarzanie plików i katalogów

§ Pomijanie sprawdzania przebiegu

§ Tworzenie kopii zapasowych plików i folderów

§ Uzyskiwanie dostêpu do tego komputera z sieci

§ Zamykanie systemu

Wszyscy

§ Pomijanie sprawdzania przebiegu

§ Uzyskiwanie dostêpu do tego komputera z sieci

GoϾ (konto)

§ Logowanie lokalne

§ Odmowa dostêpu do tego komputera z sieci

1

§ Odmowa logowania lokalnego

U¿ytkownicy zaawansowani

§ Logowanie lokalne

§ Pomijanie sprawdzania przebiegu

§ Profilowanie pojedynczego procesu

§ Usuwanie komputera ze stacji dokuj¹cej

§ Uzyskiwanie dostêpu do tego komputera z sieci

§ Zamykanie systemu

§ Zmiana czasu systemowego

U¿ytkownicy pulpitu zdalnego § Zezwalaj na logowanie za pomoc¹ us³ug terminalowych
U¿ytkownicy

§ Logowanie lokalne

§ Pomijanie sprawdzania przebiegu

§ Usuwanie komputera ze stacji dokuj¹cej

§ Uzyskiwanie dostêpu do tego komputera z sieci

§ Zamykanie systemu

(Nie przypisane do ¿adnej

§ Blokowanie stron w pamiêci

grupy)

§ Dodawanie stacji roboczych do domeny

§ Dzia³anie jako element systemu operacyjnego

§ Generowanie zdarzeñ inspekcji zabezpieczeñ

§ Logowanie w trybie us³ugi

§ Logowanie w trybie wsadowym

§ Odmawiaj logowania za pomoc¹ us³ug terminalowych

§ Odmowa logowania w trybie us³ugi

§ Odmowa logowania w trybie wsadowym

§ Synchronizowanie danych us³ug katalogowych

§ Tworzenie stale udostêpnianych obiektów

§ Tworzenie ¿etonu

§ W³¹czanie zaufania dla komputera i kont u¿ytkowników do delegowania

§ Zamiana ¿etonu na poziomie procesu

1

Konto Goœæ jest usuwane z listy kont z prawem Odmowa dostêpu do tego komputera z sieci, kiedy

w³¹czysz udostêpnianie plików w sieci.

972

Czêœæ VIII: Administracja systemu