CzęS
ć VIII
Rozdział 34
Zarządzanie profilami
użytkownika i zasadami. . . . . . . 941
Rozdział 35
Monitorowanie aktywnoS
ci
systemu za pomocą
Podglądu zdarzeń . . . . . . . . . . 973
Rozdział 36
Inspekcja zabezpieczeń. . . . . . . 985
Administracja systemu
Rozdział 34
Wprowadzenie do profili Zarządzanie
użytkownika 942
profilami
Praca z profilami użytkownika 946
Używanie Profili mobilnych
użytkownika
użytkownika 954
i zasadami
Kontrolowanie możliwoS
ci
użytkowników za pomocą
Zasad grupy 958
CzęS
ć VIII: Administracja systemu
Konfigurowanie praw
użytkownika 970 Rozdział 34: Zarządzanie profilami użytkownika i zasadami
Jak już niewątpliwie odkryłeS
, system Microsoft
Windows XP oferuje użytkownikom różnego ro-
dzaju możliwoS
ci dostosowywania. Używając
różnorodnych ustawień w Panelu sterowania
oraz innych miejsc, użytkownicy mogą kontrolo-
wać wygląd ich pulpitu, paska zadań, menu
Start, okien folderów i wielu innych elementów;
mogą okreS
lać dx
więki, które są odtwarzane, kie-
dy wystąpią pewne zdarzenia; mogą dodawać
lub usuwać programy itd. Jest to wspaniała rzecz
dla pojedynczego komputera obsługiwanego
przez jednego użytkownika, który chce dobrze
władać swoim S
rodowiskiem pracy.
Natomiast jeżeli musisz utrzymać w działaniu
więcej niż jeden komputer i zapewnić możliwoS
ć
wydajnej pracy więcej niż jednemu użytkowni-
kowi, możesz jako administrator chcieć samemu
dostosować S
rodowisko pracy dla poszcze-
gólnych użytkowników. Za pomocą narzędzi do-
starczonych przez Windows XP możesz wybrać
ustawienia dla użytkowników, którzy nie dyspo-
nują odpowiednią wiedzą, doS
wiadczeniem albo
czasem potrzebnym do samodzielnego wprowa-
dzenia tych ustawień. JeS
li będzie to potrzebne,
możesz wprowadzić ograniczenia, które zapobiegną
zniszczeniu konfiguracji przez niedoS
wiadczo-
nych albo nieuważnych użytkowników.
Ten rozdział opisuje dwie funkcje systemu Win-
dows XP, których administrator może użyć do
dostosowania i kontrolowania systemu: profile
użytkownika oraz zasady grupy.
942 CzęS
ć VIII: Administracja systemu
Wprowadzenie do profili użytkownika
Profil użytkownika zawiera wszystkie ustawienia oraz pliki dla S
rodowiska pracy użyt-
kownika. Zawarte są tu osobiste ustawienia rejestru dla wszystkiego, począwszy od
wskax
ników myszy, po ustawienia widoku używane w programie Microsoft Word
oraz pliki, które są specyficzne dla danego użytkownika, takie jak pliki cookie, odbie-
rane podczas korzystania z przeglądarki Microsoft Internet Explorer, dokumenty
w folderze Moje dokumenty i jego podfolderach oraz skróty do miejsc sieciowych.
Położenie i zawartoS
ć profili użytkownika
DomyS
lnie każdy użytkownik, który loguje się na komputerze, posiada lokalny profil
użytkownika, który jest tworzony podczas jego pierwszego logowania. Lokalne pro-
file użytkownika przechowywane są w folderze %SystemDrive%\Documents and
Settings. Każdy profil użytkownika przechowywany jest w podfolderze o takiej samej
nazwie jak nazwa użytkownika (na przykład C:\Documents and Settings\Marek).
Pełna S
cieżka do bieżącego profilu użytkownika przechowywana jest w innej po-
wszechnie używanej zmiennej S
rodowiskowej %UserProfile%.
UWAGA
Jeżeli dokonałeS
aktualizacji systemu z Microsoft Windows NT 4 (zamiast wykonać nową instalację albo
aktualizację z innej wersji systemu Windows), profile użytkownika przechowywane są w folderze %Sys-
temRoot%\Profiles.
Wewnątrz folderu profilu użytkownika odnajdziesz hierarchię folderów, tak jak po-
kazano na Rysunku 34-1. Główny katalog profilu (czyli podfolder folderu Documents
and Settings, o nazwie takiej jak nazwa użytkownika) zawiera plik Ntuser.dat, który
jest kawałkiem rejestru (innymi słowy, gałęzią klucza HKCU). W dodatku komputer,
który jest członkiem domeny systemu Microsoft Windows NT Server, może posiadać
plik Ntuser.pol, który zawiera ustawienia zasad systemu. (Zasady systemu są po-
przednikiem Zasad grupy, wprowadzonych w systemie Microsoft Windows 2000).
Profil zawiera następujące foldery:
Dane aplikacji. Ten ukryty folder zawiera specyficzne dane aplikacji, takie jak

słownik użytkownika dla edytorów tekstu, listy nadawców wysyłających spam
dla programów poczty elektronicznej, bazę danych płyt CD dla programów od-
twarzających płyty z muzyką itd. Twórcy aplikacji decydują, jakie informacje mają
być umieszczone w tym folderze.
Cookies. Folder ten zawiera pliki cookie przeglądarki Internet Explorer.

Pulpit. Folder ten zawiera wszystkie elementy przechowywane na pulpicie użyt-

kownika, włączając w to pliki i skróty.
Ulubione. Folder ten zawiera elementy listy Ulubione przeglądarki Internet

Explorer.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 943
Aby uniknąć pomyłek, folder
Moje dokumenty innego
użytkownika pokazany jest
wraz z nazwą użytkownika
tej osoby
Rysunek 34-1. Każdy profil użytkownika zawiera kilka folderów, w tym kilka ukrytych.
Ustawienia lokalne. Ten ukryty folder zawiera ustawienia i pliki, które nie prze-

chodzą z profilem, ponieważ są powiązane ze specyfiką komputera albo są tak
duże, że szkoda zachodu na umieszczanie ich w mobilnym profilu użytkownika,
który musi być kopiowanyzi naserwer przy każdym logowaniu i wylogowaniu.
(Mobilne profile użytkownika omówione są w następnym podrozdziale). Na
przykład obszar przechowywania danych dla wypalania płyt CD  który zależy
od komputera i jest potencjalnie bardzo duży  przechowywany jest w podfolde-
rze folderu Ustawienia lokalne. Folder Ustawienia lokalne zawiera cztery podfol-
dery:
Dane aplikacji. Ten ukryty folder zawiera specyficzne dla komputera dane

aplikacji.
Historia. Folder ten zawiera historię odwiedzanych przez użytkownika stron

programu Internet Explorer.
Temp. Folder ten zawiera tymczasowe pliki utworzone przez aplikacje.

Temporary Internet Files. Folder ten zawiera pliki do użytku w trybie offline

przeglądarki Internet Explorer.
Moje dokumenty. Folder ten jest domyS
lnym miejscem docelowym dla skrótu

Moje dokumenty, który pokazuje się w menu Start, panelu zadań Eksploratora
Windows (w sekcji Inne miejsca) itd. Folder Moje dokumenty jest domyS
lną lokali-
zacją do przechowywania dokumentów użytkowników w większoS
ci aplikacji.
Kiedy przeglądasz foldery profilu innego użytkownika, słowo Moje zostaje
zastąpione przez jego nazwę użytkownika, chociaż właS
ciwą nazwą folderu dla
wszystkich użytkowników jest Moje dokumenty.
NetHood. Ten ukryty folder zawiera skróty, które ukazują się w Moich miejscach

sieciowych.
PrintHood. Rzadko używany ukryty folder; może zawierać skróty do elementów

w folderze Drukarki i faksy.
944 CzęS
ć VIII: Administracja systemu
Recent. Ten ukryty folder zawiera skróty do ostatnio używanych dokumentów;

najbardziej aktualne z nich mogą się pojawić w menu Start. Chociaż w Eksplorato-
rze Windows folder ten pojawia się jako Moje bieżące dokumenty, jego faktyczna
nazwa to Recent.
SendTo. Ten ukryty folder zawiera skróty do folderów i aplikacji, które pojawiają

się w podmenu WyS
lij do. WyS
lij do jest poleceniem, które pojawia się w menu Plik
w Eksploratorze Windows, kiedy zaznaczysz plik lub folder; pojawia się również w
menu podręcznym, kiedy klikniesz prawym przyciskiem myszy plik albo folder.
Menu Start. Folder ten zawiera elementy (takie jak skróty do aplikacji i dokumen-

tów), które ukazują się w podmenu Wszystkie programy menu Start.
Szablony. Ten ukryty folder zawiera skróty do szablonów dokumentów. Szablony te

używane są zazwyczaj przez polecenie Nowy (w menu Plik oraz w menu podręcz-
nym) w Eksploratorze Windows i okreS
lone są przez wartoS
ć FileName w kluczu
HKCR\klasa\ShellNew, gdzie klasa odnosi się do rozszerzenia i typu pliku.
UWAGA
Ustawienia Zasad grupy zawsze mają pierwszeństwo przed ustawieniami w profilach użytkownika. Pozwa-
la to administratorom uniemożliwić użytkownikom, którzy mają potrzebną wiedzę i uprawnienia, przepro-
wadzenie zmian bezpoS
rednio w ich własnym profilu użytkownika.
Typy profili
System Windows XP obsługuje trzy typy profili:
Profil lokalny użytkownika. Profil lokalny użytkownika przechowywany jest w

folderze %SystemDrive%\Documents and Settings (albo %SystemRoot%\Profi-
les) na lokalnym dysku twardym. Windows tworzy profil lokalny użytkownika
przy pierwszym logowaniu użytkownika na komputerze. Jeżeli użytkownik
wprowadzi zmiany w profilu, to zmiany te mają wpływ jedynie na komputer, na
którym zostały wprowadzone.
Profil mobilny użytkownika. Profil mobilny użytkownika przechowywany jest

na serwerze sieciowym, który udostępnia go, kiedy użytkownik loguje się na do-
wolnym komputerze w sieci. Windows tworzy lokalną kopię profilu użytkowni-
ka, który po raz pierwszy loguje się na komputerze. Jeżeli użytkownik wprowadzi
zmiany w profilu, Windows wprowadza zmiany w kopii na serwerze, kiedy użyt-
kownik wylogowuje się. Dlatego też poprawiony profil dostępny jest przy następ-
nym logowaniu użytkownika na dowolnym komputerze. Mobilne profile są łatwe
do zarządzania oraz idealnie dopasowane do systemów Windows .NET Server i
Windows 2000 Server. Jednak przy odrobinie wysiłku możesz uzyskać niektóre
korzyS
ci jakie daje profil mobilny użytkownika, nawet jeżeli nie posiadasz serwe-
rowej edycji systemu Windows. Aby uzyskać informacje na ten temat, patrz  Uży-
wanie Profili mobilnych użytkownika na stronie 954.
Profil obowiązkowy użytkownika. Profil obowiązkowy użytkownika jest profi-

lem, który może być zmieniany tylko przez administratora. Tak jak profil mobilny
użytkownika, profil obowiązkowy przechowywany jest na serwerze sieciowym,
a Windows tworzy kopię lokalną przy pierwszym logowaniu użytkownika, do
którego przypisany został profil obowiązkowy. W przeciwieństwie do profilu mo-
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 945
bilnego, profil obowiązkowy nie jest uaktualniany, kiedy użytkownik wylogowu-
je się. Czyni to profil obowiązkowy bardzo użytecznym, nie tylko w odniesieniu
do użytkowników indywidualnych, dla których chcesz wprowadzić istotne ogra-
niczenia, ale również dla wielu użytkowników (na przykład wszystkich użytkow-
ników wykonujących okreS
lone zadanie), dla których chcesz zastosować specy-
ficzne dla danego zadania ustawienia. Wielu użytkowników może współdzielić
profil obowiązkowy użytkownika, bez wpływania na innych. Użytkownicy, do
których przypisany został profil obowiązkowy, mogą wprowadzać zmiany w pro-
filu, kiedy się logują (o ile nie zabraniają tego ustawienia zasad), ale kopia sieciowa
pozostaje nie zmieniona. Chociaż kopia profilu pozostaje na komputerze po tym
jak użytkownik się wyloguje, przy następnym logowaniu Windows ponownie ko-
piuje oryginalny profil z udziału sieciowego. Dodatkowe informacje o przypisy-
waniu profilu obowiązkowego użytkownika znajdziesz w ramce  Używanie pro-
filu obowiązkowego na stronie 957.
Profile powszechne
W folderze profilów (%SystemDrive%\Documents and Settings albo %SystemRo-
ot%\Profiles) odnajdziesz dwa profile, które nie są powiązane z okreS
lonym kontem
użytkownika: All Users oraz Default User. (Folder Default User jest ukryty).
All Users. ZawartoS
ć folderu All Users pojawia się dla wszystkich użytkowników,

którzy zalogują się na stacji roboczej, obok zawartoS
ci własnego folderu profilu ka-
żdego użytkownika. Na przykład elementy w folderze All Users\Pulpit pojawiają
się na pulpicie wraz ze wszystkimi elementami, które aktualny użytkownik ma za-
pisane na pulpicie. Podobnie, menu Start pokazuje połączoną zawartoS
ć folderu
All Users\Menu Start oraz folderu Menu Start bieżącego użytkownika. Folder All
Users\Dokumenty (który w Eksploratorze Windows pojawia się jako folder Do-
kumenty Udostępnione) zawiera dokumenty, które są dostępne dla wszystkich
użytkowników. Wyjątkiem jest folder All Users\Ulubione, który nie służy do ni-
czego.
DomyS
lnie tylko członkowie grupy Administratorzy oraz Użytkownicy zaawan-
sowani mogą dodawać elementy do folderów Pulpit oraz Menu Start w profilu All
Users. Wszyscy użytkownicy mogą dodawać elementy do folderu Dokumenty
udostępnione.
WSKAZÓWKA
Przeglądanie folderu Menu Start
Windows oferuje prosty sposób na dostanie się bezpoS
rednio do obu gałęzi hierarchii menu Start. Kliknij
prawym przyciskiem myszy przycisk Start i wybierz Otwórz albo Eksploruj, jeżeli chcesz obejrzeć folder
Menu Start w profilu bieżącego użytkownika; wybierz Otwórz wszystkich użytkowników albo Eksploruj
wszystkich użytkowników, aby zobaczyć folder All Users\Menu Start w Eksploratorze Windows.
Default User. Kiedy użytkownik loguje się na komputerze po raz pierwszy (a jego

konto nie jest skonfigurowane do używania profilu mobilnego albo profilu obo-
wiązkowego), system Windows tworzy nowy profil lokalny, kopiując zawartoS
ć
folderu Default User do nowego folderu i nazywając go nazwą użytkownika. Dla-
tego też możesz skonfigurować profil Default User w taki sposób, w jaki chcesz,
946 CzęS
ć VIII: Administracja systemu
Konfigurowanie profilu domyS
lnego
W profilu Default User możesz umieS
cić pliki, które mają być dostępne dla każdego
nowego użytkownika. W szczególnoS
ci możesz chcieć dostarczyć w ten sposób, ze-
staw łączy internetowych, kilka skrótów pulpitu, a także trochę dokumentów.
Możesz to bardzo łatwo zrobić, po prostu kopiując odpowiednie skróty oraz pliki do
folderów: Ulubione, Pulpit i Moje Dokumenty. (Ponieważ folder Default User jest
ukryty, najpierw musisz wyS
wietlić ukryte foldery, otwierając Opcje folderów i za-
znaczając opcję Pokaż ukryte pliki i foldery, na karcie Widok).
Upewnij się, że skopiowałeS
pliki do profilu Default User, tak że odziedziczyły one
odpowiednie uprawnienia folderu docelowego. Jeżeli przeniosłeS
pliki do tego fol-
deru, pozostaną one przy istniejących uprawnieniach, które prawdopodobnie
uniemożliwią skopiowanie ich póx
niej do profilu nowego użytkownika.
aby Windows na początku ukazywał się nowym użytkownikom. Przy domyS
l-
nych ustawieniach zabezpieczeń tylko członkowie grupy Administratorzy mogą
wprowadzać zmiany w profilu Default User.
Praca z profilami użytkownika
Uzbrojony w wiedzę o tym, gdzie umieszczone są profile oraz co zawierają, możesz
pokusić się modyfikowanie ich bezpoS
rednio w Eksploratorze Windows albo z wier-
sza polecenia. Chociaż możesz bezpiecznie dodawać, modyfikować albo usuwać ele-
menty takie jak te z menu Start i pulpitu, to nie powinieneS
przenosić, kopiować ani
usuwać w ten sposób całych profili. Zamiast tego, powinieneS
użyć okna dialogowe-
go Profile użytkownika, pokazanego na rysunku 34-2. Aby się tam dostać, kliknij pra-
wym przyciskiem myszy Mój komputer i wybierz WłaS
ciwoS
ci (albo wybierz System
w Panelu sterowania). Na karcie Zaawansowane kliknij przycisk Ustawienia w sekcji
Profile użytkownika.
Rysunek 34-2. Użyj okna dialogowego Profile użytkownika do skopiowania albo usunięcia profilu użytkownika.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 947
UWAGA
Użytkownicy, którzy nie są członkami grupy Administratorzy, nie mogą zobaczyć innych profili użytkowni-
ka w oknie dialogowym Profile użytkownika ani też nie mogą usuwać, kopiować ani zmieniać swojego
własnego profilu.
Usuwanie profilu użytkownika
Okno dialogowe Profile użytkownika pokazuje miejsce na dysku, zajmowane przez
profil. Ponieważ dokumenty każdego użytkownika przechowywane są w jego profi-
lu, może być to znaczący obszar. Aby odzyskać przestrzeń zajmowaną przez nie uży-
wane profile, możesz usunąć profil na dwa sposoby:
Otwórz Konta użytkowników w Panelu sterowania i usuń konto użytkownika

powiązane z okreS
lonym profilem. Szczegółowe informacje znajdziesz w podroz-
dziale  Usuwanie konta na stronie 87. Metoda ta usuwa konto użytkownika jak
również profil, oraz oferuje możliwoS
ć zachowania dokumentów z profilu.
W oknie dialogowym Profile użytkownika po prostu zaznacz profil i kliknij przy-

cisk Usuń. Nie możesz usunąć profilu, który jest aktualnie zalogowany. Usuwanie
profilów w ten sposób (zamiast na przykład za pomocą Eksploratora Windows)
zapewnia, że odpowiedni profil zostanie również usunięty z rejestru. (Każdy pro-
fil użytkownika zajmuje podklucz klucza HKLM\Software\Microsoft\Windows
NT\CurrentVersion\ProfileList).
UWAGA
Jeżeli używasz profili mobilnych użytkownika, system Windows zwykle zapisuje kopię profilu, który został
skopiowany na lokalny dysk twardy. Windows używa tej lokalnej kopii, jeżeli zdarzy się, że kopia sieciowa
jest niedostępna, kiedy użytkownik się loguje. Jeżeli posiadasz komputer, który jest dostępny dla wielu
użytkowników, ta okazjonalna wygoda może kosztować cię znaczną iloS
ć przestrzeni dyskowej. Możesz
jednak wymusić, aby system Windows automatycznie usuwał lokalną kopię profilu mobilnego, kiedy użyt-
kownik wylogowuje się. Aby to zrobić, otwórz Zasady grupy (Gpedit.msc), przejdx
do folderu Konfiguracja
komputera\Szablony administracyjne\System\Profile użytkownika i włącz zasadę o nazwie Usuwaj buforo-
wane kopie profilów mobilnych. Inne zasady znajdujące się w tym samym folderze również wpływają na
sposób, w jaki stosowane są profile mobilne. W celu uzyskania dalszych informacji, patrz  Kontrolowanie
możliwoS
ci użytkowników za pomocą Zasad grupy na stronie 958.
Kopiowanie profilu użytkownika
Kopiowanie profilu użytkownika (poprzez zaznaczenie profilu i kliknięcie przycisku
Kopiuj do) nie dodaje profilu do rejestru. Dzieje się to przy pierwszym logowaniu
użytkownika, któremu został przypisany profil, który skopiowałeS
. Ale kopiowanie
w oknie Profile użytkownika zamiast w oknie Eksploratora Windows daje istotną ko-
rzyS
ć: Windows przypisuje odpowiednie uprawnienia do kopii. To znaczy, że nadaje
uprawnienie Pełna kontrola użytkownikowi lub grupie, którą okreS
lisz, oraz usunie
uprawnienia dla innych użytkowników nie będących administratorami. Uprawnie-
nia takie są potrzebne do uzyskania przez użytkownika dostępu do jego własnego
profilu  ale nie profili innych użytkowników.
UWAGA
Nie możesz skopiować profilu, który jest aktualnie zalogowany, łącznie z twoim własnym profilem. Jeżeli
chcesz skopiować swój profil, musisz zalogować się, używając innego profilu.
948 CzęS
ć VIII: Administracja systemu
DLA EKSPERTÓW
Ponieważ tak wiele istotnych danych przechowywanych jest w twoim profilu, możesz przechowywać dwie
kopie profilu na różnych dyskach. Używając niektórych technik, które przeznaczone są do zarządzania pro-
filami mobilnymi, możesz tworzyć automatyczne kopie zapasowe. Oto w jaki sposób:
1. Skopiuj profil, którego chcesz używać, na inny dysk. Musisz zalogować się, używając innego konta
administratora, ponieważ nie możesz kopiować profilu, którego aktualnie używasz. W oknie dialogo-
wym Profile użytkownika zaznacz profil i kliknij przycisk Kopiuj do. W oknie dialogowym Kopiowanie
do okreS
l folder znajdujący się na innym dysku. Nie musisz zmieniać pozwolenia dla użytkowników.
2. Otwórz przystawkę Użytkownicy i grupy lokalne (Lusrmgr.msc), otwórz folder Użytkownicy i kliknij dwu-
krotnie swoją nazwę użytkownika. Na karcie Profil okreS
l S
cieżkę do kopii profilu w polu R
cieżka profilu.
Teraz, kiedy się zalogujesz, system Windows skopiuje profil, który stworzyłeS
na drugim dysku, do fol-
deru Documents and Settings. Kopia ta stanie się twoją kopią roboczą i wszystkie zmiany, które wprowa-
dzisz w ustawieniach lub plikach, będą tam zapisywane. Kiedy się wylogowujesz, profil w folderze Docu-
ments and Settings jest kopiowany z powrotem na drugi dysk. Proste!
ROZWIąZYWANIE PROBLEMÓW

Błąd uniemożliwia ci zalogowanie się
Jeżeli powiązany z profilem błąd wystąpi, kiedy spróbujesz się zalogować, albo zauważysz taki błąd
w dzienniku zdarzeń aplikacji, przyczyn może być kilka:
Twoje konto nie posiada wystarczających uprawnień dostępu.

Twoje konto musi posiadać (co najmniej) dostęp do odczytu do folderu %UserProfile%, niezależnie

czy jest to profil lokalny, czy profil mobilny albo obowiązkowy przechowywany na innym komputerze.
Twoje konto nie posiada wystarczających uprawnień dostępu do folderu profili  folder, który zawiera

indywidualne profile (na większoS
ci komputerów %SystemDrive%\Documents and Settings). Konto
Wszyscy powinno posiadać dostęp Pełna kontrola do tego folderu. Dodatkowo, jeżeli jest to udostęp-
niony folder na dysku sieciowym, konto Wszyscy powinno posiadać dostęp Pełna kontrola do tego
udziału.
Twojemu systemowi brakuje przestrzeni dyskowej.

Profil został uszkodzony. W większoS
ci przypadków jedynym rozwiązaniem w tej sytuacji jest usunię-

cie profilu. Zanim podejmiesz ten drastyczny krok, spróbuj użyć Przywracania systemu aby powrócić
do działającego profilu. Jednak bądx
ostrożny, ponieważ to przywróci wszystkie profile utworzenia do
czasu punktu przywracania.
Przypisywanie profilu
Jeżeli chcesz przypisać profil do konta użytkownika, użyj programu Microsoft Mana-
gement Console z przystawką Użytkownicy i grupy lokalne. Możesz ją znalex
ć w pro-
gramie Zarządzanie komputerem w Narzędziach systemowych albo otworzyć w jej
własnym oknie, wpisując w wierszu polecenia lusrmgr.msc. W folderze Użytkowni-
cy kliknij dwukrotnie nazwę użytkownika, do którego chcesz przypisać profil, a na-
stępnie kliknij kartę Profil, pokazaną na rysunku 34-3.
UWAGA
Przystawka Użytkownicy i grupy lokalne nie jest dostępna w systemie Windows XP Home Edition. Jednak
ten sam rezultat możesz osiągnąć, używając przełącznika /Profilepath z poleceniem Net User. Więcej infor-
macji uzyskasz, wpisując w wierszu polecenia net help user.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 949
Rysunek 34-3. Użyj karty Profil, aby okreS
lić profil użytkownika, skrypt logowania oraz folder macierzysty. Na karcie
Profil możesz okreS
lić następujące rzeczy:
Położenie profilu użytkownika. (Zwróć uwagę, że musisz to zrobić jedynie wte-

dy, gdy chcesz używać profilu, który nie jest przechowywany w domyS
lnym
położeniu, takiego jak profil mobilny użytkownika albo profil obowiązkowy użyt-
kownika). Dodatkowe informacje na ten temat znajdziesz w podrozdziale  Uży-
wanie Profili mobilnych użytkownika na stronie 954.
Położenie i nazwę pliku skryptu logowania  programu, który uruchamia się

przy każdym logowaniu się użytkownika. Dodatkowe informacje na ten temat
znajdują się w ramce  Używanie skryptów, które uruchamiają się przy logowaniu,
wylogowywaniu, uruchamianiu i zamykaniu systemu na stronie 951.
R
cieżkę do macierzystego folderu użytkownika. Folder macierzysty jest folderem,

w którym użytkownik może przechowywać swoje pliki i programy. Chociaż więk-
szoS
ć programów używa folderu Moje dokumenty jako domyS
lnego folderu dla
poleceń Plik Otwórz oraz Plik Zapisz, starsze programy używają folderu macie-
rzystego. Folder macierzysty jest również początkowym folderem bieżącym dla
sesji Wiersza polecenia. Folder macierzysty może być folderem lokalnym albo
znajdować się na współdzielonym dysku sieciowym; kilku użytkowników może
współdzielić folder macierzysty. Aby okreS
lić lokalny folder macierzysty, podaj
S
cieżkę w polu tekstowym R
cieżka lokalna. Aby używać folderu na serwerze sie-
ciowym jako folderu macierzystego, wybierz literę dysku (system Windows zma-
puje folder do tej litery dysku przy każdym logowaniu) i okreS
l pełną S
cieżkę sie-
ciową do tego folderu. (Jeżeli nie okreS
lisz folderu macierzystego, Windows bę-
dzie używać jako folderu macierzystego folderu %UserProfile%).
950 CzęS
ć VIII: Administracja systemu
ROZWIąZYWANIE PROBLEMÓW
Twoje pliki zaginęły albo masz dwa profile
Powszechnym problemem z profilami jest to, że z takiego lub innego powodu w pewnym momencie masz
więcej niż jeden profil dla konta użytkownika. Symptomami są przekłamania: nagle twoje dokumenty giną,
z menu Start znikają programy albo zmieniają się twoje ustawienia. Pojawia się to zazwyczaj wtedy, kiedy
przyłączasz się do domeny, a następnie logujesz, używając nazwy użytkownika, jakiej używałeS
, zanim
przyłączyłeS
się do domeny. W takim wypadku oznacza to, że stworzyłeS
(być może bezwiednie) dwa kon-
ta użytkownika: lokalne konto oraz konto domeny. Każde konto powiązane jest ze swoim własnym profi-
lem.
Jeżeli nie używałeS
jeszcze swojego nowego profilu do przechowywania dokumentów albo nie wybierałeS

żadnych ustawień oraz jesteS
w stanie okreS
lić, które konto jest powiązane z którym profilem, możesz za-
radzić tej sytuacji, po prostu przypisując właS
ciwy profil do twojego konta.
Lepszym rozwiązaniem jest użycie Kreatora transferu plików i ustawień. Zaloguj się za pomocą konta, któ-
rego nie planujesz już używać, i zapisz swoje pliki i ustawienia. Następnie zaloguj się za pomocą drugiego
konta i importuj swoje informacje. Dodatkowe informacje na ten temat znajdziesz w podrozdziale  Trans-
fer plików i ustawień na stronie 45.
W niektórych przypadkach  zwłaszcza jeS
li chcesz tylko odzyskać swoje dokumenty  łatwiej jest użyć
Eksploratora Windows, aby przenieS
ć dokumenty z jednego profilu do drugiego. (Foldery profili w folderze
Documents and Settings zaczynają się od nazwy użytkownika, ale przynajmniej jeden z nich posiada, dla
odróżnienia, również nazwę komputera albo domeny).
Niezależnie od tego, którego sposobu użyjesz do przeniesienia informacji, możesz następnie usunąć pro-
fil, którego już nie potrzebujesz. (Zwykle jest to profil powiązany z lokalnym kontem, jeS
li normalnie logu-
jesz się, używając twojego konta domeny).
Przenoszenie folderów ze standardowego położenia profili
W łatwy sposób możesz zmienić położenie folderu Moje dokumenty oraz jego podfol-
derów Moja muzyka i Moje obrazy. Możesz chcieć to zrobić, na przykład jeżeli dysk,
na którym przechowywany jest twój profil, zapełni się. Jako alternatywę dla używa-
nia innej lokalizacji na twoim komputerze możesz rozważyć przeniesienie folderów
zawierających dokumenty do udostępnionego folderu w dowolnym miejscu w sieci.
Przechowywanie tego typu danych na serwerze sieciowym, z dala od profilu użyt-
kownika, daje dwie istotne korzyS
ci:
Przechowywanie danych użytkownika w centralnej lokalizacji może ułatwić two-

rzenie kopii zapasowych.
Oddzielenie danych użytkownika od profilu użytkownika przyspiesza proces lo-

gowania i wylogowywania się dla użytkowników z profilem mobilnym. (Jeżeli
dokumenty użytkownika przechowywane są wewnątrz profilu, kopiowane są
z serwera sieciowego na komputer lokalny przy każdym logowaniu, a następnie
kopiowane są z powrotem przy wylogowywaniu. Dzięki przechowywaniu ich
z dala od profilu każdy plik przenoszony jest tylko wtedy, gdy jest potrzebny).
Aby przenieS
ć folder Moje dokumenty, wykonaj następujące czynnoS
ci:
1. Kliknij prawym przyciskiem myszy Moje dokumenty i wybierz WłaS
ciwoS
ci. Na
karcie Element docelowy kliknij PrzenieS
.
2. Wybierz S
cieżkę folderu, w którym chcesz trzymać Moje dokumenty, albo na two-
im własnym komputerze, albo udostępnionym folderze sieciowym. Poniżej za-
znaczony został folder Dane znajdujący się na serwerze sieciowym.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 951
3. Kliknij OK w każdym z okien. Kliknij Tak, jeżeli chcesz przenieS
ć istniejące doku-
menty do nowego miejsca docelowego.
Nowa funkcja!
Aby przenieS
ć foldery Moja muzyka oraz Moje obrazy do nowej lokalizacji, po prostu
użyj Eksploratora Windows. System Windows XP automatycznie uaktualni wszystkie
odwołania do tego folderu, włączając te z menu Start.
Jeżeli nie używasz profili mobilnych użytkownika do przeniesienia ich masowo,
przenoszenie innych folderów profili jest niepraktyczne, o ile twój komputer nie jest
przyłączony do domeny. W sieci bazującej na domenie ustawienia Zasad grupy po-
zwalają administratorowi na użycie przekierowania folderu do przechowywania na
serwerze sieciowym plików danych z profilu użytkownika. Rozszerzenie Przekiero-
wanie folderu dla kont bazujących na domenie, dostępne w przystawce Zasady gru-
py, pozwala administratorom łatwo zmienić położenie folderów Dane aplikacji, Pul-
pit, Moje dokumenty oraz składników menu Start profilu użytkownika  a użytkow-
nik nawet nie zauważy różnicy.
UWAGA
Możliwe  ale nie zawsze pożyteczne  jest przeniesienie całego folderu Documents and Settings. Szcze-
gółowe informacje znajdziesz w artykule Q236621 w bazie Knowledge Base.
Używanie skryptów, które uruchamiają się przy logowaniu,
wylogowywaniu, uruchamianiu i zamykaniu systemu
W wypadku profili użytkownika oraz zasad grupy możesz zastosować skrypty,
które będą uruchamiały się automatycznie. Skrypt logowania jest programem, który
uruchamia się, kiedy tylko użytkownik się loguje. Każdy plik wykonywalny  czyli
program wsadowy (rozszerzenie .bat albo .cmd), skrypt Hosta skryptów systemu
Windows (WSH) (rozszerzenie .vbs, .js, lub.wsf) albo program (rozszerzenie .exe
Dokończenie na następnej stronie
952 CzęS
ć VIII: Administracja systemu
Dokończenie z poprzedniej strony
lub .com)  może być użyty jako skrypt logowania. Dodatkowe informacje do-
tyczące programów wsadowych oraz skryptów WSH, znajdziesz w rozdziale 10
 Automatyzacja Windows XP .
Skrypty logowania są powszechnie używane do mapowania dysków sieciowych
do liter dysków, do uruchamiania pewnych programów oraz wykonywania in-
nych podobnych zadań, które powinny mieć miejsce przy każdym logowaniu. Tak
jak w przypadku większoS
ci zadań w Windows, możesz użyć innych sposobów,
aby przeprowadzić każde z nich  ale skrypty logowania są metodą wygodną i ela-
styczną.
Zwróć uwagę, że używanie zmiennych S
rodowiskowych, takich jak %UserName%,
sprawia, że używanie tego samego skryptu dla różnych użytkowników jest łatwe.
Windows zastępuje ją odpowiednią nazwą użytkownika, kiedy uruchamia skrypt.
Aby użyć skryptu logowania dla lokalnego konta użytkownika, podaj S
cieżkę
skryptu oraz nazwę pliku w polu Skrypt logowania na karcie Profil w oknie dialo-
gowym właS
ciwoS
ci użytkownika (pokazanym wczeS
niej, na rysunku 34-3).
System Windows XP Professional (ale nie Home Edition) oferuje również wsparcie
dla czterech innych typów skryptów:
Skrypt logowania dla Zasad grupy, który uruchamia się, kiedy użytkownik się

loguje
Skrypt wylogowywania dla Zasad grupy, który uruchamia się, kiedy użytkow-

nik się wylogowuje
Skrypt uruchamiania dla Zasad grupy, który uruchamia się, kiedy komputer

jest włączany
Skrypt zamykania dla Zasad grupy, który uruchamia się, kiedy komputer jest

wyłączany
Tak jak w wypadku zwykłych skryptów logowania, możesz użyć pliku typu wyko-
nywalnego dla dowolnego z tych skryptów. Chociaż możesz przechowywać
skrypty, gdzie tylko chcesz, każdy typ skryptów posiada lokalizację domyS
lną.
Skrypt logowania %SystemRoot%\System32\GroupPolicy\User\
Scripts\Logon
Skrypt wylogowywania %SystemRoot%\System32\GroupPolicy\User\
Scripts\Logoff
Skrypt uruchamiania %SystemRoot%\System32\GroupPolicy\Machine\
Scripts\Startup
Skrypt zamykania %SystemRoot%\System32\GroupPolicy\Machine\
Scripts\Shutdown
Zwróć uwagę, że %SystemRoot%System32\GroupPolicy jest folderem ukrytym.
Aby zastosować któryS
z tych skryptów, uruchom Zasady grupy (Gpedit.msc)
i przejdx
do folderu Konfiguracja komputera\Ustawienia systemu Win-
dows\Skrypty (dla skryptów uruchamiania i zamykania) albo Konfiguracja użyt-
kownika\Ustawienia systemu Windows\Skrypty (dla skryptów logowania i wy-
logowywania).
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 953
Kiedy dwukrotnie klikniesz jedną z pozycji w tych folderach, zauważysz kilka do-
datkowych korzyS
ci ze skryptów logowania:
Możesz okreS
lić więcej niż jeden skrypt dla każdego z tych zdarzeń oraz możesz

okreS
lić kolejnoS
ć, w jakiej mają być uruchamiane.
Możesz okreS
lić parametry wiersza polecenia dla każdego skryptu.

Zasady grupy oferują również kilka ustawień zasad, które wpływają na sposób
działania skryptów  synchroniczny albo asynchroniczny, ukryty albo widzialny.
(W tym wypadku synchronicznie oznacza, w efekcie, że nic innego nie jest urucha-
miane, dopóki skrypt nie zakończy działania). Ustawienia te odnajdziesz, wraz z
bardziej szczegółowym wyjaS
nieniem ich działania, w folderze Konfiguracja kom-
putera\Szablony administracyjne\System\Skrypty oraz Konfiguracja użytkowni-
ka\Szablony administracyjne\System\Skrypty. Niektóre zasady pojawiają się w
obu miejscach; jeżeli ustawienia te są różnie skonfigurowane, to ta, która znajduje
się w Konfiguracji komputera, ma pierwszeństwo.
954 CzęS
ć VIII: Administracja systemu
Używanie Profili mobilnych użytkownika
Profil mobilny użytkownika pozwala użytkownikowi na logowanie się na stacji roboczej
i ujrzenie znajomych ustawień na pulpicie, w menu Start itd. Profile mobilne użyt-
kownika działają dzięki przechowywaniu profilu użytkownika w udostępnionym
folderze sieciowym. Kiedy użytkownik się loguje, informacje profilu są kopiowane
z udziału sieciowego na lokalny dysk twardy. Kiedy użytkownik wylogowuje się, in-
formacje te  które mogły ulec zmianie w czasie sesji  kopiowane są z powrotem do
udostępnionego folderu.
Jeżeli używasz więcej niż jednego komputera, możesz odczuć przydatnoS
ć profilów
mobilnych użytkownika. Na przykład jeżeli posiadasz małą firmę z działem obsługi
klienta oraz zapleczem, możesz spędzać czas zarówno w jednym, jak i drugim miejscu.
Chociaż stosunkowo łatwo skonfigurować twoje pliki danych w udziale sieciowym do
łatwego dostępu, prawdopodobnie stwierdzisz, że twoja wydajnoS
ć ucierpi z powodu
drobnych zmian w ustawieniach  na przykład twój osobisty słownik pisowni w Wor-
dzie albo lista Ulubionych witryn sieciowych  które są różne w tych dwóch miejscach.
Używanie profilu mobilnego użytkownika rozwiązuje ten problem.
Zwykle profile mobilne użytkownika są cechą sieci bazujących na domenach (to zna-
czy sieci, która wykorzystuje system należący do rodziny Windows .NET Server,
Windows 2000 Server albo Windows NT Server jako kontroler domeny). Jednak przy
odrobinie dodatkowej pracy możesz cieszyć się niektórymi z tych korzyS
ci w S
rodo-
wisku grupy roboczej. W S
rodowisku domeny konta użytkowników oraz konta kom-
puterów są centralnie zarządzane na poziomie domeny, tak że zmiany musisz wpro-
wadzać tylko jeden raz i tylko w jednym miejscu. Uzyskanie dostępu do profilu po raz
pierwszy z nowego komputera jest automatyczne. W przeciwieństwie do tego, w gru-
pie roboczej musisz stworzyć podobne konta użytkownika na każdym komputerze,
na którym zamierzasz się logować, zanim będziesz mógł się zalogować.
Aby zadziałało to w S
rodowisku grupy roboczej, każdy użytkownik, któremu chcesz
skonfigurować profil mobilny użytkownika, musi posiadać konto na każdym kom-
puterze, na którym będzie się logować, oraz konto na komputerze, który zawiera
udostępniony folder profilów. Konto użytkownika na każdym komputerze musi
mieć tę samą nazwę użytkownika oraz hasło.
OSTRZEżENIE
Nasze eksperymenty pokazały, że konfigurowanie profili mobilnych oraz profili obowiązkowych w S
rodowi-
sku grupy roboczej tylko z systemem Windows XP jest trudne  w najlepszym wypadku. Ze względu na
sposób, w jaki stosowane są ustawienia (w szczególnoS
ci ustawienia związane z nowym sposobem obsługi
tematów i nowym menu Start), nie wszystkie ustawienia przechodzą poprawnie i działanie jest czasami nie-
przewidywalne, jeżeli nie skonfigurujesz wszystkiego poprawnie. Jeżeli perfekcyjne działanie tych funkcji jest
ważne dla ciebie i twojej firmy, powinieneS
rozważyć aktualizację do systemu Windows .NET Server, który
czyni konfigurację użytkownika znacznie łatwiejszą i dużo bardziej niezawodną.
Konfigurowanie udostępnionego folderu dla profili mobilnych
Ponieważ na pewno będziesz chciał przeglądać i modyfikować uprawnienia, kompu-
ter, na którym zamierzasz przechowywać profile mobilne, musi działać w systemie
Windows XP Professional i mieć wyłączoną opcję Proste udostępnianie plików.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 955
Aby skonfigurować folder udostępniony, wykonaj następujące czynnoS
ci:
1. Zaloguj się jako członek grupy Administratorzy danego komputera.
2. Używając Eksploratora Windows, utwórz folder o nazwie Profiles.
3. W Eksploratorze Windows kliknij prawym przyciskiem myszy i wybierz Udo-
stępnianie i zabezpieczenia.
4. Na karcie Udostępnianie okna dialogowego WłaS
ciwoS
ci: Profiles, które się poja-
wi, zaznacz opcję Udostępnij ten folder. DomyS
lne uprawnienia udostępniania,
które dają dostęp z Pełną kontrolą grupie Wszyscy, są właS
ciwe.
5. Kliknij kartę Zabezpieczenia (jeżeli utworzyłeS
folder na woluminie NTFS)
i upewnij się, że Wszyscy mają uprawnienie Pełna kontrola.
Konfigurowanie kont użytkowników
Aby skonfigurować konta użytkowników, wykonaj poniższe czynnoS
ci:
1. Na każdym komputerze (łącznie z  serwerem , który skonfigurowałeS
w po-
przedniej procedurze) zaloguj się jako członek grupy Administratorzy.
2. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Zarządzaj.
3. W programie Zarządzanie komputerem przejdx
do folderu Narzędzia systemo-
we\Użytkownicy i grupy lokalne\Użytkownicy.
4. Jeżeli konto, którego potrzebujesz, jeszcze nie istnieje, wybierz Akcja, Nowy użyt-
kownik i utwórz konto użytkownika. Upewnij się, że używasz tej samej nazwy
użytkownika i hasła na każdym komputerze. WyczyS
ć pole Użytkownik musi
zmienić hasło przy następnym logowaniu, zanim klikniesz przycisk Utwórz.
5. W prawym okienku konsoli Zarządzanie komputerem dwukrotnie kliknij nazwę
użytkownika, aby wyS
wietlić okno dialogowe właS
ciwoS
ci.
6. Kliknij kartę Profil. W polu R
cieżka profilu wpisz S
cieżkę sieciową do udostępnio-
nego folderu profili, tak jak pokazano na rysunku 34-4. Zaletą używania zmiennej
S
rodowiskowej %UserName% jest jedynie wygoda: możesz używać tego samego
ciągu znaków dla każdego użytkownika, bez potrzeby zatrzymywania się po to,
żeby sprawdzić właS
ciwą nazwę folderu profilu.
UWAGA
Komputer klient  nie ten, na którym przechowywany jest profil  może działać z systemem Windows XP
Home Edition. Chociaż wersja Home Edition nie zawiera przystawki Użytkownicy i grupy lokalne, możesz
użyć innych narzędzi, aby osiągniąć ten sam rezultat. Jeżeli potrzeba, utwórz nowe konto użytkownika i
przypisz do niego hasło za pomocą Kont użytkownika w Panelu sterowania. Aby przypisać S
cieżkę profilu,
użyj polecenia Net User. Na przykład aby wykonać takie samo przypisanie jak na rysunku 34-4, w wierszu
polecenia wpisz net user marek /profilepath:\\badlands\profiles\marek.
956 CzęS
ć VIII: Administracja systemu
Rysunek 34-4. Zmienna S
rodowiskowa %UserName% jest zamieniana na nazwę użytkownika, kiedy przejdziesz do
następnego pola albo klikniesz OK.
Tworzenie profilu
Aby utworzyć profil, który ma być użyty jako profil mobilny użytkownika, i skopio-
wać go do udostępnionego folderu profili, wykonaj następujące czynnoS
ci:
1. Utwórz profil poprzez zalogowanie się (najlepiej używając tymczasowego konta
użytkownika, utworzonego w tym celu) i wprowadx
ustawienia jakie chcesz.
2. Wyloguj się, a następnie ponownie zaloguj jako członek grupy Administratorzy.
UWAGA
Jeżeli kopiujesz profil z innego komputera niż ten, który zawiera udostępniony folder profili, konto na które
się zalogowałeS
, musi mieć tę samą nazwę użytkownika i hasło co konto, które ma uprawnienia admini-
stracyjne na komputerze docelowym.
3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz WłaS
ciwoS
ci.
W oknie dialogowym WłaS
ciwoS
ci systemu kliknij kartę Zaawansowane, a następ-
nie kliknij przycisk Ustawienia w sekcji Profile użytkownika.
4. Zaznacz profil, który utworzyłeS
, i kliknij przycisk Kopiuj do.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 957
5. W polu Kopiowanie profilu do wpisz pełną S
cieżkę do folderu przeznaczenia. Na
przykład jeżeli chcesz utworzyć profil dla użytkownika o nazwie Marek w udziale
Profiles na komputerze o nazwie Badlands, wpisz \\badlands\profiles\marek.
Upewnij się, że folder przeznaczenia, który podałeS
, nie istnieje; jeżeli istnieje,
Windows usunie jego zawartoS
ć, zanim skopiuje profil.
6. W sekcji Pozwolenie na używanie kliknij przycisk Zmień i wpisz nazwę użytkow-
nika, który będzie używał profilu.
Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil
użytkownika do okreS
lonego folderu i ustawi uprawnienia na folderze docelowym
i jego zawartoS
ci. Windows daje uprawnienie Pełna kontrola dla grupy Administrato-
rzy, użytkownika lub grupy, którą podałeS
w polu Pozwolenie na używanie, oraz
konta systemowego. Uniemożliwia to użytkownikom nie będącym administratorami
dostęp do profili innych niż ich własne.
Jeżeli skopiowałeS
profil z jednego komputera do udostępnionego folderu na innym
komputerze, uprawnienia, które utworzył system Windows, nie są do końca popraw-
ne i musisz wykonać jeszcze jedną czynnoS
ć, aby je poprawić.
Na komputerze z udostępnionym folderem profili kliknij prawym przyciskiem my-
szy folder nowego profilu, wybierz WłaS
ciwoS
ci i kliknij Zabezpieczenia. Jeżeli jedna
z nazw pokazuje identyfikator zabezpieczeń nieznanego użytkownika, jak pokazano
na rysunku 34-5, musisz dodać właS
ciwe konto użytkownika (w tym przypadku Ma-
rek) i nadać mu uprawnienie Pełna kontrola. Możesz usunąć nieznanego użytkowni-
ka, aczkolwiek nie ma potrzeby, aby to robić. (Konto nieznanego użytkownika w rze-
czywistoS
ci jest poprawną nazwą użytkownika, ale jest to konto z komputera
x
ródłowego, a nie konto na komputerze lokalnym. Jest to jedna z niebezpiecznych
Używanie profilu obowiązkowego
Profil obowiązkowy działa w dużym stopniu tak, jak profil mobilny użytkownika:
kiedy użytkownik się loguje, profil jest kopiowany z lokalizacji sieciowej do folde-
ru lokalnego, tym samym dostarczając znajomych ustawień. Różnica jest taka, że
profil obowiązkowy nie jest uaktualniany na podstawie zmian użytkownika, kiedy
użytkownik się wylogowuje.
Aby przypisać profil obowiązkowy do jednego lub więcej użytkowników, wykonaj
te same procedury, jak w wypadku użycia profilu mobilnego użytkownika. Na-
stępnie na komputerze, na którym przechowywany jest udostępniony folder,
wprowadx
następujące zmiany:
1. Zmień uprawnienia folderu, usuwając uprawnienia Pełna kontrola, Modyfika-
cja oraz Zapis dla konta użytkownika (lub kont), które będzie używać profilu 
pozostawiając jedynie uprawnienia Odczyt i wykonanie, WyS
wietlanie zawar-
toS
ci folderu oraz Odczyt.
2. Zmień nazwę ukrytego pliku Ntuser.dat (w folderze najwyższego poziomu pro-
filu) na Ntuser.man. (Upewnij się, że zmieniłeS
Ntuser.dat, a nie Ntuser.dat.log,
którego rozszerzenie jest normalnie ukryte). Rozszerzenie .man okreS
la profil
obowiązkowy (ang. mandatory).
958 CzęS
ć VIII: Administracja systemu
i irytujących rzeczy związanych z poleganiem na oddzielnych bazach danych zabez-
pieczeń  jak robi model grupy roboczej  zamiast używania scentralizowanej bazy
danych zabezpieczeń, jak ma to miejsce w wypadku domeny. W celu uzyskania dal-
szych informacji, patrz  Lokalne konta i grupy a konta i grupy domeny na stronie 77).
Rysunek 34-5. Jeżeli uprawnienia dla profilu nie zawierają lokalnego konta użytkownika, użytkownik nie będzie mógł
się zalogować.
ROZWIąZYWANIE PROBLEMÓW
Niektóre pliki są niedostępne dla profilu mobilnego
Możesz mieć problemy, jeżeli niektóre ustawienia profilu użytkownika polegają na plikach, przechowy-
wanych na lokalnym dysku twardym. Na przykład możesz ustawić tło pulpitu jako plik przechowywany na
dysku C. Kiedy zalogujesz się na innym komputerze, tło nie pojawia się (chyba że zdarzy się, że taki sam
plik będzie w tej samej lokalizacji na innym komputerze). Możesz złagodzić problemy tego typu, przekiero-
wując Moje dokumenty do udostępnionego folderu profili, a następnie używając go do przechowywania
dokumentów i innych plików, do których chcesz mieć dostęp z innych komputerów.
Kontrolowanie możliwoS
ci użytkowników
za pomocą Zasad grupy
Zasady grupy są bardzo zachwalaną funkcją usługi Active Directory, która jest czę-
S
cią systemów Windows .NET Server oraz Windows 2000 Server. W tym S
rodowisku
Zasady grupy są z pewnoS
cią potężnym narzędziem, które pozwala administratorom
na konfigurowanie komputerów w różnych lokalizacjach, domenach czy też jednost-
kach organizacyjnych. Oprócz ustawiania standardowych konfiguracji pulpitu oraz
ustalania, którzy użytkownicy mogą wprowadzać zmiany, administratorzy mogą
używać Zasad grupy do centralnego zarządzania instalacją, konfiguracją, uaktualnia-
niem oraz usuwaniem oprogramowania, okreS
lać skrypty wykorzystywane przy
uruchamianiu, zamykaniu, logowaniu oraz wylogowywaniu, a także przekierowy-
wać specjalne foldery użytkowników (takie jak Moje dokumenty) do sieci. Admini-
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 959
stratorzy mogą dopasowywać wszystkie te ustawienia dla posczególnych kompute-
rów, użytkowników oraz grup.
Jednak Zasady grupy mogą okazać się przydatnym narzędziem do zarządzania kom-
puterami w małej sieci albo nawet do zarządzania pojedynczym komputerem z kilko-
ma użytkownikami. Używając jedynie lokalnego obiektu Zasad grupy na kompute-
rze z uruchomionym systemem Windows XP Professional, możesz:
Zarządzać zasadami bazującymi na rejestrze  wszystko, począwszy od konfigu-

rowania pulpitu do ukrywania pewnych napędów dyskowych, po zapobieganie
tworzeniu zadań zaplanowanych. Ustawienia te  oraz setki innych  przechowy-
wane są w gałęziach kluczy HKLM oraz HKCU rejestru systemu, który możesz
edytować bezpoS
rednio. Jednak Zasady grupy dostarczają istotnych korzyS
ci: są
dużo łatwiejsze w użyciu niż edytor rejestru oraz okresowo automatycznie uaktu-
alniają rejestr (tym samym utrzymując twoje zasady w działaniu, nawet jeżeli re-
jestr zostanie zmodyfikowany w inny sposób).
Przypisać skrypty do uruchamiania i wyłączania komputera oraz logowania i wy-

logowywania użytkownika. (W celu uzyskania szczegółów, patrz  Używanie
skryptów, które uruchamiają się przy logowaniu, wylogowywaniu, uruchamianiu
i zamykaniu systemu na stronie 951).
OkreS
lać opcje zabezpieczeń.

W S
rodowisku domeny Zasady grupy pozwalają administratorowi na zastosowanie
zasad zabezpieczeń oraz ograniczeń dla użytkowników i komputerów (oraz grup
jednych i drugich) za jednym zamachem. W grupie roboczej musisz zastosować po-
dobne ustawienia Zasad grupy na każdym komputerze, na którym chcesz wprowa-
dzić takie ograniczenia.
UWAGA
Zasady grupy nie są dostępne w systemie Windows XP Home Edition.
Uruchamianie Zasad grupy
Ustawienia Zasad grupy wybiera się, używając przystawki Zasady grupy dla progra-
mu Microsoft Management Console (MMC), pokazanej na rysunku 34-6. System Win-
dows XP Professional zawiera konsolę MMC, która pokazuje tylko tę przystawkę, ale
nie odnajdziesz jej w menu Start. Aby otworzyć tę konsolę, przejdx
do menu Start,
kliknij Uruchom i wpisz gpedit.msc. Musisz być zalogowany jako członek grupy Ad-
ministratorzy, aby móc używać Zasad grupy.
Jeżeli twój komputer jest przyłączony do domeny z zasadami bazującymi na usłudze
Active Directory i jeS
li posiadasz odpowiednie uprawnienia administracyjne dome-
ny, możesz skonfigurować Zasady grupy do wyS
wietlania rozszerzeń przystawki,
które pozwolą ci przeglądać oraz modyfikować zasady domeny, jak również rozsze-
rzenia dla lokalnego obiektu Zasady grupy. (Dodatkowe informacje na ten temat
znajdziesz w podrozdziale  W jaki sposób lokalne ustawienia Zasad grupy od-
działują z ustawieniami Zasad grupy bazującymi na usłudze Active Directory na
stronie 965). Jednak, ponieważ w książce tej skupiamy się na systemie Windows XP,
w tym rozdziale opiszemy jedynie lokalny obiekt Zasady grupy.
960 CzęS
ć VIII: Administracja systemu
Rysunek 34-6. Wpisanie gpedit.msc w wierszu polecenia otwiera konsolę Zasady grupy.
Uruchamianie Zasad grupy dla komputerów zdalnych
Dla niektórych przystawek konsoli MMC (na przykład Zarządzanie komputerem)
możesz użyć poleceń menu do przełączenia się z komputera lokalnego na inny kom-
puter w sieci. Jednak nie działa to w ten sposób w przypadku Zasad grupy, które raz
uruchomione, kierują swoją uwagę na pojedynczy komputer. Jednak możesz urucho-
mić Zasady grupy, kierując ich uwagę ku innemu komputerowi. Aby tak zrobić, mu-
sisz posiadać uprawnienia administracyjne na obu komputerach, swoim i tym dru-
gim. Nawet bez systemu Windows .NET Server (albo Windows 2000 Server) i usługi
Active Directory, możesz administrować wszystkimi komputerami w sieci z poziomu
jednej konsoli. (Zasadnicza różnica polega na tym, że musisz ustawiać lokalne Zasa-
dy grupy na każdym komputerze, zamiast ustawić Zasady grupy bazujące na
usłudze Active Directory, które stosowane są do wszystkich komputerów). Możesz
użyć dwóch sposobów, aby uruchomić Zasady grupy dla komputera zdalnego: para-
metru wiersza polecenia albo własnej konsoli MMC.
Najłatwiejszym sposobem jest dołączenie parametru /Gpcomputer, tak jak zrobiliS
-
my w poniższym przykładzie:
Gpedit.msc /gpcomputer:"equinoxe"
Nazwa komputera, która następuje po parametrze /Gpcomputer, może być podana
w stylu NetBIOS (tak jak tu) albo w stylu DNS (na przykład equinoxe.rm.com.pl), któ-
ry jest podstawową formą nazewnictwa używaną przez domeny systemów Windows
.NET Server oraz Windows 2000 Server. W obu przypadkach musisz umieS
cić nazwę
komputera w cudzysłowie.
Metodą alternatywną jest stworzenie własnej konsoli, która otwiera lokalny obiekt Za-
sad grupy innego komputera. Przewagą tego rozwiązania jest to, że możesz utworzyć
pojedynczą konsolę, otwierającą Zasady grupy dla każdego komputera, którym chcesz
zarządzać. Aby utworzyć własną konsolę, wykonaj następujące czynnoS
ci:
1. W menu Start kliknij Uruchom i wpisz mmc.
2. Otwórz menu Plik i wybierz Dodaj/Usuń przystawkę.
3. Na karcie Autonomiczna kliknij przycisk Dodaj.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 961
4. Wybierz przystawkę Zasady grupy i kliknij przycisk Dodaj.
5. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij Przeglądaj.
6. Na karcie Komputery zaznacz pole Inny komputer, a następnie wpisz nazwę kom-
putera albo kliknij przycisk Przeglądaj, Zaawansowane, Znajdx
teraz, aby wybrać
go z listy.
7. Kliknij OK, a następnie Zakończ.
8. Powtórz kroki od 4 do 7, aby dodać inne komputery do konsoli.
9. Kliknij przycisk Zamknij, a następnie OK.
Dodatkowe informacje na temat konsoli MMC znajdziesz w podrozdziale  Tworzenie własnych konsoli MMC na stronie 1025.
Dopasowywanie okna Zasad grupy
Konsola Zasady grupy posiada kilka łatwych do przeoczenia opcji, których nie znaj-
dziesz w innych przystawkach konsoli MMC. Możesz dodawać albo usuwać szablo-
ny administracyjne, a także ograniczyć widok tylko do tych zasad, które zostały skon-
figurowane.
Dodawanie lub usuwanie szablonów zasad
Foldery Szablonów administracyjnych (pod elementami Konfiguracja komputera
i Konfiguracja użytkownika) są rozwijalne. Zasady Szablonów administracyjnych
zdefiniowane są w pliku .adm. System Windows XP zawiera kilka plików .adm, z któ-
rych cztery wyS
wietlane są domyS
lnie, co pokazano w tabeli 34-1.
Możesz usunąć szablony, które zawierają zasady, których nigdy nie używasz, albo
możesz dodać własny szablon dostarczony przez inny program. Na przykład Micro-
962 CzęS
ć VIII: Administracja systemu
soft Office XP Resource Kit zawiera szablony zasad do zarządzania pakietem Microsoft
Office; więcej szczegółów odnajdziesz, odwiedzając stronę www.microsoft.com/offi-
ce/ork.
Tabela 34-1. Pliki Szablonów administracyjnych zawarte w Windows XP
Nazwa pliku Opis
Conf.adm Ustawienia konferencyjne dla programu Microsoft NetMeeting, które ukazują
(wyS
wietlany domyS
lnie) się w folderze Szablony administracyjne\Składniki systemu Windows\NetMeeting
(pod elementami Konfiguracja komputera i Konfiguracja użytkownika)
Intercorp.adm Ustawienia programu Microsoft Internet Explorer do użytku z zestawem
Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy
Inetres.adm Ustawienia programu Microsoft Internet Explorer, które ukazują się w folderze
(wyS
wietlany domyS
lnie) Szablony administracyjne\Składniki systemu Windows\Internet Explorer (pod
elementami Konfiguracja komputera i Konfiguracja użytkownika)
Inetset.adm Ustawienia programu Microsoft Internet Explorer do użytku z zestawem
Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy
System.adm Duża różnorodnoS
ć ustawień dla Windows XP, obejmujących większoS
ć
(wyS
wietlany domyS
lnie) zasad ukazujących się w Zasadach grupy
Wmplayer.adm Ustawienia programu Windows Media Player, które ukazują się w folderze
(wyS
wietlany domyS
lnie) Konfiguracja użytkownika\Szablony administracyjne\Składniki systemu
Windows\Program Windows Media Player
Aby dodać albo usunąć szablon zasad, kliknij prawym przyciskiem myszy Szablony
administracyjne (jeden z folderów) i wybierz Dodaj/Usuń szablony. Po wpro-
wadzeniu zmian i klikniięciu przycisku Zamknij w oknie dialogowym Dodawa-
nie/Usuwanie szablonów, oba foldery Szablony administracyjne odzwierciedlą twój
nowy wybór.
Dodawanie szablonu zasad jedynie kopiuje plik .adm do folderu %SystemRoot%\Sys-
tem32\GroupPolicy\Adm; usunięcie szablonu usuwa kopię w tym folderze. Dodawa-
nie lub usuwanie szablonów zasad nie zmienia kryjących się za nimi ustawień zasad;
decyduje to jedynie o tym, czy zasady te są wyS
wietlane w przystawce Zasady grupy.
Nowa funkcja!
WyS
wietlanie tylko wybranych zasad
Nawet z samymi standardowo zainstalowanymi szablonami, Zasady grupy oferują
setki zasad, które możesz ustawiać. Wiele z tych zasad może dotyczyć obszarów sys-
temu Windows, których nigdy nie używasz. Włączenie ich do konsoli Zasady grupy,
powoduje jedynie jej zaS
miecenie. Teraz system Windows oferuje sposób na selek-
tywne filtrowanie listy wyS
wietlanych zasad Szablonów administracyjnych, tak aby
zwierała ona jedynie te, które mogą cię interesować.
Aby użyć tej funkcji, kliknij prawym przyciskiem myszy Szablony administracyjne
i wybierz Widok, a następnie Filtrowanie. W oknie dialogowym Filtrowanie, pokaza-
nym na rysunku 34-7, możesz zdecydować o ukryciu elementów, które dotyczą tylko
okreS
lonych wersji systemu Windows lub programu Internet Explorer. (Przydatne
jest to głównie wtedy, gdy zdalnie edytujesz zasady na innym komputerze, który
może nie działać pod systemem Windows XP). Kiedy już skonfigurujesz Zasady gru-
py, tak jak chciałeS
(jak opisano dalej w tym rozdziale), możesz wyczyS
cić ekran ukry-
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 963
wając niezliczoną iloS
ć zasad, których ustawianiem nie jesteS
zainteresowany: za-
znacz pole Pokaż tylko skonfigurowane ustawienia zasad.
Rysunek 34-7. Możesz ukryć zasady, którymi nie jesteS
zainteresowany.
Filtrowanie wyS
wietlania zasad nie zmienia kryjących się za nimi ustawień; decyduje
to jedynie o tym, czy zasady te są wyS
wietlane w przystawce Zasady grupy.
W przeciwieństwie do polecenia Dodaj/Usuń szablony, filtrowanie dotyczy jedynie
folderu Szablony administracyjne, który zaznaczyłeS
. Jeżeli chcesz przefiltrować za-
sady zarówno w Konfiguracji komputera, jak i w Konfiguracji użytkownika, musisz
powtórzyć ten proces w obu folderach.
Lokalny obiekt Zasad grupy
Obiekt Zasad grupy jest kolekcją ustawień Zasad grupy. W domenie bazującej na syste-
mie Windows .NET Server lub Windows 2000 Server obiekty Zasad grupy przecho-
wywane są na poziomie domeny i dotyczą użytkowników i komputerów, opierając
się na ich członkostwie w lokalizacjach sieciowych, domenach oraz jednostkach orga-
nizacyjnych. Każdy komputer z systemem Windows XP posiada pojedynczy lokalny
obiekt Zasad grupy. Ponieważ nie bazuje on na serwerowej wersji systemu Windows,
na nim się tutaj skupimy.
Lokalny obiekt Zasad grupy przechowywany jest jako seria plików i folderów
w ukrytym folderze %SystemRoot%\System32\GroupPolicy. DomyS
lnie lokalna
grupa Administratorzy oraz system operacyjny posiadają uprawnienia Pełna kontro-
la dla tego folderu oraz wszystkich folderów, które zawiera; Uwierzytelnieni użyt-
kownicy posiadają uprawnienia Zapis i wykonanie. Folder GroupPolicy typowo za-
wiera następujące pliki i foldery:
Gpt.ini. Plik ten przechowuje informacje o tym, które rozszerzenia (identyfikowa-

ne przez ich globalnie unikatowy identyfikator, GUID) zawierają zmodyfikowane
ustawienia oraz o tym, czy gałąx
Konfiguracja komputera albo Konfiguracja użyt-
kownika jest wyłączona.
Adm. Folder ten zawiera szablony administracyjne (przechowywane jako pliki

.adm), które są w użyciu. (Patrz  Dodawanie lub usuwanie szablonów zasad na
stronie 961).
964 CzęS
ć VIII: Administracja systemu
User. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia rejestru,

dotyczące użytkowników. Folder User zawiera następujące podfoldery:
Microsoft\IEAK, który zawiera ustawienia dla elementów, ukazujących się w

folderze \Konfiguracja użytkownika\Ustawienia systemu Windows\Konser-
wacja programu Internet Explorer w Zasadach grupy.
Scripts, który zawiera dwa foldery: Logon oraz Logoff, zawierające skrypty

uruchamiane kiedy użytkownik się loguje lub wylogowywuje.
Machine. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia reje-

stru, dotyczące komputera. Wewnątrz folderu Machine znajduje się podfolder
Scripts, który z kolei zawiera dwa foldery: Startup oraz Shutdown. Zawierają one
skrypty, uruchamiane, kiedy komputer jest uruchamiany alby wyłączany.
UWAGA
Niektóre z tych plików i folderów są tworzone jedynie wtedy, gdy uruchomisz Zasady grupy i wprowadzisz
jakieS
ustawienia.
W jaki sposób działają Zasady grupy
WiększoS
ć ustawień Zasad grupy znajduje się w rozszerzeniach Szablonów admini-
stracyjnych przystawki Zasady grupy. (Jak napisano w innym miejscu w tym rozdzia-
le, zawartoS
ć folderów Szablony administracyjne wywodzi się z plików .adm w obiek-
cie Zasad grupy). Kiedy konfigurujesz zasadę w folderze Szablony administracyjne (to
znaczy wybierasz albo Włączone, albo Wyłączone i opcjonalnie, ustawiasz wartoS
ć),
Zasady grupy przechowują te informacje jako własne ustawienie rejestru w jednym
z dwóch plików Registry.pol. Tak jak mógłbyS
się spodziewać, Zasady grupy używają
pliku Registry.pol w folderze %SystemRoot%\System32\GroupPolicy\Machine dla
ustawień, które wprowadzisz w folderze Konfiguracja komputera\Szablony admini-
stracyjne w Zasadach grupy, oraz używają pliku w folderze Users dla ustawień jakie
wprowadzisz w folderze Konfiguracja użytkownika\Szablony administracyjne.
Ustawienia Zasad Grupy powiązane z komputerem  te przechowywane w pliku Ma-
chine\Registry.pol  kopiowane są do odpowiednich kluczy rejestru w gałęzi HKLM,
podczas startu systemu operacyjnego oraz podczas okresowego odS
wieżania. Usta-
wienia powiązane z użytkownikiem (w pliku User\Registry.pol) kopiowane są do
odpowiednich kluczy w gałęzi HKCU, kiedy użytkownik loguje się oraz podczas
okresowego odS
wieżania.
UWAGA
Ustawienia Zasad grupy  zarówno lokalne, jak i bazujące na usłudze Active Directory  mają pierwszeństwo
przed ustawieniami użytkownika (czyli ustawieniami, które wprowadzisz w Panelu sterowania i innymi sposo-
bami dostępnymi dla zwykłych użytkowników). Dzieje się tak, ponieważ ustawienia Zasad grupy nie są zapisy-
wane do  normalnego klucza rejestru dla konkretnego ustawienia; zamiast tego zapisywane są w wartoS
ci w
kluczu  zasad . Na przykład jeżeli użyjesz okna dialogowego WłaS
ciwoS
ci paska zadań i menu Start do wyłącze-
nia menu spersonalizowanych, dane w wartoS
ci Intellimenus w kluczu HKCU\Software\Microsoft\Win-
dows\CurrentVersion\Explorer\Advanced zmienią się. Ale jeżeli użyjesz Zasad grupy, zamiast tego zmieni się
wartoS
ć Intellimenus w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. W przy-
padku konfliktów wartoS
ć w kluczu Policies unieważnia tę drugą.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 965
Okresowe odS
wieżanie występuje w odstępach, które okreS
lisz jako ustawienie Zasad
grupy. DomyS
lnie pliki Registry.pol kopiowane są do rejestru co 90 minut plus prze-
sunięcie losowe od 0 do 30 minut. (Przesunięcie losowe pomyS
lane jest dla zasad ba-
zujących na usłudze Active Directory; w ogromnych sieciach byłoby niewskazane,
aby wszystkie działania odS
wieżania pojawiły się równoczeS
nie. W wypadku lokal-
nych Zasad grupy, przesunięcie nie pełni żadnej użytecznej funkcji, ale mimo to jest
dodawane). Poprzez włączenie i zmodyfikowanie ustawienia Interwał odS
wieżania
zasad grupy dla komputerów w folderze Konfiguracja komputera\Szablony admini-
stracyjne\System\Zasady grupy oraz ustawienia Interwał odS
wieżania zasad grupy
dla użytkowników w folderze Konfiguracja użytkownika\Szablony administracyj-
ne\System\Zasady grupy, możesz zmienić interwał oraz opóx
nienie. Możesz usta-
wić interwał na dowolną wartoS
ć od 0 minut (w tym wypadku ustawienia są odS
wie-
żane co 7 sekund) do 64 800 minut (45 dni).
Aby natychmiast odS
wieżyć ustawienia Zasad grupy, w wierszu polecenia wpisz
gpupdate. Aby wyS
wietlić listę opcjonalnych przełączników dla programu Gpupda-
te.exe, wpisz gpupdate /?.
W jaki sposób lokalne ustawienia Zasad grupy oddziałują z ustawieniami Zasad grupy
bazującymi na usłudze Active Directory
Jeżeli twój komputer jest przyłączony do domeny, mogą na niego oddziaływać usta-
wienia Zasad grupy, inne niż te, które ustawiłeS
w lokalnym obiekcie Zasad grupy.
Ustawienia Zasad grupy są stosowane w następującej kolejnoS
ci:
1. Ustawienia z lokalnego obiektu Zasad grupy
2. Ustawienia z obiektów Zasad grupy lokalizacji, w administracyjnie okreS
lonej kolej-
noS
ci
3. Ustawienia z obiektów Zasad grupy domeny, w administracyjnie okreS
lonej kolej-
noS
ci
4. Ustawienia z obiektów Zasad grupy jednostki organizacyjnej, od największej do
najmniejszej jednostki organizacyjnej (od nadrzędnej do podrzędnej jednostki or-
ganizacyjnej), oraz w administracyjnie okreS
lonej kolejnoS
ci na poziomie każdej
jednostki organizacyjnej.
Zasady zastosowane póx
niej nadpisują wczeS
niej zastosowane zasady, co oznacza, że
w przypadku ustawień będących w konflikcie pierwszeństwo mają zasady najwyż-
szego poziomu bazujące na usłudze Active Directory. Ustawienia zasad kumulują się,
tak że wszystkie przyczyniają się do efektywnej polityki. Efektywna polityka nazy-
wana jest Wynikowym zestawem zasad (Resultant Set of Policy - RSoP).
Aby zobaczyć, które ustawienia mają wpływ na okreS
lonego użytkownika, możesz
użyć narzędzia wiersza polecenia (Gpresult.exe). Aby wyS
wietlić RSoP dla siebie, po
prostu wpisz w wierszu polecenia gpresult. Aby uzyskać informacje o innych opcjach
wpisz gpresult /?.
Centrum pomocy i obsługi technicznej również zawiera narzędzie, które pokazuje
efektywne ustawienia Zasad grupy dla bieżącego użytkownika. Aby użyć tego narzę-
dzia, otwórz Centrum pomocy i obsługi technicznej. Na stronie początkowej kliknij
w prawym panelu odnoS
nik Użyj narzędzi, aby wyS
wietlić informacje o komputerze
i przeanalizować problemy. Następnie w lewym panelu kliknij Zaawansowane infor-
966 CzęS
ć VIII: Administracja systemu
macje o systemie, a następnie kliknij odnoS
nik WyS
wietl zastosowane ustawienia za-
sad grupy w prawym panelu. Rysunek 34-8 pokazuje przykład.
GPO x
ródła
identyfikuje
obiekt Zasad
grupy, który
kontroluje
okreS
lone
ustawienie
Rysunek 34-8. Narzędzie Zasady grupy w Centrum pomocy i obsługi technicznej pokazuje, które ustawienia są
w użyciu  coS
, co niełatwo stwierdzić w S
rodowisku domeny.
Typy ustawień
Gałąx
Konfiguracja komputera w Zasadach grupy zawiera różnorodne ustawienia
powiązane z komputerem, a gałąx
Konfiguracja użytkownika zawiera różnorodne
ustawienia powiązane z użytkownikiem. Jedna linia między ustawieniami kompute-
ra i ustawieniami użytkownika jest często rozmyta. Ponieważ lokalne Zasady grupy
stosowane są do wszystkich użytkowników, najlepszym sposobem na odkrycie za-
sad, których potrzebujesz, jest przetestowanie ich wszystkich. Odnajdziesz prawdzi-
wy skarb w postaci użytecznych ustawień, włączając w to wiele takich, które nie
mogą być wprowadzone w inny sposób. W folderze Szablony administracyjne znaj-
dziesz ponad 240 ustawień komputera i ponad 440 ustawień użytkownika, co spra-
wia, że brzmi to trochę zniechęcająco  ale wkrótce zorientujesz się, że możesz szybko
przejrzeć zasady w każdym folderze i zignorować większoS
ć z nich.
Nowa funkcja!
Aby dowiedzieć się więcej o każdej zasadzie, po prostu zaznacz ją, tak jak pokazano
na rysunku 34-9. Jeżeli masz zaznaczoną kartę Rozszerzony na dole okna, w central-
nym panelu pojawi się opis dla zaznaczonej zasady.
Niektóre ustawienia pojawiają się w obu gałęziach: Konfiguracja komputera i Konfi-
guracja użytkownika. W przypadku ustawień będących w konflikcie, zawsze pierw-
szeństwo ma ustawienie Konfiguracji komputera.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 967
Rysunek 34-9. Karta Rozszerzony zawiera opis zaznaczonej zasady.
Możesz przyspieszyć zastosowanie ustawień Zasad grup wyłączając zasady, których
nie używasz. Aby wyrax
nie zobaczyć, które typy zasad są w użyciu, kliknij prawym
przyciskiem myszy Zasady Komputer lokalny (na górze drzewa konsoli) i wybierz
WłaS
ciwoS
ci. W oknie dialogowym, które się pojawi, pokazanym na rysunku 34-10, li-
nia Poprawki w sekcji Podsumowanie pokazuje liczbę będących w użyciu ustawień
Konfiguracji komputera i Konfiguracji użytkownika. Jeżeli któraS
z wartoS
ci to 0 (albo
jeżeli chcesz wyłączyć ustawienia Zasad grupy z jakiegoS
powodu), zaznacz odpo-
wiednie pole wyboru w sekcji Wyłączanie.
Łatwo możesz zobaczyć, jak wiele zasad
jest ustawionych w każdej gałęzi
Rysunek 34-10. Możesz selektywnie wyłączyć ustawienia Zasad grupy powiązane z komputerem albo powiązane
z użytkownikiem.
Wprowadzanie ustawień
Każda zasada w folderach Szablony administracyjne Zasad grupy posiada jedno
z trzech ustawień: Nie skonfigurowano, Włączone, albo Wyłączone. DomyS
lnie
wszystkie zasady w lokalnym obiekcie Zasad grupy początkowo są ustawione na Nie
968 CzęS
ć VIII: Administracja systemu
skonfigurowano. (Zasady w folderach Ustawienia systemu Windows nie posiadają
opcji Nie skonfigurowano i dlatego mają inne ustawienia domyS
lne).
Aby zmienić ustawienie, po prostu dwukrotnie kliknij nazwę zasady, którą chcesz
zmienić, albo kliknij odnoS
nik WłaS
ciwoS
ci, który pojawia się w centralnym panelu
karty Rozszerzony. Pojawi się wtedy okno dialogowe właS
ciwoS
ci. Okno dialogowe
dla każdej zasady w folderze Szablony administracyjne w dużym stopniu wygląda
tak, jak to pokazane na rysunku 34-11. Karta Ustawienie zawiera trzy opcje  Nie
skonfigurowano, Włączone, oraz Wyłączone  oraz duży obszar w którym możesz wy-
konać specyficzne dla zasady ustawienia. Kontrolki w tej S
rodkowej częS
ci pojawiają
się wyszarzone i są niedostępne, dopóki nie zaznaczysz opcji Włączone. (Wiele pro-
stych zasad pozostawia ten obszar pusty, ponieważ zasada nie wymaga żadnych dal-
szych ustawień). Karta WyjaS
nienie dostarcza szczegółowych informacji dotyczących
zasady (te same informacje, które pojawiają się w centralnym panelu karty Rozszerzo-
ny). Jedynym miejscem, gdzie prawdopodobnie znajdziesz więcej informacji do-
tyczących każdej zasady, jest Microsoft Windows XP Professional Resource Kit Documen-
tation (Microsoft Press, 2001). Obie karty zawierają przyciski Poprzednie ustawienie
oraz Następne ustawienie, które ułatwiają przejS
cie przez cały folder bez potrzeby
otwierania i zamykania okna dialogowego właS
ciwoS
ci oddzielnie dla każdej zasady.
Rysunek 34-11. Okna dialogowe właS
ciwoS
ci dla wszystkich zasad folderów Szablony administracyjne są podobne do
tego.
UWAGA
Zwróć szczególną uwagę na nazwę każdej zasady, ponieważ ustawienia mogą działać odwrotnie. Wiele za-
sad zaczyna się od słowa Wyłącz (Wyłączanie) (Na przykład zasada Wyłącz pulpit Active Desktop w folde-
rze Konfiguracja użytkownika\Szablony administracyjne\Pulpit\Active Desktop). Dla tych zasad, jeżeli chcesz
zezwolić na okreS
loną opcję, musisz zaznaczyć ustawienie Wyłączone. (Innymi słowy, musisz wyłączyć zasa-
dę wyłączającą). Jeżeli chcesz zabronić tej opcji, musisz zaznaczyć Włączone.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 969
Wprowadzanie różnych ustawień dla różnych użytkowników
Ogólnie zarządzane ustawienia Zasad grupy  to znaczy, te, które są przechowywane
w usłudze Active Directory w systemie Windows .NET Server lub Windows 2000 Se-
rver  mogą być stosowane do indywidualnych użytkowników, komputerów lub ich
grup. Możesz mieć kilka zestawów obiektów Zasad grupy bazujących na usłudze Ac-
tive Directory, co umożliwi ci stworzenie całkowicie różnych kolekcji ustawień dla
różnych użytkowników i komputerów.
Jednak nie działa to w przypadku lokalnych Zasad grupy. Ustawienia lokalnych Za-
sad grupy dotyczą wszystkich użytkowników, którzy zalogują się na komputerze.
(Jednak jeżeli komputer przyłączony jest do domeny, ustawienia lokalne mogą być unie-
ważnione przez ustawienia bazujące na usłudze Active Directory. Dalsze szczegóły znaj-
dziesz w podrozdziale  W jaki sposób lokalne ustawienia Zasad grupy oddziałują
z ustawieniami Zasad grupy bazującymi na usłudze Active Directory na stronie
965). Nie możesz posiadać kilku zestawów lokalnych obiektów Zasad grupy.
Chociaż możesz mieć dostosowane ustawienia dla każdej z kilku grup, efektywnie
możesz mieć dwie grupy użytkowników: tych będących pod wpływem ustawień lo-
kalnych Zasad grupy oraz tych, na których one nie wpływają. Ten dwojaki wpływ do-
tyczy jedynie ustawień Konfiguracji użytkownika; ustawienia Konfiguracji kompute-
ra stosowane są, zanim ktokolwiek się zaloguje.
Możesz to zrobić, ponieważ lokalne Zasady grupy zależą od posiadania przez użyt-
kownika dostępu do odczytu do lokalnego obiektu Zasad grupy, który przechowy-
wany jest w folderze %SystemRoot%\System32\GroupPolicy. Zasady nie są stoso-
wane do użytkowników, którzy nie mają dostępu do odczytu, dlatego też odma-
wiając dostępu do odczytu administratorom oraz innym, których nie chcesz ograni-
czać, uwalniasz tych użytkowników od kontroli zasad grupy. Aby użyć tej metody,
wykonaj następujące czynnoS
ci:
1. Wprowadx
odpowiednią zmianę ustawienia Zasad grupy.
2. W Eksploratorze Windows kliknij prawym przyciskiem myszy folder %System-
Root%\System32\GroupPolicy i wybierz WłaS
ciwoS
ci. (Folder GroupPolicy jest
ukryty; jeżeli nie możesz go odnalex
ć, w folderze System32 wybierz Narzędzia,
Opcje folderów, Widok i zaznacz opcję Pokaż ukryte pliki i foldery).
3. Na karcie Zabezpieczenia okna dialogowego WłaS
ciwoS
ci: GroupPolicy zaznacz
grupę Administratorzy i zaznacz pole Odmów przy uprawnieniu Odczyt. (Jeżeli
chcesz wyłączyć spod kontroli Zasad grupy jakichkolwiek innych użytkowników
lub grupy, dodaj ich do listy Nazwy grupy lub użytkownika, a następnie zaznacz
dla nich pole Odmów przy uprawnieniu Odczyt).
UWAGA
Musisz zaznaczyć pole Odmów dla uprawnienia Odczyt, a nie po prostu wyczyS
cić pole Zezwalaj. W prze-
ciwnym wypadku wszyscy użytkownicy dalej będą dziedziczyć uprawnienie Odczyt ze względu na automa-
tyczne członkostwo w grupie Użytkownicy uwierzytelnieni.
Przy następnym logowaniu z użyciem konta użytkownika z wyłączonym uprawnie-
niem Odczyt stwierdzisz, że nie jesteS
już obciążony ustawieniami Zasad grupy. Jed-
nak stwierdzisz również, że bez uprawnienia Odczyt nie możesz uruchomić Zasad
970 CzęS
ć VIII: Administracja systemu
grupy  a więc nie możesz przeglądać ani modyfikować ustawień Zasad grupy. Aby
odzyskać tę władzę, musisz ponownie odwiedzić okno dialogowe WłaS
ciwoS
ci: Gro-
upPolicy i przyznać sobie uprawnienie Pełna kontrola.
Miej na uwadze to, że nawet bez wspomnianego wyżej oszukania zabezpieczeń do-
myS
lne ustawienia zabezpieczeń efektywnie tworzą dwie grupy użytkowników.
Chociaż lokalne ustawienia Zasad grupy stosowane są do wszystkich użytkowników
(sprostowanie: wszystkich użytkowników, którzy mają dostęp do odczytu do lokal-
nego obiektu Zasad grupy), tylko członkowie lokalnej grupy Administratorzy mogą
przeglądać lub zmieniać te ustawienia.
Jeżeli dostosowanie działania ustawień Zasad grupy bazującego na członkostwie
w grupie jest dla ciebie istotne, powinieneS
zainstalować system Windows .NET Server
albo Windows 2000 Server i skonfigurować usługę Active Directory. Natomiast metody
opisane w tym rozdziale dostarczają łatwego i kompromisowego rozwiązania.
Konfigurowanie praw użytkownika
Prawo użytkownika jest uwierzytelnieniem pozwalającym na przeprowadzenie operacji,
która wpływa na cały komputer. (Odwrotnie uprawnienie, jest uwierzytelnieniem do
przeprowadzenia operacji na okreS
lonym obiekcie  takim jak plik lub drukarka  na
komputerze). Dla każdego prawa użytkownika możesz okreS
lić, które konta użyt-
kowników i grupy mają prawo użytkownika. Aby przejrzeć albo ustawić prawa użyt-
kownika, w Zasadach grupy (Gpedit.msc) przejdx
do folderu Konfiguracja kompute-
ra\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypi-
sywanie praw użytkownika. Następnie kliknij dwukrotnie prawo użytkownika, aby
zobaczyć lub zmienić listę użytkowników i grup, tak jak pokazano na rysunku 34-12.
Rysunek 34-12. Aby przejrzeć albo zmienić lokalne ustawienia dla praw użytkownika, dwukrotnie kliknij prawo
użytkownika w folderze Przypisywanie praw użytkownika.
Rozdział 34: Zarządzanie profilami użytkownika i zasadami 971
WSKAZÓWKA
Użyj konsoli Ustawienia zabezpieczeń lokalnych
Konsola Ustawienia zabezpieczeń lokalnych dostarcza krótszej S
cieżki do folderu Przypisywanie praw użyt-
kownika, a więc jest przydatna, jeS
li nie ustawiasz innych zasad, takich jak te w folderach Szablony admini-
stracyjne. Aby otworzyć konsolę Ustawienia zabezpieczeń lokalnych, kliknij dwukrotnie skrót Zasady
zabezpieczeń lokalnych w folderze Narzędzia administracyjne albo w wierszu polecenia wpisz secpol.msc.
Dziesięć spoS
ród praw użytkownika  Uzyskiwanie dostępu do tego komputera z sie-
ci, Zezwalaj na logowanie za pomocą usług terminalowych, Logowanie w trybie wsa-
dowym, Logowanie w trybie usługi, Logowanie lokalne oraz odpowiadające im pra-
wa użytkownika  Odmowa  jest znanych lepiej jako prawa logowania. Kontrolują
one sposób, w jaki użytkownicy uzyskują dostęp do komputera  czy z klawiatury
( lokalnie ), czy też poprzez połączenie sieciowe, czy też jako usługa lub program
wsadowy (np. Harmonogram zadań). Możesz użyć praw logowania (w szczególnoS
ci
Logowanie lokalne oraz Odmowa logowania lokalnego), aby kontrolować, kto może
zalogować się na twoim komputerze. DomyS
lnie prawo Logowanie lokalne jest przy-
znane dla lokalnego konta GoS
ć oraz członków grup: Administratorzy, Operatorzy
kopii zapasowych, Użytkownicy zaawansowani oraz Użytkownicy. Jeżeli chcesz
uniemożliwić niektórym użytkownikom zalogowanie się z klawiatury (ale ciągle
umożliwiając im np. logowanie się poprzez sieć), utwórz grupę, dodaj do niej te konta
użytkowników, a następnie przypisz do tej grupy prawo użytkownika Odmowa lo-
gowania lokalnego. Tak jak uprawnienia odmowy, prawa odmowy logowania mają
pierwszeństwo przed prawami logowania, a więc jeS
li użytkownik jest członkiem
grupy, która jest dopuszczona do logowania się (takiej jak Użytkownicy zaawanso-
wani) oraz grupy, która nie jest (takiej jak opisana w poprzednim zdaniu), użytkow-
nik ten nie będzie mógł się zalogować. (Użytkownicy tacy zostają odrzuceni i widzą
komunikat o błędzie, po tym jak wpiszą swoją nazwę użytkownika i hasło w oknie
dialogowym Logowanie do systemu Windows).
Microsoft Windows XP Professional Resource Kit Documentation zawiera opis każdego
z praw użytkownika. Tabela 34-2 wymienia domyS
lne prawa przypisane do wbudo-
wanych grup użytkowników.
Tabela 34-2. DomyS
lne prawa wbudowanych grup użytkowników w systemie Windows XP
Professional
Grupa DomyS
lne prawa
Administratorzy Analizowanie programów
Dopasowywanie przydziałów pamięci dla procesu
Logowanie lokalne
Ładowanie i usuwanie sterowników urządzeń
Modyfikowanie zmiennych S
rodowiskowych systemu
Odtwarzanie plików i katalogów
Pomijanie sprawdzania przebiegu
Profilowanie pojedynczego procesu
Profilowanie wydajnoS
ci systemu
Przejmowanie własnoS
ci plików lub innych obiektów
Tworzenie kopii zapasowych plików i folderów
Tworzenie pliku stronicowania
Usuwanie komputera ze stacji dokującej
Uzyskiwanie dostępu do tego komputera z sieci
972 CzęS
ć VIII: Administracja systemu
Grupa DomyS
lne prawa
Wykonywanie zadań konserwacji woluminu
Wymuszanie zamknięcia systemu z systemu zdalnego
Zamykanie systemu
Zarządzanie inspekcją i dziennikiem zabezpieczeń
Zezwalaj na logowanie za pomocą usług terminalowych
Zmiana czasu systemowego
Zwiększanie priorytetu szeregowania
Operatorzy kopii zapasowych Logowanie lokalne
Odtwarzanie plików i katalogów
Pomijanie sprawdzania przebiegu
Tworzenie kopii zapasowych plików i folderów
Uzyskiwanie dostępu do tego komputera z sieci
Zamykanie systemu
Wszyscy Pomijanie sprawdzania przebiegu
Uzyskiwanie dostępu do tego komputera z sieci
GoS
ć (konto) Logowanie lokalne
1
Odmowa dostępu do tego komputera z sieci
Odmowa logowania lokalnego
Użytkownicy zaawansowani Logowanie lokalne
Pomijanie sprawdzania przebiegu
Profilowanie pojedynczego procesu
Usuwanie komputera ze stacji dokującej
Uzyskiwanie dostępu do tego komputera z sieci
Zamykanie systemu
Zmiana czasu systemowego
Użytkownicy pulpitu zdalnego Zezwalaj na logowanie za pomocą usług terminalowych
Użytkownicy Logowanie lokalne
Pomijanie sprawdzania przebiegu
Usuwanie komputera ze stacji dokującej
Uzyskiwanie dostępu do tego komputera z sieci
Zamykanie systemu
(Nie przypisane do żadnej Blokowanie stron w pamięci
grupy) Dodawanie stacji roboczych do domeny
Działanie jako element systemu operacyjnego
Generowanie zdarzeń inspekcji zabezpieczeń
Logowanie w trybie usługi
Logowanie w trybie wsadowym
Odmawiaj logowania za pomocą usług terminalowych
Odmowa logowania w trybie usługi
Odmowa logowania w trybie wsadowym
Synchronizowanie danych usług katalogowych
Tworzenie stale udostępnianych obiektów
Tworzenie żetonu
Włączanie zaufania dla komputera i kont użytkowników do delegowania
Zamiana żetonu na poziomie procesu
1
Konto GoS
ć jest usuwane z listy kont z prawem Odmowa dostępu do tego komputera z sieci, kiedy
włączysz udostępnianie plików w sieci.