项目5 配置用户工作环境课件

WindowsServer2003系统配置与管理项目教程项目5

配置用户工作环境主讲：XXX课程组：Windows网络管理教研室：网络技术主编：谭方勇E-mail:tanfy@126.comWindowsServer2003系统配置与管理项目教程2022/12/282本项目主要内容：项目描述相关理论基础项目实施

项目总结

项目实训

2022/12/212本项目主要内容：项目描述相关理论基础项目描述配置用户工作环境的优点方便灵活地控制整个企业员工的用户工作环境。配置用户工作环境的作用不仅可以减轻网络管理员的劳动强度，也可以维持网络的安全性和正常工作。本项目的主要目的主要为WindowsServer2003系统的用户设置桌面环境，登录脚本以及主文件夹，以便用户在域环境下灵活管理自己的工作环境。项目描述配置用户工作环境的优点项目目标：本项目的实施可分成如下几个任务模块：

1.用户配置文件

用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。用户配置文件分本地、漫游、强制用户配置文件三种，本项目将详细介绍三种配置文件的区别和具体实现方法。2.指派登录脚本指派用户登录脚本，可以使用户登录时自动执行某个应用程序或脚本。登录脚本与用户配置文件配合使用，可以让企业管理员更容易管理用户客户端的桌面设置。3.设置主文件

通过主文件夹存储个人私人信息，只有用户本人和Administrator才有权访问。主文件夹不包含在用户配置文件中，因此可以节省使用漫游配置文件的用户登录和注销的时间。项目目标：本项目的实施可分成如下几个任务模块：项目实施流程比较日期默认用户配置文件强制用户配置文件本地用户配置文件第一次登录？NY本地配置文件新漫游配置文件新更改不保存在本地配置文件或漫游配置文件中读取用户配置文件更改只保存在本地配置文件更改同时保存在本地和漫游配置文件中漫游用户配置文件更改只保存在本地配置文件中指派用户登录脚本设置用户主文件夹自定义项目实施流程比较日期默认用户配置文件强制用户配置文件本地用相关理论基础用户配置文件自定义DefaultUser配置文件用户主文件夹登录脚本组策略相关理论基础用户配置文件65.2.1用户配置文件

用户配置文件就是定义在用户登录时系统加载所需环境的设置和文件的集合，它包括所有用户专用的配置设置。用户配置文件并不是一个单独的文件，而是一系列文件和文件夹的集合。它最初的内容由“DefaultUser”文件夹和“AllUsers”文件夹中的公用程序组（无论哪个登录到计算机的用户都可以使用的程序组）两部分组成。这两个文件夹位于系统安装盘下的“DocumentsandSettings”文件夹下，它们包含桌面和“开始”菜单等项目。“DefaultUser”文件夹中的NTuser．dat文件包含WindowsServer2003家族的配置设置选项。

分别打开未加入域的客户机和加入域的计算机上的“DocumentsandSettings”文件夹，只有系统管理员登录前提下的用户配置文件内容如图5.2和图5.3所示。图5.2中只有三个文件夹：“DefaultUser”、“AllUsers”和“Administrator”。5.2.1用户配置文件图5.2未加入域的客户机上的用户配置文件图5.3加入域的计算机上的用户配置文件图5.2未加入域的客户机上的用户配置文件图5.3加入5.2.1用户配置文件1.本地用户配置文件

当用户第一次登录到某台计算机时，系统会自动创建一个本地用户配置文件保存在该台计算机硬盘上的”%systemdrive%\DocumentsandSettings\%Username%”文件夹中。所有对桌面的改动都会修改本地用户配置文件，而本地用户配置文件的修改都只针对用户所在的这台计算机。本地用户配置文件不限于本地用户登录，域用户登录也有本地配置文件。所谓的“本地”是限定于某台登录的计算机。5.2.1用户配置文件1.本地用户配置文件5.2.1用户配置文件2.漫游用户配置文件

漫游用户配置文件只能在域环境下由系统管理员创建，保存在网络服务器上。用户登录到网络中的任何一台计算机并且通过身份验证时，漫游用户配置文件会从网络服务器复制到用户当前所在的这台计算机。因此用户登录到域中的任何一台计算机，都可以使用相同的工作环境。当用户第一次登录时，WindowsServer2003会将所有的用户配置文件都复制到本地计算机上。此后用户再次登录，WindowsServer2003只需比较本地存储的用户配置文件和服务器上的漫游用户配置文件，系统只复制用户最后一次登录使用并修改的部分。当用户注销时，WindowsServer2003会自动把本地修改后的漫游用户配置文件再复制到网络服务器上。下次用户登录将使用修改后的漫游用户配置文件。5.2.1用户配置文件2.漫游用户配置文件5.2.1用户配置文件3.强制用户配置文件

强制用户配置文件是一种特殊的漫游配置文件，实际上是只读的漫游用户配置文件，即把存储在服务器上的漫游用户配置文件“NTuser.dat”改成“NTuser.man”。扩展名“.man”说明文件类型为只读。使用强制用户配置文件时，用户注销时WindowsServer2003不会保存登录期间对用户配置文件的修改。4.默认用户配置文件默认用户配置文件是生成一个新用户配置文件的基础，该文件保存在C:\DocumentsandSettings\Defaultuser隐藏文件夹中。默认用户配置文件在所有基于WindowsServer2003的计算机上都存在，所有对用户配置文件的修改都是在默认用户配置文件的基础上进行。5.2.1用户配置文件3.强制用户配置文件5.2.2自定义DefaultUser配置文件

自定义本地的Default配置文件与漫游配置文件基本相同，只是将存储好的本地用户配置文件复制到“%systemdrive%\DocumentsandSettings\Defaultuser文件夹”。自定义域的Default配置文件与漫游配置文件基本相同，只是将存储好的本地用户配置文件复制到域控制器的“Netlogon\Defaultuser文件夹”。5.2.2自定义DefaultUser配置文件

5.2.3用户主文件夹

Windowsserver2003提供一个可以让用户存储私人信息的文件夹，称为“主文件夹”，只有该用户与administrator才有权访问该文件夹。主文件夹既可保存在客户机上，也可保存在网络上某台服务器的共享文件夹里。基于安全性考虑，应将主文件夹存放在NTFS卷中，这样可以利用NTFS的权限来保护用户文件。“主文件夹”和“我的文档”功能类似，都是存储个人信息的地方。但两个有个本质的不同：“我的文档”默认路径为c:\documentsandsettings，包含在用户配置文件内，因此一旦用户使用漫游配置文件，登录和注销都会花费大量时间进行数据存储；而“主文件夹”不包含在用户配置文件内。

5.2.3用户主文件夹

Windowsserver205.2.4登录脚本

登录脚本是用户登录计算机时自动运行的程序。扩展名可以是VBS、JS、CMD或者BAT，也可以是EXE。地登录脚本的默认位置是%Systemroot%\System32\Repl\Imports\Scripts文件夹。全新安装的Windows中不会创建此文件夹。因此，必须通过使用“Netlogon”共享名称来创建和共享SystemRoot\System32\Repl\Imports\Scripts文件夹。%Systemroot%是存储系统文件的文件夹，如：c:\windows。5.2.4登录脚本

登录脚本是用户登录计算机时自动运行的程序5.2.5组策略

组策略设置定义了需要管理的用户桌面环境的各种组件，组策略包括“用户配置”策略设置和“计算机配置”策略设置两部分。组策略的设置优先于用户配置文件的设置。组策略具体的功能如下：指派脚本：包括计算机的启动、关闭、登录、注销等。管理应用程序：通过“组策略软件安装”来发布或指派、更新、修复应用程序。重定向文件夹：可以从本地计算机的“DocumentsandSettings”文件夹重定向到网络中的其他计算机上。管理基于注册表的策略：组策略创建了一个包含注册表设置的文件：登陆到给定工作站或服务器的特定用户配置文件写入注册表的HKEY_CURRENT_USER（HKCU）内，计算机特定设置写入注册表的HKEY_LOCAL_MACHINE（HKLM）内。指定安全选项：针对某一组策略对象（GPO）设置的安全权限。5.2.5组策略

组策略设置定义了需项目实施

5.3.1本地用户配置文件的应

这里我们以域用户的登录为例，介绍本地用户配置文件的生成和应用。由于本地用户登录到某台计算机更为简单，应用本地用户配置文件的过程与域用户完全相同，因此此处不再重复介绍。步骤一在域控制器上以系统管理员身份登录，创建域账户“wtest51”，设置用户下次登录时不必须修改密码。使用“wtest51”登录到域中的某台非域控制器上。

图5.4第一次登录后“DocumentsandSettings”文件夹的变化项目实施5.3.1本地用户配置文件的应图5.4第一次登录项目实施步骤二右击桌面空白处，新建一文件夹“files”。再次观察“wtest51”文件夹，发现其子文件夹“桌面”内容有变化：增加了一个“files”文件夹。如图5.5、图5.6所示：图5.5修改桌面前图5.6修改桌面后项目实施步骤二右击桌面空白处，新建一文件夹“files”。项目实施步骤三注销“wtest51”账户，再次使用“wtest51”账户登录，发现桌面为最近修改的内容。用“详细信息”方式查看本地用户配置文件，可看到“wtest51”中的部分内容已经修改为当前时间。

提示：登录的账户只能查看“DocumentsandSettings”文件夹下以自己账户命名的文件夹和“DefaultUser"、“AllUsers"文件夹的内容。如果“wtest51”账户要访问“DocumentsandSettings”文件夹下“Administrator”文件夹的内容，则会提示无权访问的出错信息。项目实施步骤三注销“wtest51”账户，再次使用“wte项目实施5.3.2漫游用户配置文件的应用步骤一在域控制器上以系统管理员身份登录，创建域账户“wtest52”，设置用户下次登录时不必须修改密码。步骤二在域控制器上的C盘下将已有文件夹“share”设置为共享文件夹，用户数限制为“允许最多用户”。修改“Eyeryone”组对该文件夹有“完全控制”权限。如图5.7、5.8所示：

小贴士：默认情况下Eyeryone组用户对该文件夹只有读取权限。此处应设置至少有更改权限，否则无法将修改的配置文件存放到服务器上，故设为“完全控制”。项目实施5.3.2漫游用户配置文件的应用项目实施图5.8修改权限图5.7设置共享项目实施图5.8修改权限图5.7设置共享项目实施步骤三在案例一的客户机上以本地管理员的身份登录到本机，单击“开始”|“控制面板”|“系统”，在弹出的“系统属性”对话框中选择“高级”|“设置”，如图5.9所示。图5.9系统属性对话框项目实施步骤三在案例一的客户机上以本地管理员的身份登录到项目实施步骤四在打开的“用户配置文件”对话框中选中案例一生成的“wtest51”本地配置文件，单击“复制到”按钮，如图5.10所示：图5.10复制用户配置文件项目实施步骤四在打开的“用户配置文件”对话框中选中案例一项目实施步骤五在打开的“复制到”对话框中输入漫游用户配置文件目的地UNC网络路径，如图5.11所示。其中“Shen”为计算机名，“Share”为共享文件夹名称，“wtest52”为自定义的文件夹名称。如果在“Share”共享文件夹中未先创建，此处也可直接输入后自动创建。图5.11UNC网络路径设置项目实施步骤五在打开的“复制到”对话框中输入漫游用户配置文项目实施提示：也可单击“浏览”按钮，找到存储漫游用户配置文件存储的服务器位置，此处是域控制器“Shen”，连接时会要求输入用户名和密码，如图5.12所示。此处是要连接域控制器，所以应输入域控制器管理员用户名和密码。为安全起见，前面已将管理员名称更改为“admin”。域控制器“Shen”连接成功后会显示如图5.13所示界面选择具体位置。图5.12输入域控制器用户名和密码对话框图5.13域控制器目录确定项目实施提示：也可单击“浏览”按钮，找到存储漫游用项目实施步骤六单击图5.11中的“更改”按钮，出现“选择用户或组”对话框，单击“高级”按钮，弹出“输入网络密码”对话框，输入域控制器管理员账户和密码后单击“立即查找”按钮，选中“wtest52”用户后单击“确定”。出现如图5.14界面：图5.14允许“wtest52”账户使用配置文件项目实施步骤六单击图5.11中的“更改”按钮，出现“选择用项目实施小贴士：如果不做步骤六，在域控制器上设置“wtest52”账户对“c:\share\wtest52”文件夹权限为“完全控制”也是一样的效果。操作方法是右击“c:\share\wtest52”文件夹，选择“属性”|“安全”，可看到该文件夹的默认安全权限如图5.15所示，添加“wtest52”账户的完全控制权限后如图5.16所示：图5.15默认权限图5.16修改后的权限项目实施小贴士：如果不做步骤六，在域控制器上设置项目实施步骤七在域控制器上进入“开始”|“管理工具”|“ActiveDirectory用户和计算机”管理控制台，右键单击“wtest52”用户，在弹出的快捷菜单中选择“属性”，打开如图5.17所示的对话框。图5.17“wtest52”属性对话框项目实施步骤七在域控制器上进入“开始”|“管理工具”|“A项目实施步骤八单击“配置文件”选项卡，在“配置文件路径”文本框中输入UNC网络路径：\\shen\share\wtest52，指定漫游用户配置文件的存储位置后确定，如图5.18所示。图5.18“wtest52”配置文件路径项目实施步骤八单击“配置文件”选项卡，在“配置文件路径”文项目实施步骤九在客户机上以“wtest52”账户登录到域“”，发现桌面配置和“wtest51”账户相同。修改“屏幕分辨率”为1280*720后退出。步骤十在客户机上再次以“wtest52”账户登录到域“”，观察发现屏幕分辨率已经更改。小贴士：当用户注销后，桌面设置等更改会存储到服务器上的漫游用户配置文件中，也会存储到本地用户配置文件中。如果更改桌面图案，则必须在需要登录的每台计算机的相同地点都有此图形文件才行。项目实施步骤九在客户机上以“wtest52”账户登录到域项目实施5.3.3强制用户配置文件的应用步骤一在域控制器上打开案例二中的共享文件夹“share”，查看“wtest52”的用户配置文件内容，如图5.18所示。图5.18“wtest52”的用户配置文件更改前项目实施5.3.3强制用户配置文件的应用图5.18“wte项目实施步骤二将“ntuser.dat”文件重名为“ntuser.man”，如图5.19所示。提示：需要显示文件的扩展名，否则可能会对“ntuser.dat.log”误操作。图5.19“wtest52”的用户配置文件更改后项目实施步骤二将“ntuser.dat”文件重名为“ntu项目实施步骤三利用“wtest52”账户在该台客户机登录到域，将桌面上的“files”文件夹删除。步骤四注销后再次利用“wtest52”账户在其他客户机登录到域，发现桌面上仍有“files”文件夹。

小贴士：如果用户使用强制用户配置文件，登录后能更改桌面设置，可注销时不会将修改内容存储到服务器上的强制用户配置文件中，但会存储到本地的本地用户配置文件内。下次登录时如果强制用户配置文件可以访问，那会仍然使用原来的强制用户配置文件；如果强制用户配置文件无法访问，则会使用本地用户配置文件。项目实施步骤三利用“wtest52”账户在该台客户机登录到项目实施5.3.4自定义DefaultUser配置文件

1．自定义本地DefaultUser配置文件步骤一以本地管理员身份登录，在本地计算机上创建一个新用户“wtest53”。步骤二以“wtest53”账户登录到本机，拖动鼠标调整开始菜单布局后注销。步骤三以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“用户配置文件”|“设置”，在弹出的“用户配置文件”对话框中选中“wtest53”账户，单击“复制到”按钮。项目实施5.3.4自定义DefaultUser配置文件项目实施步骤四以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“设置”，在弹出的“复制到”对话框中输入“C:\DocumentsandSettings\DefaultUser”，如图5.20所示。图5.20本地DefaultUser配置文件路径项目实施步骤四以本地管理员身份登录，选择“开始”|“控制面项目实施2．自定义域DefaultUser配置文件步骤一以本地管理员身份登录到本地计算机，在本地计算机上创建一个新用户“wtest54”。步骤二以“wtest54”账户登录到本机，拖动鼠标调整开始菜单布局后注销。步骤三以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“用户配置文件”|“设置”，在弹出的“用户配置文件”对话框中选中“wtest54”账户，单击“复制到”按钮。步骤四以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“设置”，在弹出的“复制到”对话框中输入网络UNC：\\shen\NetLogon\DefaultUser。

提示：“DefaultUser”默认是不存在的，需要自行输入。项目实施2．自定义域DefaultUser配置文件项目实施步骤五单击“更改”按钮，出现“选择用户或组”对话框，单击“高级”按钮，弹出“输入网络密码”对话框，输入域控制器管理员账户和密码后单击“立即查找”按钮，选中“everyone”用户后单击“确定”。出现如图5.21界面。图5.21域DefaultUser配置文件路径项目实施步骤五单击“更改”按钮，出现“选择用户或组”对话框项目实施5.3.5登录脚本的应用1．给本地用户指定登录脚本步骤一以本地管理员身份登录，在本地计算机上%Systemroot%（这里是C:\windows，视安装情况而定）下创建子文件夹“System32\Repl\Imports\scripts”，并设置共享，共享名为“NetLogon”。步骤二将windows自带程序“cmd.exe”复制到本地共享文件夹内。提示：为了简便，此处不要求再自行创建脚本文件，用户可自行尝试。“cmd.exe”位于“c:\windows\system32”文件夹内，也可利用搜索工具获取。步骤三在本地计算机上单击“开始”|“管理工具”|“计算机管理”|“系统工具”|“本地用户和组”|“用户”，右键单击“wtest54b”账户（可自行创建），选择“属性”|“配置文件”，在登录脚本中输入“cmd.exe”。步骤四利用“wtest54b”账户在本地计算机上登录，可看到自动运行“cmd.exe”程序。项目实施5.3.5登录脚本的应用项目实施2．给域用户指定登录脚本步骤一以管理员或管理员组成员身份登录域控制器，默认将“%Systemroot%（这里是C:\windows，视安装情况而定）\SYSVOL\sysvol\域名称\scripts”文件夹设置为共享，共享名为“NetLogon”。步骤二将windows自带程序“cmd.exe”复制到刚才创建的共享文件夹内。步骤三在域控制器上单击“开始”|“管理工具”|“ActiveDirectory用户和计算机”，右键单击“wtest54y”账户（可自行创建），选择“属性”|“配置文件”，在登录脚本中输入“cmd.exe”。步骤四利用“wtest54y”账户在域控制器上登录，可看到自动运行“cmd.exe”程序。项目实施2．给域用户指定登录脚本项目实施5.3.6利用主文件夹存储私人文件1．给本地用户指定主文件夹步骤一以本地管理员身份登录到本地计算机，创建本地用户“wtest55”。步骤二选择“开始”|“管理工具”|“计算机管理”|“系统工具”|“本地用户和组”|“用户”，选中“wtest55”账户右键单击，选择“属性”|“用户配置文件”。项目实施5.3.6利用主文件夹存储私人文件项目实施步骤三在主文件夹“本地路径”文本框内输入“c:\private\%username%”（“private”可自行指定），如图5.22所示。小贴士：%username%是系统环境变量，系统会自动利用用户帐户名（wtest55）取代，并在“c:\private”文件夹下自动创建“wtest55”子文件夹，并将该文件夹的权限设置给该用户与管理员。图5.22本地用户主文件夹路径项目实施步骤三在主文件夹“本地路径”文本框内输入“c:\p项目实施2．给域用户指定主文件夹。步骤一在域控制器上以系统管理员身份登录，创建域账户“wtest56”。步骤二在域控制器上创建文件夹“domainprivate”,并设置为共享，管理员对该共享文件夹具有“更改”权限。步骤三单击“开始”|“管理工具”|“ActiveDirectory用户和计算机”打开管理控制台，右键单击“wtest56”用户，选择“属性”|“用户配置文件”。项目实施2．给域用户指定主文件夹。项目实施步骤四在主文件夹“连接”文本框内输入UNC网络路径：“\\Shen\domainprivate\%username%”（“domainprivate”可自行指定），如图5.23所示。图5.23域用户主文件夹路径项目实施步骤四在主文件夹“连接”文本框内输入UNC网络路径项目总结本项目以定制用户工作环境为主要目标，通过设置本地用户配置文件、漫游用户用户配置文件、强制用户用户配置文件、指派用户登录脚本、设置用户主文件夹等一系列操作来实现。使用用户配置文件维护桌面环境，可以使得用户在每次登录时都有统一的工作环境和界面，便于管理员统一管理。企业管理员还可以使用组策略来对企业各部门进行用户环境设置以及计算机配置，但组策略的设置和应用不能应用于WindowsNT/9x操作系统。管理员在为用户实现主文件夹时应考虑用户可以通过网络中任何一台联网计算机访问主文件夹。另外基于安全性考虑，应将用户主文件夹存放在NTFS卷中。项目总结本项目以定制用户工作环境为主要项目实训5.5.1设置漫游用户配置文件1.实训目的掌握WindowsServer2003漫游用户配置文件的设置方法。2.设备和工具VMWare虚拟机软件、WindowsXP计算机、WindowsServer2003服务器各1台。3.实训内容及要求(1)新建域账户“sales”,登录后创建一个新的漫游用户配置文件并存储在服务器上。(2)新建域账户“master”,使用“sales”帐户的漫游用户配置文件。(3)修改“master”帐户的漫游用户配置文件为强制用户配置文件，登录验证。4.实训总结为用户提供相同的工作环境，避免因换机器而丢失以前的工作环境，也不会降低工作质量。项目实训5.5.1设置漫游用户配置文件项目实训5.5.2设置用户主文件夹和登录脚本1.实训目的掌握WindowsServer2003用户主文件夹和登录脚本的设置方法。2.设备和工具VMWare虚拟机软件、WindowsXP计算机、WindowsServer2003服务器各1台。3.实训内容及要求(1)设置“sales”账户登录后自动切换到用户主目录内。(2)设置“master”帐户的主文件夹存储在服务器上。4.实训总结进一步完善了AD的功能，使其更趋于完善，使用用户主文件夹和“我的文档”，管理员可以通过将用户的文件收集到某个位置，更便于备份用户文件和管理用户帐户。而登录脚本的配置，则是企业或公司的信息一体化，落到实处，配置过程中，需要注意的是必须以域管理员的身份登录，才能完成所有的配置。项目实训5.5.2设置用户主文件夹和登录脚本思考题1用户配置文件有哪些种类？分析一下这几种用户配置文件的特点。2管理员在域控制器上创建了一个用户，这个用户被创建后所使用的用户配置文件是什么？3本地用户的配置文件和域用户的配置文件命名形式有何不同？4自定义本地的Default配置文件与漫游配置文件有何不同？5“主文件夹”和“我的文档”的区别是什么？6本地登录脚本的默认位置是什么？7什么叫组策略？组策略的作用是什么？思考题1用户配置文件有哪些种类？分析一下这几种用Q&A返回Q&A返回WindowsServer2003系统配置与管理项目教程项目5

配置用户工作环境主讲：XXX课程组：Windows网络管理教研室：网络技术主编：谭方勇E-mail:tanfy@126.comWindowsServer2003系统配置与管理项目教程2022/12/2849本项目主要内容：项目描述相关理论基础项目实施

项目总结

项目实训

2022/12/212本项目主要内容：项目描述相关理论基础项目描述配置用户工作环境的优点方便灵活地控制整个企业员工的用户工作环境。配置用户工作环境的作用不仅可以减轻网络管理员的劳动强度，也可以维持网络的安全性和正常工作。本项目的主要目的主要为WindowsServer2003系统的用户设置桌面环境，登录脚本以及主文件夹，以便用户在域环境下灵活管理自己的工作环境。项目描述配置用户工作环境的优点项目目标：本项目的实施可分成如下几个任务模块：

1.用户配置文件

用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。用户配置文件分本地、漫游、强制用户配置文件三种，本项目将详细介绍三种配置文件的区别和具体实现方法。2.指派登录脚本指派用户登录脚本，可以使用户登录时自动执行某个应用程序或脚本。登录脚本与用户配置文件配合使用，可以让企业管理员更容易管理用户客户端的桌面设置。3.设置主文件

通过主文件夹存储个人私人信息，只有用户本人和Administrator才有权访问。主文件夹不包含在用户配置文件中，因此可以节省使用漫游配置文件的用户登录和注销的时间。项目目标：本项目的实施可分成如下几个任务模块：项目实施流程比较日期默认用户配置文件强制用户配置文件本地用户配置文件第一次登录？NY本地配置文件新漫游配置文件新更改不保存在本地配置文件或漫游配置文件中读取用户配置文件更改只保存在本地配置文件更改同时保存在本地和漫游配置文件中漫游用户配置文件更改只保存在本地配置文件中指派用户登录脚本设置用户主文件夹自定义项目实施流程比较日期默认用户配置文件强制用户配置文件本地用相关理论基础用户配置文件自定义DefaultUser配置文件用户主文件夹登录脚本组策略相关理论基础用户配置文件535.2.1用户配置文件

用户配置文件就是定义在用户登录时系统加载所需环境的设置和文件的集合，它包括所有用户专用的配置设置。用户配置文件并不是一个单独的文件，而是一系列文件和文件夹的集合。它最初的内容由“DefaultUser”文件夹和“AllUsers”文件夹中的公用程序组（无论哪个登录到计算机的用户都可以使用的程序组）两部分组成。这两个文件夹位于系统安装盘下的“DocumentsandSettings”文件夹下，它们包含桌面和“开始”菜单等项目。“DefaultUser”文件夹中的NTuser．dat文件包含WindowsServer2003家族的配置设置选项。

分别打开未加入域的客户机和加入域的计算机上的“DocumentsandSettings”文件夹，只有系统管理员登录前提下的用户配置文件内容如图5.2和图5.3所示。图5.2中只有三个文件夹：“DefaultUser”、“AllUsers”和“Administrator”。5.2.1用户配置文件图5.2未加入域的客户机上的用户配置文件图5.3加入域的计算机上的用户配置文件图5.2未加入域的客户机上的用户配置文件图5.3加入5.2.1用户配置文件1.本地用户配置文件

当用户第一次登录到某台计算机时，系统会自动创建一个本地用户配置文件保存在该台计算机硬盘上的”%systemdrive%\DocumentsandSettings\%Username%”文件夹中。所有对桌面的改动都会修改本地用户配置文件，而本地用户配置文件的修改都只针对用户所在的这台计算机。本地用户配置文件不限于本地用户登录，域用户登录也有本地配置文件。所谓的“本地”是限定于某台登录的计算机。5.2.1用户配置文件1.本地用户配置文件5.2.1用户配置文件2.漫游用户配置文件

漫游用户配置文件只能在域环境下由系统管理员创建，保存在网络服务器上。用户登录到网络中的任何一台计算机并且通过身份验证时，漫游用户配置文件会从网络服务器复制到用户当前所在的这台计算机。因此用户登录到域中的任何一台计算机，都可以使用相同的工作环境。当用户第一次登录时，WindowsServer2003会将所有的用户配置文件都复制到本地计算机上。此后用户再次登录，WindowsServer2003只需比较本地存储的用户配置文件和服务器上的漫游用户配置文件，系统只复制用户最后一次登录使用并修改的部分。当用户注销时，WindowsServer2003会自动把本地修改后的漫游用户配置文件再复制到网络服务器上。下次用户登录将使用修改后的漫游用户配置文件。5.2.1用户配置文件2.漫游用户配置文件5.2.1用户配置文件3.强制用户配置文件

强制用户配置文件是一种特殊的漫游配置文件，实际上是只读的漫游用户配置文件，即把存储在服务器上的漫游用户配置文件“NTuser.dat”改成“NTuser.man”。扩展名“.man”说明文件类型为只读。使用强制用户配置文件时，用户注销时WindowsServer2003不会保存登录期间对用户配置文件的修改。4.默认用户配置文件默认用户配置文件是生成一个新用户配置文件的基础，该文件保存在C:\DocumentsandSettings\Defaultuser隐藏文件夹中。默认用户配置文件在所有基于WindowsServer2003的计算机上都存在，所有对用户配置文件的修改都是在默认用户配置文件的基础上进行。5.2.1用户配置文件3.强制用户配置文件5.2.2自定义DefaultUser配置文件

自定义本地的Default配置文件与漫游配置文件基本相同，只是将存储好的本地用户配置文件复制到“%systemdrive%\DocumentsandSettings\Defaultuser文件夹”。自定义域的Default配置文件与漫游配置文件基本相同，只是将存储好的本地用户配置文件复制到域控制器的“Netlogon\Defaultuser文件夹”。5.2.2自定义DefaultUser配置文件

5.2.3用户主文件夹

Windowsserver2003提供一个可以让用户存储私人信息的文件夹，称为“主文件夹”，只有该用户与administrator才有权访问该文件夹。主文件夹既可保存在客户机上，也可保存在网络上某台服务器的共享文件夹里。基于安全性考虑，应将主文件夹存放在NTFS卷中，这样可以利用NTFS的权限来保护用户文件。“主文件夹”和“我的文档”功能类似，都是存储个人信息的地方。但两个有个本质的不同：“我的文档”默认路径为c:\documentsandsettings，包含在用户配置文件内，因此一旦用户使用漫游配置文件，登录和注销都会花费大量时间进行数据存储；而“主文件夹”不包含在用户配置文件内。

5.2.3用户主文件夹

Windowsserver205.2.4登录脚本

登录脚本是用户登录计算机时自动运行的程序。扩展名可以是VBS、JS、CMD或者BAT，也可以是EXE。地登录脚本的默认位置是%Systemroot%\System32\Repl\Imports\Scripts文件夹。全新安装的Windows中不会创建此文件夹。因此，必须通过使用“Netlogon”共享名称来创建和共享SystemRoot\System32\Repl\Imports\Scripts文件夹。%Systemroot%是存储系统文件的文件夹，如：c:\windows。5.2.4登录脚本

登录脚本是用户登录计算机时自动运行的程序5.2.5组策略

组策略设置定义了需要管理的用户桌面环境的各种组件，组策略包括“用户配置”策略设置和“计算机配置”策略设置两部分。组策略的设置优先于用户配置文件的设置。组策略具体的功能如下：指派脚本：包括计算机的启动、关闭、登录、注销等。管理应用程序：通过“组策略软件安装”来发布或指派、更新、修复应用程序。重定向文件夹：可以从本地计算机的“DocumentsandSettings”文件夹重定向到网络中的其他计算机上。管理基于注册表的策略：组策略创建了一个包含注册表设置的文件：登陆到给定工作站或服务器的特定用户配置文件写入注册表的HKEY_CURRENT_USER（HKCU）内，计算机特定设置写入注册表的HKEY_LOCAL_MACHINE（HKLM）内。指定安全选项：针对某一组策略对象（GPO）设置的安全权限。5.2.5组策略

组策略设置定义了需项目实施

5.3.1本地用户配置文件的应

这里我们以域用户的登录为例，介绍本地用户配置文件的生成和应用。由于本地用户登录到某台计算机更为简单，应用本地用户配置文件的过程与域用户完全相同，因此此处不再重复介绍。步骤一在域控制器上以系统管理员身份登录，创建域账户“wtest51”，设置用户下次登录时不必须修改密码。使用“wtest51”登录到域中的某台非域控制器上。

图5.4第一次登录后“DocumentsandSettings”文件夹的变化项目实施5.3.1本地用户配置文件的应图5.4第一次登录项目实施步骤二右击桌面空白处，新建一文件夹“files”。再次观察“wtest51”文件夹，发现其子文件夹“桌面”内容有变化：增加了一个“files”文件夹。如图5.5、图5.6所示：图5.5修改桌面前图5.6修改桌面后项目实施步骤二右击桌面空白处，新建一文件夹“files”。项目实施步骤三注销“wtest51”账户，再次使用“wtest51”账户登录，发现桌面为最近修改的内容。用“详细信息”方式查看本地用户配置文件，可看到“wtest51”中的部分内容已经修改为当前时间。

提示：登录的账户只能查看“DocumentsandSettings”文件夹下以自己账户命名的文件夹和“DefaultUser"、“AllUsers"文件夹的内容。如果“wtest51”账户要访问“DocumentsandSettings”文件夹下“Administrator”文件夹的内容，则会提示无权访问的出错信息。项目实施步骤三注销“wtest51”账户，再次使用“wte项目实施5.3.2漫游用户配置文件的应用步骤一在域控制器上以系统管理员身份登录，创建域账户“wtest52”，设置用户下次登录时不必须修改密码。步骤二在域控制器上的C盘下将已有文件夹“share”设置为共享文件夹，用户数限制为“允许最多用户”。修改“Eyeryone”组对该文件夹有“完全控制”权限。如图5.7、5.8所示：

小贴士：默认情况下Eyeryone组用户对该文件夹只有读取权限。此处应设置至少有更改权限，否则无法将修改的配置文件存放到服务器上，故设为“完全控制”。项目实施5.3.2漫游用户配置文件的应用项目实施图5.8修改权限图5.7设置共享项目实施图5.8修改权限图5.7设置共享项目实施步骤三在案例一的客户机上以本地管理员的身份登录到本机，单击“开始”|“控制面板”|“系统”，在弹出的“系统属性”对话框中选择“高级”|“设置”，如图5.9所示。图5.9系统属性对话框项目实施步骤三在案例一的客户机上以本地管理员的身份登录到项目实施步骤四在打开的“用户配置文件”对话框中选中案例一生成的“wtest51”本地配置文件，单击“复制到”按钮，如图5.10所示：图5.10复制用户配置文件项目实施步骤四在打开的“用户配置文件”对话框中选中案例一项目实施步骤五在打开的“复制到”对话框中输入漫游用户配置文件目的地UNC网络路径，如图5.11所示。其中“Shen”为计算机名，“Share”为共享文件夹名称，“wtest52”为自定义的文件夹名称。如果在“Share”共享文件夹中未先创建，此处也可直接输入后自动创建。图5.11UNC网络路径设置项目实施步骤五在打开的“复制到”对话框中输入漫游用户配置文项目实施提示：也可单击“浏览”按钮，找到存储漫游用户配置文件存储的服务器位置，此处是域控制器“Shen”，连接时会要求输入用户名和密码，如图5.12所示。此处是要连接域控制器，所以应输入域控制器管理员用户名和密码。为安全起见，前面已将管理员名称更改为“admin”。域控制器“Shen”连接成功后会显示如图5.13所示界面选择具体位置。图5.12输入域控制器用户名和密码对话框图5.13域控制器目录确定项目实施提示：也可单击“浏览”按钮，找到存储漫游用项目实施步骤六单击图5.11中的“更改”按钮，出现“选择用户或组”对话框，单击“高级”按钮，弹出“输入网络密码”对话框，输入域控制器管理员账户和密码后单击“立即查找”按钮，选中“wtest52”用户后单击“确定”。出现如图5.14界面：图5.14允许“wtest52”账户使用配置文件项目实施步骤六单击图5.11中的“更改”按钮，出现“选择用项目实施小贴士：如果不做步骤六，在域控制器上设置“wtest52”账户对“c:\share\wtest52”文件夹权限为“完全控制”也是一样的效果。操作方法是右击“c:\share\wtest52”文件夹，选择“属性”|“安全”，可看到该文件夹的默认安全权限如图5.15所示，添加“wtest52”账户的完全控制权限后如图5.16所示：图5.15默认权限图5.16修改后的权限项目实施小贴士：如果不做步骤六，在域控制器上设置项目实施步骤七在域控制器上进入“开始”|“管理工具”|“ActiveDirectory用户和计算机”管理控制台，右键单击“wtest52”用户，在弹出的快捷菜单中选择“属性”，打开如图5.17所示的对话框。图5.17“wtest52”属性对话框项目实施步骤七在域控制器上进入“开始”|“管理工具”|“A项目实施步骤八单击“配置文件”选项卡，在“配置文件路径”文本框中输入UNC网络路径：\\shen\share\wtest52，指定漫游用户配置文件的存储位置后确定，如图5.18所示。图5.18“wtest52”配置文件路径项目实施步骤八单击“配置文件”选项卡，在“配置文件路径”文项目实施步骤九在客户机上以“wtest52”账户登录到域“”，发现桌面配置和“wtest51”账户相同。修改“屏幕分辨率”为1280*720后退出。步骤十在客户机上再次以“wtest52”账户登录到域“”，观察发现屏幕分辨率已经更改。小贴士：当用户注销后，桌面设置等更改会存储到服务器上的漫游用户配置文件中，也会存储到本地用户配置文件中。如果更改桌面图案，则必须在需要登录的每台计算机的相同地点都有此图形文件才行。项目实施步骤九在客户机上以“wtest52”账户登录到域项目实施5.3.3强制用户配置文件的应用步骤一在域控制器上打开案例二中的共享文件夹“share”，查看“wtest52”的用户配置文件内容，如图5.18所示。图5.18“wtest52”的用户配置文件更改前项目实施5.3.3强制用户配置文件的应用图5.18“wte项目实施步骤二将“ntuser.dat”文件重名为“ntuser.man”，如图5.19所示。提示：需要显示文件的扩展名，否则可能会对“ntuser.dat.log”误操作。图5.19“wtest52”的用户配置文件更改后项目实施步骤二将“ntuser.dat”文件重名为“ntu项目实施步骤三利用“wtest52”账户在该台客户机登录到域，将桌面上的“files”文件夹删除。步骤四注销后再次利用“wtest52”账户在其他客户机登录到域，发现桌面上仍有“files”文件夹。

小贴士：如果用户使用强制用户配置文件，登录后能更改桌面设置，可注销时不会将修改内容存储到服务器上的强制用户配置文件中，但会存储到本地的本地用户配置文件内。下次登录时如果强制用户配置文件可以访问，那会仍然使用原来的强制用户配置文件；如果强制用户配置文件无法访问，则会使用本地用户配置文件。项目实施步骤三利用“wtest52”账户在该台客户机登录到项目实施5.3.4自定义DefaultUser配置文件

1．自定义本地DefaultUser配置文件步骤一以本地管理员身份登录，在本地计算机上创建一个新用户“wtest53”。步骤二以“wtest53”账户登录到本机，拖动鼠标调整开始菜单布局后注销。步骤三以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“用户配置文件”|“设置”，在弹出的“用户配置文件”对话框中选中“wtest53”账户，单击“复制到”按钮。项目实施5.3.4自定义DefaultUser配置文件项目实施步骤四以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“设置”，在弹出的“复制到”对话框中输入“C:\DocumentsandSettings\DefaultUser”，如图5.20所示。图5.20本地DefaultUser配置文件路径项目实施步骤四以本地管理员身份登录，选择“开始”|“控制面项目实施2．自定义域DefaultUser配置文件步骤一以本地管理员身份登录到本地计算机，在本地计算机上创建一个新用户“wtest54”。步骤二以“wtest54”账户登录到本机，拖动鼠标调整开始菜单布局后注销。步骤三以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“用户配置文件”|“设置”，在弹出的“用户配置文件”对话框中选中“wtest54”账户，单击“复制到”按钮。步骤四以本地管理员身份登录，选择“开始”|“控制面板”|“系统”|“高级”|“设置”，在弹出的“复制到”对话框中输入网络UNC：\\shen\NetLogon\DefaultUser。

提示：“DefaultUser”默认是不存在的，需要自行输入。项目实施2．自定义域DefaultUser配置文件项目实施步骤五单击“更改”按钮，出现“选择用户或组”对话框，单击“高级”按钮，弹出“输入网络密码”对话框，输入域控制器管理员账户和密码后单击“立即查找”按钮，选中“everyone”用户后单击“确定”。出现如图5.21界面。图5.21域DefaultUser配置文件路径项目实施步骤五单击“更改”按钮，出现“选择用户或组”对话框项目实施5.3.5登录脚本的应用1．给本地用户指定登录脚本步骤一以本地管理员身份登录，在本地计算机上%Systemroot%（这里是C:\windows，视安装情况而定）下创建子文件夹“System32\Repl\Imports\scripts”，并设置共享，共享名为“NetLogon”。步骤二将windows自带程序“cmd.exe”复制到本地共享文件夹内。提示：为了简便，此处不要求再自行创建脚本文件，用户可自行尝试。“cmd.exe”位于“c:\windows\system32”文件夹内，也可利用搜索工具获取。步骤三在本地计算机上单击“开始”|“管理工具”|“计算机管理”|“系统工具”|“本地用户和组”|“用户”，右键单击“wtest54b”账户（可自行创建），选择“属性”|“配置文件”，在登录脚本中输入“cmd.exe”。步骤四利用“wtest54b”账户在本地计算机上登录，可看到自动运行“cmd.exe”程序。项目实施5.3.5登录脚本的应用项目实施2．给域用户指定登录脚本步骤一以管理员或管理员组成员身份登录域控制器，默认将“%Systemroot%（这里是C:\windows，视安装情况而定）\SYSVOL\sysvol\域名称\scripts”文件夹设置为共享，共享名为“NetLogon”。步骤二将windows自带程序“cmd.exe”复制到刚才创建的共享文件夹内。步骤三在域控制器上单击“开始”|“管理工具”|“ActiveDirectory用户和计算机”，右键单击“wtest54y”账户（可自行创建），选择“属性”|“配置文件”，在登录脚本中输入“cmd.exe”。步骤四利