Administracja systemu

Czêœæ VIII Administracja systemu Rozdzia³ 34 Zarz¹dzanie profilami u ytkownika i zasadami....... 941 Rozdzia³ 35 Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ.......... 973 Rozdzia³ 36 Inspekcja zabezpieczeñ....... 985

Rozdzia³ 34 Wprowadzenie do profili u ytkownika 942 Praca z profilami u ytkownika 946 U ywanie Profili mobilnych u ytkownika 954 Kontrolowanie mo liwoœci u ytkowników za pomoc¹ Zasad grupy 958 Konfigurowanie praw u ytkownika 970 Zarz¹dzanie profilami u ytkownika i zasadami Czêœæ VIII: Administracja systemu Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami Jak ju niew¹tpliwie odkry³eœ, system Microsoft Windows XP oferuje u ytkownikom ró nego rodzaju mo liwoœci dostosowywania. U ywaj¹c ró norodnych ustawieñ w Panelu sterowania oraz innych miejsc, u ytkownicy mog¹ kontrolowaæ wygl¹d ich pulpitu, paska zadañ, menu Start, okien folderów i wielu innych elementów; mog¹ okreœlaæ dÿwiêki, które s¹ odtwarzane, kiedy wyst¹pi¹ pewne zdarzenia; mog¹ dodawaæ lub usuwaæ programy itd. Jest to wspania³a rzecz dla pojedynczego komputera obs³ugiwanego przez jednego u ytkownika, który chce dobrze w³adaæ swoim œrodowiskiem pracy. Natomiast je eli musisz utrzymaæ w dzia³aniu wiêcej ni jeden komputer i zapewniæ mo liwoœæ wydajnej pracy wiêcej ni jednemu u ytkownikowi, mo esz jako administrator chcieæ samemu dostosowaæ œrodowisko pracy dla poszczególnych u ytkowników. Za pomoc¹ narzêdzi dostarczonych przez Windows XP mo esz wybraæ ustawienia dla u ytkowników, którzy nie dysponuj¹ odpowiedni¹ wiedz¹, doœwiadczeniem albo czasem potrzebnym do samodzielnego wprowadzenia tych ustawieñ. Jeœli bêdzie to potrzebne, mo esz wprowadziæ ograniczenia, które zapobiegn¹ zniszczeniu konfiguracji przez niedoœwiadczonych albo nieuwa nych u ytkowników. Ten rozdzia³ opisuje dwie funkcje systemu Windows XP, których administrator mo e u yæ do dostosowania i kontrolowania systemu: profile u ytkownika oraz zasady grupy.

942 Czêœæ VIII: Administracja systemu Wprowadzenie do profili u ytkownika Profil u ytkownika zawiera wszystkie ustawienia oraz pliki dla œrodowiska pracy u ytkownika. Zawarte s¹ tu osobiste ustawienia rejestru dla wszystkiego, pocz¹wszy od wskaÿników myszy, po ustawienia widoku u ywane w programie Microsoft Word oraz pliki, które s¹ specyficzne dla danego u ytkownika, takie jak pliki cookie, odbierane podczas korzystania z przegl¹darki Microsoft Internet Explorer, dokumenty w folderze Moje dokumenty i jego podfolderach oraz skróty do miejsc sieciowych. Po³o enie i zawartoœæ profili u ytkownika Domyœlnie ka dy u ytkownik, który loguje siê na komputerze, posiada lokalny profil u ytkownika, który jest tworzony podczas jego pierwszego logowania. Lokalne profile u ytkownika przechowywane s¹ w folderze %SystemDrive%\Documents and Settings. Ka dy profil u ytkownika przechowywany jest w podfolderze o takiej samej nazwie jak nazwa u ytkownika (na przyk³ad C:\Documents and Settings\Marek). Pe³na œcie ka do bie ¹cego profilu u ytkownika przechowywana jest w innej powszechnie u ywanej zmiennej œrodowiskowej %UserProfile%. UWAGA Je eli dokona³eœ aktualizacji systemu z Microsoft Windows NT 4 (zamiast wykonaæ now¹ instalacjê albo aktualizacjê z innej wersji systemu Windows), profile u ytkownika przechowywane s¹ w folderze %SystemRoot%\Profiles. Wewn¹trz folderu profilu u ytkownika odnajdziesz hierarchiê folderów, tak jak pokazano na Rysunku 34-1. G³ówny katalog profilu (czyli podfolder folderu Documents and Settings, o nazwie takiej jak nazwa u ytkownika) zawiera plik Ntuser.dat, który jest kawa³kiem rejestru (innymi s³owy, ga³êzi¹ klucza HKCU). W dodatku komputer, który jest cz³onkiem domeny systemu Microsoft Windows NT Server, mo e posiadaæ plik Ntuser.pol, który zawiera ustawienia zasad systemu. (Zasady systemu s¹ poprzednikiem Zasad grupy, wprowadzonych w systemie Microsoft Windows 2000). Profil zawiera nastêpuj¹ce foldery: Dane aplikacji. Ten ukryty folder zawiera specyficzne dane aplikacji, takie jak s³ownik u ytkownika dla edytorów tekstu, listy nadawców wysy³aj¹cych spam dla programów poczty elektronicznej, bazê danych p³yt CD dla programów odtwarzaj¹cych p³yty z muzyk¹ itd. Twórcy aplikacji decyduj¹, jakie informacje maj¹ byæ umieszczone w tym folderze. Cookies. Folder ten zawiera pliki cookie przegl¹darki Internet Explorer. Pulpit. Folder ten zawiera wszystkie elementy przechowywane na pulpicie u ytkownika, w³¹czaj¹c w to pliki i skróty. Ulubione. Folder ten zawiera elementy listy Ulubione przegl¹darki Internet Explorer.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 943 Aby unikn¹æ pomy³ek, folder Moje dokumenty innego u ytkownika pokazany jest wraz z nazw¹ u ytkownika tej osoby Rysunek 34-1. Ka dy profil u ytkownika zawiera kilka folderów, w tym kilka ukrytych. Ustawienia lokalne. Ten ukryty folder zawiera ustawienia i pliki, które nie przechodz¹ z profilem, poniewa s¹ powi¹zane ze specyfik¹ komputera albo s¹ tak du e, e szkoda zachodu na umieszczanie ich w mobilnym profilu u ytkownika, który musi byæ kopiowanyzinaserwer przy ka dym logowaniu i wylogowaniu. (Mobilne profile u ytkownika omówione s¹ w nastêpnym podrozdziale). Na przyk³ad obszar przechowywania danych dla wypalania p³yt CD który zale y od komputera i jest potencjalnie bardzo du y przechowywany jest w podfolderze folderu Ustawienia lokalne. Folder Ustawienia lokalne zawiera cztery podfoldery: Dane aplikacji. Ten ukryty folder zawiera specyficzne dla komputera dane aplikacji. Historia. Folder ten zawiera historiê odwiedzanych przez u ytkownika stron programu Internet Explorer. Temp. Folder ten zawiera tymczasowe pliki utworzone przez aplikacje. Temporary Internet Files. Folder ten zawiera pliki do u ytku w trybie offline przegl¹darki Internet Explorer. Moje dokumenty. Folder ten jest domyœlnym miejscem docelowym dla skrótu Moje dokumenty, który pokazuje siê w menu Start, panelu zadañ Eksploratora Windows (w sekcji Inne miejsca) itd. Folder Moje dokumenty jest domyœln¹ lokalizacj¹ do przechowywania dokumentów u ytkowników w wiêkszoœci aplikacji. Kiedy przegl¹dasz foldery profilu innego u ytkownika, s³owo Moje zostaje zast¹pione przez jego nazwê u ytkownika, chocia w³aœciw¹ nazw¹ folderu dla wszystkich u ytkowników jest Moje dokumenty. NetHood. Ten ukryty folder zawiera skróty, które ukazuj¹ siê w Moich miejscach sieciowych. PrintHood. Rzadko u ywany ukryty folder; mo e zawieraæ skróty do elementów w folderze Drukarki i faksy.

944 Czêœæ VIII: Administracja systemu Recent. Ten ukryty folder zawiera skróty do ostatnio u ywanych dokumentów; najbardziej aktualne z nich mog¹ siê pojawiæ w menu Start. Chocia w Eksploratorze Windows folder ten pojawia siê jako Moje bie ¹ce dokumenty, jego faktyczna nazwa to Recent. SendTo. Ten ukryty folder zawiera skróty do folderów i aplikacji, które pojawiaj¹ siê w podmenu Wyœlij do. Wyœlij do jest poleceniem, które pojawia siê w menu Plik w Eksploratorze Windows, kiedy zaznaczysz plik lub folder; pojawia siê równie w menu podrêcznym, kiedy klikniesz prawym przyciskiem myszy plik albo folder. Menu Start. Folder ten zawiera elementy (takie jak skróty do aplikacji i dokumentów), które ukazuj¹ siê w podmenu Wszystkie programy menu Start. Szablony. Ten ukryty folder zawiera skróty do szablonów dokumentów. Szablony te u ywane s¹ zazwyczaj przez polecenie Nowy (w menu Plik oraz w menu podrêcznym) w Eksploratorze Windows i okreœlone s¹ przez wartoœæ FileName w kluczu HKCR\klasa\ShellNew, gdzie klasa odnosi siê do rozszerzenia i typu pliku. UWAGA Ustawienia Zasad grupy zawsze maj¹ pierwszeñstwo przed ustawieniami w profilach u ytkownika. Pozwala to administratorom uniemo liwiæ u ytkownikom, którzy maj¹ potrzebn¹ wiedzê i uprawnienia, przeprowadzenie zmian bezpoœrednio w ich w³asnym profilu u ytkownika. Typy profili System Windows XP obs³uguje trzy typy profili: Profil lokalny u ytkownika. Profil lokalny u ytkownika przechowywany jest w folderze %SystemDrive%\Documents and Settings (albo %SystemRoot%\Profiles) na lokalnym dysku twardym. Windows tworzy profil lokalny u ytkownika przy pierwszym logowaniu u ytkownika na komputerze. Je eli u ytkownik wprowadzi zmiany w profilu, to zmiany te maj¹ wp³yw jedynie na komputer, na którym zosta³y wprowadzone. Profil mobilny u ytkownika. Profil mobilny u ytkownika przechowywany jest na serwerze sieciowym, który udostêpnia go, kiedy u ytkownik loguje siê na dowolnym komputerze w sieci. Windows tworzy lokaln¹ kopiê profilu u ytkownika, który po raz pierwszy loguje siê na komputerze. Je eli u ytkownik wprowadzi zmiany w profilu, Windows wprowadza zmiany w kopii na serwerze, kiedy u ytkownik wylogowuje siê. Dlatego te poprawiony profil dostêpny jest przy nastêpnym logowaniu u ytkownika na dowolnym komputerze. Mobilne profile s¹ ³atwe do zarz¹dzania oraz idealnie dopasowane do systemów Windows.NET Server i Windows 2000 Server. Jednak przy odrobinie wysi³ku mo esz uzyskaæ niektóre korzyœci jakie daje profil mobilny u ytkownika, nawet je eli nie posiadasz serwerowej edycji systemu Windows. Aby uzyskaæ informacje na ten temat, patrz U ywanie Profili mobilnych u ytkownika na stronie 954. Profil obowi¹zkowy u ytkownika. Profil obowi¹zkowy u ytkownika jest profilem, który mo e byæ zmieniany tylko przez administratora. Tak jak profil mobilny u ytkownika, profil obowi¹zkowy przechowywany jest na serwerze sieciowym, a Windows tworzy kopiê lokaln¹ przy pierwszym logowaniu u ytkownika, do którego przypisany zosta³ profil obowi¹zkowy. W przeciwieñstwie do profilu mo-

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 945 bilnego, profil obowi¹zkowy nie jest uaktualniany, kiedy u ytkownik wylogowuje siê. Czyni to profil obowi¹zkowy bardzo u ytecznym, nie tylko w odniesieniu do u ytkowników indywidualnych, dla których chcesz wprowadziæ istotne ograniczenia, ale równie dla wielu u ytkowników (na przyk³ad wszystkich u ytkowników wykonuj¹cych okreœlone zadanie), dla których chcesz zastosowaæ specyficzne dla danego zadania ustawienia. Wielu u ytkowników mo e wspó³dzieliæ profil obowi¹zkowy u ytkownika, bez wp³ywania na innych. U ytkownicy, do których przypisany zosta³ profil obowi¹zkowy, mog¹ wprowadzaæ zmiany w profilu, kiedy siê loguj¹ (o ile nie zabraniaj¹ tego ustawienia zasad), ale kopia sieciowa pozostaje nie zmieniona. Chocia kopia profilu pozostaje na komputerze po tym jak u ytkownik siê wyloguje, przy nastêpnym logowaniu Windows ponownie kopiuje oryginalny profil z udzia³u sieciowego. Dodatkowe informacje o przypisywaniu profilu obowi¹zkowego u ytkownika znajdziesz w ramce U ywanie profilu obowi¹zkowego na stronie 957. Profile powszechne W folderze profilów (%SystemDrive%\Documents and Settings albo %SystemRoot%\Profiles) odnajdziesz dwa profile, które nie s¹ powi¹zane z okreœlonym kontem u ytkownika: All Users oraz Default User. (Folder Default User jest ukryty). All Users. Zawartoœæ folderu All Users pojawia siê dla wszystkich u ytkowników, którzy zaloguj¹ siê na stacji roboczej, obok zawartoœci w³asnego folderu profilu ka- dego u ytkownika. Na przyk³ad elementy w folderze All Users\Pulpit pojawiaj¹ siê na pulpicie wraz ze wszystkimi elementami, które aktualny u ytkownik ma zapisane na pulpicie. Podobnie, menu Start pokazuje po³¹czon¹ zawartoœæ folderu All Users\Menu Start oraz folderu Menu Start bie ¹cego u ytkownika. Folder All Users\Dokumenty (który w Eksploratorze Windows pojawia siê jako folder Dokumenty Udostêpnione) zawiera dokumenty, które s¹ dostêpne dla wszystkich u ytkowników. Wyj¹tkiem jest folder All Users\Ulubione, który nie s³u y do niczego. Domyœlnie tylko cz³onkowie grupy Administratorzy oraz U ytkownicy zaawansowani mog¹ dodawaæ elementy do folderów Pulpit oraz Menu Start w profilu All Users. Wszyscy u ytkownicy mog¹ dodawaæ elementy do folderu Dokumenty udostêpnione. WSKAZÓWKA Przegl¹danie folderu Menu Start Windows oferuje prosty sposób na dostanie siê bezpoœrednio do obu ga³êzi hierarchii menu Start. Kliknij prawym przyciskiem myszy przycisk Start i wybierz Otwórz albo Eksploruj, je eli chcesz obejrzeæ folder Menu Start w profilu bie ¹cego u ytkownika; wybierz Otwórz wszystkich u ytkowników albo Eksploruj wszystkich u ytkowników, aby zobaczyæ folder All Users\Menu Start w Eksploratorze Windows. Default User. Kiedy u ytkownik loguje siê na komputerze po raz pierwszy (a jego konto nie jest skonfigurowane do u ywania profilu mobilnego albo profilu obowi¹zkowego), system Windows tworzy nowy profil lokalny, kopiuj¹c zawartoœæ folderu Default User do nowego folderu i nazywaj¹c go nazw¹ u ytkownika. Dlatego te mo esz skonfigurowaæ profil Default User w taki sposób, w jaki chcesz,

946 Czêœæ VIII: Administracja systemu Konfigurowanie profilu domyœlnego W profilu Default User mo esz umieœciæ pliki, które maj¹ byæ dostêpne dla ka dego nowego u ytkownika. W szczególnoœci mo esz chcieæ dostarczyæ w ten sposób, zestaw ³¹czy internetowych, kilka skrótów pulpitu, a tak e trochê dokumentów. Mo esz to bardzo ³atwo zrobiæ, po prostu kopiuj¹c odpowiednie skróty oraz pliki do folderów: Ulubione, Pulpit i Moje Dokumenty. (Poniewa folder Default User jest ukryty, najpierw musisz wyœwietliæ ukryte foldery, otwieraj¹c Opcje folderów i zaznaczaj¹c opcjê Poka ukryte pliki i foldery, na karcie Widok). Upewnij siê, e skopiowa³eœ pliki do profilu Default User, tak e odziedziczy³y one odpowiednie uprawnienia folderu docelowego. Je eli przenios³eœ pliki do tego folderu, pozostan¹ one przy istniej¹cych uprawnieniach, które prawdopodobnie uniemo liwi¹ skopiowanie ich póÿniej do profilu nowego u ytkownika. aby Windows na pocz¹tku ukazywa³ siê nowym u ytkownikom. Przy domyœlnych ustawieniach zabezpieczeñ tylko cz³onkowie grupy Administratorzy mog¹ wprowadzaæ zmiany w profilu Default User. Praca z profilami u ytkownika Uzbrojony w wiedzê o tym, gdzie umieszczone s¹ profile oraz co zawieraj¹, mo esz pokusiæ siê modyfikowanie ich bezpoœrednio w Eksploratorze Windows albo z wiersza polecenia. Chocia mo esz bezpiecznie dodawaæ, modyfikowaæ albo usuwaæ elementy takie jak te z menu Start i pulpitu, to nie powinieneœ przenosiæ, kopiowaæ ani usuwaæ w ten sposób ca³ych profili. Zamiast tego, powinieneœ u yæ okna dialogowego Profile u ytkownika, pokazanego na rysunku 34-2. Aby siê tam dostaæ, kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci (albo wybierz System w Panelu sterowania). Na karcie Zaawansowane kliknij przycisk Ustawienia w sekcji Profile u ytkownika. Rysunek 34-2. U yj okna dialogowego Profile u ytkownika do skopiowania albo usuniêcia profilu u ytkownika.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 947 UWAGA U ytkownicy, którzy nie s¹ cz³onkami grupy Administratorzy, nie mog¹ zobaczyæ innych profili u ytkownika w oknie dialogowym Profile u ytkownika ani te nie mog¹ usuwaæ, kopiowaæ ani zmieniaæ swojego w³asnego profilu. Usuwanie profilu u ytkownika Okno dialogowe Profile u ytkownika pokazuje miejsce na dysku, zajmowane przez profil. Poniewa dokumenty ka dego u ytkownika przechowywane s¹ w jego profilu, mo e byæ to znacz¹cy obszar. Aby odzyskaæ przestrzeñ zajmowan¹ przez nie u ywane profile, mo esz usun¹æ profil na dwa sposoby: Otwórz Konta u ytkowników w Panelu sterowania i usuñ konto u ytkownika powi¹zane z okreœlonym profilem. Szczegó³owe informacje znajdziesz w podrozdziale Usuwanie konta na stronie 87. Metoda ta usuwa konto u ytkownika jak równie profil, oraz oferuje mo liwoœæ zachowania dokumentów z profilu. W oknie dialogowym Profile u ytkownika po prostu zaznacz profil i kliknij przycisk Usuñ. Nie mo esz usun¹æ profilu, który jest aktualnie zalogowany. Usuwanie profilów w ten sposób (zamiast na przyk³ad za pomoc¹ Eksploratora Windows) zapewnia, e odpowiedni profil zostanie równie usuniêty z rejestru. (Ka dy profil u ytkownika zajmuje podklucz klucza HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList). UWAGA Je eli u ywasz profili mobilnych u ytkownika, system Windows zwykle zapisuje kopiê profilu, który zosta³ skopiowany na lokalny dysk twardy. Windows u ywa tej lokalnej kopii, je eli zdarzy siê, e kopia sieciowa jest niedostêpna, kiedy u ytkownik siê loguje. Je eli posiadasz komputer, który jest dostêpny dla wielu u ytkowników, ta okazjonalna wygoda mo e kosztowaæ ciê znaczn¹ iloœæ przestrzeni dyskowej. Mo esz jednak wymusiæ, aby system Windows automatycznie usuwa³ lokaln¹ kopiê profilu mobilnego, kiedy u ytkownik wylogowuje siê. Aby to zrobiæ, otwórz Zasady grupy (Gpedit.msc), przejdÿ do folderu Konfiguracja komputera\szablony administracyjne\system\profile u ytkownika i w³¹cz zasadê o nazwie Usuwaj buforowane kopie profilów mobilnych. Inne zasady znajduj¹ce siê w tym samym folderze równie wp³ywaj¹ na sposób, w jaki stosowane s¹ profile mobilne. W celu uzyskania dalszych informacji, patrz Kontrolowanie mo liwoœci u ytkowników za pomoc¹ Zasad grupy na stronie 958. Kopiowanie profilu u ytkownika Kopiowanie profilu u ytkownika (poprzez zaznaczenie profilu i klikniêcie przycisku Kopiuj do) nie dodaje profilu do rejestru. Dzieje siê to przy pierwszym logowaniu u ytkownika, któremu zosta³ przypisany profil, który skopiowa³eœ. Ale kopiowanie w oknie Profile u ytkownika zamiast w oknie Eksploratora Windows daje istotn¹ korzyœæ: Windows przypisuje odpowiednie uprawnienia do kopii. To znaczy, e nadaje uprawnienie Pe³na kontrola u ytkownikowi lub grupie, któr¹ okreœlisz, oraz usunie uprawnienia dla innych u ytkowników nie bêd¹cych administratorami. Uprawnienia takie s¹ potrzebne do uzyskania przez u ytkownika dostêpu do jego w³asnego profilu ale nie profili innych u ytkowników. UWAGA Nie mo esz skopiowaæ profilu, który jest aktualnie zalogowany, ³¹cznie z twoim w³asnym profilem. Je eli chcesz skopiowaæ swój profil, musisz zalogowaæ siê, u ywaj¹c innego profilu.

948 Czêœæ VIII: Administracja systemu DLA EKSPERTÓW Poniewa tak wiele istotnych danych przechowywanych jest w twoim profilu, mo esz przechowywaæ dwie kopie profilu na ró nych dyskach. U ywaj¹c niektórych technik, które przeznaczone s¹ do zarz¹dzania profilami mobilnymi, mo esz tworzyæ automatyczne kopie zapasowe. Oto w jaki sposób: 1. Skopiuj profil, którego chcesz u ywaæ, na inny dysk. Musisz zalogowaæ siê, u ywaj¹c innego konta administratora, poniewa nie mo esz kopiowaæ profilu, którego aktualnie u ywasz. W oknie dialogowym Profile u ytkownika zaznacz profil i kliknij przycisk Kopiuj do. W oknie dialogowym Kopiowanie do okreœl folder znajduj¹cy siê na innym dysku. Nie musisz zmieniaæ pozwolenia dla u ytkowników. 2. Otwórz przystawkê U ytkownicy i grupy lokalne (Lusrmgr.msc), otwórz folder U ytkownicy i kliknij dwukrotnie swoj¹ nazwê u ytkownika. Na karcie Profil okreœl œcie kê do kopii profilu w polu Œcie ka profilu. Teraz, kiedy siê zalogujesz, system Windows skopiuje profil, który stworzy³eœ na drugim dysku, do folderu Documents and Settings. Kopia ta stanie siê twoj¹ kopi¹ robocz¹ i wszystkie zmiany, które wprowadzisz w ustawieniach lub plikach, bêd¹ tam zapisywane. Kiedy siê wylogowujesz, profil w folderze Documents and Settings jest kopiowany z powrotem na drugi dysk. Proste! ROZWI¹ZYWANIE PROBLEMÓW B³¹d uniemo liwia ci zalogowanie siê Je eli powi¹zany z profilem b³¹d wyst¹pi, kiedy spróbujesz siê zalogowaæ, albo zauwa ysz taki b³¹d w dzienniku zdarzeñ aplikacji, przyczyn mo e byæ kilka: Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu. Twoje konto musi posiadaæ (co najmniej) dostêp do odczytu do folderu %UserProfile%, niezale nie czy jest to profil lokalny, czy profil mobilny albo obowi¹zkowy przechowywany na innym komputerze. Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu do folderu profili folder, który zawiera indywidualne profile (na wiêkszoœci komputerów %SystemDrive%\Documents and Settings). Konto Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego folderu. Dodatkowo, je eli jest to udostêpniony folder na dysku sieciowym, konto Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego udzia³u. Twojemu systemowi brakuje przestrzeni dyskowej. Profil zosta³ uszkodzony. W wiêkszoœci przypadków jedynym rozwi¹zaniem w tej sytuacji jest usuniêcie profilu. Zanim podejmiesz ten drastyczny krok, spróbuj u yæ Przywracania systemu aby powróciæ do dzia³aj¹cego profilu. Jednak b¹dÿ ostro ny, poniewa to przywróci wszystkie profile utworzenia do czasu punktu przywracania. Przypisywanie profilu Je eli chcesz przypisaæ profil do konta u ytkownika, u yj programu Microsoft Management Console z przystawk¹ U ytkownicy i grupy lokalne. Mo esz j¹ znaleÿæ w programie Zarz¹dzanie komputerem w Narzêdziach systemowych albo otworzyæ w jej w³asnym oknie, wpisuj¹c w wierszu polecenia lusrmgr.msc. W folderze U ytkownicy kliknij dwukrotnie nazwê u ytkownika, do którego chcesz przypisaæ profil, a nastêpnie kliknij kartê Profil, pokazan¹ na rysunku 34-3. UWAGA Przystawka U ytkownicy i grupy lokalne nie jest dostêpna w systemie Windows XP Home Edition. Jednak ten sam rezultat mo esz osi¹gn¹æ, u ywaj¹c prze³¹cznika /Profilepath z poleceniem Net User. Wiêcej informacji uzyskasz, wpisuj¹c w wierszu polecenia net help user.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 949 Rysunek 34-3. U yj karty Profil, aby okreœliæ profil u ytkownika, skrypt logowania oraz folder macierzysty. Na karcie Profil mo esz okreœliæ nastêpuj¹ce rzeczy: Po³o enie profilu u ytkownika. (Zwróæ uwagê, e musisz to zrobiæ jedynie wtedy, gdy chcesz u ywaæ profilu, który nie jest przechowywany w domyœlnym po³o eniu, takiego jak profil mobilny u ytkownika albo profil obowi¹zkowy u ytkownika). Dodatkowe informacje na ten temat znajdziesz w podrozdziale U ywanie Profili mobilnych u ytkownika na stronie 954. Po³o enie i nazwê pliku skryptu logowania programu, który uruchamia siê przy ka dym logowaniu siê u ytkownika. Dodatkowe informacje na ten temat znajduj¹ siê w ramce U ywanie skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu systemu na stronie 951. Œcie kê do macierzystego folderu u ytkownika. Folder macierzysty jest folderem, w którym u ytkownik mo e przechowywaæ swoje pliki i programy. Chocia wiêkszoœæ programów u ywa folderu Moje dokumenty jako domyœlnego folderu dla poleceñ Plik Otwórz oraz Plik Zapisz, starsze programy u ywaj¹ folderu macierzystego. Folder macierzysty jest równie pocz¹tkowym folderem bie ¹cym dla sesji Wiersza polecenia. Folder macierzysty mo e byæ folderem lokalnym albo znajdowaæ siê na wspó³dzielonym dysku sieciowym; kilku u ytkowników mo e wspó³dzieliæ folder macierzysty. Aby okreœliæ lokalny folder macierzysty, podaj œcie kê w polu tekstowym Œcie ka lokalna. Aby u ywaæ folderu na serwerze sieciowym jako folderu macierzystego, wybierz literê dysku (system Windows zmapuje folder do tej litery dysku przy ka dym logowaniu) i okreœl pe³n¹ œcie kê sieciow¹ do tego folderu. (Je eli nie okreœlisz folderu macierzystego, Windows bêdzie u ywaæ jako folderu macierzystego folderu %UserProfile%).

950 Czêœæ VIII: Administracja systemu ROZWI¹ZYWANIE PROBLEMÓW Twoje pliki zaginê³y albo masz dwa profile Powszechnym problemem z profilami jest to, e z takiego lub innego powodu w pewnym momencie masz wiêcej ni jeden profil dla konta u ytkownika. Symptomami s¹ przek³amania: nagle twoje dokumenty gin¹, z menu Start znikaj¹ programy albo zmieniaj¹ siê twoje ustawienia. Pojawia siê to zazwyczaj wtedy, kiedy przy³¹czasz siê do domeny, a nastêpnie logujesz, u ywaj¹c nazwy u ytkownika, jakiej u ywa³eœ, zanim przy³¹czy³eœ siê do domeny. W takim wypadku oznacza to, e stworzy³eœ (byæ mo e bezwiednie) dwa konta u ytkownika: lokalne konto oraz konto domeny. Ka de konto powi¹zane jest ze swoim w³asnym profilem. Je eli nie u ywa³eœ jeszcze swojego nowego profilu do przechowywania dokumentów albo nie wybiera³eœ adnych ustawieñ oraz jesteœ w stanie okreœliæ, które konto jest powi¹zane z którym profilem, mo esz zaradziæ tej sytuacji, po prostu przypisuj¹c w³aœciwy profil do twojego konta. Lepszym rozwi¹zaniem jest u ycie Kreatora transferu plików i ustawieñ. Zaloguj siê za pomoc¹ konta, którego nie planujesz ju u ywaæ, i zapisz swoje pliki i ustawienia. Nastêpnie zaloguj siê za pomoc¹ drugiego konta i importuj swoje informacje. Dodatkowe informacje na ten temat znajdziesz w podrozdziale Transfer plików i ustawieñ na stronie 45. W niektórych przypadkach zw³aszcza jeœli chcesz tylko odzyskaæ swoje dokumenty ³atwiej jest u yæ Eksploratora Windows, aby przenieœæ dokumenty z jednego profilu do drugiego. (Foldery profili w folderze Documents and Settings zaczynaj¹ siê od nazwy u ytkownika, ale przynajmniej jeden z nich posiada, dla odró nienia, równie nazwê komputera albo domeny). Niezale nie od tego, którego sposobu u yjesz do przeniesienia informacji, mo esz nastêpnie usun¹æ profil, którego ju nie potrzebujesz. (Zwykle jest to profil powi¹zany z lokalnym kontem, jeœli normalnie logujesz siê, u ywaj¹c twojego konta domeny). Przenoszenie folderów ze standardowego po³o enia profili W ³atwy sposób mo esz zmieniæ po³o enie folderu Moje dokumenty oraz jego podfolderów Moja muzyka i Moje obrazy. Mo esz chcieæ to zrobiæ, na przyk³ad je eli dysk, na którym przechowywany jest twój profil, zape³ni siê. Jako alternatywê dla u ywania innej lokalizacji na twoim komputerze mo esz rozwa yæ przeniesienie folderów zawieraj¹cych dokumenty do udostêpnionego folderu w dowolnym miejscu w sieci. Przechowywanie tego typu danych na serwerze sieciowym, z dala od profilu u ytkownika, daje dwie istotne korzyœci: Przechowywanie danych u ytkownika w centralnej lokalizacji mo e u³atwiæ tworzenie kopii zapasowych. Oddzielenie danych u ytkownika od profilu u ytkownika przyspiesza proces logowania i wylogowywania siê dla u ytkowników z profilem mobilnym. (Je eli dokumenty u ytkownika przechowywane s¹ wewn¹trz profilu, kopiowane s¹ z serwera sieciowego na komputer lokalny przy ka dym logowaniu, a nastêpnie kopiowane s¹ z powrotem przy wylogowywaniu. Dziêki przechowywaniu ich z dala od profilu ka dy plik przenoszony jest tylko wtedy, gdy jest potrzebny). Aby przenieœæ folder Moje dokumenty, wykonaj nastêpuj¹ce czynnoœci: 1. Kliknij prawym przyciskiem myszy Moje dokumenty i wybierz W³aœciwoœci. Na karcie Element docelowy kliknij Przenieœ. 2. Wybierz œcie kê folderu, w którym chcesz trzymaæ Moje dokumenty, albo na twoim w³asnym komputerze, albo udostêpnionym folderze sieciowym. Poni ej zaznaczony zosta³ folder Dane znajduj¹cy siê na serwerze sieciowym.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 951 3. Kliknij OK w ka dym z okien. Kliknij Tak, je eli chcesz przenieœæ istniej¹ce dokumenty do nowego miejsca docelowego. Nowa funkcja! Aby przenieœæ foldery Moja muzyka oraz Moje obrazy do nowej lokalizacji, po prostu u yj Eksploratora Windows. System Windows XP automatycznie uaktualni wszystkie odwo³ania do tego folderu, w³¹czaj¹c te z menu Start. Je eli nie u ywasz profili mobilnych u ytkownika do przeniesienia ich masowo, przenoszenie innych folderów profili jest niepraktyczne, o ile twój komputer nie jest przy³¹czony do domeny. W sieci bazuj¹cej na domenie ustawienia Zasad grupy pozwalaj¹ administratorowi na u ycie przekierowania folderu do przechowywania na serwerze sieciowym plików danych z profilu u ytkownika. Rozszerzenie Przekierowanie folderu dla kont bazuj¹cych na domenie, dostêpne w przystawce Zasady grupy, pozwala administratorom ³atwo zmieniæ po³o enie folderów Dane aplikacji, Pulpit, Moje dokumenty oraz sk³adników menu Start profilu u ytkownika a u ytkownik nawet nie zauwa y ró nicy. UWAGA Mo liwe ale nie zawsze po yteczne jest przeniesienie ca³ego folderu Documents and Settings. Szczegó³owe informacje znajdziesz w artykule Q236621 w bazie Knowledge Base. U ywanie skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu systemu W wypadku profili u ytkownika oraz zasad grupy mo esz zastosowaæ skrypty, które bêd¹ uruchamia³y siê automatycznie. Skrypt logowania jest programem, który uruchamia siê, kiedy tylko u ytkownik siê loguje. Ka dy plik wykonywalny czyli program wsadowy (rozszerzenie.bat albo.cmd), skrypt Hosta skryptów systemu Windows (WSH) (rozszerzenie.vbs,.js, lub.wsf) albo program (rozszerzenie.exe Dokoñczenie na nastêpnej stronie

952 Czêœæ VIII: Administracja systemu Dokoñczenie z poprzedniej strony lub.com) mo e byæ u yty jako skrypt logowania. Dodatkowe informacje dotycz¹ce programów wsadowych oraz skryptów WSH, znajdziesz w rozdziale 10 Automatyzacja Windows XP. Skrypty logowania s¹ powszechnie u ywane do mapowania dysków sieciowych do liter dysków, do uruchamiania pewnych programów oraz wykonywania innych podobnych zadañ, które powinny mieæ miejsce przy ka dym logowaniu. Tak jak w przypadku wiêkszoœci zadañ w Windows, mo esz u yæ innych sposobów, aby przeprowadziæ ka de z nich ale skrypty logowania s¹ metod¹ wygodn¹ i elastyczn¹. Zwróæ uwagê, e u ywanie zmiennych œrodowiskowych, takich jak %UserName%, sprawia, e u ywanie tego samego skryptu dla ró nych u ytkowników jest ³atwe. Windows zastêpuje j¹ odpowiedni¹ nazw¹ u ytkownika, kiedy uruchamia skrypt. Aby u yæ skryptu logowania dla lokalnego konta u ytkownika, podaj œcie kê skryptu oraz nazwê pliku w polu Skrypt logowania na karcie Profil w oknie dialogowym w³aœciwoœci u ytkownika (pokazanym wczeœniej, na rysunku 34-3). System Windows XP Professional (ale nie Home Edition) oferuje równie wsparcie dla czterech innych typów skryptów: Skrypt logowania dla Zasad grupy, który uruchamia siê, kiedy u ytkownik siê loguje Skrypt wylogowywania dla Zasad grupy, który uruchamia siê, kiedy u ytkownik siê wylogowuje Skrypt uruchamiania dla Zasad grupy, który uruchamia siê, kiedy komputer jest w³¹czany Skrypt zamykania dla Zasad grupy, który uruchamia siê, kiedy komputer jest wy³¹czany Tak jak w wypadku zwyk³ych skryptów logowania, mo esz u yæ pliku typu wykonywalnego dla dowolnego z tych skryptów. Chocia mo esz przechowywaæ skrypty, gdzie tylko chcesz, ka dy typ skryptów posiada lokalizacjê domyœln¹. Skrypt logowania %SystemRoot%\System32\GroupPolicy\User\ Scripts\Logon Skrypt wylogowywania %SystemRoot%\System32\GroupPolicy\User\ Scripts\Logoff Skrypt uruchamiania %SystemRoot%\System32\GroupPolicy\Machine\ Scripts\Startup Skrypt zamykania %SystemRoot%\System32\GroupPolicy\Machine\ Scripts\Shutdown Zwróæ uwagê, e %SystemRoot%System32\GroupPolicy jest folderem ukrytym. Aby zastosowaæ któryœ z tych skryptów, uruchom Zasady grupy (Gpedit.msc) i przejdÿ do folderu Konfiguracja komputera\ustawienia systemu Windows\Skrypty (dla skryptów uruchamiania i zamykania) albo Konfiguracja u ytkownika\ustawienia systemu Windows\Skrypty (dla skryptów logowania i wylogowywania).

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 953 Kiedy dwukrotnie klikniesz jedn¹ z pozycji w tych folderach, zauwa ysz kilka dodatkowych korzyœci ze skryptów logowania: Mo esz okreœliæ wiêcej ni jeden skrypt dla ka dego z tych zdarzeñ oraz mo esz okreœliæ kolejnoœæ, w jakiej maj¹ byæ uruchamiane. Mo esz okreœliæ parametry wiersza polecenia dla ka dego skryptu. Zasady grupy oferuj¹ równie kilka ustawieñ zasad, które wp³ywaj¹ na sposób dzia³ania skryptów synchroniczny albo asynchroniczny, ukryty albo widzialny. (W tym wypadku synchronicznie oznacza, w efekcie, e nic innego nie jest uruchamiane, dopóki skrypt nie zakoñczy dzia³ania). Ustawienia te odnajdziesz, wraz z bardziej szczegó³owym wyjaœnieniem ich dzia³ania, w folderze Konfiguracja komputera\szablony administracyjne\system\skrypty oraz Konfiguracja u ytkownika\szablony administracyjne\system\skrypty. Niektóre zasady pojawiaj¹ siê w obu miejscach; je eli ustawienia te s¹ ró nie skonfigurowane, to ta, która znajduje siê w Konfiguracji komputera, ma pierwszeñstwo.

954 Czêœæ VIII: Administracja systemu U ywanie Profili mobilnych u ytkownika Profil mobilny u ytkownika pozwala u ytkownikowi na logowanie siê na stacji roboczej i ujrzenie znajomych ustawieñ na pulpicie, w menu Start itd. Profile mobilne u ytkownika dzia³aj¹ dziêki przechowywaniu profilu u ytkownika w udostêpnionym folderze sieciowym. Kiedy u ytkownik siê loguje, informacje profilu s¹ kopiowane z udzia³u sieciowego na lokalny dysk twardy. Kiedy u ytkownik wylogowuje siê, informacje te które mog³y ulec zmianie w czasie sesji kopiowane s¹ z powrotem do udostêpnionego folderu. Je eli u ywasz wiêcej ni jednego komputera, mo esz odczuæ przydatnoœæ profilów mobilnych u ytkownika. Na przyk³ad je eli posiadasz ma³¹ firmê z dzia³em obs³ugi klienta oraz zapleczem, mo esz spêdzaæ czas zarówno w jednym, jak i drugim miejscu. Chocia stosunkowo ³atwo skonfigurowaæ twoje pliki danych w udziale sieciowym do ³atwego dostêpu, prawdopodobnie stwierdzisz, e twoja wydajnoœæ ucierpi z powodu drobnych zmian w ustawieniach na przyk³ad twój osobisty s³ownik pisowni w Wordzie albo lista Ulubionych witryn sieciowych które s¹ ró ne w tych dwóch miejscach. U ywanie profilu mobilnego u ytkownika rozwi¹zuje ten problem. Zwykle profile mobilne u ytkownika s¹ cech¹ sieci bazuj¹cych na domenach (to znaczy sieci, która wykorzystuje system nale ¹cy do rodziny Windows.NET Server, Windows 2000 Server albo Windows NT Server jako kontroler domeny). Jednak przy odrobinie dodatkowej pracy mo esz cieszyæ siê niektórymi z tych korzyœci w œrodowisku grupy roboczej. W œrodowisku domeny konta u ytkowników oraz konta komputerów s¹ centralnie zarz¹dzane na poziomie domeny, tak e zmiany musisz wprowadzaæ tylko jeden raz i tylko w jednym miejscu. Uzyskanie dostêpu do profilu po raz pierwszy z nowego komputera jest automatyczne. W przeciwieñstwie do tego, w grupie roboczej musisz stworzyæ podobne konta u ytkownika na ka dym komputerze, na którym zamierzasz siê logowaæ, zanim bêdziesz móg³ siê zalogowaæ. Aby zadzia³a³o to w œrodowisku grupy roboczej, ka dy u ytkownik, któremu chcesz skonfigurowaæ profil mobilny u ytkownika, musi posiadaæ konto na ka dym komputerze, na którym bêdzie siê logowaæ, oraz konto na komputerze, który zawiera udostêpniony folder profilów. Konto u ytkownika na ka dym komputerze musi mieæ tê sam¹ nazwê u ytkownika oraz has³o. OSTRZE ENIE Nasze eksperymenty pokaza³y, e konfigurowanie profili mobilnych oraz profili obowi¹zkowych w œrodowisku grupy roboczej tylko z systemem Windows XP jest trudne w najlepszym wypadku. Ze wzglêdu na sposób, w jaki stosowane s¹ ustawienia (w szczególnoœci ustawienia zwi¹zane z nowym sposobem obs³ugi tematów i nowym menu Start), nie wszystkie ustawienia przechodz¹ poprawnie i dzia³anie jest czasami nieprzewidywalne, je eli nie skonfigurujesz wszystkiego poprawnie. Je eli perfekcyjne dzia³anie tych funkcji jest wa ne dla ciebie i twojej firmy, powinieneœ rozwa yæ aktualizacjê do systemu Windows.NET Server, który czyni konfiguracjê u ytkownika znacznie ³atwiejsz¹ i du o bardziej niezawodn¹. Konfigurowanie udostêpnionego folderu dla profili mobilnych Poniewa na pewno bêdziesz chcia³ przegl¹daæ i modyfikowaæ uprawnienia, komputer, na którym zamierzasz przechowywaæ profile mobilne, musi dzia³aæ w systemie Windows XP Professional i mieæ wy³¹czon¹ opcjê Proste udostêpnianie plików.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 955 Aby skonfigurowaæ folder udostêpniony, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako cz³onek grupy Administratorzy danego komputera. 2. U ywaj¹c Eksploratora Windows, utwórz folder o nazwie Profiles. 3. W Eksploratorze Windows kliknij prawym przyciskiem myszy i wybierz Udostêpnianie i zabezpieczenia. 4. Na karcie Udostêpnianie okna dialogowego W³aœciwoœci: Profiles, które siê pojawi, zaznacz opcjê Udostêpnij ten folder. Domyœlne uprawnienia udostêpniania, które daj¹ dostêp z Pe³n¹ kontrol¹ grupie Wszyscy, s¹ w³aœciwe. 5. Kliknij kartê Zabezpieczenia (je eli utworzy³eœ folder na woluminie NTFS) i upewnij siê, e Wszyscy maj¹ uprawnienie Pe³na kontrola. Konfigurowanie kont u ytkowników Aby skonfigurowaæ konta u ytkowników, wykonaj poni sze czynnoœci: 1. Na ka dym komputerze (³¹cznie z serwerem, który skonfigurowa³eœ w poprzedniej procedurze) zaloguj siê jako cz³onek grupy Administratorzy. 2. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Zarz¹dzaj. 3. W programie Zarz¹dzanie komputerem przejdÿ do folderu Narzêdzia systemowe\u ytkownicy i grupy lokalne\u ytkownicy. 4. Je eli konto, którego potrzebujesz, jeszcze nie istnieje, wybierz Akcja, Nowy u ytkownik i utwórz konto u ytkownika. Upewnij siê, e u ywasz tej samej nazwy u ytkownika i has³a na ka dym komputerze. Wyczyœæ pole U ytkownik musi zmieniæ has³o przy nastêpnym logowaniu, zanim klikniesz przycisk Utwórz. 5. W prawym okienku konsoli Zarz¹dzanie komputerem dwukrotnie kliknij nazwê u ytkownika, aby wyœwietliæ okno dialogowe w³aœciwoœci. 6. Kliknij kartê Profil. W polu Œcie ka profilu wpisz œcie kê sieciow¹ do udostêpnionego folderu profili, tak jak pokazano na rysunku 34-4. Zalet¹ u ywania zmiennej œrodowiskowej %UserName% jest jedynie wygoda: mo esz u ywaæ tego samego ci¹gu znaków dla ka dego u ytkownika, bez potrzeby zatrzymywania siê po to, eby sprawdziæ w³aœciw¹ nazwê folderu profilu. UWAGA Komputer klient nie ten, na którym przechowywany jest profil mo e dzia³aæ z systemem Windows XP Home Edition. Chocia wersja Home Edition nie zawiera przystawki U ytkownicy i grupy lokalne, mo esz u yæ innych narzêdzi, aby osi¹gni¹æ ten sam rezultat. Je eli potrzeba, utwórz nowe konto u ytkownika i przypisz do niego has³o za pomoc¹ Kont u ytkownika w Panelu sterowania. Aby przypisaæ œcie kê profilu, u yj polecenia Net User. Na przyk³ad aby wykonaæ takie samo przypisanie jak na rysunku 34-4, w wierszu polecenia wpisz net user marek /profilepath:\\badlands\profiles\marek.

956 Czêœæ VIII: Administracja systemu Rysunek 34-4. Zmienna œrodowiskowa %UserName% jest zamieniana na nazwê u ytkownika, kiedy przejdziesz do nastêpnego pola albo klikniesz OK. Tworzenie profilu Aby utworzyæ profil, który ma byæ u yty jako profil mobilny u ytkownika, i skopiowaæ go do udostêpnionego folderu profili, wykonaj nastêpuj¹ce czynnoœci: 1. Utwórz profil poprzez zalogowanie siê (najlepiej u ywaj¹c tymczasowego konta u ytkownika, utworzonego w tym celu) i wprowadÿ ustawienia jakie chcesz. 2. Wyloguj siê, a nastêpnie ponownie zaloguj jako cz³onek grupy Administratorzy. UWAGA Je eli kopiujesz profil z innego komputera ni ten, który zawiera udostêpniony folder profili, konto na które siê zalogowa³eœ, musi mieæ tê sam¹ nazwê u ytkownika i has³o co konto, które ma uprawnienia administracyjne na komputerze docelowym. 3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci. W oknie dialogowym W³aœciwoœci systemu kliknij kartê Zaawansowane, a nastêpnie kliknij przycisk Ustawienia w sekcji Profile u ytkownika. 4. Zaznacz profil, który utworzy³eœ, i kliknij przycisk Kopiuj do.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 957 5. W polu Kopiowanie profilu do wpisz pe³n¹ œcie kê do folderu przeznaczenia. Na przyk³ad je eli chcesz utworzyæ profil dla u ytkownika o nazwie Marek w udziale Profiles na komputerze o nazwie Badlands, wpisz \\badlands\profiles\marek. Upewnij siê, e folder przeznaczenia, który poda³eœ, nie istnieje; je eli istnieje, Windows usunie jego zawartoœæ, zanim skopiuje profil. 6. W sekcji Pozwolenie na u ywanie kliknij przycisk Zmieñ i wpisz nazwê u ytkownika, który bêdzie u ywa³ profilu. Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil u ytkownika do okreœlonego folderu i ustawi uprawnienia na folderze docelowym i jego zawartoœci. Windows daje uprawnienie Pe³na kontrola dla grupy Administratorzy, u ytkownika lub grupy, któr¹ poda³eœ w polu Pozwolenie na u ywanie, oraz konta systemowego. Uniemo liwia to u ytkownikom nie bêd¹cym administratorami dostêp do profili innych ni ich w³asne. Je eli skopiowa³eœ profil z jednego komputera do udostêpnionego folderu na innym komputerze, uprawnienia, które utworzy³ system Windows, nie s¹ do koñca poprawne i musisz wykonaæ jeszcze jedn¹ czynnoœæ, aby je poprawiæ. Na komputerze z udostêpnionym folderem profili kliknij prawym przyciskiem myszy folder nowego profilu, wybierz W³aœciwoœci i kliknij Zabezpieczenia. Je eli jedna z nazw pokazuje identyfikator zabezpieczeñ nieznanego u ytkownika, jak pokazano na rysunku 34-5, musisz dodaæ w³aœciwe konto u ytkownika (w tym przypadku Marek) i nadaæ mu uprawnienie Pe³na kontrola. Mo esz usun¹æ nieznanego u ytkownika, aczkolwiek nie ma potrzeby, aby to robiæ. (Konto nieznanego u ytkownika w rzeczywistoœci jest poprawn¹ nazw¹ u ytkownika, ale jest to konto z komputera Ÿród³owego, a nie konto na komputerze lokalnym. Jest to jedna z niebezpiecznych U ywanie profilu obowi¹zkowego Profil obowi¹zkowy dzia³a w du ym stopniu tak, jak profil mobilny u ytkownika: kiedy u ytkownik siê loguje, profil jest kopiowany z lokalizacji sieciowej do folderu lokalnego, tym samym dostarczaj¹c znajomych ustawieñ. Ró nica jest taka, e profil obowi¹zkowy nie jest uaktualniany na podstawie zmian u ytkownika, kiedy u ytkownik siê wylogowuje. Aby przypisaæ profil obowi¹zkowy do jednego lub wiêcej u ytkowników, wykonaj te same procedury, jak w wypadku u ycia profilu mobilnego u ytkownika. Nastêpnie na komputerze, na którym przechowywany jest udostêpniony folder, wprowadÿ nastêpuj¹ce zmiany: 1. Zmieñ uprawnienia folderu, usuwaj¹c uprawnienia Pe³na kontrola, Modyfikacja oraz Zapis dla konta u ytkownika (lub kont), które bêdzie u ywaæ profilu pozostawiaj¹c jedynie uprawnienia Odczyt i wykonanie, Wyœwietlanie zawartoœci folderu oraz Odczyt. 2. Zmieñ nazwê ukrytego pliku Ntuser.dat (w folderze najwy szego poziomu profilu) na Ntuser.man. (Upewnij siê, e zmieni³eœ Ntuser.dat, a nie Ntuser.dat.log, którego rozszerzenie jest normalnie ukryte). Rozszerzenie.man okreœla profil obowi¹zkowy (ang. mandatory).

958 Czêœæ VIII: Administracja systemu i irytuj¹cych rzeczy zwi¹zanych z poleganiem na oddzielnych bazach danych zabezpieczeñ jak robi model grupy roboczej zamiast u ywania scentralizowanej bazy danych zabezpieczeñ, jak ma to miejsce w wypadku domeny. W celu uzyskania dalszych informacji, patrz Lokalne konta i grupy a konta i grupy domeny na stronie 77). Rysunek 34-5. Je eli uprawnienia dla profilu nie zawieraj¹ lokalnego konta u ytkownika, u ytkownik nie bêdzie móg³ siê zalogowaæ. ROZWI¹ZYWANIE PROBLEMÓW Niektóre pliki s¹ niedostêpne dla profilu mobilnego Mo esz mieæ problemy, je eli niektóre ustawienia profilu u ytkownika polegaj¹ na plikach, przechowywanych na lokalnym dysku twardym. Na przyk³ad mo esz ustawiæ t³o pulpitu jako plik przechowywany na dysku C. Kiedy zalogujesz siê na innym komputerze, t³o nie pojawia siê (chyba e zdarzy siê, e taki sam plik bêdzie w tej samej lokalizacji na innym komputerze). Mo esz z³agodziæ problemy tego typu, przekierowuj¹c Moje dokumenty do udostêpnionego folderu profili, a nastêpnie u ywaj¹c go do przechowywania dokumentów i innych plików, do których chcesz mieæ dostêp z innych komputerów. Kontrolowanie mo liwoœci u ytkowników za pomoc¹ Zasad grupy Zasady grupy s¹ bardzo zachwalan¹ funkcj¹ us³ugi Active Directory, która jest czêœci¹ systemów Windows.NET Server oraz Windows 2000 Server. W tym œrodowisku Zasady grupy s¹ z pewnoœci¹ potê nym narzêdziem, które pozwala administratorom na konfigurowanie komputerów w ró nych lokalizacjach, domenach czy te jednostkach organizacyjnych. Oprócz ustawiania standardowych konfiguracji pulpitu oraz ustalania, którzy u ytkownicy mog¹ wprowadzaæ zmiany, administratorzy mog¹ u ywaæ Zasad grupy do centralnego zarz¹dzania instalacj¹, konfiguracj¹, uaktualnianiem oraz usuwaniem oprogramowania, okreœlaæ skrypty wykorzystywane przy uruchamianiu, zamykaniu, logowaniu oraz wylogowywaniu, a tak e przekierowywaæ specjalne foldery u ytkowników (takie jak Moje dokumenty) do sieci. Admini-

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 959 stratorzy mog¹ dopasowywaæ wszystkie te ustawienia dla posczególnych komputerów, u ytkowników oraz grup. Jednak Zasady grupy mog¹ okazaæ siê przydatnym narzêdziem do zarz¹dzania komputerami w ma³ej sieci albo nawet do zarz¹dzania pojedynczym komputerem z kilkoma u ytkownikami. U ywaj¹c jedynie lokalnego obiektu Zasad grupy na komputerze z uruchomionym systemem Windows XP Professional, mo esz: Zarz¹dzaæ zasadami bazuj¹cymi na rejestrze wszystko, pocz¹wszy od konfigurowania pulpitu do ukrywania pewnych napêdów dyskowych, po zapobieganie tworzeniu zadañ zaplanowanych. Ustawienia te oraz setki innych przechowywane s¹ w ga³êziach kluczy HKLM oraz HKCU rejestru systemu, który mo esz edytowaæ bezpoœrednio. Jednak Zasady grupy dostarczaj¹ istotnych korzyœci: s¹ du o ³atwiejsze w u yciu ni edytor rejestru oraz okresowo automatycznie uaktualniaj¹ rejestr (tym samym utrzymuj¹c twoje zasady w dzia³aniu, nawet je eli rejestr zostanie zmodyfikowany w inny sposób). Przypisaæ skrypty do uruchamiania i wy³¹czania komputera oraz logowania i wylogowywania u ytkownika. (W celu uzyskania szczegó³ów, patrz U ywanie skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu systemu na stronie 951). Okreœlaæ opcje zabezpieczeñ. W œrodowisku domeny Zasady grupy pozwalaj¹ administratorowi na zastosowanie zasad zabezpieczeñ oraz ograniczeñ dla u ytkowników i komputerów (oraz grup jednych i drugich) za jednym zamachem. W grupie roboczej musisz zastosowaæ podobne ustawienia Zasad grupy na ka dym komputerze, na którym chcesz wprowadziæ takie ograniczenia. UWAGA Zasady grupy nie s¹ dostêpne w systemie Windows XP Home Edition. Uruchamianie Zasad grupy Ustawienia Zasad grupy wybiera siê, u ywaj¹c przystawki Zasady grupy dla programu Microsoft Management Console (MMC), pokazanej na rysunku 34-6. System Windows XP Professional zawiera konsolê MMC, która pokazuje tylko tê przystawkê, ale nie odnajdziesz jej w menu Start. Aby otworzyæ tê konsolê, przejdÿ do menu Start, kliknij Uruchom i wpisz gpedit.msc. Musisz byæ zalogowany jako cz³onek grupy Administratorzy, aby móc u ywaæ Zasad grupy. Je eli twój komputer jest przy³¹czony do domeny z zasadami bazuj¹cymi na us³udze Active Directory i jeœli posiadasz odpowiednie uprawnienia administracyjne domeny, mo esz skonfigurowaæ Zasady grupy do wyœwietlania rozszerzeñ przystawki, które pozwol¹ ci przegl¹daæ oraz modyfikowaæ zasady domeny, jak równie rozszerzenia dla lokalnego obiektu Zasady grupy. (Dodatkowe informacje na ten temat znajdziesz w podrozdziale W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹ z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory na stronie 965). Jednak, poniewa w ksi¹ ce tej skupiamy siê na systemie Windows XP, w tym rozdziale opiszemy jedynie lokalny obiekt Zasady grupy.

960 Czêœæ VIII: Administracja systemu Rysunek 34-6. Wpisanie gpedit.msc w wierszu polecenia otwiera konsolê Zasady grupy. Uruchamianie Zasad grupy dla komputerów zdalnych Dla niektórych przystawek konsoli MMC (na przyk³ad Zarz¹dzanie komputerem) mo esz u yæ poleceñ menu do prze³¹czenia siê z komputera lokalnego na inny komputer w sieci. Jednak nie dzia³a to w ten sposób w przypadku Zasad grupy, które raz uruchomione, kieruj¹ swoj¹ uwagê na pojedynczy komputer. Jednak mo esz uruchomiæ Zasady grupy, kieruj¹c ich uwagê ku innemu komputerowi. Aby tak zrobiæ, musisz posiadaæ uprawnienia administracyjne na obu komputerach, swoim i tym drugim. Nawet bez systemu Windows.NET Server (albo Windows 2000 Server) i us³ugi Active Directory, mo esz administrowaæ wszystkimi komputerami w sieci z poziomu jednej konsoli. (Zasadnicza ró nica polega na tym, e musisz ustawiaæ lokalne Zasady grupy na ka dym komputerze, zamiast ustawiæ Zasady grupy bazuj¹ce na us³udze Active Directory, które stosowane s¹ do wszystkich komputerów). Mo esz u yæ dwóch sposobów, aby uruchomiæ Zasady grupy dla komputera zdalnego: parametru wiersza polecenia albo w³asnej konsoli MMC. Naj³atwiejszym sposobem jest do³¹czenie parametru /Gpcomputer, tak jak zrobiliœmy w poni szym przyk³adzie: Gpedit.msc /gpcomputer:"equinoxe" Nazwa komputera, która nastêpuje po parametrze /Gpcomputer, mo e byæ podana w stylu NetBIOS (tak jak tu) albo w stylu DNS (na przyk³ad equinoxe.rm.com.pl), który jest podstawow¹ form¹ nazewnictwa u ywan¹ przez domeny systemów Windows.NET Server oraz Windows 2000 Server. W obu przypadkach musisz umieœciæ nazwê komputera w cudzys³owie. Metod¹ alternatywn¹ jest stworzenie w³asnej konsoli, która otwiera lokalny obiekt Zasad grupy innego komputera. Przewag¹ tego rozwi¹zania jest to, e mo esz utworzyæ pojedyncz¹ konsolê, otwieraj¹c¹ Zasady grupy dla ka dego komputera, którym chcesz zarz¹dzaæ. Aby utworzyæ w³asn¹ konsolê, wykonaj nastêpuj¹ce czynnoœci: 1. W menu Start kliknij Uruchom i wpisz mmc. 2. Otwórz menu Plik i wybierz Dodaj/Usuñ przystawkê. 3. Na karcie Autonomiczna kliknij przycisk Dodaj.

Rozdzia³ 34: Zarz¹dzanie profilami u ytkownika i zasadami 961 4. Wybierz przystawkê Zasady grupy i kliknij przycisk Dodaj. 5. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij Przegl¹daj. 6. Na karcie Komputery zaznacz pole Inny komputer, a nastêpnie wpisz nazwê komputera albo kliknij przycisk Przegl¹daj, Zaawansowane, ZnajdŸ teraz, aby wybraæ go z listy. 7. Kliknij OK, a nastêpnie Zakoñcz. 8. Powtórz kroki od 4 do 7, aby dodaæ inne komputery do konsoli. 9. Kliknij przycisk Zamknij, a nastêpnie OK. Dodatkowe informacje na temat konsoli MMC znajdziesz w podrozdziale Tworzenie w³asnych konsoli MMC na stronie 1025. Dopasowywanie okna Zasad grupy Konsola Zasady grupy posiada kilka ³atwych do przeoczenia opcji, których nie znajdziesz w innych przystawkach konsoli MMC. Mo esz dodawaæ albo usuwaæ szablony administracyjne, a tak e ograniczyæ widok tylko do tych zasad, które zosta³y skonfigurowane. Dodawanie lub usuwanie szablonów zasad Foldery Szablonów administracyjnych (pod elementami Konfiguracja komputera i Konfiguracja u ytkownika) s¹ rozwijalne. Zasady Szablonów administracyjnych zdefiniowane s¹ w pliku.adm. System Windows XP zawiera kilka plików.adm, z których cztery wyœwietlane s¹ domyœlnie, co pokazano w tabeli 34-1. Mo esz usun¹æ szablony, które zawieraj¹ zasady, których nigdy nie u ywasz, albo mo esz dodaæ w³asny szablon dostarczony przez inny program. Na przyk³ad Micro-

962 Czêœæ VIII: Administracja systemu soft Office XP Resource Kit zawiera szablony zasad do zarz¹dzania pakietem Microsoft Office; wiêcej szczegó³ów odnajdziesz, odwiedzaj¹c stronê www.microsoft.com/office/ork. Tabela 34-1. Pliki Szablonów administracyjnych zawarte w Windows XP Nazwa pliku Conf.adm (wyœwietlany domyœlnie) Intercorp.adm Inetres.adm (wyœwietlany domyœlnie) Inetset.adm System.adm (wyœwietlany domyœlnie) Wmplayer.adm (wyœwietlany domyœlnie) Opis Ustawienia konferencyjne dla programu Microsoft NetMeeting, które ukazuj¹ siê w folderze Szablony administracyjne\sk³adniki systemu Windows\NetMeeting (pod elementami Konfiguracja komputera i Konfiguracja u ytkownika) Ustawienia programu Microsoft Internet Explorer do u ytku z zestawem Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy Ustawienia programu Microsoft Internet Explorer, które ukazuj¹ siê w folderze Szablony administracyjne\sk³adniki systemu Windows\Internet Explorer (pod elementami Konfiguracja komputera i Konfiguracja u ytkownika) Ustawienia programu Microsoft Internet Explorer do u ytku z zestawem Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy Du a ró norodnoœæ ustawieñ dla Windows XP, obejmuj¹cych wiêkszoœæ zasad ukazuj¹cych siê w Zasadach grupy Ustawienia programu Windows Media Player, które ukazuj¹ siê w folderze Konfiguracja u ytkownika\szablony administracyjne\sk³adniki systemu Windows\Program Windows Media Player Aby dodaæ albo usun¹æ szablon zasad, kliknij prawym przyciskiem myszy Szablony administracyjne (jeden z folderów) i wybierz Dodaj/Usuñ szablony. Po wprowadzeniu zmian i klikniiêciu przycisku Zamknij w oknie dialogowym Dodawanie/Usuwanie szablonów, oba foldery Szablony administracyjne odzwierciedl¹ twój nowy wybór. Dodawanie szablonu zasad jedynie kopiuje plik.adm do folderu %SystemRoot%\System32\GroupPolicy\Adm; usuniêcie szablonu usuwa kopiê w tym folderze. Dodawanie lub usuwanie szablonów zasad nie zmienia kryj¹cych siê za nimi ustawieñ zasad; decyduje to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy. Nowa funkcja! Wyœwietlanie tylko wybranych zasad Nawet z samymi standardowo zainstalowanymi szablonami, Zasady grupy oferuj¹ setki zasad, które mo esz ustawiaæ. Wiele z tych zasad mo e dotyczyæ obszarów systemu Windows, których nigdy nie u ywasz. W³¹czenie ich do konsoli Zasady grupy, powoduje jedynie jej zaœmiecenie. Teraz system Windows oferuje sposób na selektywne filtrowanie listy wyœwietlanych zasad Szablonów administracyjnych, tak aby zwiera³a ona jedynie te, które mog¹ ciê interesowaæ. Aby u yæ tej funkcji, kliknij prawym przyciskiem myszy Szablony administracyjne i wybierz Widok, a nastêpnie Filtrowanie. W oknie dialogowym Filtrowanie, pokazanym na rysunku 34-7, mo esz zdecydowaæ o ukryciu elementów, które dotycz¹ tylko okreœlonych wersji systemu Windows lub programu Internet Explorer. (Przydatne jest to g³ównie wtedy, gdy zdalnie edytujesz zasady na innym komputerze, który mo e nie dzia³aæ pod systemem Windows XP). Kiedy ju skonfigurujesz Zasady grupy, tak jak chcia³eœ (jak opisano dalej w tym rozdziale), mo esz wyczyœciæ ekran ukry-