在以Windows 2000 Advanced Server为服务器操作系统的局域网中,对域中对象尤其是对用户的控制绝对是举足轻重。本文要介绍的是Windows 2000 Advanced Server的用户管理“三板斧”,即:配置文件、文件夹重定向和管理模板。 配置文件
用户的桌面、显示器、网络、打印机、鼠标等项的设置均由用户配置文件管理。配置文件分如下三类:
1、本地用户配置文件,通常位于“C:\Documents and Settings\%Username%”路径下,用户可以随意支配,不在控制之列。
2、漫游用户配置文件,这是针对网络域登录用户而设置的,一般位于服务器的某一个共享文件夹内,保证用户无论从域中哪一台PC上登录都可以获得自己喜爱的用户环境。
图1
3、强制用户配置文件,这是一种在漫游用户配置文件基础上加强得来的。设置方法是:进入“管理工具\活动目录用户和计算机”,在某一个用户账号的“属性\配置文件”中输入诸如“\\Server\Share\%Username”的UNC路径名(图1)。当然,事先应建好共享文件夹。这样当重新用该账户登录时,你会在那个路径下见到名为“Ntuser.dat”的文件,此即配置文件,不过有点害羞(Hidden属性)。它们的差别很大,漫游时配置可以改,可以保存;而强制则必须把上述文件改为“Ntuser.man”,并且尽管也可以修改登录后的环境,但仅为本次使用,无法保存,下次登录依然是“外甥打灯笼——照旧”。
文件夹重定向
文件夹重定向分两步实施。
1、GPO的设置
Windows 2000 Advanced Server可供重定向控制的有四项,即:Application Data、My Documents、桌面和开始菜单四个文件夹,你可以对它们分别设置。以重定向“开始菜单”为例,操作步骤是:进入“管理工具\活动目录用户和计算机”,选择“OU\属性\组策略\编辑\用户配置\Windows配置\文件夹重定向”,(图2)。右击“属性”,可见“目标”和“设置”两个标签项。先设置“目标”项,在“设置”框中,一般选“基本”,而“目标文件夹位置”设为“\\Server\Share”。“设置”标签项最好选“删除策略时将文件夹移回本地用户配置文件位置”。
图2
2、共享文件夹安全设置
上一步仅仅指明文件夹重定向的位置,但并不能进行限制性设置,要做到这一点,必须从NTFS的安全选项入手。找到相应的重定向共享文件夹,进入“属性\安全”,仅给“Everyone”以“只读”权力,而给网管以“全控”大权,如此一来,每个域用户的“开始菜单”设置权就难逃你这个“如来佛的手掌”了(如图3)。
图3
管理模板
利用管理模板(图4),任务栏和“开始”菜单上的“文档”、“关机”、“运行”、“搜索”等各项的生死存亡全在你一念之间。“桌面”项还可以隐藏、禁改、禁存甚至“消灭”桌面上所有图标。有的读者会说从Windows 95起就有注册表,可以做到上述修改设置。但管理模板的直观性非注册表能比的。况且注册表只是针对某个用户,而管理模板以OU为单位(一个OU可放n个用户)。
图4
这“三板斧”可谓斧斧生威。不过,唐僧的紧箍咒也不是老用。像文件夹重定向中“My Documents”的设置,其本意就是方便用户随时随地都能掌握自己的文档,若你硬是给它强行来个“只读”,岂不是与原意背道而驰?另外,如果某些人确实因为工作需要有适当的自主权,你也应该格外“开恩”。
asp?id=123" width=1 border=0