Administracja systemu
Transkrypt
Administracja systemu
Administracja systemu Czêœæ VIII Rozdzia³ 34 Zarz¹dzanie profilami u¿ytkownika i zasadami. . . . . . . 941 Rozdzia³ 35 Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ . . . . . . . . . . 973 Rozdzia³ 36 Inspekcja zabezpieczeñ. . . . . . . 985 Rozdzia³ 34 Wprowadzenie do profili u¿ytkownika 942 Praca z profilami u¿ytkownika 946 U¿ywanie Profili mobilnych u¿ytkownika 954 Kontrolowanie mo¿liwoœci u¿ytkowników za pomoc¹ Zasad grupy 958 Konfigurowanie praw u¿ytkownika 970 Zarz¹dzanie profilami u¿ytkownika i zasadami Czêœæ VIII: Administracja systemu Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami Jak ju¿ niew¹tpliwie odkry³eœ, system Microsoft Windows XP oferuje u¿ytkownikom ró¿nego rodzaju mo¿liwoœci dostosowywania. U¿ywaj¹c ró¿norodnych ustawieñ w Panelu sterowania oraz innych miejsc, u¿ytkownicy mog¹ kontrolowaæ wygl¹d ich pulpitu, paska zadañ, menu Start, okien folderów i wielu innych elementów; mog¹ okreœlaæ dŸwiêki, które s¹ odtwarzane, kiedy wyst¹pi¹ pewne zdarzenia; mog¹ dodawaæ lub usuwaæ programy itd. Jest to wspania³a rzecz dla pojedynczego komputera obs³ugiwanego przez jednego u¿ytkownika, który chce dobrze w³adaæ swoim œrodowiskiem pracy. Natomiast je¿eli musisz utrzymaæ w dzia³aniu wiêcej ni¿ jeden komputer i zapewniæ mo¿liwoœæ wydajnej pracy wiêcej ni¿ jednemu u¿ytkownikowi, mo¿esz jako administrator chcieæ samemu dostosowaæ œrodowisko pracy dla poszczególnych u¿ytkowników. Za pomoc¹ narzêdzi dostarczonych przez Windows XP mo¿esz wybraæ ustawienia dla u¿ytkowników, którzy nie dysponuj¹ odpowiedni¹ wiedz¹, doœwiadczeniem albo czasem potrzebnym do samodzielnego wprowadzenia tych ustawieñ. Jeœli bêdzie to potrzebne, mo¿esz wprowadziæ ograniczenia, które zapobiegn¹ zniszczeniu konfiguracji przez niedoœwiadczonych albo nieuwa¿nych u¿ytkowników. Ten rozdzia³ opisuje dwie funkcje systemu Windows XP, których administrator mo¿e u¿yæ do dostosowania i kontrolowania systemu: profile u¿ytkownika oraz zasady grupy. 942 Czêœæ VIII: Administracja systemu Wprowadzenie do profili u¿ytkownika Profil u¿ytkownika zawiera wszystkie ustawienia oraz pliki dla œrodowiska pracy u¿ytkownika. Zawarte s¹ tu osobiste ustawienia rejestru dla wszystkiego, pocz¹wszy od wskaŸników myszy, po ustawienia widoku u¿ywane w programie Microsoft Word oraz pliki, które s¹ specyficzne dla danego u¿ytkownika, takie jak pliki cookie, odbierane podczas korzystania z przegl¹darki Microsoft Internet Explorer, dokumenty w folderze Moje dokumenty i jego podfolderach oraz skróty do miejsc sieciowych. Po³o¿enie i zawartoœæ profili u¿ytkownika Domyœlnie ka¿dy u¿ytkownik, który loguje siê na komputerze, posiada lokalny profil u¿ytkownika, który jest tworzony podczas jego pierwszego logowania. Lokalne profile u¿ytkownika przechowywane s¹ w folderze %SystemDrive%\Documents and Settings. Ka¿dy profil u¿ytkownika przechowywany jest w podfolderze o takiej samej nazwie jak nazwa u¿ytkownika (na przyk³ad C:\Documents and Settings\Marek). Pe³na œcie¿ka do bie¿¹cego profilu u¿ytkownika przechowywana jest w innej powszechnie u¿ywanej zmiennej œrodowiskowej %UserProfile%. UWAGA Je¿eli dokona³eœ aktualizacji systemu z Microsoft Windows NT 4 (zamiast wykonaæ now¹ instalacjê albo aktualizacjê z innej wersji systemu Windows), profile u¿ytkownika przechowywane s¹ w folderze %SystemRoot%\Profiles. Wewn¹trz folderu profilu u¿ytkownika odnajdziesz hierarchiê folderów, tak jak pokazano na Rysunku 34-1. G³ówny katalog profilu (czyli podfolder folderu Documents and Settings, o nazwie takiej jak nazwa u¿ytkownika) zawiera plik Ntuser.dat, który jest kawa³kiem rejestru (innymi s³owy, ga³êzi¹ klucza HKCU). W dodatku komputer, który jest cz³onkiem domeny systemu Microsoft Windows NT Server, mo¿e posiadaæ plik Ntuser.pol, który zawiera ustawienia zasad systemu. (Zasady systemu s¹ poprzednikiem Zasad grupy, wprowadzonych w systemie Microsoft Windows 2000). Profil zawiera nastêpuj¹ce foldery: § § § § Dane aplikacji. Ten ukryty folder zawiera specyficzne dane aplikacji, takie jak s³ownik u¿ytkownika dla edytorów tekstu, listy nadawców wysy³aj¹cych spam dla programów poczty elektronicznej, bazê danych p³yt CD dla programów odtwarzaj¹cych p³yty z muzyk¹ itd. Twórcy aplikacji decyduj¹, jakie informacje maj¹ byæ umieszczone w tym folderze. Cookies. Folder ten zawiera pliki cookie przegl¹darki Internet Explorer. Pulpit. Folder ten zawiera wszystkie elementy przechowywane na pulpicie u¿ytkownika, w³¹czaj¹c w to pliki i skróty. Ulubione. Folder ten zawiera elementy listy Ulubione przegl¹darki Internet Explorer. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 943 Aby unikn¹æ pomy³ek, folder Moje dokumenty innego u¿ytkownika pokazany jest wraz z nazw¹ u¿ytkownika tej osoby Rysunek 34-1. Ka¿dy profil u¿ytkownika zawiera kilka folderów, w tym kilka ukrytych. § Ustawienia lokalne. Ten ukryty folder zawiera ustawienia i pliki, które nie przechodz¹ z profilem, poniewa¿ s¹ powi¹zane ze specyfik¹ komputera albo s¹ tak du¿e, ¿e szkoda zachodu na umieszczanie ich w mobilnym profilu u¿ytkownika, który musi byæ kopiowany z i na serwer przy ka¿dym logowaniu i wylogowaniu. (Mobilne profile u¿ytkownika omówione s¹ w nastêpnym podrozdziale). Na przyk³ad obszar przechowywania danych dla wypalania p³yt CD – który zale¿y od komputera i jest potencjalnie bardzo du¿y – przechowywany jest w podfolderze folderu Ustawienia lokalne. Folder Ustawienia lokalne zawiera cztery podfoldery: § § § § Dane aplikacji. Ten ukryty folder zawiera specyficzne dla komputera dane aplikacji. § Historia. Folder ten zawiera historiê odwiedzanych przez u¿ytkownika stron programu Internet Explorer. § Temp. Folder ten zawiera tymczasowe pliki utworzone przez aplikacje. § Temporary Internet Files. Folder ten zawiera pliki do u¿ytku w trybie offline przegl¹darki Internet Explorer. Moje dokumenty. Folder ten jest domyœlnym miejscem docelowym dla skrótu Moje dokumenty, który pokazuje siê w menu Start, panelu zadañ Eksploratora Windows (w sekcji Inne miejsca) itd. Folder Moje dokumenty jest domyœln¹ lokalizacj¹ do przechowywania dokumentów u¿ytkowników w wiêkszoœci aplikacji. Kiedy przegl¹dasz foldery profilu innego u¿ytkownika, s³owo Moje zostaje zast¹pione przez jego nazwê u¿ytkownika, chocia¿ w³aœciw¹ nazw¹ folderu dla wszystkich u¿ytkowników jest Moje dokumenty. NetHood. Ten ukryty folder zawiera skróty, które ukazuj¹ siê w Moich miejscach sieciowych. PrintHood. Rzadko u¿ywany ukryty folder; mo¿e zawieraæ skróty do elementów w folderze Drukarki i faksy. 944 § § § § Czêœæ VIII: Administracja systemu Recent. Ten ukryty folder zawiera skróty do ostatnio u¿ywanych dokumentów; najbardziej aktualne z nich mog¹ siê pojawiæ w menu Start. Chocia¿ w Eksploratorze Windows folder ten pojawia siê jako Moje bie¿¹ce dokumenty, jego faktyczna nazwa to Recent. SendTo. Ten ukryty folder zawiera skróty do folderów i aplikacji, które pojawiaj¹ siê w podmenu Wyœlij do. Wyœlij do jest poleceniem, które pojawia siê w menu Plik w Eksploratorze Windows, kiedy zaznaczysz plik lub folder; pojawia siê równie¿ w menu podrêcznym, kiedy klikniesz prawym przyciskiem myszy plik albo folder. Menu Start. Folder ten zawiera elementy (takie jak skróty do aplikacji i dokumentów), które ukazuj¹ siê w podmenu Wszystkie programy menu Start. Szablony. Ten ukryty folder zawiera skróty do szablonów dokumentów. Szablony te u¿ywane s¹ zazwyczaj przez polecenie Nowy (w menu Plik oraz w menu podrêcznym) w Eksploratorze Windows i okreœlone s¹ przez wartoœæ FileName w kluczu HKCR\klasa\ShellNew, gdzie klasa odnosi siê do rozszerzenia i typu pliku. UWAGA Ustawienia Zasad grupy zawsze maj¹ pierwszeñstwo przed ustawieniami w profilach u¿ytkownika. Pozwala to administratorom uniemo¿liwiæ u¿ytkownikom, którzy maj¹ potrzebn¹ wiedzê i uprawnienia, przeprowadzenie zmian bezpoœrednio w ich w³asnym profilu u¿ytkownika. Typy profili System Windows XP obs³uguje trzy typy profili: § Profil lokalny u¿ytkownika. Profil lokalny u¿ytkownika przechowywany jest w folderze %SystemDrive%\Documents and Settings (albo %SystemRoot%\Profiles) na lokalnym dysku twardym. Windows tworzy profil lokalny u¿ytkownika przy pierwszym logowaniu u¿ytkownika na komputerze. Je¿eli u¿ytkownik wprowadzi zmiany w profilu, to zmiany te maj¹ wp³yw jedynie na komputer, na którym zosta³y wprowadzone. § § Profil mobilny u¿ytkownika. Profil mobilny u¿ytkownika przechowywany jest na serwerze sieciowym, który udostêpnia go, kiedy u¿ytkownik loguje siê na dowolnym komputerze w sieci. Windows tworzy lokaln¹ kopiê profilu u¿ytkownika, który po raz pierwszy loguje siê na komputerze. Je¿eli u¿ytkownik wprowadzi zmiany w profilu, Windows wprowadza zmiany w kopii na serwerze, kiedy u¿ytkownik wylogowuje siê. Dlatego te¿ poprawiony profil dostêpny jest przy nastêpnym logowaniu u¿ytkownika na dowolnym komputerze. Mobilne profile s¹ ³atwe do zarz¹dzania oraz idealnie dopasowane do systemów Windows .NET Server i Windows 2000 Server. Jednak przy odrobinie wysi³ku mo¿esz uzyskaæ niektóre korzyœci jakie daje profil mobilny u¿ytkownika, nawet je¿eli nie posiadasz serwerowej edycji systemu Windows. Aby uzyskaæ informacje na ten temat, patrz „U¿ywanie Profili mobilnych u¿ytkownika” na stronie 954. Profil obowi¹zkowy u¿ytkownika. Profil obowi¹zkowy u¿ytkownika jest profilem, który mo¿e byæ zmieniany tylko przez administratora. Tak jak profil mobilny u¿ytkownika, profil obowi¹zkowy przechowywany jest na serwerze sieciowym, a Windows tworzy kopiê lokaln¹ przy pierwszym logowaniu u¿ytkownika, do którego przypisany zosta³ profil obowi¹zkowy. W przeciwieñstwie do profilu mo- Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 945 bilnego, profil obowi¹zkowy nie jest uaktualniany, kiedy u¿ytkownik wylogowuje siê. Czyni to profil obowi¹zkowy bardzo u¿ytecznym, nie tylko w odniesieniu do u¿ytkowników indywidualnych, dla których chcesz wprowadziæ istotne ograniczenia, ale równie¿ dla wielu u¿ytkowników (na przyk³ad wszystkich u¿ytkowników wykonuj¹cych okreœlone zadanie), dla których chcesz zastosowaæ specyficzne dla danego zadania ustawienia. Wielu u¿ytkowników mo¿e wspó³dzieliæ profil obowi¹zkowy u¿ytkownika, bez wp³ywania na innych. U¿ytkownicy, do których przypisany zosta³ profil obowi¹zkowy, mog¹ wprowadzaæ zmiany w profilu, kiedy siê loguj¹ (o ile nie zabraniaj¹ tego ustawienia zasad), ale kopia sieciowa pozostaje nie zmieniona. Chocia¿ kopia profilu pozostaje na komputerze po tym jak u¿ytkownik siê wyloguje, przy nastêpnym logowaniu Windows ponownie kopiuje oryginalny profil z udzia³u sieciowego. Dodatkowe informacje o przypisywaniu profilu obowi¹zkowego u¿ytkownika znajdziesz w ramce „U¿ywanie profilu obowi¹zkowego” na stronie 957. Profile powszechne W folderze profilów (%SystemDrive%\Documents and Settings albo %SystemRoot%\Profiles) odnajdziesz dwa profile, które nie s¹ powi¹zane z okreœlonym kontem u¿ytkownika: All Users oraz Default User. (Folder Default User jest ukryty). § All Users. Zawartoœæ folderu All Users pojawia siê dla wszystkich u¿ytkowników, którzy zaloguj¹ siê na stacji roboczej, obok zawartoœci w³asnego folderu profilu ka¿dego u¿ytkownika. Na przyk³ad elementy w folderze All Users\Pulpit pojawiaj¹ siê na pulpicie wraz ze wszystkimi elementami, które aktualny u¿ytkownik ma zapisane na pulpicie. Podobnie, menu Start pokazuje po³¹czon¹ zawartoœæ folderu All Users\Menu Start oraz folderu Menu Start bie¿¹cego u¿ytkownika. Folder All Users\Dokumenty (który w Eksploratorze Windows pojawia siê jako folder Dokumenty Udostêpnione) zawiera dokumenty, które s¹ dostêpne dla wszystkich u¿ytkowników. Wyj¹tkiem jest folder All Users\Ulubione, który nie s³u¿y do niczego. Domyœlnie tylko cz³onkowie grupy Administratorzy oraz U¿ytkownicy zaawansowani mog¹ dodawaæ elementy do folderów Pulpit oraz Menu Start w profilu All Users. Wszyscy u¿ytkownicy mog¹ dodawaæ elementy do folderu Dokumenty udostêpnione. WSKAZÓWKA Przegl¹danie folderu Menu Start Windows oferuje prosty sposób na dostanie siê bezpoœrednio do obu ga³êzi hierarchii menu Start. Kliknij prawym przyciskiem myszy przycisk Start i wybierz Otwórz albo Eksploruj, je¿eli chcesz obejrzeæ folder Menu Start w profilu bie¿¹cego u¿ytkownika; wybierz Otwórz wszystkich u¿ytkowników albo Eksploruj wszystkich u¿ytkowników, aby zobaczyæ folder All Users\Menu Start w Eksploratorze Windows. § Default User. Kiedy u¿ytkownik loguje siê na komputerze po raz pierwszy (a jego konto nie jest skonfigurowane do u¿ywania profilu mobilnego albo profilu obowi¹zkowego), system Windows tworzy nowy profil lokalny, kopiuj¹c zawartoœæ folderu Default User do nowego folderu i nazywaj¹c go nazw¹ u¿ytkownika. Dlatego te¿ mo¿esz skonfigurowaæ profil Default User w taki sposób, w jaki chcesz, 946 Czêœæ VIII: Administracja systemu Konfigurowanie profilu domyœlnego W profilu Default User mo¿esz umieœciæ pliki, które maj¹ byæ dostêpne dla ka¿dego nowego u¿ytkownika. W szczególnoœci mo¿esz chcieæ dostarczyæ w ten sposób, zestaw ³¹czy internetowych, kilka skrótów pulpitu, a tak¿e trochê dokumentów. Mo¿esz to bardzo ³atwo zrobiæ, po prostu kopiuj¹c odpowiednie skróty oraz pliki do folderów: Ulubione, Pulpit i Moje Dokumenty. (Poniewa¿ folder Default User jest ukryty, najpierw musisz wyœwietliæ ukryte foldery, otwieraj¹c Opcje folderów i zaznaczaj¹c opcjê Poka¿ ukryte pliki i foldery, na karcie Widok). Upewnij siê, ¿e skopiowa³eœ pliki do profilu Default User, tak ¿e odziedziczy³y one odpowiednie uprawnienia folderu docelowego. Je¿eli przenios³eœ pliki do tego folderu, pozostan¹ one przy istniej¹cych uprawnieniach, które prawdopodobnie uniemo¿liwi¹ skopiowanie ich póŸniej do profilu nowego u¿ytkownika. aby Windows na pocz¹tku ukazywa³ siê nowym u¿ytkownikom. Przy domyœlnych ustawieniach zabezpieczeñ tylko cz³onkowie grupy Administratorzy mog¹ wprowadzaæ zmiany w profilu Default User. Praca z profilami u¿ytkownika Uzbrojony w wiedzê o tym, gdzie umieszczone s¹ profile oraz co zawieraj¹, mo¿esz pokusiæ siê modyfikowanie ich bezpoœrednio w Eksploratorze Windows albo z wiersza polecenia. Chocia¿ mo¿esz bezpiecznie dodawaæ, modyfikowaæ albo usuwaæ elementy takie jak te z menu Start i pulpitu, to nie powinieneœ przenosiæ, kopiowaæ ani usuwaæ w ten sposób ca³ych profili. Zamiast tego, powinieneœ u¿yæ okna dialogowego Profile u¿ytkownika, pokazanego na rysunku 34-2. Aby siê tam dostaæ, kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci (albo wybierz System w Panelu sterowania). Na karcie Zaawansowane kliknij przycisk Ustawienia w sekcji Profile u¿ytkownika. Rysunek 34-2. U¿yj okna dialogowego Profile u¿ytkownika do skopiowania albo usuniêcia profilu u¿ytkownika. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 947 UWAGA U¿ytkownicy, którzy nie s¹ cz³onkami grupy Administratorzy, nie mog¹ zobaczyæ innych profili u¿ytkownika w oknie dialogowym Profile u¿ytkownika ani te¿ nie mog¹ usuwaæ, kopiowaæ ani zmieniaæ swojego w³asnego profilu. Usuwanie profilu u¿ytkownika Okno dialogowe Profile u¿ytkownika pokazuje miejsce na dysku, zajmowane przez profil. Poniewa¿ dokumenty ka¿dego u¿ytkownika przechowywane s¹ w jego profilu, mo¿e byæ to znacz¹cy obszar. Aby odzyskaæ przestrzeñ zajmowan¹ przez nie u¿ywane profile, mo¿esz usun¹æ profil na dwa sposoby: § § Otwórz Konta u¿ytkowników w Panelu sterowania i usuñ konto u¿ytkownika powi¹zane z okreœlonym profilem. Szczegó³owe informacje znajdziesz w podrozdziale „Usuwanie konta” na stronie 87. Metoda ta usuwa konto u¿ytkownika jak równie¿ profil, oraz oferuje mo¿liwoœæ zachowania dokumentów z profilu. W oknie dialogowym Profile u¿ytkownika po prostu zaznacz profil i kliknij przycisk Usuñ. Nie mo¿esz usun¹æ profilu, który jest aktualnie zalogowany. Usuwanie profilów w ten sposób (zamiast na przyk³ad za pomoc¹ Eksploratora Windows) zapewnia, ¿e odpowiedni profil zostanie równie¿ usuniêty z rejestru. (Ka¿dy profil u¿ytkownika zajmuje podklucz klucza HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList). UWAGA Je¿eli u¿ywasz profili mobilnych u¿ytkownika, system Windows zwykle zapisuje kopiê profilu, który zosta³ skopiowany na lokalny dysk twardy. Windows u¿ywa tej lokalnej kopii, je¿eli zdarzy siê, ¿e kopia sieciowa jest niedostêpna, kiedy u¿ytkownik siê loguje. Je¿eli posiadasz komputer, który jest dostêpny dla wielu u¿ytkowników, ta okazjonalna wygoda mo¿e kosztowaæ ciê znaczn¹ iloœæ przestrzeni dyskowej. Mo¿esz jednak wymusiæ, aby system Windows automatycznie usuwa³ lokaln¹ kopiê profilu mobilnego, kiedy u¿ytkownik wylogowuje siê. Aby to zrobiæ, otwórz Zasady grupy (Gpedit.msc), przejdŸ do folderu Konfiguracja komputera\Szablony administracyjne\System\Profile u¿ytkownika i w³¹cz zasadê o nazwie Usuwaj buforowane kopie profilów mobilnych. Inne zasady znajduj¹ce siê w tym samym folderze równie¿ wp³ywaj¹ na sposób, w jaki stosowane s¹ profile mobilne. W celu uzyskania dalszych informacji, patrz „Kontrolowanie mo¿liwoœci u¿ytkowników za pomoc¹ Zasad grupy” na stronie 958. Kopiowanie profilu u¿ytkownika Kopiowanie profilu u¿ytkownika (poprzez zaznaczenie profilu i klikniêcie przycisku Kopiuj do) nie dodaje profilu do rejestru. Dzieje siê to przy pierwszym logowaniu u¿ytkownika, któremu zosta³ przypisany profil, który skopiowa³eœ. Ale kopiowanie w oknie Profile u¿ytkownika zamiast w oknie Eksploratora Windows daje istotn¹ korzyœæ: Windows przypisuje odpowiednie uprawnienia do kopii. To znaczy, ¿e nadaje uprawnienie Pe³na kontrola u¿ytkownikowi lub grupie, któr¹ okreœlisz, oraz usunie uprawnienia dla innych u¿ytkowników nie bêd¹cych administratorami. Uprawnienia takie s¹ potrzebne do uzyskania przez u¿ytkownika dostêpu do jego w³asnego profilu – ale nie profili innych u¿ytkowników. UWAGA Nie mo¿esz skopiowaæ profilu, który jest aktualnie zalogowany, ³¹cznie z twoim w³asnym profilem. Je¿eli chcesz skopiowaæ swój profil, musisz zalogowaæ siê, u¿ywaj¹c innego profilu. 948 Czêœæ VIII: Administracja systemu DLA EKSPERTÓW Poniewa¿ tak wiele istotnych danych przechowywanych jest w twoim profilu, mo¿esz przechowywaæ dwie kopie profilu na ró¿nych dyskach. U¿ywaj¹c niektórych technik, które przeznaczone s¹ do zarz¹dzania profilami mobilnymi, mo¿esz tworzyæ automatyczne kopie zapasowe. Oto w jaki sposób: 1. Skopiuj profil, którego chcesz u¿ywaæ, na inny dysk. Musisz zalogowaæ siê, u¿ywaj¹c innego konta administratora, poniewa¿ nie mo¿esz kopiowaæ profilu, którego aktualnie u¿ywasz. W oknie dialogowym Profile u¿ytkownika zaznacz profil i kliknij przycisk Kopiuj do. W oknie dialogowym Kopiowanie do okreœl folder znajduj¹cy siê na innym dysku. Nie musisz zmieniaæ pozwolenia dla u¿ytkowników. 2. Otwórz przystawkê U¿ytkownicy i grupy lokalne (Lusrmgr.msc), otwórz folder U¿ytkownicy i kliknij dwukrotnie swoj¹ nazwê u¿ytkownika. Na karcie Profil okreœl œcie¿kê do kopii profilu w polu Œcie¿ka profilu. Teraz, kiedy siê zalogujesz, system Windows skopiuje profil, który stworzy³eœ na drugim dysku, do folderu Documents and Settings. Kopia ta stanie siê twoj¹ kopi¹ robocz¹ i wszystkie zmiany, które wprowadzisz w ustawieniach lub plikach, bêd¹ tam zapisywane. Kiedy siê wylogowujesz, profil w folderze Documents and Settings jest kopiowany z powrotem na drugi dysk. Proste! ROZWI¹ZYWANIE PROBLEMÓW § § § § § § B³¹d uniemo¿liwia ci zalogowanie siê Je¿eli powi¹zany z profilem b³¹d wyst¹pi, kiedy spróbujesz siê zalogowaæ, albo zauwa¿ysz taki b³¹d w dzienniku zdarzeñ aplikacji, przyczyn mo¿e byæ kilka: Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu. Twoje konto musi posiadaæ (co najmniej) dostêp do odczytu do folderu %UserProfile%, niezale¿nie czy jest to profil lokalny, czy profil mobilny albo obowi¹zkowy przechowywany na innym komputerze. Twoje konto nie posiada wystarczaj¹cych uprawnieñ dostêpu do folderu profili – folder, który zawiera indywidualne profile (na wiêkszoœci komputerów %SystemDrive%\Documents and Settings). Konto Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego folderu. Dodatkowo, je¿eli jest to udostêpniony folder na dysku sieciowym, konto Wszyscy powinno posiadaæ dostêp Pe³na kontrola do tego udzia³u. Twojemu systemowi brakuje przestrzeni dyskowej. Profil zosta³ uszkodzony. W wiêkszoœci przypadków jedynym rozwi¹zaniem w tej sytuacji jest usuniêcie profilu. Zanim podejmiesz ten drastyczny krok, spróbuj u¿yæ Przywracania systemu aby powróciæ do dzia³aj¹cego profilu. Jednak b¹dŸ ostro¿ny, poniewa¿ to przywróci wszystkie profile utworzenia do czasu punktu przywracania. Przypisywanie profilu Je¿eli chcesz przypisaæ profil do konta u¿ytkownika, u¿yj programu Microsoft Management Console z przystawk¹ U¿ytkownicy i grupy lokalne. Mo¿esz j¹ znaleŸæ w programie Zarz¹dzanie komputerem w Narzêdziach systemowych albo otworzyæ w jej w³asnym oknie, wpisuj¹c w wierszu polecenia lusrmgr.msc. W folderze U¿ytkownicy kliknij dwukrotnie nazwê u¿ytkownika, do którego chcesz przypisaæ profil, a nastêpnie kliknij kartê Profil, pokazan¹ na rysunku 34-3. UWAGA Przystawka U¿ytkownicy i grupy lokalne nie jest dostêpna w systemie Windows XP Home Edition. Jednak ten sam rezultat mo¿esz osi¹gn¹æ, u¿ywaj¹c prze³¹cznika /Profilepath z poleceniem Net User. Wiêcej informacji uzyskasz, wpisuj¹c w wierszu polecenia net help user. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 949 Rysunek 34-3. U¿yj karty Profil, aby okreœliæ profil u¿ytkownika, skrypt logowania oraz folder macierzysty. Na karcie Profil mo¿esz okreœliæ nastêpuj¹ce rzeczy: § § § Po³o¿enie profilu u¿ytkownika. (Zwróæ uwagê, ¿e musisz to zrobiæ jedynie wtedy, gdy chcesz u¿ywaæ profilu, który nie jest przechowywany w domyœlnym po³o¿eniu, takiego jak profil mobilny u¿ytkownika albo profil obowi¹zkowy u¿ytkownika). Dodatkowe informacje na ten temat znajdziesz w podrozdziale „U¿ywanie Profili mobilnych u¿ytkownika” na stronie 954. Po³o¿enie i nazwê pliku skryptu logowania – programu, który uruchamia siê przy ka¿dym logowaniu siê u¿ytkownika. Dodatkowe informacje na ten temat znajduj¹ siê w ramce „U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu systemu” na stronie 951. Œcie¿kê do macierzystego folderu u¿ytkownika. Folder macierzysty jest folderem, w którym u¿ytkownik mo¿e przechowywaæ swoje pliki i programy. Chocia¿ wiêkszoœæ programów u¿ywa folderu Moje dokumenty jako domyœlnego folderu dla poleceñ Plik Otwórz oraz Plik Zapisz, starsze programy u¿ywaj¹ folderu macierzystego. Folder macierzysty jest równie¿ pocz¹tkowym folderem bie¿¹cym dla sesji Wiersza polecenia. Folder macierzysty mo¿e byæ folderem lokalnym albo znajdowaæ siê na wspó³dzielonym dysku sieciowym; kilku u¿ytkowników mo¿e wspó³dzieliæ folder macierzysty. Aby okreœliæ lokalny folder macierzysty, podaj œcie¿kê w polu tekstowym Œcie¿ka lokalna. Aby u¿ywaæ folderu na serwerze sieciowym jako folderu macierzystego, wybierz literê dysku (system Windows zmapuje folder do tej litery dysku przy ka¿dym logowaniu) i okreœl pe³n¹ œcie¿kê sieciow¹ do tego folderu. (Je¿eli nie okreœlisz folderu macierzystego, Windows bêdzie u¿ywaæ jako folderu macierzystego folderu %UserProfile%). 950 Czêœæ VIII: Administracja systemu ROZWI¹ZYWANIE PROBLEMÓW Twoje pliki zaginê³y albo masz dwa profile Powszechnym problemem z profilami jest to, ¿e z takiego lub innego powodu w pewnym momencie masz wiêcej ni¿ jeden profil dla konta u¿ytkownika. Symptomami s¹ przek³amania: nagle twoje dokumenty gin¹, z menu Start znikaj¹ programy albo zmieniaj¹ siê twoje ustawienia. Pojawia siê to zazwyczaj wtedy, kiedy przy³¹czasz siê do domeny, a nastêpnie logujesz, u¿ywaj¹c nazwy u¿ytkownika, jakiej u¿ywa³eœ, zanim przy³¹czy³eœ siê do domeny. W takim wypadku oznacza to, ¿e stworzy³eœ (byæ mo¿e bezwiednie) dwa konta u¿ytkownika: lokalne konto oraz konto domeny. Ka¿de konto powi¹zane jest ze swoim w³asnym profilem. Je¿eli nie u¿ywa³eœ jeszcze swojego nowego profilu do przechowywania dokumentów albo nie wybiera³eœ ¿adnych ustawieñ oraz jesteœ w stanie okreœliæ, które konto jest powi¹zane z którym profilem, mo¿esz zaradziæ tej sytuacji, po prostu przypisuj¹c w³aœciwy profil do twojego konta. Lepszym rozwi¹zaniem jest u¿ycie Kreatora transferu plików i ustawieñ. Zaloguj siê za pomoc¹ konta, którego nie planujesz ju¿ u¿ywaæ, i zapisz swoje pliki i ustawienia. Nastêpnie zaloguj siê za pomoc¹ drugiego konta i importuj swoje informacje. Dodatkowe informacje na ten temat znajdziesz w podrozdziale „Transfer plików i ustawieñ” na stronie 45. W niektórych przypadkach – zw³aszcza jeœli chcesz tylko odzyskaæ swoje dokumenty – ³atwiej jest u¿yæ Eksploratora Windows, aby przenieœæ dokumenty z jednego profilu do drugiego. (Foldery profili w folderze Documents and Settings zaczynaj¹ siê od nazwy u¿ytkownika, ale przynajmniej jeden z nich posiada, dla odró¿nienia, równie¿ nazwê komputera albo domeny). Niezale¿nie od tego, którego sposobu u¿yjesz do przeniesienia informacji, mo¿esz nastêpnie usun¹æ profil, którego ju¿ nie potrzebujesz. (Zwykle jest to profil powi¹zany z lokalnym kontem, jeœli normalnie logujesz siê, u¿ywaj¹c twojego konta domeny). Przenoszenie folderów ze standardowego po³o¿enia profili W ³atwy sposób mo¿esz zmieniæ po³o¿enie folderu Moje dokumenty oraz jego podfolderów Moja muzyka i Moje obrazy. Mo¿esz chcieæ to zrobiæ, na przyk³ad je¿eli dysk, na którym przechowywany jest twój profil, zape³ni siê. Jako alternatywê dla u¿ywania innej lokalizacji na twoim komputerze mo¿esz rozwa¿yæ przeniesienie folderów zawieraj¹cych dokumenty do udostêpnionego folderu w dowolnym miejscu w sieci. Przechowywanie tego typu danych na serwerze sieciowym, z dala od profilu u¿ytkownika, daje dwie istotne korzyœci: § § Przechowywanie danych u¿ytkownika w centralnej lokalizacji mo¿e u³atwiæ tworzenie kopii zapasowych. Oddzielenie danych u¿ytkownika od profilu u¿ytkownika przyspiesza proces logowania i wylogowywania siê dla u¿ytkowników z profilem mobilnym. (Je¿eli dokumenty u¿ytkownika przechowywane s¹ wewn¹trz profilu, kopiowane s¹ z serwera sieciowego na komputer lokalny przy ka¿dym logowaniu, a nastêpnie kopiowane s¹ z powrotem przy wylogowywaniu. Dziêki przechowywaniu ich z dala od profilu ka¿dy plik przenoszony jest tylko wtedy, gdy jest potrzebny). Aby przenieœæ folder Moje dokumenty, wykonaj nastêpuj¹ce czynnoœci: 1. Kliknij prawym przyciskiem myszy Moje dokumenty i wybierz W³aœciwoœci. Na karcie Element docelowy kliknij Przenieœ. 2. Wybierz œcie¿kê folderu, w którym chcesz trzymaæ Moje dokumenty, albo na twoim w³asnym komputerze, albo udostêpnionym folderze sieciowym. Poni¿ej zaznaczony zosta³ folder Dane znajduj¹cy siê na serwerze sieciowym. 951 Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 3. Kliknij OK w ka¿dym z okien. Kliknij Tak, je¿eli chcesz przenieœæ istniej¹ce dokumenty do nowego miejsca docelowego. Nowa funkcja! Aby przenieœæ foldery Moja muzyka oraz Moje obrazy do nowej lokalizacji, po prostu u¿yj Eksploratora Windows. System Windows XP automatycznie uaktualni wszystkie odwo³ania do tego folderu, w³¹czaj¹c te z menu Start. Je¿eli nie u¿ywasz profili mobilnych u¿ytkownika do przeniesienia ich masowo, przenoszenie innych folderów profili jest niepraktyczne, o ile twój komputer nie jest przy³¹czony do domeny. W sieci bazuj¹cej na domenie ustawienia Zasad grupy pozwalaj¹ administratorowi na u¿ycie przekierowania folderu do przechowywania na serwerze sieciowym plików danych z profilu u¿ytkownika. Rozszerzenie Przekierowanie folderu dla kont bazuj¹cych na domenie, dostêpne w przystawce Zasady grupy, pozwala administratorom ³atwo zmieniæ po³o¿enie folderów Dane aplikacji, Pulpit, Moje dokumenty oraz sk³adników menu Start profilu u¿ytkownika – a u¿ytkownik nawet nie zauwa¿y ró¿nicy. UWAGA Mo¿liwe – ale nie zawsze po¿yteczne – jest przeniesienie ca³ego folderu Documents and Settings. Szczegó³owe informacje znajdziesz w artykule Q236621 w bazie Knowledge Base. U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu systemu W wypadku profili u¿ytkownika oraz zasad grupy mo¿esz zastosowaæ skrypty, które bêd¹ uruchamia³y siê automatycznie. Skrypt logowania jest programem, który uruchamia siê, kiedy tylko u¿ytkownik siê loguje. Ka¿dy plik wykonywalny – czyli program wsadowy (rozszerzenie .bat albo .cmd), skrypt Hosta skryptów systemu Windows (WSH) (rozszerzenie .vbs, .js, lub.wsf) albo program (rozszerzenie .exe Dokoñczenie na nastêpnej stronie 952 Czêœæ VIII: Administracja systemu Dokoñczenie z poprzedniej strony lub .com) – mo¿e byæ u¿yty jako skrypt logowania. Dodatkowe informacje dotycz¹ce programów wsadowych oraz skryptów WSH, znajdziesz w rozdziale 10 „Automatyzacja Windows XP”. Skrypty logowania s¹ powszechnie u¿ywane do mapowania dysków sieciowych do liter dysków, do uruchamiania pewnych programów oraz wykonywania innych podobnych zadañ, które powinny mieæ miejsce przy ka¿dym logowaniu. Tak jak w przypadku wiêkszoœci zadañ w Windows, mo¿esz u¿yæ innych sposobów, aby przeprowadziæ ka¿de z nich – ale skrypty logowania s¹ metod¹ wygodn¹ i elastyczn¹. Zwróæ uwagê, ¿e u¿ywanie zmiennych œrodowiskowych, takich jak %UserName%, sprawia, ¿e u¿ywanie tego samego skryptu dla ró¿nych u¿ytkowników jest ³atwe. Windows zastêpuje j¹ odpowiedni¹ nazw¹ u¿ytkownika, kiedy uruchamia skrypt. Aby u¿yæ skryptu logowania dla lokalnego konta u¿ytkownika, podaj œcie¿kê skryptu oraz nazwê pliku w polu Skrypt logowania na karcie Profil w oknie dialogowym w³aœciwoœci u¿ytkownika (pokazanym wczeœniej, na rysunku 34-3). System Windows XP Professional (ale nie Home Edition) oferuje równie¿ wsparcie dla czterech innych typów skryptów: § Skrypt logowania dla Zasad grupy, który uruchamia siê, kiedy u¿ytkownik siê loguje § Skrypt wylogowywania dla Zasad grupy, który uruchamia siê, kiedy u¿ytkownik siê wylogowuje § Skrypt uruchamiania dla Zasad grupy, który uruchamia siê, kiedy komputer jest w³¹czany § Skrypt zamykania dla Zasad grupy, który uruchamia siê, kiedy komputer jest wy³¹czany Tak jak w wypadku zwyk³ych skryptów logowania, mo¿esz u¿yæ pliku typu wykonywalnego dla dowolnego z tych skryptów. Chocia¿ mo¿esz przechowywaæ skrypty, gdzie tylko chcesz, ka¿dy typ skryptów posiada lokalizacjê domyœln¹. Skrypt logowania Skrypt wylogowywania %SystemRoot%\System32\GroupPolicy\User\ Scripts\Logon %SystemRoot%\System32\GroupPolicy\User\ Scripts\Logoff Skrypt uruchamiania %SystemRoot%\System32\GroupPolicy\Machine\ Scripts\Startup Skrypt zamykania %SystemRoot%\System32\GroupPolicy\Machine\ Scripts\Shutdown Zwróæ uwagê, ¿e %SystemRoot%System32\GroupPolicy jest folderem ukrytym. Aby zastosowaæ któryœ z tych skryptów, uruchom Zasady grupy (Gpedit.msc) i przejdŸ do folderu Konfiguracja komputera\Ustawienia systemu Windows\Skrypty (dla skryptów uruchamiania i zamykania) albo Konfiguracja u¿ytkownika\Ustawienia systemu Windows\Skrypty (dla skryptów logowania i wylogowywania). Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 953 Kiedy dwukrotnie klikniesz jedn¹ z pozycji w tych folderach, zauwa¿ysz kilka dodatkowych korzyœci ze skryptów logowania: § Mo¿esz okreœliæ wiêcej ni¿ jeden skrypt dla ka¿dego z tych zdarzeñ oraz mo¿esz okreœliæ kolejnoœæ, w jakiej maj¹ byæ uruchamiane. § Mo¿esz okreœliæ parametry wiersza polecenia dla ka¿dego skryptu. Zasady grupy oferuj¹ równie¿ kilka ustawieñ zasad, które wp³ywaj¹ na sposób dzia³ania skryptów – synchroniczny albo asynchroniczny, ukryty albo widzialny. (W tym wypadku synchronicznie oznacza, w efekcie, ¿e nic innego nie jest uruchamiane, dopóki skrypt nie zakoñczy dzia³ania). Ustawienia te odnajdziesz, wraz z bardziej szczegó³owym wyjaœnieniem ich dzia³ania, w folderze Konfiguracja komputera\Szablony administracyjne\System\Skrypty oraz Konfiguracja u¿ytkownika\Szablony administracyjne\System\Skrypty. Niektóre zasady pojawiaj¹ siê w obu miejscach; je¿eli ustawienia te s¹ ró¿nie skonfigurowane, to ta, która znajduje siê w Konfiguracji komputera, ma pierwszeñstwo. 954 Czêœæ VIII: Administracja systemu U¿ywanie Profili mobilnych u¿ytkownika Profil mobilny u¿ytkownika pozwala u¿ytkownikowi na logowanie siê na stacji roboczej i ujrzenie znajomych ustawieñ na pulpicie, w menu Start itd. Profile mobilne u¿ytkownika dzia³aj¹ dziêki przechowywaniu profilu u¿ytkownika w udostêpnionym folderze sieciowym. Kiedy u¿ytkownik siê loguje, informacje profilu s¹ kopiowane z udzia³u sieciowego na lokalny dysk twardy. Kiedy u¿ytkownik wylogowuje siê, informacje te – które mog³y ulec zmianie w czasie sesji – kopiowane s¹ z powrotem do udostêpnionego folderu. Je¿eli u¿ywasz wiêcej ni¿ jednego komputera, mo¿esz odczuæ przydatnoœæ profilów mobilnych u¿ytkownika. Na przyk³ad je¿eli posiadasz ma³¹ firmê z dzia³em obs³ugi klienta oraz zapleczem, mo¿esz spêdzaæ czas zarówno w jednym, jak i drugim miejscu. Chocia¿ stosunkowo ³atwo skonfigurowaæ twoje pliki danych w udziale sieciowym do ³atwego dostêpu, prawdopodobnie stwierdzisz, ¿e twoja wydajnoœæ ucierpi z powodu drobnych zmian w ustawieniach – na przyk³ad twój osobisty s³ownik pisowni w Wordzie albo lista Ulubionych witryn sieciowych – które s¹ ró¿ne w tych dwóch miejscach. U¿ywanie profilu mobilnego u¿ytkownika rozwi¹zuje ten problem. Zwykle profile mobilne u¿ytkownika s¹ cech¹ sieci bazuj¹cych na domenach (to znaczy sieci, która wykorzystuje system nale¿¹cy do rodziny Windows .NET Server, Windows 2000 Server albo Windows NT Server jako kontroler domeny). Jednak przy odrobinie dodatkowej pracy mo¿esz cieszyæ siê niektórymi z tych korzyœci w œrodowisku grupy roboczej. W œrodowisku domeny konta u¿ytkowników oraz konta komputerów s¹ centralnie zarz¹dzane na poziomie domeny, tak ¿e zmiany musisz wprowadzaæ tylko jeden raz i tylko w jednym miejscu. Uzyskanie dostêpu do profilu po raz pierwszy z nowego komputera jest automatyczne. W przeciwieñstwie do tego, w grupie roboczej musisz stworzyæ podobne konta u¿ytkownika na ka¿dym komputerze, na którym zamierzasz siê logowaæ, zanim bêdziesz móg³ siê zalogowaæ. Aby zadzia³a³o to w œrodowisku grupy roboczej, ka¿dy u¿ytkownik, któremu chcesz skonfigurowaæ profil mobilny u¿ytkownika, musi posiadaæ konto na ka¿dym komputerze, na którym bêdzie siê logowaæ, oraz konto na komputerze, który zawiera udostêpniony folder profilów. Konto u¿ytkownika na ka¿dym komputerze musi mieæ tê sam¹ nazwê u¿ytkownika oraz has³o. OSTRZE¿ENIE Nasze eksperymenty pokaza³y, ¿e konfigurowanie profili mobilnych oraz profili obowi¹zkowych w œrodowisku grupy roboczej tylko z systemem Windows XP jest trudne – w najlepszym wypadku. Ze wzglêdu na sposób, w jaki stosowane s¹ ustawienia (w szczególnoœci ustawienia zwi¹zane z nowym sposobem obs³ugi tematów i nowym menu Start), nie wszystkie ustawienia przechodz¹ poprawnie i dzia³anie jest czasami nieprzewidywalne, je¿eli nie skonfigurujesz wszystkiego poprawnie. Je¿eli perfekcyjne dzia³anie tych funkcji jest wa¿ne dla ciebie i twojej firmy, powinieneœ rozwa¿yæ aktualizacjê do systemu Windows .NET Server, który czyni konfiguracjê u¿ytkownika znacznie ³atwiejsz¹ i du¿o bardziej niezawodn¹. Konfigurowanie udostêpnionego folderu dla profili mobilnych Poniewa¿ na pewno bêdziesz chcia³ przegl¹daæ i modyfikowaæ uprawnienia, komputer, na którym zamierzasz przechowywaæ profile mobilne, musi dzia³aæ w systemie Windows XP Professional i mieæ wy³¹czon¹ opcjê Proste udostêpnianie plików. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 955 Aby skonfigurowaæ folder udostêpniony, wykonaj nastêpuj¹ce czynnoœci: 1. Zaloguj siê jako cz³onek grupy Administratorzy danego komputera. 2. U¿ywaj¹c Eksploratora Windows, utwórz folder o nazwie Profiles. 3. W Eksploratorze Windows kliknij prawym przyciskiem myszy i wybierz Udostêpnianie i zabezpieczenia. 4. Na karcie Udostêpnianie okna dialogowego W³aœciwoœci: Profiles, które siê pojawi, zaznacz opcjê Udostêpnij ten folder. Domyœlne uprawnienia udostêpniania, które daj¹ dostêp z Pe³n¹ kontrol¹ grupie Wszyscy, s¹ w³aœciwe. 5. Kliknij kartê Zabezpieczenia (je¿eli utworzy³eœ folder na woluminie NTFS) i upewnij siê, ¿e Wszyscy maj¹ uprawnienie Pe³na kontrola. Konfigurowanie kont u¿ytkowników Aby skonfigurowaæ konta u¿ytkowników, wykonaj poni¿sze czynnoœci: 1. Na ka¿dym komputerze (³¹cznie z „serwerem”, który skonfigurowa³eœ w poprzedniej procedurze) zaloguj siê jako cz³onek grupy Administratorzy. 2. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Zarz¹dzaj. 3. W programie Zarz¹dzanie komputerem przejdŸ do folderu Narzêdzia systemowe\U¿ytkownicy i grupy lokalne\U¿ytkownicy. 4. Je¿eli konto, którego potrzebujesz, jeszcze nie istnieje, wybierz Akcja, Nowy u¿ytkownik i utwórz konto u¿ytkownika. Upewnij siê, ¿e u¿ywasz tej samej nazwy u¿ytkownika i has³a na ka¿dym komputerze. Wyczyœæ pole U¿ytkownik musi zmieniæ has³o przy nastêpnym logowaniu, zanim klikniesz przycisk Utwórz. 5. W prawym okienku konsoli Zarz¹dzanie komputerem dwukrotnie kliknij nazwê u¿ytkownika, aby wyœwietliæ okno dialogowe w³aœciwoœci. 6. Kliknij kartê Profil. W polu Œcie¿ka profilu wpisz œcie¿kê sieciow¹ do udostêpnionego folderu profili, tak jak pokazano na rysunku 34-4. Zalet¹ u¿ywania zmiennej œrodowiskowej %UserName% jest jedynie wygoda: mo¿esz u¿ywaæ tego samego ci¹gu znaków dla ka¿dego u¿ytkownika, bez potrzeby zatrzymywania siê po to, ¿eby sprawdziæ w³aœciw¹ nazwê folderu profilu. UWAGA Komputer klient – nie ten, na którym przechowywany jest profil – mo¿e dzia³aæ z systemem Windows XP Home Edition. Chocia¿ wersja Home Edition nie zawiera przystawki U¿ytkownicy i grupy lokalne, mo¿esz u¿yæ innych narzêdzi, aby osi¹gni¹æ ten sam rezultat. Je¿eli potrzeba, utwórz nowe konto u¿ytkownika i przypisz do niego has³o za pomoc¹ Kont u¿ytkownika w Panelu sterowania. Aby przypisaæ œcie¿kê profilu, u¿yj polecenia Net User. Na przyk³ad aby wykonaæ takie samo przypisanie jak na rysunku 34-4, w wierszu polecenia wpisz net user marek /profilepath:\\badlands\profiles\marek. 956 Czêœæ VIII: Administracja systemu Rysunek 34-4. Zmienna œrodowiskowa %UserName% jest zamieniana na nazwê u¿ytkownika, kiedy przejdziesz do nastêpnego pola albo klikniesz OK. Tworzenie profilu Aby utworzyæ profil, który ma byæ u¿yty jako profil mobilny u¿ytkownika, i skopiowaæ go do udostêpnionego folderu profili, wykonaj nastêpuj¹ce czynnoœci: 1. Utwórz profil poprzez zalogowanie siê (najlepiej u¿ywaj¹c tymczasowego konta u¿ytkownika, utworzonego w tym celu) i wprowadŸ ustawienia jakie chcesz. 2. Wyloguj siê, a nastêpnie ponownie zaloguj jako cz³onek grupy Administratorzy. UWAGA Je¿eli kopiujesz profil z innego komputera ni¿ ten, który zawiera udostêpniony folder profili, konto na które siê zalogowa³eœ, musi mieæ tê sam¹ nazwê u¿ytkownika i has³o co konto, które ma uprawnienia administracyjne na komputerze docelowym. 3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz W³aœciwoœci. W oknie dialogowym W³aœciwoœci systemu kliknij kartê Zaawansowane, a nastêpnie kliknij przycisk Ustawienia w sekcji Profile u¿ytkownika. 4. Zaznacz profil, który utworzy³eœ, i kliknij przycisk Kopiuj do. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 957 5. W polu Kopiowanie profilu do wpisz pe³n¹ œcie¿kê do folderu przeznaczenia. Na przyk³ad je¿eli chcesz utworzyæ profil dla u¿ytkownika o nazwie Marek w udziale Profiles na komputerze o nazwie Badlands, wpisz \\badlands\profiles\marek. Upewnij siê, ¿e folder przeznaczenia, który poda³eœ, nie istnieje; je¿eli istnieje, Windows usunie jego zawartoœæ, zanim skopiuje profil. 6. W sekcji Pozwolenie na u¿ywanie kliknij przycisk Zmieñ i wpisz nazwê u¿ytkownika, który bêdzie u¿ywa³ profilu. Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil u¿ytkownika do okreœlonego folderu i ustawi uprawnienia na folderze docelowym i jego zawartoœci. Windows daje uprawnienie Pe³na kontrola dla grupy Administratorzy, u¿ytkownika lub grupy, któr¹ poda³eœ w polu Pozwolenie na u¿ywanie, oraz konta systemowego. Uniemo¿liwia to u¿ytkownikom nie bêd¹cym administratorami dostêp do profili innych ni¿ ich w³asne. Je¿eli skopiowa³eœ profil z jednego komputera do udostêpnionego folderu na innym komputerze, uprawnienia, które utworzy³ system Windows, nie s¹ do koñca poprawne i musisz wykonaæ jeszcze jedn¹ czynnoœæ, aby je poprawiæ. Na komputerze z udostêpnionym folderem profili kliknij prawym przyciskiem myszy folder nowego profilu, wybierz W³aœciwoœci i kliknij Zabezpieczenia. Je¿eli jedna z nazw pokazuje identyfikator zabezpieczeñ nieznanego u¿ytkownika, jak pokazano na rysunku 34-5, musisz dodaæ w³aœciwe konto u¿ytkownika (w tym przypadku Marek) i nadaæ mu uprawnienie Pe³na kontrola. Mo¿esz usun¹æ nieznanego u¿ytkownika, aczkolwiek nie ma potrzeby, aby to robiæ. (Konto nieznanego u¿ytkownika w rzeczywistoœci jest poprawn¹ nazw¹ u¿ytkownika, ale jest to konto z komputera Ÿród³owego, a nie konto na komputerze lokalnym. Jest to jedna z niebezpiecznych U¿ywanie profilu obowi¹zkowego Profil obowi¹zkowy dzia³a w du¿ym stopniu tak, jak profil mobilny u¿ytkownika: kiedy u¿ytkownik siê loguje, profil jest kopiowany z lokalizacji sieciowej do folderu lokalnego, tym samym dostarczaj¹c znajomych ustawieñ. Ró¿nica jest taka, ¿e profil obowi¹zkowy nie jest uaktualniany na podstawie zmian u¿ytkownika, kiedy u¿ytkownik siê wylogowuje. Aby przypisaæ profil obowi¹zkowy do jednego lub wiêcej u¿ytkowników, wykonaj te same procedury, jak w wypadku u¿ycia profilu mobilnego u¿ytkownika. Nastêpnie na komputerze, na którym przechowywany jest udostêpniony folder, wprowadŸ nastêpuj¹ce zmiany: 1. Zmieñ uprawnienia folderu, usuwaj¹c uprawnienia Pe³na kontrola, Modyfikacja oraz Zapis dla konta u¿ytkownika (lub kont), które bêdzie u¿ywaæ profilu – pozostawiaj¹c jedynie uprawnienia Odczyt i wykonanie, Wyœwietlanie zawartoœci folderu oraz Odczyt. 2. Zmieñ nazwê ukrytego pliku Ntuser.dat (w folderze najwy¿szego poziomu profilu) na Ntuser.man. (Upewnij siê, ¿e zmieni³eœ Ntuser.dat, a nie Ntuser.dat.log, którego rozszerzenie jest normalnie ukryte). Rozszerzenie .man okreœla profil obowi¹zkowy (ang. mandatory). 958 Czêœæ VIII: Administracja systemu i irytuj¹cych rzeczy zwi¹zanych z poleganiem na oddzielnych bazach danych zabezpieczeñ – jak robi model grupy roboczej – zamiast u¿ywania scentralizowanej bazy danych zabezpieczeñ, jak ma to miejsce w wypadku domeny. W celu uzyskania dalszych informacji, patrz „Lokalne konta i grupy a konta i grupy domeny” na stronie 77). Rysunek 34-5. Je¿eli uprawnienia dla profilu nie zawieraj¹ lokalnego konta u¿ytkownika, u¿ytkownik nie bêdzie móg³ siê zalogowaæ. ROZWI¹ZYWANIE PROBLEMÓW Niektóre pliki s¹ niedostêpne dla profilu mobilnego Mo¿esz mieæ problemy, je¿eli niektóre ustawienia profilu u¿ytkownika polegaj¹ na plikach, przechowywanych na lokalnym dysku twardym. Na przyk³ad mo¿esz ustawiæ t³o pulpitu jako plik przechowywany na dysku C. Kiedy zalogujesz siê na innym komputerze, t³o nie pojawia siê (chyba ¿e zdarzy siê, ¿e taki sam plik bêdzie w tej samej lokalizacji na innym komputerze). Mo¿esz z³agodziæ problemy tego typu, przekierowuj¹c Moje dokumenty do udostêpnionego folderu profili, a nastêpnie u¿ywaj¹c go do przechowywania dokumentów i innych plików, do których chcesz mieæ dostêp z innych komputerów. Kontrolowanie mo¿liwoœci u¿ytkowników za pomoc¹ Zasad grupy Zasady grupy s¹ bardzo zachwalan¹ funkcj¹ us³ugi Active Directory, która jest czêœci¹ systemów Windows .NET Server oraz Windows 2000 Server. W tym œrodowisku Zasady grupy s¹ z pewnoœci¹ potê¿nym narzêdziem, które pozwala administratorom na konfigurowanie komputerów w ró¿nych lokalizacjach, domenach czy te¿ jednostkach organizacyjnych. Oprócz ustawiania standardowych konfiguracji pulpitu oraz ustalania, którzy u¿ytkownicy mog¹ wprowadzaæ zmiany, administratorzy mog¹ u¿ywaæ Zasad grupy do centralnego zarz¹dzania instalacj¹, konfiguracj¹, uaktualnianiem oraz usuwaniem oprogramowania, okreœlaæ skrypty wykorzystywane przy uruchamianiu, zamykaniu, logowaniu oraz wylogowywaniu, a tak¿e przekierowywaæ specjalne foldery u¿ytkowników (takie jak Moje dokumenty) do sieci. Admini- Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 959 stratorzy mog¹ dopasowywaæ wszystkie te ustawienia dla posczególnych komputerów, u¿ytkowników oraz grup. Jednak Zasady grupy mog¹ okazaæ siê przydatnym narzêdziem do zarz¹dzania komputerami w ma³ej sieci albo nawet do zarz¹dzania pojedynczym komputerem z kilkoma u¿ytkownikami. U¿ywaj¹c jedynie lokalnego obiektu Zasad grupy na komputerze z uruchomionym systemem Windows XP Professional, mo¿esz: § § Zarz¹dzaæ zasadami bazuj¹cymi na rejestrze – wszystko, pocz¹wszy od konfigurowania pulpitu do ukrywania pewnych napêdów dyskowych, po zapobieganie tworzeniu zadañ zaplanowanych. Ustawienia te – oraz setki innych – przechowywane s¹ w ga³êziach kluczy HKLM oraz HKCU rejestru systemu, który mo¿esz edytowaæ bezpoœrednio. Jednak Zasady grupy dostarczaj¹ istotnych korzyœci: s¹ du¿o ³atwiejsze w u¿yciu ni¿ edytor rejestru oraz okresowo automatycznie uaktualniaj¹ rejestr (tym samym utrzymuj¹c twoje zasady w dzia³aniu, nawet je¿eli rejestr zostanie zmodyfikowany w inny sposób). Przypisaæ skrypty do uruchamiania i wy³¹czania komputera oraz logowania i wylogowywania u¿ytkownika. (W celu uzyskania szczegó³ów, patrz „U¿ywanie skryptów, które uruchamiaj¹ siê przy logowaniu, wylogowywaniu, uruchamianiu i zamykaniu systemu” na stronie 951). § Okreœlaæ opcje zabezpieczeñ. W œrodowisku domeny Zasady grupy pozwalaj¹ administratorowi na zastosowanie zasad zabezpieczeñ oraz ograniczeñ dla u¿ytkowników i komputerów (oraz grup jednych i drugich) za jednym zamachem. W grupie roboczej musisz zastosowaæ podobne ustawienia Zasad grupy na ka¿dym komputerze, na którym chcesz wprowadziæ takie ograniczenia. UWAGA Zasady grupy nie s¹ dostêpne w systemie Windows XP Home Edition. Uruchamianie Zasad grupy Ustawienia Zasad grupy wybiera siê, u¿ywaj¹c przystawki Zasady grupy dla programu Microsoft Management Console (MMC), pokazanej na rysunku 34-6. System Windows XP Professional zawiera konsolê MMC, która pokazuje tylko tê przystawkê, ale nie odnajdziesz jej w menu Start. Aby otworzyæ tê konsolê, przejdŸ do menu Start, kliknij Uruchom i wpisz gpedit.msc. Musisz byæ zalogowany jako cz³onek grupy Administratorzy, aby móc u¿ywaæ Zasad grupy. Je¿eli twój komputer jest przy³¹czony do domeny z zasadami bazuj¹cymi na us³udze Active Directory i jeœli posiadasz odpowiednie uprawnienia administracyjne domeny, mo¿esz skonfigurowaæ Zasady grupy do wyœwietlania rozszerzeñ przystawki, które pozwol¹ ci przegl¹daæ oraz modyfikowaæ zasady domeny, jak równie¿ rozszerzenia dla lokalnego obiektu Zasady grupy. (Dodatkowe informacje na ten temat znajdziesz w podrozdziale „W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹ z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory” na stronie 965). Jednak, poniewa¿ w ksi¹¿ce tej skupiamy siê na systemie Windows XP, w tym rozdziale opiszemy jedynie lokalny obiekt Zasady grupy. 960 Czêœæ VIII: Administracja systemu Rysunek 34-6. Wpisanie gpedit.msc w wierszu polecenia otwiera konsolê Zasady grupy. Uruchamianie Zasad grupy dla komputerów zdalnych Dla niektórych przystawek konsoli MMC (na przyk³ad Zarz¹dzanie komputerem) mo¿esz u¿yæ poleceñ menu do prze³¹czenia siê z komputera lokalnego na inny komputer w sieci. Jednak nie dzia³a to w ten sposób w przypadku Zasad grupy, które raz uruchomione, kieruj¹ swoj¹ uwagê na pojedynczy komputer. Jednak mo¿esz uruchomiæ Zasady grupy, kieruj¹c ich uwagê ku innemu komputerowi. Aby tak zrobiæ, musisz posiadaæ uprawnienia administracyjne na obu komputerach, swoim i tym drugim. Nawet bez systemu Windows .NET Server (albo Windows 2000 Server) i us³ugi Active Directory, mo¿esz administrowaæ wszystkimi komputerami w sieci z poziomu jednej konsoli. (Zasadnicza ró¿nica polega na tym, ¿e musisz ustawiaæ lokalne Zasady grupy na ka¿dym komputerze, zamiast ustawiæ Zasady grupy bazuj¹ce na us³udze Active Directory, które stosowane s¹ do wszystkich komputerów). Mo¿esz u¿yæ dwóch sposobów, aby uruchomiæ Zasady grupy dla komputera zdalnego: parametru wiersza polecenia albo w³asnej konsoli MMC. Naj³atwiejszym sposobem jest do³¹czenie parametru /Gpcomputer, tak jak zrobiliœmy w poni¿szym przyk³adzie: Gpedit.msc /gpcomputer:"equinoxe" Nazwa komputera, która nastêpuje po parametrze /Gpcomputer, mo¿e byæ podana w stylu NetBIOS (tak jak tu) albo w stylu DNS (na przyk³ad equinoxe.rm.com.pl), który jest podstawow¹ form¹ nazewnictwa u¿ywan¹ przez domeny systemów Windows .NET Server oraz Windows 2000 Server. W obu przypadkach musisz umieœciæ nazwê komputera w cudzys³owie. Metod¹ alternatywn¹ jest stworzenie w³asnej konsoli, która otwiera lokalny obiekt Zasad grupy innego komputera. Przewag¹ tego rozwi¹zania jest to, ¿e mo¿esz utworzyæ pojedyncz¹ konsolê, otwieraj¹c¹ Zasady grupy dla ka¿dego komputera, którym chcesz zarz¹dzaæ. Aby utworzyæ w³asn¹ konsolê, wykonaj nastêpuj¹ce czynnoœci: 1. W menu Start kliknij Uruchom i wpisz mmc. 2. Otwórz menu Plik i wybierz Dodaj/Usuñ przystawkê. 3. Na karcie Autonomiczna kliknij przycisk Dodaj. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 961 4. Wybierz przystawkê Zasady grupy i kliknij przycisk Dodaj. 5. W oknie dialogowym Wybieranie obiektu zasad grupy kliknij Przegl¹daj. 6. Na karcie Komputery zaznacz pole Inny komputer, a nastêpnie wpisz nazwê komputera albo kliknij przycisk Przegl¹daj, Zaawansowane, ZnajdŸ teraz, aby wybraæ go z listy. 7. Kliknij OK, a nastêpnie Zakoñcz. 8. Powtórz kroki od 4 do 7, aby dodaæ inne komputery do konsoli. 9. Kliknij przycisk Zamknij, a nastêpnie OK. Dodatkowe informacje na temat konsoli MMC znajdziesz w podrozdziale „Tworzenie w³asnych konsoli MMC” na stronie 1025. Dopasowywanie okna Zasad grupy Konsola Zasady grupy posiada kilka ³atwych do przeoczenia opcji, których nie znajdziesz w innych przystawkach konsoli MMC. Mo¿esz dodawaæ albo usuwaæ szablony administracyjne, a tak¿e ograniczyæ widok tylko do tych zasad, które zosta³y skonfigurowane. Dodawanie lub usuwanie szablonów zasad Foldery Szablonów administracyjnych (pod elementami Konfiguracja komputera i Konfiguracja u¿ytkownika) s¹ rozwijalne. Zasady Szablonów administracyjnych zdefiniowane s¹ w pliku .adm. System Windows XP zawiera kilka plików .adm, z których cztery wyœwietlane s¹ domyœlnie, co pokazano w tabeli 34-1. Mo¿esz usun¹æ szablony, które zawieraj¹ zasady, których nigdy nie u¿ywasz, albo mo¿esz dodaæ w³asny szablon dostarczony przez inny program. Na przyk³ad Micro- 962 Czêœæ VIII: Administracja systemu soft Office XP Resource Kit zawiera szablony zasad do zarz¹dzania pakietem Microsoft Office; wiêcej szczegó³ów odnajdziesz, odwiedzaj¹c stronê www.microsoft.com/office/ork. Tabela 34-1. Pliki Szablonów administracyjnych zawarte w Windows XP Nazwa pliku Opis Conf.adm (wyœwietlany domyœlnie) Ustawienia konferencyjne dla programu Microsoft NetMeeting, które ukazuj¹ siê w folderze Szablony administracyjne\Sk³adniki systemu Windows\NetMeeting (pod elementami Konfiguracja komputera i Konfiguracja u¿ytkownika) Ustawienia programu Microsoft Internet Explorer do u¿ytku z zestawem Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy Ustawienia programu Microsoft Internet Explorer, które ukazuj¹ siê w folderze Szablony administracyjne\Sk³adniki systemu Windows\Internet Explorer (pod elementami Konfiguracja komputera i Konfiguracja u¿ytkownika) Ustawienia programu Microsoft Internet Explorer do u¿ytku z zestawem Internet Explorer Administration Kit (IEAK), a nie Zasadami grupy Du¿a ró¿norodnoœæ ustawieñ dla Windows XP, obejmuj¹cych wiêkszoœæ zasad ukazuj¹cych siê w Zasadach grupy Ustawienia programu Windows Media Player, które ukazuj¹ siê w folderze Konfiguracja u¿ytkownika\Szablony administracyjne\Sk³adniki systemu Windows\Program Windows Media Player Intercorp.adm Inetres.adm (wyœwietlany domyœlnie) Inetset.adm System.adm (wyœwietlany domyœlnie) Wmplayer.adm (wyœwietlany domyœlnie) Aby dodaæ albo usun¹æ szablon zasad, kliknij prawym przyciskiem myszy Szablony administracyjne (jeden z folderów) i wybierz Dodaj/Usuñ szablony. Po wprowadzeniu zmian i klikniiêciu przycisku Zamknij w oknie dialogowym Dodawanie/Usuwanie szablonów, oba foldery Szablony administracyjne odzwierciedl¹ twój nowy wybór. Dodawanie szablonu zasad jedynie kopiuje plik .adm do folderu %SystemRoot%\System32\GroupPolicy\Adm; usuniêcie szablonu usuwa kopiê w tym folderze. Dodawanie lub usuwanie szablonów zasad nie zmienia kryj¹cych siê za nimi ustawieñ zasad; decyduje to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy. Nowa funkcja! Wyœwietlanie tylko wybranych zasad Nawet z samymi standardowo zainstalowanymi szablonami, Zasady grupy oferuj¹ setki zasad, które mo¿esz ustawiaæ. Wiele z tych zasad mo¿e dotyczyæ obszarów systemu Windows, których nigdy nie u¿ywasz. W³¹czenie ich do konsoli Zasady grupy, powoduje jedynie jej zaœmiecenie. Teraz system Windows oferuje sposób na selektywne filtrowanie listy wyœwietlanych zasad Szablonów administracyjnych, tak aby zwiera³a ona jedynie te, które mog¹ ciê interesowaæ. Aby u¿yæ tej funkcji, kliknij prawym przyciskiem myszy Szablony administracyjne i wybierz Widok, a nastêpnie Filtrowanie. W oknie dialogowym Filtrowanie, pokazanym na rysunku 34-7, mo¿esz zdecydowaæ o ukryciu elementów, które dotycz¹ tylko okreœlonych wersji systemu Windows lub programu Internet Explorer. (Przydatne jest to g³ównie wtedy, gdy zdalnie edytujesz zasady na innym komputerze, który mo¿e nie dzia³aæ pod systemem Windows XP). Kiedy ju¿ skonfigurujesz Zasady grupy, tak jak chcia³eœ (jak opisano dalej w tym rozdziale), mo¿esz wyczyœciæ ekran ukry- Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 963 waj¹c niezliczon¹ iloœæ zasad, których ustawianiem nie jesteœ zainteresowany: zaznacz pole Poka¿ tylko skonfigurowane ustawienia zasad. Rysunek 34-7. Mo¿esz ukryæ zasady, którymi nie jesteœ zainteresowany. Filtrowanie wyœwietlania zasad nie zmienia kryj¹cych siê za nimi ustawieñ; decyduje to jedynie o tym, czy zasady te s¹ wyœwietlane w przystawce Zasady grupy. W przeciwieñstwie do polecenia Dodaj/Usuñ szablony, filtrowanie dotyczy jedynie folderu Szablony administracyjne, który zaznaczy³eœ. Je¿eli chcesz przefiltrowaæ zasady zarówno w Konfiguracji komputera, jak i w Konfiguracji u¿ytkownika, musisz powtórzyæ ten proces w obu folderach. Lokalny obiekt Zasad grupy Obiekt Zasad grupy jest kolekcj¹ ustawieñ Zasad grupy. W domenie bazuj¹cej na systemie Windows .NET Server lub Windows 2000 Server obiekty Zasad grupy przechowywane s¹ na poziomie domeny i dotycz¹ u¿ytkowników i komputerów, opieraj¹c siê na ich cz³onkostwie w lokalizacjach sieciowych, domenach oraz jednostkach organizacyjnych. Ka¿dy komputer z systemem Windows XP posiada pojedynczy lokalny obiekt Zasad grupy. Poniewa¿ nie bazuje on na serwerowej wersji systemu Windows, na nim siê tutaj skupimy. Lokalny obiekt Zasad grupy przechowywany jest jako seria plików i folderów w ukrytym folderze %SystemRoot%\System32\GroupPolicy. Domyœlnie lokalna grupa Administratorzy oraz system operacyjny posiadaj¹ uprawnienia Pe³na kontrola dla tego folderu oraz wszystkich folderów, które zawiera; Uwierzytelnieni u¿ytkownicy posiadaj¹ uprawnienia Zapis i wykonanie. Folder GroupPolicy typowo zawiera nastêpuj¹ce pliki i foldery: § § Gpt.ini. Plik ten przechowuje informacje o tym, które rozszerzenia (identyfikowane przez ich globalnie unikatowy identyfikator, GUID) zawieraj¹ zmodyfikowane ustawienia oraz o tym, czy ga³¹Ÿ Konfiguracja komputera albo Konfiguracja u¿ytkownika jest wy³¹czona. Adm. Folder ten zawiera szablony administracyjne (przechowywane jako pliki .adm), które s¹ w u¿yciu. (Patrz „Dodawanie lub usuwanie szablonów zasad” na stronie 961). 964 § Czêœæ VIII: Administracja systemu User. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia rejestru, dotycz¹ce u¿ytkowników. Folder User zawiera nastêpuj¹ce podfoldery: § § § Microsoft\IEAK, który zawiera ustawienia dla elementów, ukazuj¹cych siê w folderze \Konfiguracja u¿ytkownika\Ustawienia systemu Windows\Konserwacja programu Internet Explorer w Zasadach grupy. Scripts, który zawiera dwa foldery: Logon oraz Logoff, zawieraj¹ce skrypty uruchamiane kiedy u¿ytkownik siê loguje lub wylogowywuje. Machine. Folder ten przechowuje plik Registry.pol, który zawiera ustawienia rejestru, dotycz¹ce komputera. Wewn¹trz folderu Machine znajduje siê podfolder Scripts, który z kolei zawiera dwa foldery: Startup oraz Shutdown. Zawieraj¹ one skrypty, uruchamiane, kiedy komputer jest uruchamiany alby wy³¹czany. UWAGA Niektóre z tych plików i folderów s¹ tworzone jedynie wtedy, gdy uruchomisz Zasady grupy i wprowadzisz jakieœ ustawienia. W jaki sposób dzia³aj¹ Zasady grupy Wiêkszoœæ ustawieñ Zasad grupy znajduje siê w rozszerzeniach Szablonów administracyjnych przystawki Zasady grupy. (Jak napisano w innym miejscu w tym rozdziale, zawartoœæ folderów Szablony administracyjne wywodzi siê z plików .adm w obiekcie Zasad grupy). Kiedy konfigurujesz zasadê w folderze Szablony administracyjne (to znaczy wybierasz albo W³¹czone, albo Wy³¹czone i opcjonalnie, ustawiasz wartoœæ), Zasady grupy przechowuj¹ te informacje jako w³asne ustawienie rejestru w jednym z dwóch plików Registry.pol. Tak jak móg³byœ siê spodziewaæ, Zasady grupy u¿ywaj¹ pliku Registry.pol w folderze %SystemRoot%\System32\GroupPolicy\Machine dla ustawieñ, które wprowadzisz w folderze Konfiguracja komputera\Szablony administracyjne w Zasadach grupy, oraz u¿ywaj¹ pliku w folderze Users dla ustawieñ jakie wprowadzisz w folderze Konfiguracja u¿ytkownika\Szablony administracyjne. Ustawienia Zasad Grupy powi¹zane z komputerem – te przechowywane w pliku Machine\Registry.pol – kopiowane s¹ do odpowiednich kluczy rejestru w ga³êzi HKLM, podczas startu systemu operacyjnego oraz podczas okresowego odœwie¿ania. Ustawienia powi¹zane z u¿ytkownikiem (w pliku User\Registry.pol) kopiowane s¹ do odpowiednich kluczy w ga³êzi HKCU, kiedy u¿ytkownik loguje siê oraz podczas okresowego odœwie¿ania. UWAGA Ustawienia Zasad grupy – zarówno lokalne, jak i bazuj¹ce na us³udze Active Directory – maj¹ pierwszeñstwo przed ustawieniami u¿ytkownika (czyli ustawieniami, które wprowadzisz w Panelu sterowania i innymi sposobami dostêpnymi dla zwyk³ych u¿ytkowników). Dzieje siê tak, poniewa¿ ustawienia Zasad grupy nie s¹ zapisywane do „normalnego” klucza rejestru dla konkretnego ustawienia; zamiast tego zapisywane s¹ w wartoœci w kluczu „zasad”. Na przyk³ad je¿eli u¿yjesz okna dialogowego W³aœciwoœci paska zadañ i menu Start do wy³¹czenia menu spersonalizowanych, dane w wartoœci Intellimenus w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced zmieni¹ siê. Ale je¿eli u¿yjesz Zasad grupy, zamiast tego zmieni siê wartoœæ Intellimenus w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. W przypadku konfliktów wartoœæ w kluczu Policies uniewa¿nia tê drug¹. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 965 Okresowe odœwie¿anie wystêpuje w odstêpach, które okreœlisz jako ustawienie Zasad grupy. Domyœlnie pliki Registry.pol kopiowane s¹ do rejestru co 90 minut plus przesuniêcie losowe od 0 do 30 minut. (Przesuniêcie losowe pomyœlane jest dla zasad bazuj¹cych na us³udze Active Directory; w ogromnych sieciach by³oby niewskazane, aby wszystkie dzia³ania odœwie¿ania pojawi³y siê równoczeœnie. W wypadku lokalnych Zasad grupy, przesuniêcie nie pe³ni ¿adnej u¿ytecznej funkcji, ale mimo to jest dodawane). Poprzez w³¹czenie i zmodyfikowanie ustawienia Interwa³ odœwie¿ania zasad grupy dla komputerów w folderze Konfiguracja komputera\Szablony administracyjne\System\Zasady grupy oraz ustawienia Interwa³ odœwie¿ania zasad grupy dla u¿ytkowników w folderze Konfiguracja u¿ytkownika\Szablony administracyjne\System\Zasady grupy, mo¿esz zmieniæ interwa³ oraz opóŸnienie. Mo¿esz ustawiæ interwa³ na dowoln¹ wartoœæ od 0 minut (w tym wypadku ustawienia s¹ odœwie¿ane co 7 sekund) do 64 800 minut (45 dni). Aby natychmiast odœwie¿yæ ustawienia Zasad grupy, w wierszu polecenia wpisz gpupdate. Aby wyœwietliæ listê opcjonalnych prze³¹czników dla programu Gpupdate.exe, wpisz gpupdate /?. W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹ z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory Je¿eli twój komputer jest przy³¹czony do domeny, mog¹ na niego oddzia³ywaæ ustawienia Zasad grupy, inne ni¿ te, które ustawi³eœ w lokalnym obiekcie Zasad grupy. Ustawienia Zasad grupy s¹ stosowane w nastêpuj¹cej kolejnoœci: 1. Ustawienia z lokalnego obiektu Zasad grupy 2. Ustawienia z obiektów Zasad grupy lokalizacji, w administracyjnie okreœlonej kolejnoœci 3. Ustawienia z obiektów Zasad grupy domeny, w administracyjnie okreœlonej kolejnoœci 4. Ustawienia z obiektów Zasad grupy jednostki organizacyjnej, od najwiêkszej do najmniejszej jednostki organizacyjnej (od nadrzêdnej do podrzêdnej jednostki organizacyjnej), oraz w administracyjnie okreœlonej kolejnoœci na poziomie ka¿dej jednostki organizacyjnej. Zasady zastosowane póŸniej nadpisuj¹ wczeœniej zastosowane zasady, co oznacza, ¿e w przypadku ustawieñ bêd¹cych w konflikcie pierwszeñstwo maj¹ zasady najwy¿szego poziomu bazuj¹ce na us³udze Active Directory. Ustawienia zasad kumuluj¹ siê, tak ¿e wszystkie przyczyniaj¹ siê do efektywnej polityki. Efektywna polityka nazywana jest Wynikowym zestawem zasad (Resultant Set of Policy - RSoP). Aby zobaczyæ, które ustawienia maj¹ wp³yw na okreœlonego u¿ytkownika, mo¿esz u¿yæ narzêdzia wiersza polecenia (Gpresult.exe). Aby wyœwietliæ RSoP dla siebie, po prostu wpisz w wierszu polecenia gpresult. Aby uzyskaæ informacje o innych opcjach wpisz gpresult /?. Centrum pomocy i obs³ugi technicznej równie¿ zawiera narzêdzie, które pokazuje efektywne ustawienia Zasad grupy dla bie¿¹cego u¿ytkownika. Aby u¿yæ tego narzêdzia, otwórz Centrum pomocy i obs³ugi technicznej. Na stronie pocz¹tkowej kliknij w prawym panelu odnoœnik U¿yj narzêdzi, aby wyœwietliæ informacje o komputerze i przeanalizowaæ problemy. Nastêpnie w lewym panelu kliknij Zaawansowane infor- 966 Czêœæ VIII: Administracja systemu macje o systemie, a nastêpnie kliknij odnoœnik Wyœwietl zastosowane ustawienia zasad grupy w prawym panelu. Rysunek 34-8 pokazuje przyk³ad. GPO Ÿród³a identyfikuje obiekt Zasad grupy, który kontroluje okreœlone ustawienie Rysunek 34-8. Narzêdzie Zasady grupy w Centrum pomocy i obs³ugi technicznej pokazuje, które ustawienia s¹ w u¿yciu – coœ, co nie³atwo stwierdziæ w œrodowisku domeny. Typy ustawieñ Ga³¹Ÿ Konfiguracja komputera w Zasadach grupy zawiera ró¿norodne ustawienia powi¹zane z komputerem, a ga³¹Ÿ Konfiguracja u¿ytkownika zawiera ró¿norodne ustawienia powi¹zane z u¿ytkownikiem. Jedna linia miêdzy ustawieniami komputera i ustawieniami u¿ytkownika jest czêsto rozmyta. Poniewa¿ lokalne Zasady grupy stosowane s¹ do wszystkich u¿ytkowników, najlepszym sposobem na odkrycie zasad, których potrzebujesz, jest przetestowanie ich wszystkich. Odnajdziesz prawdziwy skarb w postaci u¿ytecznych ustawieñ, w³¹czaj¹c w to wiele takich, które nie mog¹ byæ wprowadzone w inny sposób. W folderze Szablony administracyjne znajdziesz ponad 240 ustawieñ komputera i ponad 440 ustawieñ u¿ytkownika, co sprawia, ¿e brzmi to trochê zniechêcaj¹co – ale wkrótce zorientujesz siê, ¿e mo¿esz szybko przejrzeæ zasady w ka¿dym folderze i zignorowaæ wiêkszoœæ z nich. Nowa funkcja! Aby dowiedzieæ siê wiêcej o ka¿dej zasadzie, po prostu zaznacz j¹, tak jak pokazano na rysunku 34-9. Je¿eli masz zaznaczon¹ kartê Rozszerzony na dole okna, w centralnym panelu pojawi siê opis dla zaznaczonej zasady. Niektóre ustawienia pojawiaj¹ siê w obu ga³êziach: Konfiguracja komputera i Konfiguracja u¿ytkownika. W przypadku ustawieñ bêd¹cych w konflikcie, zawsze pierwszeñstwo ma ustawienie Konfiguracji komputera. 967 Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami Rysunek 34-9. Karta Rozszerzony zawiera opis zaznaczonej zasady. Mo¿esz przyspieszyæ zastosowanie ustawieñ Zasad grup wy³¹czaj¹c zasady, których nie u¿ywasz. Aby wyraŸnie zobaczyæ, które typy zasad s¹ w u¿yciu, kliknij prawym przyciskiem myszy Zasady Komputer lokalny (na górze drzewa konsoli) i wybierz W³aœciwoœci. W oknie dialogowym, które siê pojawi, pokazanym na rysunku 34-10, linia Poprawki w sekcji Podsumowanie pokazuje liczbê bêd¹cych w u¿yciu ustawieñ Konfiguracji komputera i Konfiguracji u¿ytkownika. Je¿eli któraœ z wartoœci to 0 (albo je¿eli chcesz wy³¹czyæ ustawienia Zasad grupy z jakiegoœ powodu), zaznacz odpowiednie pole wyboru w sekcji Wy³¹czanie. £atwo mo¿esz zobaczyæ, jak wiele zasad jest ustawionych w ka¿dej ga³êzi Rysunek 34-10. Mo¿esz selektywnie wy³¹czyæ ustawienia Zasad grupy powi¹zane z komputerem albo powi¹zane z u¿ytkownikiem. Wprowadzanie ustawieñ Ka¿da zasada w folderach Szablony administracyjne Zasad grupy posiada jedno z trzech ustawieñ: Nie skonfigurowano, W³¹czone, albo Wy³¹czone. Domyœlnie wszystkie zasady w lokalnym obiekcie Zasad grupy pocz¹tkowo s¹ ustawione na Nie 968 Czêœæ VIII: Administracja systemu skonfigurowano. (Zasady w folderach Ustawienia systemu Windows nie posiadaj¹ opcji Nie skonfigurowano i dlatego maj¹ inne ustawienia domyœlne). Aby zmieniæ ustawienie, po prostu dwukrotnie kliknij nazwê zasady, któr¹ chcesz zmieniæ, albo kliknij odnoœnik W³aœciwoœci, który pojawia siê w centralnym panelu karty Rozszerzony. Pojawi siê wtedy okno dialogowe w³aœciwoœci. Okno dialogowe dla ka¿dej zasady w folderze Szablony administracyjne w du¿ym stopniu wygl¹da tak, jak to pokazane na rysunku 34-11. Karta Ustawienie zawiera trzy opcje – Nie skonfigurowano, W³¹czone, oraz Wy³¹czone – oraz du¿y obszar w którym mo¿esz wykonaæ specyficzne dla zasady ustawienia. Kontrolki w tej œrodkowej czêœci pojawiaj¹ siê wyszarzone i s¹ niedostêpne, dopóki nie zaznaczysz opcji W³¹czone. (Wiele prostych zasad pozostawia ten obszar pusty, poniewa¿ zasada nie wymaga ¿adnych dalszych ustawieñ). Karta Wyjaœnienie dostarcza szczegó³owych informacji dotycz¹cych zasady (te same informacje, które pojawiaj¹ siê w centralnym panelu karty Rozszerzony). Jedynym miejscem, gdzie prawdopodobnie znajdziesz wiêcej informacji dotycz¹cych ka¿dej zasady, jest Microsoft Windows XP Professional Resource Kit Documentation (Microsoft Press, 2001). Obie karty zawieraj¹ przyciski Poprzednie ustawienie oraz Nastêpne ustawienie, które u³atwiaj¹ przejœcie przez ca³y folder bez potrzeby otwierania i zamykania okna dialogowego w³aœciwoœci oddzielnie dla ka¿dej zasady. Rysunek 34-11. Okna dialogowe w³aœciwoœci dla wszystkich zasad folderów Szablony administracyjne s¹ podobne do tego. UWAGA Zwróæ szczególn¹ uwagê na nazwê ka¿dej zasady, poniewa¿ ustawienia mog¹ dzia³aæ odwrotnie. Wiele zasad zaczyna siê od s³owa Wy³¹cz (Wy³¹czanie) (Na przyk³ad zasada Wy³¹cz pulpit Active Desktop w folderze Konfiguracja u¿ytkownika\Szablony administracyjne\Pulpit\Active Desktop). Dla tych zasad, je¿eli chcesz zezwoliæ na okreœlon¹ opcjê, musisz zaznaczyæ ustawienie Wy³¹czone. (Innymi s³owy, musisz wy³¹czyæ zasadê wy³¹czaj¹c¹). Je¿eli chcesz zabroniæ tej opcji, musisz zaznaczyæ W³¹czone. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 969 Wprowadzanie ró¿nych ustawieñ dla ró¿nych u¿ytkowników Ogólnie zarz¹dzane ustawienia Zasad grupy – to znaczy, te, które s¹ przechowywane w us³udze Active Directory w systemie Windows .NET Server lub Windows 2000 Server – mog¹ byæ stosowane do indywidualnych u¿ytkowników, komputerów lub ich grup. Mo¿esz mieæ kilka zestawów obiektów Zasad grupy bazuj¹cych na us³udze Active Directory, co umo¿liwi ci stworzenie ca³kowicie ró¿nych kolekcji ustawieñ dla ró¿nych u¿ytkowników i komputerów. Jednak nie dzia³a to w przypadku lokalnych Zasad grupy. Ustawienia lokalnych Zasad grupy dotycz¹ wszystkich u¿ytkowników, którzy zaloguj¹ siê na komputerze. (Jednak je¿eli komputer przy³¹czony jest do domeny, ustawienia lokalne mog¹ byæ uniewa¿nione przez ustawienia bazuj¹ce na us³udze Active Directory. Dalsze szczegó³y znajdziesz w podrozdziale „W jaki sposób lokalne ustawienia Zasad grupy oddzia³uj¹ z ustawieniami Zasad grupy bazuj¹cymi na us³udze Active Directory” na stronie 965). Nie mo¿esz posiadaæ kilku zestawów lokalnych obiektów Zasad grupy. Chocia¿ mo¿esz mieæ dostosowane ustawienia dla ka¿dej z kilku grup, efektywnie mo¿esz mieæ dwie grupy u¿ytkowników: tych bêd¹cych pod wp³ywem ustawieñ lokalnych Zasad grupy oraz tych, na których one nie wp³ywaj¹. Ten dwojaki wp³yw dotyczy jedynie ustawieñ Konfiguracji u¿ytkownika; ustawienia Konfiguracji komputera stosowane s¹, zanim ktokolwiek siê zaloguje. Mo¿esz to zrobiæ, poniewa¿ lokalne Zasady grupy zale¿¹ od posiadania przez u¿ytkownika dostêpu do odczytu do lokalnego obiektu Zasad grupy, który przechowywany jest w folderze %SystemRoot%\System32\GroupPolicy. Zasady nie s¹ stosowane do u¿ytkowników, którzy nie maj¹ dostêpu do odczytu, dlatego te¿ odmawiaj¹c dostêpu do odczytu administratorom oraz innym, których nie chcesz ograniczaæ, uwalniasz tych u¿ytkowników od kontroli zasad grupy. Aby u¿yæ tej metody, wykonaj nastêpuj¹ce czynnoœci: 1. WprowadŸ odpowiedni¹ zmianê ustawienia Zasad grupy. 2. W Eksploratorze Windows kliknij prawym przyciskiem myszy folder %SystemRoot%\System32\GroupPolicy i wybierz W³aœciwoœci. (Folder GroupPolicy jest ukryty; je¿eli nie mo¿esz go odnaleŸæ, w folderze System32 wybierz Narzêdzia, Opcje folderów, Widok i zaznacz opcjê Poka¿ ukryte pliki i foldery). 3. Na karcie Zabezpieczenia okna dialogowego W³aœciwoœci: GroupPolicy zaznacz grupê Administratorzy i zaznacz pole Odmów przy uprawnieniu Odczyt. (Je¿eli chcesz wy³¹czyæ spod kontroli Zasad grupy jakichkolwiek innych u¿ytkowników lub grupy, dodaj ich do listy Nazwy grupy lub u¿ytkownika, a nastêpnie zaznacz dla nich pole Odmów przy uprawnieniu Odczyt). UWAGA Musisz zaznaczyæ pole Odmów dla uprawnienia Odczyt, a nie po prostu wyczyœciæ pole Zezwalaj. W przeciwnym wypadku wszyscy u¿ytkownicy dalej bêd¹ dziedziczyæ uprawnienie Odczyt ze wzglêdu na automatyczne cz³onkostwo w grupie U¿ytkownicy uwierzytelnieni. Przy nastêpnym logowaniu z u¿yciem konta u¿ytkownika z wy³¹czonym uprawnieniem Odczyt stwierdzisz, ¿e nie jesteœ ju¿ obci¹¿ony ustawieniami Zasad grupy. Jednak stwierdzisz równie¿, ¿e bez uprawnienia Odczyt nie mo¿esz uruchomiæ Zasad 970 Czêœæ VIII: Administracja systemu grupy – a wiêc nie mo¿esz przegl¹daæ ani modyfikowaæ ustawieñ Zasad grupy. Aby odzyskaæ tê w³adzê, musisz ponownie odwiedziæ okno dialogowe W³aœciwoœci: GroupPolicy i przyznaæ sobie uprawnienie Pe³na kontrola. Miej na uwadze to, ¿e nawet bez wspomnianego wy¿ej oszukania zabezpieczeñ domyœlne ustawienia zabezpieczeñ efektywnie tworz¹ dwie grupy u¿ytkowników. Chocia¿ lokalne ustawienia Zasad grupy stosowane s¹ do wszystkich u¿ytkowników (sprostowanie: wszystkich u¿ytkowników, którzy maj¹ dostêp do odczytu do lokalnego obiektu Zasad grupy), tylko cz³onkowie lokalnej grupy Administratorzy mog¹ przegl¹daæ lub zmieniaæ te ustawienia. Je¿eli dostosowanie dzia³ania ustawieñ Zasad grupy bazuj¹cego na cz³onkostwie w grupie jest dla ciebie istotne, powinieneœ zainstalowaæ system Windows .NET Server albo Windows 2000 Server i skonfigurowaæ us³ugê Active Directory. Natomiast metody opisane w tym rozdziale dostarczaj¹ ³atwego i kompromisowego rozwi¹zania. Konfigurowanie praw u¿ytkownika Prawo u¿ytkownika jest uwierzytelnieniem pozwalaj¹cym na przeprowadzenie operacji, która wp³ywa na ca³y komputer. (Odwrotnie uprawnienie, jest uwierzytelnieniem do przeprowadzenia operacji na okreœlonym obiekcie – takim jak plik lub drukarka – na komputerze). Dla ka¿dego prawa u¿ytkownika mo¿esz okreœliæ, które konta u¿ytkowników i grupy maj¹ prawo u¿ytkownika. Aby przejrzeæ albo ustawiæ prawa u¿ytkownika, w Zasadach grupy (Gpedit.msc) przejdŸ do folderu Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeñ\Zasady lokalne\Przypisywanie praw u¿ytkownika. Nastêpnie kliknij dwukrotnie prawo u¿ytkownika, aby zobaczyæ lub zmieniæ listê u¿ytkowników i grup, tak jak pokazano na rysunku 34-12. Rysunek 34-12. Aby przejrzeæ albo zmieniæ lokalne ustawienia dla praw u¿ytkownika, dwukrotnie kliknij prawo u¿ytkownika w folderze Przypisywanie praw u¿ytkownika. Rozdzia³ 34: Zarz¹dzanie profilami u¿ytkownika i zasadami 971 WSKAZÓWKA U¿yj konsoli Ustawienia zabezpieczeñ lokalnych Konsola Ustawienia zabezpieczeñ lokalnych dostarcza krótszej œcie¿ki do folderu Przypisywanie praw u¿ytkownika, a wiêc jest przydatna, jeœli nie ustawiasz innych zasad, takich jak te w folderach Szablony administracyjne. Aby otworzyæ konsolê Ustawienia zabezpieczeñ lokalnych, kliknij dwukrotnie skrót Zasady zabezpieczeñ lokalnych w folderze Narzêdzia administracyjne albo w wierszu polecenia wpisz secpol.msc. Dziesiêæ spoœród praw u¿ytkownika – Uzyskiwanie dostêpu do tego komputera z sieci, Zezwalaj na logowanie za pomoc¹ us³ug terminalowych, Logowanie w trybie wsadowym, Logowanie w trybie us³ugi, Logowanie lokalne oraz odpowiadaj¹ce im prawa u¿ytkownika „Odmowa” – jest znanych lepiej jako prawa logowania. Kontroluj¹ one sposób, w jaki u¿ytkownicy uzyskuj¹ dostêp do komputera – czy z klawiatury („lokalnie”), czy te¿ poprzez po³¹czenie sieciowe, czy te¿ jako us³uga lub program wsadowy (np. Harmonogram zadañ). Mo¿esz u¿yæ praw logowania (w szczególnoœci Logowanie lokalne oraz Odmowa logowania lokalnego), aby kontrolowaæ, kto mo¿e zalogowaæ siê na twoim komputerze. Domyœlnie prawo Logowanie lokalne jest przyznane dla lokalnego konta Goœæ oraz cz³onków grup: Administratorzy, Operatorzy kopii zapasowych, U¿ytkownicy zaawansowani oraz U¿ytkownicy. Je¿eli chcesz uniemo¿liwiæ niektórym u¿ytkownikom zalogowanie siê z klawiatury (ale ci¹gle umo¿liwiaj¹c im np. logowanie siê poprzez sieæ), utwórz grupê, dodaj do niej te konta u¿ytkowników, a nastêpnie przypisz do tej grupy prawo u¿ytkownika Odmowa logowania lokalnego. Tak jak uprawnienia odmowy, prawa odmowy logowania maj¹ pierwszeñstwo przed prawami logowania, a wiêc jeœli u¿ytkownik jest cz³onkiem grupy, która jest dopuszczona do logowania siê (takiej jak U¿ytkownicy zaawansowani) oraz grupy, która nie jest (takiej jak opisana w poprzednim zdaniu), u¿ytkownik ten nie bêdzie móg³ siê zalogowaæ. (U¿ytkownicy tacy zostaj¹ odrzuceni i widz¹ komunikat o b³êdzie, po tym jak wpisz¹ swoj¹ nazwê u¿ytkownika i has³o w oknie dialogowym Logowanie do systemu Windows). Microsoft Windows XP Professional Resource Kit Documentation zawiera opis ka¿dego z praw u¿ytkownika. Tabela 34-2 wymienia domyœlne prawa przypisane do wbudowanych grup u¿ytkowników. Tabela 34-2. Domyœlne prawa wbudowanych grup u¿ytkowników w systemie Windows XP Professional Grupa Administratorzy Domyœlne prawa § Analizowanie programów § Dopasowywanie przydzia³ów pamiêci dla procesu § Logowanie lokalne § £adowanie i usuwanie sterowników urz¹dzeñ § Modyfikowanie zmiennych œrodowiskowych systemu § Odtwarzanie plików i katalogów § Pomijanie sprawdzania przebiegu § Profilowanie pojedynczego procesu § Profilowanie wydajnoœci systemu § Przejmowanie w³asnoœci plików lub innych obiektów § Tworzenie kopii zapasowych plików i folderów § Tworzenie pliku stronicowania § Usuwanie komputera ze stacji dokuj¹cej § Uzyskiwanie dostêpu do tego komputera z sieci 972 Grupa Operatorzy kopii zapasowych Wszyscy Goœæ (konto) U¿ytkownicy zaawansowani U¿ytkownicy pulpitu zdalnego U¿ytkownicy (Nie przypisane do ¿adnej grupy) 1 Czêœæ VIII: Administracja systemu Domyœlne prawa § Wykonywanie zadañ konserwacji woluminu § Wymuszanie zamkniêcia systemu z systemu zdalnego § Zamykanie systemu § Zarz¹dzanie inspekcj¹ i dziennikiem zabezpieczeñ § Zezwalaj na logowanie za pomoc¹ us³ug terminalowych § Zmiana czasu systemowego § Zwiêkszanie priorytetu szeregowania § Logowanie lokalne § Odtwarzanie plików i katalogów § Pomijanie sprawdzania przebiegu § Tworzenie kopii zapasowych plików i folderów § Uzyskiwanie dostêpu do tego komputera z sieci § Zamykanie systemu § Pomijanie sprawdzania przebiegu § Uzyskiwanie dostêpu do tego komputera z sieci § Logowanie lokalne § Odmowa dostêpu do tego komputera z sieci 1 § Odmowa logowania lokalnego § Logowanie lokalne § Pomijanie sprawdzania przebiegu § Profilowanie pojedynczego procesu § Usuwanie komputera ze stacji dokuj¹cej § Uzyskiwanie dostêpu do tego komputera z sieci § Zamykanie systemu § Zmiana czasu systemowego § Zezwalaj na logowanie za pomoc¹ us³ug terminalowych § Logowanie lokalne § Pomijanie sprawdzania przebiegu § Usuwanie komputera ze stacji dokuj¹cej § Uzyskiwanie dostêpu do tego komputera z sieci § Zamykanie systemu § Blokowanie stron w pamiêci § Dodawanie stacji roboczych do domeny § Dzia³anie jako element systemu operacyjnego § Generowanie zdarzeñ inspekcji zabezpieczeñ § Logowanie w trybie us³ugi § Logowanie w trybie wsadowym § Odmawiaj logowania za pomoc¹ us³ug terminalowych § Odmowa logowania w trybie us³ugi § Odmowa logowania w trybie wsadowym § Synchronizowanie danych us³ug katalogowych § Tworzenie stale udostêpnianych obiektów § Tworzenie ¿etonu § W³¹czanie zaufania dla komputera i kont u¿ytkowników do delegowania § Zamiana ¿etonu na poziomie procesu Konto Goœæ jest usuwane z listy kont z prawem Odmowa dostêpu do tego komputera z sieci, kiedy w³¹czysz udostêpnianie plików w sieci.