windowsserver2003服務(wù)器操作系統(tǒng)第14章域帳戶的管理

1、第9章 域帳戶的管理,主要知識點： 一、創(chuàng)建和管理域用帳戶 （了解） 二、活動目錄物理結(jié)構(gòu) （了解） 三、組的類型和作用范圍 （掌握） 四、用戶配置文件 （掌握）,一域用戶和計算機帳戶,1、用戶帳戶和計算機帳戶概述 （1） 活動目錄用戶帳戶 用戶帳戶是用來記錄用戶的用戶名和密碼、隸屬的組、可以訪問的網(wǎng)絡(luò)資源，以及用戶的個人文件和設(shè)置。每個用戶都應(yīng)在域控制器中有一個用戶帳戶，才能訪問服務(wù)器，使用網(wǎng)絡(luò)上的資源。用戶帳戶由一個“用戶名”和一個“密碼”來標識，二者都需要用戶在登錄時鍵入?；顒幽夸浻脩魩羰褂脩粢则炞C和授權(quán)訪問域資源的身份登錄到計算機和域。而且，用戶帳戶也可作為某些應(yīng)用程序的服務(wù)帳戶。,

2、Windows Server 2003 提供可用于登錄到Windows Server 2003 計算機的內(nèi)置用戶帳戶。這些內(nèi)置帳戶包括：管理員帳戶和客戶帳戶。內(nèi)置帳戶是默認的用戶帳戶，它用于使用戶登錄到本地計算機和訪問其上的資源。這些主要是為初始登錄和本地計算機配置而設(shè)計的。每個內(nèi)置帳戶都有不同的權(quán)利和權(quán)限組合。管理員帳戶具有最廣泛的權(quán)利和權(quán)限，而客戶帳戶則只有有限的權(quán)利和權(quán)限。,如果網(wǎng)絡(luò)管理員未修改或禁用內(nèi)置帳戶的權(quán)利和權(quán)限，則任何使用管理員或客戶身份登錄到網(wǎng)絡(luò)的用戶或服務(wù)均可以使用它們。如果管理員希望獲得用戶驗證和授權(quán)的安全性，則應(yīng)為每個用戶創(chuàng)建獨立的用戶帳戶。為用戶創(chuàng)建了獨立的用戶帳戶后

3、，用戶需要使用活動目錄的用戶和計算機加入到網(wǎng)絡(luò)中。之后，網(wǎng)絡(luò)管理員可將每個用戶帳戶（包括管理員和客戶帳戶）添加到Window 2003 組中以控制指定給帳戶的權(quán)利和權(quán)限。,（2） 計算機帳戶 每個加入域的Windows Server 2003 和Windows NT 計算機都具有計算機帳戶，否則無法進行域連接，實現(xiàn)域資源的訪問。與用戶帳戶類似，計算機帳戶也提供驗證和審核計算機登錄到網(wǎng)絡(luò)以及訪問域資源的方法。不過，一個計算機系統(tǒng)要加入到域中，只能使用一個計算機帳戶，而一個用戶可擁有多個用戶帳戶，且可在不同的計算機（指已經(jīng)連接到域中的計算機）上使用自己的用戶帳戶進行網(wǎng)絡(luò)登錄。,2、創(chuàng)建用戶和計算機

4、帳戶 當有新的用戶需使用網(wǎng)絡(luò)上的資源時，作為管理員的用戶必須在域控制器中為其添加一個相應(yīng)的用戶帳戶，否則該用戶無法訪問域中的資源。另一方面，當有新的客戶計算機要加入到域中時，作為管理員的用戶必須在域控制器中為其創(chuàng)建一個計算機帳戶，以便它有資格成為域成員。計算機帳戶的創(chuàng)建非常簡單，這里不再細述，下面著重介紹用戶帳戶的創(chuàng)建步驟：,第1步 在【Active Directory用戶和計算機】窗口的 控制臺目錄樹中，單擊之后再雙擊域節(jié)點， 展開該節(jié)點。 第2步 如果要創(chuàng)建用戶帳戶，右鍵單擊要添加用戶 的組織單元或容器，從彈出的快捷菜單中選 擇【新建】【用戶】命令；如果要創(chuàng)建計 算機帳戶，右鍵單擊要添加計

5、算機的組織單 元或容器，從彈出的快捷菜單中選擇【新 建】【計算機】命令。這里選擇【新建】 【用戶】命令，打開【創(chuàng)建新對象用戶】 對話框之一，如下圖所示。,新建用戶帳戶,第3步 在【名】和【姓】文本框中分別輸入姓和 名，并在【用戶登錄名】文本框中輸入用戶 登錄時使用的名字。如果用戶需要在 Windows NT，Windows 98或者Windows 95 計算機上以不同的登錄名登錄時，可在【用 戶登錄名（Windows 2000 以前版本）】文本 框中輸入不同的登錄名。 第4步 單擊【下一步】按鈕，打開【新建對象用 戶】對話框之二，如后圖所示。,密碼帳戶設(shè)置,第5步 在【密碼】和【確認密碼】文本

6、框中輸入要 為用戶設(shè)置的密碼。如果希望用戶下次登錄 時更改密碼，可啟用【用戶下次登錄時須更 改密碼】復(fù)選框，否則啟用【用戶不能更改 密碼】復(fù)選框。如果希望密碼永遠不過期， 可啟用【密碼永不過期】復(fù)選框。如果暫不 啟用該用戶帳戶，可啟用【帳戶已禁用】復(fù) 選框。 第6步 單擊【完成】按鈕即可完成創(chuàng)建。,對于Active Directory用戶，可以配置各種屬性，要訪問Active Directory用戶的屬性對話框，需打開【Active Directory用戶和計算機】實用程序。打開用戶文件夾并雙擊用戶帳戶，如圖9-3所示，Active Directory用戶的屬性對話框有【常規(guī)】、【環(huán)境】、【會

7、話】、【遠程控制】、【終端服務(wù)配置文件】、【撥入】、【地址】、【帳戶】、【配置文件】、【電話】、【單位】和【隸屬于】等屬性標簽。,用戶屬性對話框,（1）【常規(guī)】標簽包含建立新用戶帳戶時提供的信 息。可以在【描述】和【辦公室】文本框中增 加信息，也可以輸入用戶聯(lián)系信息，包括電話 號碼、E-mail地址和Web頁面URL，如下圖所 示。 （2）【地址】標簽用于增加Active Directory用戶地 址信息。這個標簽有【用戶街道地址】、【郵 箱】、【州或省】和【郵政編碼】的文本框。 還可以從【國家/地區(qū)】下拉清單選擇國家或 地區(qū)標識符，如下圖所示。,“地址”選項,（3）【帳戶】標簽用于控制Act

8、ive Directory用戶帳 戶。這個標簽可顯示建立新用戶帳戶時提供 的登錄名信息，如下圖所示，配置下列設(shè)置：,用戶登錄時間 用戶可登錄的計算機 用戶適用的帳戶策略 帳戶何時過期,“帳戶”選項,（4）【電話】標簽用于增加Active Directory用戶電 話信息，包括【家庭電話】、【傳呼機】、 【移動電話】、【傳真機】和【IP電話號 碼】。如下圖所示。,“電話”選項,（5）【單位】標簽用于指定用戶在組織中的角色。 可以輸入用戶【職務(wù)】、【部門】、【公司】 和【經(jīng)理】，還可以指定用戶直接向誰報告， 如下圖所示。,“單位”選項,（6）【隸屬于】標簽用于顯示用戶所屬的組，單擊 【添加】按鈕將

9、用戶加進組中。要從組中刪除 用戶，只需加亮這個組并單擊【刪除】按鈕 在此項中，可賦予用戶不同的權(quán)限，如下圖所 示。,“隸屬于”選項,（7）【撥入】標簽可以配置用戶對撥號或VPN連接 的遠程訪問權(quán)限，如下圖所示。,“撥入”選項,3、管理域用戶和計算機帳戶 就活動目錄的管理而言，【Active Directory用戶和計算機】是使用最為頻繁的工具。該工具可以用來建立、編輯或刪除網(wǎng)絡(luò)中的用戶、計算機、組、組織單位、域、域控制器，以及發(fā)布網(wǎng)絡(luò)共享資源?！続ctive Directory用戶和計算機】構(gòu)成了Windows Server 2003系統(tǒng)管理的基礎(chǔ)。 在【Active Directory用戶和

10、計算機】中對用戶的操作除了新建之外，還可以對一個已經(jīng)存在的用戶進行【禁用/啟用帳戶】、【刪除】帳戶、【移動】帳戶、【重命名】、【重設(shè)密碼】、查看和修改用戶的各種屬性等操作。具體方法是，在控制臺中展開該用戶，鼠標右鍵單擊目標，顯示快捷菜單（如下圖所示），單擊菜單中的相應(yīng)命令，可以完成上述的各種操作。,右擊“用戶”快捷菜單,（1）單擊【復(fù)制】選項，將顯示【新建用戶帳戶】 對話框，其設(shè)置過程與創(chuàng)建用戶方法相同（如 下圖所示），復(fù)制的用戶與原用戶的屬性相 同，如果要創(chuàng)建同一屬性的用戶可以使用此種 方法，不必新創(chuàng)建后再設(shè)置各項屬性。 （2）單擊【添加到組】選項，顯示【選擇組】對話 框（如下圖所示），在列

11、表中選擇組名稱，單 擊確定按鈕，可以將用戶添加到指定組中。用 戶也可以創(chuàng)建一個組，并將創(chuàng)建好的成員添加 到自定義的組中。,【選擇組】對話框,（3）單擊【禁用帳戶】選項，當前用戶將被禁止使 用，此時在窗口中顯示的用戶名左側(cè)小圖標上 將顯示一個紅色的“X”符號，表明當前此用戶 不可登錄到服務(wù)器。再次打開快捷菜單時，原 來的【禁用帳戶】選項變?yōu)椤締⒂脦簟?，?擊此選項，用戶名被啟用，可以進行登錄操 作。 （4）單擊【重設(shè)密碼】選項顯示對話框，管理員可 以修改用戶的密碼，并設(shè)置用戶是否在下次登 錄時更改密碼。,（5）單擊【移動】選項，顯示【移動】對話框，如 下圖所示。列表中顯示出整個域樹結(jié)構(gòu)，單擊

12、域中的容器或單位名稱將其選中，單擊【確 定】按鈕，當前用戶將從原來的單位中移動到 新指定的容器或單位中。,【移動】對話框,（6）要執(zhí)行【打開主頁】和【發(fā)送郵件】任務(wù)，必 須先在用戶屬性對話框中指定用戶的電子函件 地址和Web頁。單擊用戶快捷菜單中【屬性】 命令選項，在【常規(guī)】選項卡中設(shè)置用戶的電 子郵件地址和Web頁的有效URL地址（如下圖 所示），然后單擊【確定】返回到工具窗口中 執(zhí)行任務(wù)。此時單擊【打開主頁】選項，服務(wù) 器會連接Internet并按照URL地址打開設(shè)置好 的主頁。,【移動】對話框,（7）單擊【發(fā)送郵件】選項，系統(tǒng)將啟動Outlook Express，并進行Internet連

13、接，要求用戶設(shè)置 選項。根據(jù)提示完成所有操作，可以發(fā)送郵件 到設(shè)置的郵箱中。 （8）在【Active Directory用戶和計算機】控制臺 中，我們可以將證書映射到活動目錄的一個用 戶帳戶。證書是Windows Server 2003系統(tǒng)中的 安全憑證，要將證書映射到活動目錄的一個用 戶帳戶，需要以管理員身份登錄，選擇【查 看】菜單的【高級性能】選項，右鍵單擊要映 射的用戶，然后單擊快捷菜單中的命令【名稱 映射】，在出現(xiàn)的對話框中單擊【添加】按 鈕，選擇一個證書文件（*.cer），單擊【確 定】即可。,二活動目錄的組帳戶,1、組的類型和作用范圍 （1） 安全組 是標準的Windows Ser

14、ver 2003安全主體，它可以被存儲為（ACL，Access Control List，即訪問控制列表）中的一個項目。然而現(xiàn)在，可以給安全組發(fā)電子郵件。換句話說，安全組中擁有電子郵件地址的所有成員都可以接收電子郵件，這些郵件地址存儲在User account對象中。,（2）通訊組 該組不是安全主體，只被用作分配列表?？梢栽谕ㄓ嵔M中存儲聯(lián)系和用戶帳戶。由于聯(lián)系不包括用戶帳戶的系統(tǒng)開銷，所以只把聯(lián)系放入組中才更有意義。通訊組還和Microsoft Exchange兼容，所以被廣泛用于電話技術(shù)和傳遞信息應(yīng)用軟件中。當升級Exchange用以支持Active Directory時，可以消除Excha

15、nge分配列表，減小電子郵件管理員的管理負擔。,安全組和通訊組都包括3種范圍類型。范圍決定了組容納成員的能力，從其他域和整個企業(yè)的森林中嵌套組的能力，甚至是在企業(yè)內(nèi)部關(guān)系的基礎(chǔ)上。這三種范圍類型分別為：通用、全局和本地域。 1）通用組可包含來自一個森林中所有域里的成 員。成員可以是三種范圍類型中任何一種組， 它們可能來自森林中的任何一個域。這個范圍 是為需要訪問其他域的資源的用戶而創(chuàng)建。通 用組的一個恰當例子是：一個用戶主要在USA 域中工作，卻經(jīng)常到倫敦旅行登錄UK域。雖 然用戶登錄到UK域中，但仍然能夠訪問USA 域中的資源。通用組中的成員能夠獲得對森林 里所有域中的任何資源的訪問和許可。

16、,2）全局組可包含僅來自初始域的成員。這些成員 可能是其他的全局組和本地組。全局組可以訪 問森林中任意域的資源，組中成員可能是森林 中任意組的成員?？梢园讶纸M、本地組和通 用組嵌套于一個全局組中。 3）本地組可包含來自森林里任意域中的成員，它 的成員可以是森林中任何位置的用戶或組。然 而，只能從相同的域中嵌套其他本地組。本地 組范圍的成員不能是屬于全局組和通用組范圍 類型的組成員。,這里扼要重述一下Windows NT上通用組的使用和管理，這能夠有助于更好地理解Windows Server 2003上的組。在遺留NT域里，可以創(chuàng)建和使用兩種類型的組：本地域組和全局組。本地域組即本地組，被限定

17、在創(chuàng)建它們的域中，它們不能進入其他遺留NT域。而全局組可以進人其他遺留域，甚至是Windows Server 2003上的域。 本地組可以容納來自本地域和任何信任域的全局組，但是本地組卻不能包含或嵌套任何其他本地組。遺留NT域上的一個成功管理實踐就是創(chuàng)建本地組作為資源組。,這個組作為安全主體或者幾乎作為堡壘（借用UNIX中的術(shù)語）訪問域。換句話說，本地組是包含用戶要求獲得的對資源的訪問和許可控制的前沿容器（這種實踐繼續(xù)在Windows Server 2003域中存在）。 當本地用戶的集合（即使只含有一名用戶）要求訪問“主”域資源時，管理員就要給予他們對本組的訪問或成員資格。如果外來用戶的組來自

18、另一個域的用戶申請訪問時，管理員將把全局組成員資格給與本地組。這樣，在保持全局組對域內(nèi)部的訪問和組織分組的同時，管理員能夠把用戶的訪問許可限定在本地資源組中。,組范圍和它們的局限性,創(chuàng)建組織單元的目的是提供等級管理授權(quán)、組織架構(gòu)和設(shè)置組策略。組被用來允許和拒絕用戶對計算機和網(wǎng)絡(luò)資源的訪問。全局組還可以跨越域的限制。一個組可以包含來自其他域的用戶和全局組，既可以是在單獨域樹上的，也可以是穿越森林的。OU（Organization Unit，組織單元）只有在其被創(chuàng)建的連續(xù)的域空間才有效。 OU和組所提供的這種靈活性是有危險的，因為在特殊情況下，可能會造成重復(fù)嵌套的混亂。因此，應(yīng)當制定嚴謹?shù)挠媱?，?/p>

19、免出現(xiàn)問題。,2、創(chuàng)建組 （1） 在域控制器中創(chuàng)建新Active Directory組的步驟 如下： 第1步 選擇【開始】【所有程序】【管理 工具】【Active Directory用戶和計算 機】，打開【Active Directory用戶和計 算機】實用程序。 第2步 右鍵單擊Users，從彈出菜單中選擇 【新建】，并選擇組。 第3步 出現(xiàn)如下圖的【新建對象-組】對話 框。輸入Windows Server 2003組名。,創(chuàng)建組,第4步 在組作用域部分，對組選擇如下范圍：,選擇本地域選項用組指定資源的權(quán)限 選擇全局選項指定用戶需要類似網(wǎng)絡(luò)訪問時使用的組 選擇通用選項在多個域中指定與資源有關(guān)

20、的權(quán)限,第5步 在組類型部分，對組選擇如下類型：,選擇安全式選項表示組用戶需要訪問特定資源 選擇分布式選項表示組用戶為通訊組（例如用戶要接收相同的E-mail消息）,第6步 單擊【確定】按鈕關(guān)閉【新建對象-組】對話 框并完成創(chuàng)建新組。,（2）對現(xiàn)有的組進行操作 對一個現(xiàn)存的組的操作包括刪除、重命名、移動等。打開組的屬性對話框可以對組的屬性進行編輯，例如修改組的類型和領(lǐng)域、改變該組的成員和管理人等，單擊選中要編輯的組，再單擊工具條中的【屬性】圖標。,1）向組中添加成員的步驟如下： 第1步 打開【Active Directory用戶和計算機】管理 工具。 第2步 在控制臺樹中雙擊域節(jié)點。 第3步

21、單擊要添加成員的組所在的文件夾，將其打 開。 第4步 在窗口的右側(cè)窗框中右鍵單擊要添加成員的 組名稱，并在彈出的快捷菜單中單擊【屬 性】命令選項，如下圖所示。,組“屬性”快捷菜單,第5步 此時顯示組屬性對話框，單擊選中【成員】 選項卡，如下圖所示。,組“成員”選項卡,第6步 單擊【添加】按鈕，會顯示【選擇用戶、聯(lián) 系人或計算機】對話框，如下圖所示。,【選擇用戶、聯(lián)系人或計算機】對話框,第7步 對話框的列表框中顯示出所有當前可以添加 到組中的成員名稱及它們所在的文件夾名 稱。雙擊列表框中的名稱添加到對話框下部 的顯示框中。也可以單擊名稱后，再單擊 【添加】按鈕。單擊【確定】按鈕關(guān)閉當前對 話框。

22、 第8步 單擊組屬性對話框的【確定】按鈕完成成員 的添加。,2）向組中添加成員之后，可以設(shè)置成員屬于哪個文 件夾或者其他組。其設(shè)置步驟如下： 第1步 按照上述方法打開組屬性對話框，并選擇 【隸屬于】選項卡，如后圖所示。 第2步 單擊對話框中的【添加】按鈕，顯示【選 擇組】對話框，單擊【確定】按鈕完成。,組“隸屬于”選項卡,3、AGDLP策略 下面我們討論在一個單域中使用組，包括全局組和本地域組。 為了高效使用組，需要一個為使用不同的組作用范圍而定的策略。組的作用范圍確定了組在目錄樹或目錄森林中應(yīng)用的范圍。在活動目錄中，有3種不同類型的組作用范圍：通用、全局和本地域。 一個單域中，全局組和本地域

23、組是兩個可用的組作用范圍。通過對全局和本地域組使用最佳的組策略，用戶可以更加高效地訪問一個單域網(wǎng)絡(luò)中的資源。,有關(guān)使用全局和本地域組的推薦策略是將域用戶賬號（A）添加到全局組（G）中，將全局組添加到本地域組（DL）中，然后為本地域組分配資源權(quán)限（P）。該策略（AGDLP）提供了最大的靈活性，同時又降低了給網(wǎng)絡(luò)分配訪問權(quán)限的復(fù)雜性。 還有別的可供使用的策略。這個策略由于其分布式的管理和對多域的可縮放性受到推薦。,下面是一個使用AGDLP策略的例子，可以考慮一個擁有需要訪問項目管理數(shù)據(jù)庫中的賬目數(shù)據(jù)的Accounts Payable和Accounts Receivable OU內(nèi)的用戶的單位。在A

24、ccounts Payable和 Accounts Receivable OU內(nèi)，管理員將為那些共同承擔復(fù)查賬目管理數(shù)據(jù)的用戶創(chuàng)建一個全局組。這個全局組需要訪問賬目管理數(shù)據(jù)庫中的賬目數(shù)據(jù)。在創(chuàng)建組之后，將這個組添加到一個本地域組中，這樣有關(guān)賬目數(shù)據(jù)的相應(yīng)的權(quán)限也就分配給本地域組了。,下面的例子說明了如何實現(xiàn)AGDLP策略： （1）根據(jù)諸如用戶位置和工作任務(wù)等管理需要來組織用戶，然后創(chuàng)建一個全局組并將用戶賬號添加到其中去。創(chuàng)建一個稱作Accounts Payable的全局組并將所有用戶賬號添加到其中去。 （2）創(chuàng)建一個本地域組，管理員可以將所有需要同樣的資源訪問的全局組添加到其中去。將Accou

25、nts Reveivable全局組添加到賬目管理本地域組中去。,（3）給本地域組分配所需的權(quán)限。分配使用賬目管理本地域組中的賬目數(shù)據(jù)所需的權(quán)限。這樣，如果管理員將其他的全局組添加到賬目管理本地域組中，所有的用戶都可以獲得對賬目數(shù)據(jù)的訪問。 考慮另一種情形，多個部門中的用戶需要對多個資源進行相同類型的訪問。在此情形中，全局組的嵌套是一種好方法。例如，在項目分配中賬目應(yīng)付和賬目應(yīng)收部門的所有用戶需要訪問賬目數(shù)據(jù)，可以使用每個部門中已有的全局組。,下面的例子說明了如何來實現(xiàn)AGDLP策略。 （1）創(chuàng)建Accounts Payable和Accounts Receivable全 局組，然后將相應(yīng)的用戶賬

26、號添加到每個全局 組中。 （2）創(chuàng)建一個代表所有項目分配中的用戶的項目分 配全局組。將Accounts Payable和 Accounts Receivable全局組添加到賬目分配全局組中。 （3）將賬目分配全局組添加到相應(yīng)的控制資源訪問 的本地域組中。 （4）為在賬目管理本地域組使用賬目數(shù)據(jù)分配必要 的權(quán)限。,三 用戶配置文件,1、用戶配置文件的類型 （1） 本地用戶配置文件 當用戶第一次利用某臺計算機登錄時，系統(tǒng)就會自動為這個用戶在該計算機的硬盤內(nèi)創(chuàng)建一個“本地用戶配置文件”，用戶對其配置文件隨計算機而有所不同，也就是說，每個用戶在不同的計算機內(nèi)各有其不同的本地用戶配置文件。,（2）漫游用

27、戶配置文件 如果希望域用戶無論到域內(nèi)的任何一臺計算機上登錄時，都能夠使用相同的用戶配置文件，以便擁有相同的桌面設(shè)置時，可以采用存儲在服務(wù)器上的“漫游用戶配置文件”。當用戶注銷時，任何桌面的更改都會自動回存到漫游用戶配置文件中。因此，用戶下次再登錄時，系統(tǒng)就會以這個更改過的漫游用戶配置文件設(shè)置桌面環(huán)境。,（3） 強制用戶配置文件 它也是漫游用戶配置文件，不過該配置文件的內(nèi)容是由系統(tǒng)管理員事先設(shè)置好的，用戶登錄后，雖然可以更改其桌面設(shè)置，但是當用戶注銷時，這些更改過的設(shè)置并不會補存到強制配置文件內(nèi)，因此使用強制用戶配置文件的用戶，每次登錄時，都是使用固定不變的桌面設(shè)置。,2 、用戶配置文件的內(nèi)容

28、（1） 用戶配置文件文件夾 如后圖所示的是利用用戶Liujun的“本地用戶配置文件”解釋“用戶配置文件夾”的內(nèi)容，從圖中可以看出，該文件夾包含用戶的桌面設(shè)置、開始菜單等設(shè)置。,本地用戶配置文件夾,另外，從圖中可以看到，還有Administrator等用戶的用戶配置文件。因為每個曾在該計算機登錄/注銷過的用戶，系統(tǒng)都會為其創(chuàng)建一個用戶配置文件的文件夾，這些文件夾位于安裝Windows Server 2003的磁盤內(nèi)的“Documents and Settings”文件夾中。 下表是用戶配置文件文件夾的內(nèi)容說明。,用戶配置文件內(nèi)容說明,（2） Ntuser.dat文件 用戶配置文件內(nèi)有部分數(shù)據(jù)存儲

29、在注冊表的HKEY_CURRENT_USER內(nèi)，它存儲著當前登錄用戶的環(huán)境設(shè)置數(shù)據(jù)，如已安裝的軟件、桌面、網(wǎng)絡(luò)連接等。上圖右方最下面，NTUSER.DAT就是HKEY_CURRENT_USER數(shù)據(jù)存儲的位置。 （3） All Users文件夾 用戶配置文件的第3部分數(shù)據(jù)存儲在“All Users”文件夾，其中包含著【開始】菜單、【桌面】等所有用戶公用的設(shè)置數(shù)據(jù)。,介紹兩個名詞“公用程序組”與“個人程序組”： 公用程序組：公用程序組中的程序可供所有登錄這臺計算機的用戶使用，也就是無論哪個用戶登錄時，都可以使用這些程序組。這個公用程序組的數(shù)據(jù)就是存儲在“All Users文件夾開始菜單程序”內(nèi)。

30、個人程序組：用戶所自行創(chuàng)建的專用程序組就是所謂的個人程序組，只有該用戶登錄時，才可以使用程序組。每個用戶都有自己的個人程序組。個人程序組的數(shù)據(jù)是存儲在“用戶配置文件文件夾開始菜單程序”內(nèi)。,3、本地用戶配置文件 當用戶第一次在Windows Server 2003計算機登錄時，系統(tǒng)就會自動為這個用戶在該計算機上創(chuàng)建一個“本地配置文件”文件夾，以便用來存儲該用戶的桌面設(shè)置。這個文件夾被創(chuàng)建在“Documents and Settings”文件夾內(nèi)，它是利用用戶名稱作為文件夾的名稱，而該新建的文件夾的內(nèi)容是由默認用戶（Default User）文件夾復(fù)制過來的。,任何一個第一次在該計算機登錄的用戶

31、的桌面環(huán)境，事實上是由Default User文件夾與All User文件夾內(nèi)所有的組合所構(gòu)成的。當用戶注銷時，其所做的任何設(shè)置上的更改（不含All Users文件夾的內(nèi)容）都會存儲到這個用戶配置文件文件夾內(nèi)，下次這個用戶再從該計算機登錄時，就會以這個屬于他個人的用戶配置文件文件夾的內(nèi)容（配合All Users文件夾的內(nèi)容）為其桌面環(huán)境。在整個過程中，Default User文件夾的內(nèi)容并不受到影響，也就是仍然保持不變。,用戶在上圖中所見到的Administrator、Liujun等文件夾都是本地用戶配置文件夾。 如果用戶除了在本地計算機內(nèi)有用戶帳戶之外，在域上還有用戶帳戶，并且也分別曾經(jīng)利用

32、這幾個用戶帳戶在該計算機登錄/注銷過，則該用戶在該計算機內(nèi)將會有多個本地用戶配置文件。例如，Administrator文件夾是本地計算機的Administrator的用戶配置文件，而Administrator.xhce是域xhce內(nèi)的用戶Administrator的用戶配置文件。當用戶注銷時，其所更改的設(shè)置會被存儲到登錄時所使用的帳戶的用戶配置文件文件夾內(nèi)，不會影響到其他帳戶的配置文件。,“本地用戶配置文件”隨計算機而有所不同，也就是說，每個用戶在不同的計算機內(nèi)各有其不同的本地用戶配置文件。 用戶可以試著練習(xí)本地用戶配置文件的功能，例如，利用用戶帳戶“qiufen”登錄、通過【開始】【控制面板

33、】【顯示】【桌面】來修改桌面的圖案、通過【開始】【控制面板】【鼠標】【指針】來修改鼠標的光標、利用Windows資源管理器連接網(wǎng)絡(luò)驅(qū)動器，然后注銷，這些修改過的設(shè)置都被存儲到Documents and Settingsqiufen文件夾內(nèi)。當利用“qiufen”帳戶再登錄時，其桌面環(huán)境就會是剛才所修改過的環(huán)境。,系統(tǒng)管理員可以通過【開始】【控制面板】【系統(tǒng)】【高級】【用戶配置文件】或者【開始】右擊【我的電腦】【屬性】【高級】【用戶配置文件】的途徑，查看當前臺計算機內(nèi)有哪些用戶配置文件，如下圖所示。,查看用戶配置文件,4、漫游用戶配置文件 前一節(jié)所介紹的“本地用戶配置文件”是隨計算機不同而不同，

34、也就是用戶在每一臺計算機上的本地用戶配置文件都不相同。如果希望用戶無論到域內(nèi)任何一臺計算機登錄時，能夠使用相同的用戶配置文件，也就是希望其工作環(huán)境都相同時，則可以指定用戶采用存儲在網(wǎng)絡(luò)服務(wù)器上（非本地）的“漫游用戶配置文件”。,由于漫游配置文件存儲在網(wǎng)絡(luò)服務(wù)器中，因此當用戶從域內(nèi)的任何一臺計算機登錄時，他都可以讀取到這個配置文件。而當用戶注銷時，其桌面的更改會自動回存到此漫游用戶配置文件內(nèi)，用戶下次無論到哪一臺計算機登錄時，就會以更改過的設(shè)置為其工作環(huán)境。漫游用戶配置文件較適合給個人使用。 給用戶指定一個漫游配置文件： 以下假設(shè)要指定用戶“qiufen”來使用漫游配置文件，并且設(shè)置將這個漫游配

35、置文件儲在服務(wù)器“xinhua”的共享文件夾“Share”中。,第1步 首先在服務(wù)器端創(chuàng)建一個共享文件夾，其共 享名設(shè)為本例中的share，并確定用戶對該文 件夾的共享權(quán)限至少要有“更改”的權(quán)限。 第2步 利用Domain Admins或者Enterprise Admins 組成員的身份登錄，然后選用【開始】 【管理工具】【Active Directory】用戶和計 算機。 第3步 展開用戶帳戶“qiufen”所在的組織單位右擊 “qiufen”【屬性】單擊【配置文件】標 簽。,第4步 在下圖中的【配置文件路徑】處，指定存儲 漫游用戶配置文件的路徑（UNC路徑），完 成后，單擊【確定】按鈕。,

36、設(shè)置漫游配置文件路徑,上述步驟完成后，當用戶在域內(nèi)的任何一臺計算機登錄時，系統(tǒng)就會自動在上述UNC網(wǎng)絡(luò)路徑所指處，創(chuàng)建一個漫游用戶配置文件文件夾，不過此時該文件夾中尚未包含任何數(shù)據(jù)。此時用戶的桌面設(shè)置可能是： 如果用戶是第1次在該計算機登錄，則此時其桌面設(shè)置由Default User而定。 如果用戶曾經(jīng)在該計算機上登錄過，則此時其桌面設(shè)置由本地用戶配置文件而定。,當用戶注銷時，其桌面設(shè)置及所做的任何更改（例如，更改背景圖形）被存儲到該漫游用戶配置文件中，同時也會存儲到本地用戶配置文件中。以后該用戶無論到網(wǎng)絡(luò)上的任何一臺計算機登錄時，都會讀取這個漫游用戶配置文件，并以這個用戶配置文件的內(nèi)容設(shè)置其桌面環(huán)境。