桌面与收藏夹的转移.docx
《桌面与收藏夹的转移.docx》由会员分享,可在线阅读,更多相关《桌面与收藏夹的转移.docx(14页珍藏版)》请在冰豆网上搜索。
桌面与收藏夹的转移
实验环境
使用VMW虚拟机,客户端为WindowsXPSP2,服务器端为WindowsServer2003SP2企业版。
首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。
下面开始具体操作
1、首先在服务器端用ActiveDirectory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图
2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。
这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。
3、进一步权限设置,如图
这样权限方面问题已经设置完成
4、在ActiveDirectory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹
主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。
现在配置基本完成,我们从客户端登录一下试试看
初次登陆之后,我们注销,这样,本地的配置文件,就会自动保存到服务器上对应的文件夹。
回到服务器上我们会看到生成好多文件,刚才这里面还是空的
这些文件就是我们注销的时候下面提示正在保存配置文件的时候,其实就是把文件写入我们服务器里面了。
我们再次重新登陆一下
打开我的电脑会发现多了一个磁盘映射
这就是我们专门为此用户设计的一个共享文件夹,用户可以把重要的数据等存放在这里,其实就是存放在服务器上,相对来说就更加安全了。
至此,漫游用户配置文件就配置完毕了。
小提示:
如果配置过程中出现一些问题,那么多数是权限设置问题。
这时候需要检查一下权限即可。
其他方面一般很少出现问题。
另外,如果,服务器上共享的文件夹只给予只读权限,那么,用户配置文件所有内容在下次登录的时候都会失效,像还原卡一样。
因为,在注销时向服务器更新配置文件的时候是没有权限的,而下次登录的时候再次向服务器请求配置文件,自然而然就是旧的了,而不是最新的。
一、以前安装系统是总是要把C盘的用户文件备份出来,在重新安装系统安装好了在还原回去,想了很久在网上找了一段时间方法很多,但能实现的没有几个,介绍一种简单的方法:
步骤:
1、开始运行输入regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders]
%USERPROFILE%\桌面
%USERPROFILE%Favorites
将%USERPROFILE%改成相应的盘符就是将用户的部分文件转移到相应盘符;
例如:
桌面与收藏夹的转移将上面的改为
E:
\Documentandsetting\桌面
F:
\Favorites
最好在要转移的目标盘符里创建相应的文件夹,指定到对应的文件夹,否则会在根目录下生成很多文件。
一.收藏夹的转移,这个得修改注册表。
开始运行regedit
要更改建收藏夹的路径,打开注册表:
HKEY_USERs\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders”,而后把“Favorites”键值修改成系统默认的收藏夹路径即可。
默认情况下收藏夹的路径为:
C:
\DocumentsandSettings\Administrator(用户名)\Favorites
二.我的文档的转移,这个相对比较简单一些。
右击"我的文档",选择"目标文件夹"选项卡,在"目标文件夹"里输入路径,点击"移动".
默认情况下"我的文档"的路径为:
C:
\DocumentsandSettings\Administrator(用户名)\MyDocuments
注册表详细内容
Hkey_local_machine\software\microsoft\windows\currentVersion\explorer\usershellfolders保存个人文件夹、收藏夹的路径
Hkey_local_machine\system\currentControlSet\control\keyboardLayouts保存键盘使用的语言以及各种中文输入法
Hkey_users\.Default\software\microsoft\internetexplorer\typeURLs保存IE浏览器地址栏中输入的URL地址列表信息。
清除文档菜单时将被清空。
Hkey_users\.Default\so..\mi..\wi..\currentVersion\ex..\menuOrder\startMenu保留程序菜单排序信息
Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\RunMRU保存“开始*运行...“中运行的程序列表信息。
清除文档菜单时将被清空。
Hkey_users\.Default\so..\microsoft\windows\currentVersion\explorer\ecentDocs保存最近使用的十五个文档的快捷方式(删除掉可解决文档名称重复的毛病),清除文档菜单时将被清空。
WINDOWS2003用户特定权限设置指南收藏
用户特定权限设置指南首先,在服务器上安装WINDOWS2003操作系统,并且做好终端服务组件的安装设置等。
这些在客户支持光盘里面有详细的介绍,此处不再赘述。
安装配置好基本的Windows2003终端服务器之后,我们就可以按照安全的需求来对用户的数据和权限进行一定的配置操作了。
为了以后的管理方便,也为了下面对用户的权限设置更加方便易行,我们先把所有用户的数据文件移到系统盘以外的驱动器盘中。
比如我这里把用户的数据全部移动到D盘中。
一、移动用户数据到非系统盘在做这项工作之前,最好仅仅是超级用户有登陆过,其他的用户未登陆过,具体的做法是:
用超级用户登陆,运行regedit注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList下的一个项ProfilesDirectory,原来的值为%SystemDrive%\DocumentsandSettings,将%SystemDrive%改成D:
,现在,便将以后登陆的用户的“我的文档”、“配置文件”等都移动到了D盘了,此时用一个新建的用户试登陆一次,便会自动在D盘建立一个对应注册表中的主文件夹了。
当然新建用户目前还是无法登陆的,还需要将原c:
\DocumentsandSettings\的AllUsers、DefaultUser拷贝到D盘的DocumentsandSettings目录下,DefaultUser目录是隐含属性的,需要在文件夹选项中,显示隐含文件的选项选上,按照原C盘的DocumentsandSettings目录设置的权限,对D盘的DocumentsandSettings目录设置权限。
记住,如果需要移动DocumentsandSettings,尽量在除超级用户外,其他用户都没有登陆的情况下来更改,更改后,C:
\DocumentsandSettings也不能删除,因为超级用户的设置还在里面,新建一个用户,加入到超级用户组中,用该帐号登陆到系统中,将C:
\DocumentsandSettings\Administrator目录删除掉,再用超级用户登陆一次,你便可以发现,超级用户的设置也移动到了D盘了,重新启动机器一次,删除C:
\DocumentsandSettings目录。
(如果系统提示不能删除,可以不用删除,但里面的数据其实已经全部在前面的操作中移到了D盘,并不影响操作)到此,便将用户的数据目录放置在其他的驱动器中,便于管理。
二、对用户进行某些权限设置1、每个用户只能看到自已的文件,只能使用分配的权限。
实现这项功能只要把用户的私人目录映射成为一个独立的盘符,然后把其他的驱动器全部隐藏,同时防止用户访问隐藏的驱动器。
这样普通用户进去后打开我的电脑,只能看到由自己的私人目录映射出来的盘符,也就是只能看到自己的文件了。
具体操作如下:
第一步、把私人目录映射成为单独的盘符。
设置每个用户的私人目录为一个固定的驱动器盘符,比如G:
,可以在%SystemDrive%\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\下添加一个bat脚本文件,(此处的%SystemDrive%是具体放用户数据文件夹的盘符,默认是在C盘,如果已经移动了,则以移动的位置为准,如我们上面移动用户数据是放在D盘,则这里也就是D:
\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\)下图是默认的C盘里建立。
该文件的内容为substG:
“%USERPROFILE%”(可以用记事本编辑好内容后以bat为后缀名保存的方法来创建该脚本文件)如图这个时候只要用户进入系统就会自动执行该命令,也就把每个人的私人目录映射成了一个相同的G驱动器了,而该G驱动器指向了每个用户自己的私人目录。
注:
要求映射出来的盘符是排在最后的,这样为后面隐藏其他盘符提供方便。
如果映射的时候脚本文件出现DOS死循环的话,则把BAT文件里面的命令由SUBST改为SUBST.EXE,其它的不变。
即:
subst.exeG:
“%USERPROFILE%”第二步、隐藏“我的电脑”中指定的驱动器此组策略可以从“我的电脑”和“Windows资源管理器”上删除代表所选硬件驱动器的图标。
并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。
超级用户打开开始菜单中的运行,在里面输入gpedit.msc后确定进入到组策略编辑器打开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。
但不能限制所有的驱动器,否则将把映射出来的驱动器也隐藏。
确定应用之后退出,这时候我的电脑中的就不会出现你选中要隐藏的盘符了。
但在你选择要隐藏的盘符时会发现只有A、B、C、D四个盘符可以任意搭配来隐藏,要不就隐藏所有的驱动器,而对于D以后的盘符并没有在列表中出现。
如果要隐藏D盘以后的驱动器该怎么办呢?
那只有修改注册表来实现了。
管理员运行“regedit”进入注册表编辑器,依次进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右边窗体中新建“NoDrives”数据类型选择“REG_DWORD”,单击“确定”按钮。
在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮,在“数据”编辑框中输入你要隐藏的驱动器号并确定,重新启动系统后相应的驱动器即被隐藏。
注意:
在这里使用2的N次方(N=1,2,3,……)来代表一个驱动器号,如:
A为1,B为2,C为4,D为8,E为16,F为32,G为64……还有,如果你要隐藏A、B、C三个驱动器,输入7即可,因为7=1+2+4,而要隐藏A、B、C、E四个驱动器,输入23即可,因为23=1+2+4+16。
依次类推,就可以隐藏任意的盘符了。
如果我们前面把私人目录映射出来的盘符设成了最后一个,将降低计算的难度。
注:
这里需要特别注意的一点是注册表各个项目之间的优先权问题。
组策略的配置其实也就是通过图形界面对注册表进行修改,而它修改生成的键值是在:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies中,如果我们要自定义隐藏驱动器的话就要在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中添加建植才有效。
但后者的优先权大于前者,也就是说后者的设置将覆盖前者的相关设置。
并且不能通过后面所说的删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies中的子项目来解除对管理员的限制,也就是说管理员也将受限制。
第三步、防止用户用其他方式打开隐藏的盘另外,这个策略只是让驱动器在我的电脑中隐藏,如果用户用其他的方法还是可以进入的,比如打开私人目录在地址栏里输入“C:
“也是可以打开C盘的。
这个时候我们就可以把本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”启动。
方法和隐藏驱动器是基本一致的。
可以参照上面关于隐藏驱动器的操作进行设置。
当然,如果禁止访问的驱动器盘符超过了4个,在组策略设置里面也是无法做到的,因为和隐藏盘符一样,只能选择A、B、C和D的任意搭配,要不就全部禁止。
这个时候同样可以通过手动修改注册表的形式来实现,进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右边窗体中新建“NoViewDrive”数据类型选择“REG_DWORD”,单击“确定”按钮。
在接下来弹出的DWORD值编辑器对话框的“基数”分组框中选择“十进制”单选钮,在“数据”编辑框中输入你要禁止的驱动器号数值并确定,重新启动系统后相应的驱动器即被禁止。
至于盘符的计算方法和前面隐藏驱动器的计算方法是完全一致的。
当然,这种设置和前面一样,需要注意注册表的优先权。
它也将覆盖组策略在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies中建立的与该设置相关的设置,并对管理员起作用。
经过这三步的操作,已经实现了每个用户只能看到自已用户的文件,也就是私人目录。
而这两步也就可以实现让普通用户不能访问我的电脑中的其他资源扩展:
如果希望对用户管理的更直接和方便,可以把用户的桌面清空,然后再用该用户私人目录映射出来的驱动器中把“MyDocuments”)创建快捷方式到桌面,改名为“我的文档”,然后隐藏所有的驱动器。
不过对于阻止访问驱动器就不能使用阻止访问所有驱动器的方式了,由私人目录映射出来的驱动器是不能阻止的,否则将影响私人目录的使用。
当然,如果一个个用户去设置桌面的话感觉太烦琐了,我们可以用一个普通用户进去设置好之后,退出。
用管理员帐号进去,找到该用户的私人目录,进入该目录,用该目录下的NTUSER.DAT文件,替换掉D:
\DocumentsandSettings\DefaultUser\目录下的NTUSER.DAT文件,记住NTUSER.DAT文件是一个隐含文件。
以后的所有用户登陆上来,便按照配置的缺省用户地设置了,没有必要为每个用户都配置一遍。
但这种设置对已经登陆过的用户不起作用,因为该用户已经有了自己的私人设置,将不再使用默认的设置。
加上这步扩展的设置之后,普通用户就只能在桌面上使用“我的文档”,而“我的电脑”等其他项目都将不显示。
极大的保障了安全性。
2、每个用户只能用分配的空间。
实现这一步需要启动磁盘配额。
由于安装WIN2003用的是NTFS的磁盘格式,所以可以配置磁盘配额。
在磁盘属性里有磁盘配额选项,直接配置即可。
在NTFS格式下,既可以建立全局磁盘配额,对每用户均起限制,也可以单独设置特殊用户的磁盘配额,限制用户对磁盘空间的使用,比如可以对普通用户分配50M的磁盘空间,超过50M便无法向磁盘写数据了。
需要注意的是由于前面对用户进行设置之后,用户只能看到自己的私人目录,为了安全考虑,也就只允许用户在自己的私人目录里面存储数据。
而用户的私人目录是放在存放用户配置数据的驱动器里面的,如:
D/Documents_and_Settings。
那么就要在D盘对用户进行磁盘的配额设置,而在别的盘设置的磁盘配额由于用户看不到也访问不了而起不了作用。
还有保证被分配的磁盘一定要有足够的空间。
这点是肯定的。
3、每个用户不能私自装软件。
将不允许安装软件的用户设为user组的成员。
在windows2003操作系统中,该组的成员默认不允许安装软件。
另外在组策略中也有相应的策略来限制用户在安装、执行各种程序。
在这里可以有两种方法来实现,一种为指定不允许运行的程序,另外一种则为指定允许运行的程序。
当然这两种设置对系统工作所需要的文件是不影响的。
注意:
在对该策略进行配置的时候务必先打开注册表编辑器,以免由于无法使用注册表而不能把组策略对管理员的限制去掉,那么管理员也将和普通用户一样的受到限制,而且不能修改策略。
当然如果把注册表设置成允许运行就没必要了。
解除组策略对管理员的限制将在后面提到。
1、启用“不要运行指定的Windows应用程序”策略 在组策略中有一条名为“不要运行指定的Windows应用程序”策略,通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。
设置方法如下:
(1)、在“开始”“运行”处执行gpedit.msc命令,启动组策略编辑器。
(2)、依次展开本地计算机策略-》用户设置-》管理模板-》系统双击右侧窗格中的“不要运行指定的Windows应用程序”策略,选择“已启用”选项,并点击“显示”。
(3)、点击“添加”,输入不运行运行的应用程序名称,如腾讯QQ则输入“QQ.exe”,点击“确定”此时,指定的应用程序名称添加到禁止运行的程序列表中(4)、点击“确定”返回组策略编辑器,点击“确定”,完成设置。
当用户试图运行包含在不允许运行程序列表中的应用程序时,系统会提示警告信息。
把不允许运行的应用程序复制到其他的目录和分区中,仍然是不能运行的。
要恢复指定的受限程序的运行能力,可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”,或者将指定的应用程序从不允许运行列表中删除。
2、启用“只运行许可的Windows应用程序”策略在组策略中还有一条名为“只运行许可的Windows应用程序”策略,通过启用该策略并添加相应的应用程序,就可以限制用户只运行这些应用程序。
从而防止其他禁止运行的程序运行。
设置方法和启用“不要运行指定的Windows应用程序”策略基本是一致的。
可以参照上面的设置进行配置。
只是添加的程序是允许运行的,没有加到列表中的程序就一律不允许运行。
就是用户重新安装的也不行。
这个设置的限制较大,如果允许运行的程序很多的话,管理员工作量也会大很多。
特别注意的是采用上面这两个策略的时候,一定要特别注意一些配置程序的特殊性,比如组策略编辑器、注册表编辑器和命令提示符,因为这个设置是对所有用户限制的,包括Administrators组中的账户甚至是内建的administrator帐户,任何用户都将不能启动没有被允许的程序,也就不能对设置的策略进行更改。
另:
解除组策略对管理员用户的限制当然也可以用修改注册表的形式来消除组策略对管理员的限制。
(所以刚开始打开的注册表的操作是必要的)其实可以在组策略中,按照您的具体的需求,进行详细的配置,配置后,在前面预先已经打开的注册表编辑器中找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies,该项目中又有一些子项目,可以将子项目中的内容全部删除掉,则对组策略的所有的设置对超级用户都不生效了。
但由于优先权的存在,对修改注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer而生成的限制将不能解除。
如果确实需要对不同用户组采用不同的策略,那么建议你将服务器升级成域控制器,然后将用户放置到不同的组织单元中,为每个组织单元设置不同的组策略。
4、某用户不能上网设置某个用户不能上网就可以为其起用代理服务上网,并且设置个错误的代理和端口号。
在错误的代理和端口号的作用下,该用户当然就无法上网了。
同时为了防止用户自己把设置改回来,就可以把设置的选项禁止普通用户使用,这些也可以通过组策略来实现。
1、设置错误代理,禁止用户上网用禁止其上网的用户名登陆进去,打开IE,在其工具栏中选择工具—》internet选项,将出现IE的属性栏,转到连接选项卡,点击上面的“局域网设置”,进入LAN设置窗体,选中“为LAN使用代理服务器”,然后就是在下面的“地址”框中写入代理服务器,“端口”框中添上端口号。
当然这些都是写错误的,比如代理地址:
0.0.0.0,端口:
0000。
至此,该用户就无法上网了。
这里还有个选项“对于本地地址不使用代理服务器”,如果打上勾,也就是错误代理在本地不起作用,用户可以使用本地网络服务。
如果不选中这项的话,用户就会在本地的连接中也使用代理,在这个错误的代理下,自然本地连接也不能通的,也就上不了本地网络。
至于是选还是不选就要看具体的需求了。
当然为了不让用户自己改回设置,就要把IE中的这些设置项隐藏或禁止掉。
这里又要利用到组策略了。
2、隐藏internet设置选项
(1)、在“开始”“运行”处执行gpedit.msc命令,启动组策略编辑器。
(2)、依次展开本地计算机策略-》用户设置-》管理模块-》windows组件—》InternetExplorer—》Internet控制面板双击右侧窗格中的“禁用连接页”策略,选择“已启用”选项。
以后用户选择IE中的工具—》internet选项,打开的选项窗体中就将不再有“连接”这一选项卡了,自然用户也将无法修改里面的设置了。
在错误代理和端口的作用下,该用户将无法上网。
当然,为了不让该组策略对管理员造成限制,我们还是要用上面提到修改注册表的方法来解除策略对管理员的限制作用。
5、设置敏感程序的权限上面对用户的权限已经有了比较全面的设置了,基本上可以做到用户只能使用计算机而不能更改系统的目的。
但在系统里面有些敏感程序是可以修改设置的,如果有对计算机比较熟悉的用户,就会存在用户自己更改设置的可能。
于是就产生了禁止普通用户运行这些敏感程序的需求。
这些敏感程序一般包括命令提示符(cmd.exe),组策略编辑器(gpedit.msc)和注册表编辑器(regedit.exe及regedt32.exe)注:
设置这些策略的时候务必先打开注册表编辑器。
方便设置完策略后修改注册表来解除设置对管理员的限制。
如果不先打开注册表,设置了禁止运行注册表编辑器后,就连管理员也无法运行,从而给管理带来巨大的困难。
①禁止使用命令提示符在Windows2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。
出于对安全的考虑,有些系统应该屏蔽此功能。
打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略。
下面列表框中还有个选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件*.cmd和*.bat是否可以在计算机上运行。
可以按需求配置(一般是不停用)。
②禁止组策略编辑器打开“组策略控制台→用户配置→管理
升级会员 