Лекция 11. Профили пользователей

Для регистрации пользователя в локальной системе создается учетная запись пользователя — набор уникальных реквизитов, идентифицирующих его для Windows XP Professional.

Учетная запись включает имя пользователя и, если требуется, пароль для регистрации в системе, указывает его принадлежность к группе и определяет его привилегии и разрешения на использование компьютера в сети и на доступ к ресурсам. Каждый пользователь, регулярно работающий в сети, имеет учетную запись.

Windows XP поддерживает два типа учетной записи пользователя: доменную и локальную. Первая позволяет пользователю войти в домен для доступа к сетевым ресурсам, вторая — войти в систему определенного компьютера для получения доступа к ресурсам этого компьютера.

Кроме того, Windows XP предоставляет встроенные учетные записи, применяемые для выполнения административных задач или доступа к сетевым ресурсам.

Локальные учетные записи разрешают пользователям входить в систему и получать доступ к ресурсам только на том компьютере, на котором создана локальная учетная запись. При создании локальной учетной записи Windows XP Professional создает ее только в базе данных безопасности данного компьютера. После создания локальной учетной записи компьютер использует свою локальную базу данных безопасности для аутентификации локальной учетной записи, что позволяет пользователю войти в систему данного компьютера.

Windows XP Professional автоматически создает несколько встроенных учетных записей, из которых чаще всего применяются Администратор (Administrator) и Гость (Guest). Операционная система не позволяет удалять встроенные учетные записи или отключать запись Administrator, хотя встроенные учетные записи можно переименовывать.

Учетная запись Administrator применяется только для выполнения административных задач: для управления общей конфигурацией компьютера (например, для создания и изменения учетных записей пользователей и групп), для управления политикой безопасности и предоставления учетным записям разрешений доступа к ресурсам.

Учетная запись Guest (Гость) позволяет случайным пользователям войти в систему и получить временный доступ к ресурсам. Учетная запись Guest по умолчанию отключена. Включать ее лучше в сетях с низким уровнем безопасности и всегда назначать ей пароль.

Планируя и организуя информацию для учетных записей пользователей, можно упростить процесс их создания. Следует планировать:

1. правила именования учетных записей пользователей;
2. требования к паролям;
3. параметры учетных записей, например, время входа в систему, компьютеры, с которых в нее можно войти, и срок действия учетной записи.

Правила именования определяют порядок идентификации пользователей в системе. Постоянные правила именования помогут администратору и пользователям запомнить пользовательские имена входа в систему и найти их в списке. Вот некоторые вопросы, рассматриваемые при определений правил именования:

1. уникальные регистрационные имена пользователей. Локальные учетные записи должны быть уникальны в пределах компьютера;
2. максимум 20 символов. Регистрационное имя может содержать не более 20 символов прописных или строчных букв. Поле ввода принимает более 20 символов, но Windows XP распознает только первые 20;
3. недопустимые символы — “ / \ [ ] ; : | = , + * ? < >;
4. регистрационные имена не чувствительны к регистру. Для создания уникальных учетных записей можно использовать комбинацию специальных и алфавитно-цифровых символов.Регистрационные имена не чувствительны к регистру, хотя и сохраняют его.

В целях защиты доступа к домену или компьютеру каждый пользователь должен иметь пароль.

Для паролей существуют следующие правила:

1. для предотвращения несанкционированного доступа к учетной записи Administrator необходимо присвоить пароль для этой учетной записи;
2. использовать надо пароли, которые сложно разгадать;
3. пароль может содержать до 128 символов, минимальная рекомендуемая длина — 8 символов;
4. использовать прописные и строчные буквы, цифры и допустимые специальные символы.

Параметры учетных записей:

1. время входа. Для контроля за входом пользователя в сеть задаются часы входа в систему — срок, в течение которого пользователи могут работать в сети. По умолчанию Windows XP разрешает доступ в любой день 24 часа в сутки. Можно разрешить вход только в рабочее время. Установка времени входа сокращает срок, в течение которого учетная запись открыта для несанкционированного доступа;
2. компьютеры, с которых пользователи могут входить в систему. По умолчанию пользователи могут входить в сеть с любого компьютера сети. Но лучше, чтобы пользователи входили в сеть только с их собственных компьютеров. Это предотвратит их доступ к конфиденциальной информации на других компьютерах;
3. срок действия учетной записи. Необходимо определить, задавать ли срок действия учетной записи пользователя. Если да, то для отключения учетной записи при прекращении доступа к сети нужно установить дату окончания действия учетной записи пользователя. Для временных сотрудников устанавливается срок действия учетных записей в соответствии с датой окончания их контрактов.

1. Создание локальных учетных записей пользователей

Локальная учетная запись позволяет входить в систему и получать доступ к ресурсам только на том компьютере, на котором создана эта запись. Для создания локальных учетных записей служит оснастка Local Users And Groups (Локальные пользователи и компьютеры).

Чтобы создать новую учетную запись пользователя необходимо:

1. открыть компонент Управление компьютером. Чтобы открыть окно управления компьютером, нужно нажать кнопку Пуск и выбрать команды Настройка и Панель управления. Дважды щелкнуть значок Администрирование, затем дважды щелкнуть значок Управление компьютером;
2. в дереве консоли выбрать компонент Локальные пользователи и группы и щелкнуть в нем узел Пользователи (рисунок 1.);

Рисунок 1. — Окно консоли Управление компьютером

а) в меню Действие выбрать команду Новый пользователь;
б) ввести соответствующие сведения в диалоговое окно (рисунок 2.);

Рисунок 2. — Диалоговое окно Новый пользователь

в) Установить или снять перечисленные ниже флажки:
1) Потребовать смену пароля при следующем входе в систему;
2) Запретить смену пароля пользователем;
3) Срок действия пароля не ограничен;
4) Отключить учетную запись;

г) Выполнить одно из следующих действий:
1) чтобы создать дополнительного пользователя, необходимо нажать кнопку Создать и повторить шаги б) и в);
2) чтобы завершить работу, необходимо нажать кнопку Создать, а затем Закрыть.

Имя пользователя не может состоять только из точек и пробелов.

В поля Пароль и Подтверждение может быть введен пароль, содержащий до 128 символов. Однако, если компьютер с Windows XP Professional используется в сети, к которой подключены компьютеры, работающие под управлением Windows 95 или Windows 98, необходимо предусмотреть использование паролей не длинней 14 символов. Windows 95 и Windows 98 поддерживают пароли длиной до 14 символов. Если пароль имеет большую длину, войти в сеть с этих компьютеров не удастся.

Если новый пользователь будет выполнять не только административные задачи, его не следует добавлять в группу «Администраторы».

2. Изменение свойств учетных записей пользователей

Набор свойств по умолчанию связан со всеми доменными и локальными учетными записями. Свойств у первых больше, чем у вторых. Свойства локальных учетных записей представляют собой подмножество свойств доменных учетных записей.

Чтобы изменить локальную учетную запись, в оснастке Computer Management (Управление компьютером), необходимо выбрать Local Users And Groups (Локальные пользователи и группы) и дважды щелкнуть объект, свойства которого нужно изменить.Диалоговое окно свойств (рисунок 3.) содержит для всех учетных записей набор вкладок, позволяющих настраивать свойства для определенного пользователя. К локальным учетным записям относятся вкладки:

1. General (Общие) — имя, местоположение офиса, телефон, адрес электронной почты и домашней страницы пользователя;
2. Member Of (Члены группы) — отображает группы, членом которых является пользователь;
3. Profile (Профиль) — профили пользователя автоматически создают и поддерживают индивидуальные параметры рабочего стола для работы пользователя на любом локальном компьютере. Вкладка Profile (Профиль) позволяет указать путь к сетевому ресурсу, где сохраняются профили пользователя. Кроме того, для учетной записи можно задать сценарий регистрации и домашнюю папку.

Рисунок 3. — Диалоговое окно свойств

Администрирование учетных записей пользователей включает изменение учетных записей и настройку пользовательских профилей и домашних каталогов. Чтобы изменить учетную запись пользователя необходимо:

a) открыть компонент Управление компьютером;
б) в дереве консоли выбрать компонент Локальные пользователи и группы и щелкнуть в нем узел Пользователи;
в) выбрать учетную запись, которую требуется изменить;
г) в меню Действие выбрать команду Свойства;
д) внести нужные изменения и нажать кнопку OK.

Интересы предприятия могут потребовать изменения учетных записей, скажем, переименовать учетную запись для нового сотрудника так, чтобы он имел полномочия и доступ к сети своего предшественника. Другие изменения, например, отключение, подключение и удаление учетной записи касаются персональных изменений или личной информации. Может потребоваться и восстановление пароля или разблокирование учетной записи.

Можно производить следующие действия:

а) отключение/включение. Учетную запись следует отключать, когда пользователю в течение длительного времени она будет не нужна, но понадобится в будущем;
б) переименование. Учетные записи переименовываются, когда надо сохранить все права, разрешения, членство в группе и большинство других свойств одной учетной записи и переназначить их другой;
в) удаление.

Для процедур отключения, включения, переименования и удаления локальных учетных записей используется расширение Local Users And Groups (Локальные пользователи и группы) оснастки Computer Management (Управление компьютером).

Чтобы отключить или активизировать учетную запись пользователя необходимо:

а) открыть компонент Управление компьютером;
б) в дереве консоли выбрать компонент Локальные пользователи и группы и щелкнуть в нем узел Пользователи;
в) выбрать учетную запись, которую требуется изменить;
г) в меню Действие выбрать команду Свойства (рисунок 3.);
д) чтобы отключить выбранную учетную запись пользователя, установить флажок Отключить учетную запись;
е) чтобы активизировать выбранную учетную запись пользователя, снять флажок Отключить учетную запись.

Для отключения или активизирования учетной записи гостя необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы». Отключенная учетная запись продолжает существовать, но пользователю запрещен вход в систему. Она появляется в области сведений, но ее значок помечен крестиком (Х). При активизации учетной записи пользователь получает возможность обычного входа в систему.

Чтобы удалить учетную запись пользователя необходимо:

а) открыть компонент Управление компьютером;
б) в дереве консоли выбрать компонент Локальные пользователи и группы и щелкнуть в нем узел Пользователи;
в) выбрать учетную запись, которую требуется удалить;
г) в меню Действие выбрать команду Удалить;
д) в окне подтверждения удаления нажать кнопку OK;
е) в ответ на приглашение подтвердить удаление нажать кнопку Да.

Когда необходимо удалить учетные записи пользователей, рекомендуется сначала отключить учетные записи. Убедившись, что отключение учетной записи не вызвало неполадок, можно благополучно удалить ее. Удаленную учетную запись пользователя восстановить невозможно. Невозможно удалить встроенные учетные записи администратора и гостя. Встроенную учетную запись администратора отключить невозможно.

3. Смена паролей

Если пользователь не может зарегистрироваться на локальном компьютере, то может потребоваться смена его пароля или разблокирование его учетной записи. Для этого надо иметь административные привилегии для организационного подразделения, к которому относится данная учетная запись.

Если срок действия пароля истечет до того, как его изменят, или пользователь забудет свой пароль, то надо сменить пароль.

Чтобы изменить пароль для пользователя необходимо:

а) открыть компонент Управление компьютером;
б) в дереве консоли выбрать компонент Локальные пользователи и группы и щелкнуть в нем узел Пользователи;
в) выбрать учетную запись, которую требуется изменить;
г) в меню Действие выбрать команду Установка пароля (рисунок 4.).

Рисунок 4. — Окно замены пароля

4. Профиль пользователя

Профиль пользователя — это набор папок и данных, определяющих параметры рабочего стола, приложений и место хранения личных данных. Профиль также содержит все сетевые соединения, установленные при входе в систему, пункты меню Start и драйверы, относящиеся к сетевым серверам. Профиль пользователя сохраняет вид рабочего стола и параметры среды, заданные во время последнего входа в систему.

Windows XP Professional создает профиль локального пользователя при первом входе в систему. Профиль пользователя функционирует следующим образом:

а) при входе в компьютер с Windows XP Professional пользователь всегда получает индивидуальные параметры рабочего стола и соединений независимо от того, кто ранее работал на этом компьютере;
б) при первом входе Windows XP Professional копирует папку Default User локального профиля в папку C:\Documents and Settings\{зарегистрационное_имя_пользователя}
в) папка профиля пользователя содержит много файлов и папок для хранения данных пользователя. Например, в папке My Documents хранятся личные файлы, она по умолчанию открывается при вызове в приложениях команд Open (Открыть) и Save As (Сохранить как). Windows XP по умолчанию создает ярлык My Documents на рабочем столе, что облегчает поиск личных документов;
г) самый простой способ изменить профиль пользователя — изменить параметры рабочего стола, например, при установке нового сетевого подключения или добавлении файла в папку My Documents. Затем при выходе из системы Windows XP Professional вносит изменения в этот профиль. При следующем входе в систему появится новое сетевое подключение и файл.

Рекомендуется, чтобы пользователи сохраняли свои документы в папке My Documents, а не в домашних каталогах. Windows XP автоматически устанавливает папку My Documents, и она по умолчанию является местом для сохранения данных приложениями Microsoft.

Существуют два вида профилей пользователя:

1) перемещаемый профиль пользователя (roaming user profile, RUP). Его можно настроить для поддержки пользователей, работающих на нескольких компьютерах.

При входе Windows XP Professional применяет к данному компьютеру параметры RUP. При первом входе в систему на локальный компьютер копируются все документы пользователя. В дальнейшем при его входе Windows XP сравнивает локально сохраненные файлы профиля с файлами RUP. Система синхронизирует их, копируя только те файлы, что измелись со времени последнего входа пользователя в систему. Поскольку Windows XP копирует только их, вход в систему ускоряется. При выходе пользователя из системы Windows XP копирует сделанные в локальной копии RUP изменения обратно на сервер.

Можно настроить или указать готовый RUP для всех учетных записей и запретить его модификацию. Для этого можно настроить рабочую среду и скопировать полученный профиль на место RUP пользователя.

Перемещаемые профили используются для:

• обеспечения пользователей рабочей средой, включающей только необходимые для работы подключения и приложения;
• обеспечения стандартной среды рабочего стола для RUP пользователей, имеющих одинаковые требования к работе, им нужны одинаковые сетевые ресурсы;
устранения ошибок: имея ясное представление о настройке рабочих столов пользователей, специалисты службы технической поддержки найдут отклонение или проблему.

2) обязательный профиль. Так называют RUP «только для чтения». Пользователь по-прежнему может изменять параметры своего рабочего стола, но при выходе из системы эти изменения не сохраняются. При его следующем входе обязательный профиль снова загружается с сервера.

Можно назначить один обязательный профиль многим пользователям, которым нужны одинаковые параметры рабочего стола. Изменив один профиль, изменится рабочая среда нескольких пользователей. Чтобы сделать профиль обязательным («только для чтения»), нужно изменить расширение файла Ntuser в каталоге профиля на сервере с .dat на .man.

Чтобы настроить перемещаемый и обязательный профили пользователей в сети должен быть сервер, который будет хранить папку с файлами профилей.

Так как в одноранговой сети не имеется сервера, то настроить перемещаемый и обязательный профиль невозможно. В такой сети можно лишь настроить локальный профиль пользователя каждого компьютера.

5. Администрирование учетных записей групп

Группа (group) — это набор учетных записей пользователей. Группы упрощают администрирование, позволяя назначать разрешения и права группе пользователей, а не каждой отдельной учетной записи. Пользователи могут быть членами нескольких групп.

Назначая разрешения, пользователям предоставляется доступ к определенным ресурсам и определяются права доступа. Если, например, нескольким пользователям требуется считать один файл, можно добавить их учетные записи в группу. Затем дать группе разрешение на считывание файла. Права дают возможность выполнять системные задачи, например, изменять системное время, архивировать или восстанавливать файлы, а также локально регистрироваться в системе.

Кроме пользователей, в группу можно добавлять контакты, компьютеры и другие группы. Добавляя компьютеры в группу, можно упростить предоставление доступа системной задаче одного компьютера к ресурсам другого.

Локальная группа может включать учетные записи компьютера, на котором она находиться. Ее рекомендуется применять для назначения разрешений доступа к ресурсам, расположенным на том же компьютере, что и группа. Windows XP создает локальные группы в локальной базе данных системы защиты. Локальные группы бывают доменными и изолированными.

Необходимо помнить следующее:

а) локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами данного домена. Локальной группе домена можно предоставить разрешения доступа к любому ресурсу на контроллерах домена;
б) изолированные локальные группы создаются на изолированных и рядовых серверах, а также на компьютерах с Windows XP Professional. И все же локальные группы можно использовать лишь на той машине, где были созданы группы. Это значит, что изолированные локальные группы не следует использовать на компьютерах домена. Такие группы не позволяют выполнять централизованное администрирование и не отображаются в хранилище Active Directory. Управление такими группами осуществляется отдельно на каждом компьютере;
в) изолированным локальным группам можно присваивать лишь разрешения доступа к ресурсам того компьютера, на котором находится группа. Изолированные локальные группы могут включать локальные учетные записи пользователей компьютера, на котором находится группа. Такие группы не могут состоять в других группах.

5.1 Создание локальных групп

Локальные группы позволяет создать оснастка Computer Management (Управление компьютером). Локальные группы создаются в папке Groups (Группы).

Чтобы создать локальную группу необходимо:

а) раскрыть в дереве консоли папку Local Users And Groups (Локальные пользователи и группы);
б) щелкнуть подпапку Groups (Группы);
в) в меню Action (Действие) выбрать команду New Group (Новая группа);
г) в открывшемся диалоговом окне ввести имя и описание группы (рисунок 5.).

Параметры диалогового окна New Group (Новая группа):

а) Group Name (Имя группы) — уникальное имя локальной группы. Это единственный обязательный параметр. В имени можно использовать любые символы, кроме «\». Длина имени не может превышать 256 символов, однако в некоторых окнах слишком длинные имена отображаться не будут;
б) Description (Описание) — описание группы;
в) Add (Добавить) — добавить пользователя в список членов группы;
г) Delete (Удалить) — удалить пользователя из списка членов группы;
д) Create (Создать) — создать группу.

Рисунок 5. — Диалоговое окно Новая группа

5.2 Встроенные локальные и системные группы

На всех изолированных и рядовых серверах и компьютерах с Windows XP Professional есть встроенные локальные группы. Они предоставляют разрешения на выполнение задач (восстановление и архивирование файлов, изменение системного времени, администрирование ресурсов системы и другие) на отдельном компьютере. Windows XP Professional помещает встроенные локальные группы в папку Groups (Группы) оснастки Computer Management (Управление компьютером) (рисунок 6.).

Удалить встроенные локальные группы нельзя.

Права, которыми обладают члены встроенных локальных групп, таковы:

а) пользователи (Users) — вправе обращаться лишь к тем ресурсам и выполнять лишь те задачи, на которые у них есть соответствующие разрешения. Члены группы не могут вносить постоянные изменения в конфигурацию рабочего стола. По умолчанию Windows XP добавляет в группу Users все новые локальные учетные записи пользователей;
б) администраторы (Administrators) — вправе выполнять на компьютере любые административные задачи. Встроенная учетная запись Administrator компьютера по умолчанию является членом локальной группы Administrators;
в) гости (Guests) — вправе обращаться лишь к тем ресурсам и выполнять лишь те задачи, на которые у них имеются разрешения. Члены группы не могут вносить постоянные изменения в конфигурацию рабочего стола. Встроенная учетная запись Guest компьютера по умолчанию является членом локальной группы Guests; при установке эта учетная запись отключается;
г) операторы архива (Backup Operators) — вправе архивировать и восстанавливать систему с помощью утилиты Windows Backup;
д) опытные пользователи (Power Users) — вправе создавать и изменять учетные записи пользователей компьютера, открывать доступ к ресурсам;
е) репликатор (Replicator) — вправе настраивать службы репликации файлов.

Рисунок 6. — Диалоговое окно оснастки Управление компьютером

На всех компьютерах с операционной системой Windows XP есть встроенные системные группы. Системные группы не имеют определенного списка членов, который можно было бы изменять. В разное время состав членов таких групп может различаться в зависимости от метода доступа пользователя к ресурсу или компьютеру. При администрировании системные группы недоступны, однако они отображаются при назначении прав и разрешений доступа к ресурсам. Состав системных групп в Windows XP основан на способе доступа к компьютеру, а не на том, какие пользователи работают с компьютером.

Наиболее распространены встроенные системные группы:

Everyone (Все) — включает всех пользователей, обращающихся к компьютеру. При назначении разрешений группе Everyone и включении учетной записи Guest надо быть особенно осторожным. Windows XP аутентифицирует пользователя без действительной учетной записи как гостя (Guest). Такой пользователь автоматически получает все права и привилегии, которыми обладает группа Everyone;

Authenticated Users (Прошедшие проверку) — включает всех пользователей компьютера и службы Active Directory, обладающих действительными учетными записями. Для предотвращения анонимного доступа к ресурсам вместо группы Everyone лучше использовать эту группу;

Creator Owner (Создатель-владелец) — включает учетную запись пользователя, создавшего или вступившего во владение ресурсом. Если ресурс создан членом группы Administrators, владельцем ресурса считается группа Administrators;

Network (Сеть) — включает всех пользователей, находящихся за другими компьютерами сети и подключенных к общему ресурсу компьютера, на котором размещается группа;

Interactive (Интерактивные) — включает учетную запись пользователя, зарегистрировавшегося в системе. Члены группы Interactive могут подключаться к ресурсам компьютера, за которым они физически находятся. Пользователь регистрируется в системе и обращается к ресурсам, «взаимодействуя» с компьютером; Anonymous Logon (Анонимный вход) — включает все учетные записи, не аутентифицированные Windows XP;

Dialup (Удаленный доступ) — включает всех пользователей, подключенных в текущий момент по удаленному подключению. Рабочая среда пользователя состоит из настроек рабочего стола, например, цвета экрана, настроек мыши, размера и расположения окон, из настроек процесса обмена информацией по сети и с устройством печати, переменных среды, параметров реестра и набора доступных приложений.

Для управления средой пользователя предназначены следующие средства Windows XP:

—Сценарий входа в систему (сценарий регистрации) представляет собой командный файл, имеющий расширение bat или cmd, исполняемый файл с расширением ехе или сценарий VBScript, который запускается при каждой регистрации пользователя в системе или выходе из нее. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов или другую подобную информацию.

—Профили пользователей. В профиле пользователя хранятся все настройки рабочей среды компьютера, на котором работает Windows XP, определенные самим пользователем. Это могут быть, например, настройки экрана и соединения с сетью. Все настройки, выполняемые самим пользователем, автоматически сохраняются в папке, имя которой для вновь установленной системы выглядит следующим образом: %SystemDrive%/Documents and Setting/|<имя_ пользователя>.

—Сервер сценариев Windows (Windows Scripting Host, WSH, версии 5.6). Сервер сценариев независим от языка и предназначен для работы на 32-разрядных платформах Windows. Он включает в себя как ядро сценариев Visual Basic Scripting Edition (VBScript), так и JScript. Сервер сценариев Windows предназначен для выполнения сценариев прямо на рабочем столе Windows или в окне консоли команд. При этом сценарии не надо встраивать в документ HTML.

Профили пользователей

На изолированном компьютере с Windows XP локальные профили пользователей создаются автоматически. Информация локальных профилей необходима для поддержки настроек рабочего стола локального компьютера, характерных для конкретного пользователя. Профиль создается для каждого пользователя в процессе его первой регистрации в компьютере.

Профиль пользователя обладает следующими преимуществами:

—При регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы.

—Несколько пользователей могут работать на одном и том же компьютере в индивидуальных средах (нельзя только иметь собственные параметры разрешения экрана и частоты развертки; здесь нужно применять профили оборудования).

—При работе компьютера в домене профили пользователей могут быть сохранены на сервере. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile). Разновидностью перемещаемых профилей являются обязательные профили (mandatory profiles). Такой профиль пользователь не может изменять, и все изменения, сделанные в настройках системы, теряются при выходе из нее. В Windows XP обязательные профили поддерживаются только для совместимости, вместо них рекомендуется применять групповые политики. Внимание. Не все настройки локального профиля пользователя входят (копируются) в его перемещаемый профиль!

С помощью групповой политики Исключить каталоги из перемещаемого профиля (Exclude directories in roaming profiles) можно указать папки перемещаемого профиля, которые будут оставаться локальными и не копируются на сервер.

Пользовательские профили можно применять следующим образом:

• Создать несколько типов профилей и назначить их определенным группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователями.
• Назначать общие групповые настройки всем пользователям.
• Назначать обязательные профили, какие-либо настройки которых пользователи изменять не могут.

Настройки, хранящиеся в профиле пользователя

Профиль пользователя хранит настройки конфигурации и параметры, индивидуально назначаемые каждому пользователю и полностью определяющие его рабочую среду (табл. 1).

Таблица 1: Настройки, хранящиеся в профиле пользователя

Объект	Соответствующие ему параметры
Проводник (Windows Explorer)	Все настройки, определяемые самим пользователем, касающиеся программы Проводник
Панель задач	Все персональные группы программ и их свойства, ВСЕ программные объекты и их панели задач свойства, все настройки
Настройки принтера	Сетевые соединения принтеров
Панель управления	Все настройки, определенные самим пользователем касающиеся панели управления
Стандартные (Accessories)	Настройки всех стандартных приложений, запускаемых для конкретного пользователя
Настройки приложений (Application Settings)	Любое приложение, специально созданное для работ» в среде Windows XP, может обладать средствами отслеживания своих настроек относительно каждого пользователя. Если такая информация существует, она хранится в профиле пользователя
Электронная подсказка	Любые закладки, установленные в справочной системе Windows XP
Консоль управления Microsoft	Индивидуальные файлы конфигурации и текущего состояния консоли управления

Структура профиля пользователя

Профиль пользователя создается на основе профиля, назначаемого по умолчанию. Он имеется на каждом компьютере, где работает Windows XP. Файл NTUSER.DAT, находящийся в папке Default User, содержит настройки конфигурации, хранящиеся в реестре Windows XP. Кроме того, каждый профиль пользователя использует общие программные группы, находящиеся в папке All Users.

Папка Default User, папки профилей индивидуальных пользователей, а также папки All Users, HelpAssistant (появляется при использовании удаленного помощника), LocalService и NetworkService находятся в папке Documents and settings корневого каталога на загрузочном томе. На рис. 7. показана структура папок локального профиля пользователя.

Рисунок 7. — Структура папок локального профиля пользователя.

В табл. 2 перечислены подпапки, находящиеся внутри папки локальной профиля пользователя, и описано их содержимое. Некоторые из этих подпапок являются скрытыми и могут быть не видны при обычном просмотре. Все указанные папки, кроме папки Local Settings, входят в перемещаемый профиль пользователя (при работе компьютера в составе домена). При использовании обычного профиля локальные папки Application Data, Рабочий стол (Desktop), Мои документы (My Documents), Мои рисунки (My Pictures) и Главное меню (Start Menu) можно переназначать на общие сетевые диски при помощи оснастки-расширения Перенаправление папки (Folder Redirection), входящей в оснастку Групповая политика (Group Policy).

Таблица 2: Содержимое папки локального профиля пользователя

Подпапка	Содержимое
Application Data	Данные, относящиеся к конкретным приложениям, например, индивидуальный словарь. Разработчики приложений сами принимают решение, какие данные должны быть сохранены в папке профиля пользователя
Cookies	Служебные файлы, получаемые с просматриваемых веб-серверов
Local Settings	Данные о локальных настройках, влияющих на работу программного обеспечения компьютера.
NetHood	Ярлыки объектов сетевого окружения
PrintHood	Ярлыки объектов папки принтеров и факсов
SendTo	Ярлыки объектов, куда могут посылаться документы
UserData	Служебная информация для данного пользователя
Windows	Системная информация
Главное меню (Start Menu)	Ярлыки программ
Избранное (Favorites)	Ярлыки часто используемых программ и папок
Мои документы (My Documents)	Данные о документах и графических файлах, используемых пользователем
Недавние документы (My Recent Documents)	Данные о документах и графических файлах, открытых пользователем в течение последнего времени
Рабочий стол (Desktop)	Объекты рабочего стола, включая файлы и ярлыки
Шаблоны (Templates)	Ярлыки шаблонов

Для управления пользовательскими профилями имеется более десятка групповых политик, которые доступны в окне оснастки Групповая политая Group Policy) в папках Конфигурация компьютера | Административные шаблоны | Система | Профили пользователей (Computer Configuration | Administrative Templates | System | User Profiles) и Конфигурация пользователя | Административные шаблоны | Система | Профили пользователей (User Configuration | Administrative Templates | System | User Profiles).

Папка All Users

Настройки, находящиеся в папке All Users, не копируются в папки профиля пользователя, но используются для его создания. Системы Windows NT/2000/XP поддерживают два типа программных групп:

• Общие программные группы. Они всегда доступны на компьютере, независимо от того, кто зарегистрирован на нем в данный момент. Только администратор может добавлять объекты к этим группам, удалять или модифицировать их.
• Персональные программные группы. Они доступны только создавшему их пользователю.

Общие программные группы хранятся в папке All Users, находящейся в папке Documents and Settings. Папка All Users также содержит настройки для рабочего стола и меню Пуск (Start). Группы этого типа на компьютерах, где работает Windows XP, могут создавать только члены группы Администраторы (Administrators).

Создание локального профиля пользователя

Локальный профиль пользователя хранится на компьютере в папке, имя которой совпадает с именем данного пользователя, находящейся в папке Documents and Settings на загрузочном томе. Если для данного пользователя не существует сконфигурированный перемещаемый (находящийся на сервере) профиль, то при первой регистрации пользователя в компьютере для него создается индивидуальный профиль. (Это справедливо для любой версии Windows XP.)

Содержимое папки Default User копируется в папку нового профиля пользователя. Информация профиля, вместе с содержимым папки All Users, используется при конфигурации рабочей среды пользователя. При завершении пользователем работы на компьютере все сделанные им изменения настроек рабочей среды, выбираемых по умолчанию, записываются в его профиль. Содержимое папки Default User остается неизменным.

Если пользователь имеет отдельную учетную запись на локальном компьютере и в домене, для каждой из них создается свой профиль пользователя, поскольку регистрация на компьютере происходит с помощью различных учетных записей. При завершении работы все сделанные изменения также записываются в соответствующий данной учетной записи профиль.

Папка профиля пользователя на локальном компьютере содержит файл NTUSER.DAT и файл журнала транзакций с именем ntuser.dat.LOG (см. рис. 7). Он нужен для обеспечения отказоустойчивости, позволяя Windows ХР восстанавливать профиль пользователя в случае сбоя при модификации содержимого файла NTUSER.DAT.

В начало страницы