28 Inloggningsskript, profiler och systemprinciper//system Policies

Relevanta dokument
22 Användarnas hemmamappar

7 Microsofts grupphanteringsmodell i Windows NT-domäner

23 Användargrupper: lokala, globala och specialgrupper

29 Operativsystem på användarnas maskiner (klienterna)

2 Arbetsgrupp eller Windows NTdomän: vilken passar bäst?

21 De tre viktigaste kontona: Administratör//Administrator, Gäst/ /Guest och System//System

14 Användarkonton och kontoprinciper

11 Domän- och serverlistorna// Browse Lists

7 Mamut Client Manager

en översikt Användarkonton i Windows-familjen Användarkonton i Windows NT Workstation och Windows NT Server

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Ingenjörsfirman Stéen Windows NT Server Sida 1 av 1

15 Granskning//Auditing

13 Inbyggda verktyg för nätadministration

Installationsanvisning - Kopplingen mellan GK96 och golf.se -

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Startanvisning för Bornets Internet

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

Instruktion: Trådlöst nätverk för privata enheter

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Manual för fjärrinloggning

Innehåll. Installationsguide

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Sidpanelen och gadgetar De är nya. De är smarta. Lär dig hur du använder dem.

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

12 Sammankopplade domäner// Trusts

Konvertering från Klients databas till Norstedts Byrå

FLEX Personalsystem. Uppdateringsanvisning

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

FrontPage Express. Ämne: Datorkunskap (Internet) Handledare: Thomas Granhäll

Välkommen som användare av medietekniks och informatiks publika studentserver

Manual - Storegate Team

VÄLKOMMEN TILL OWNIT!

Proxy. Krishna Tateneni Översättare: Stefan Asserhäll

Uppdatering till Windows 8.1 steg för steg-guide

Konfigurering av eduroam

Uppdatering till Windows 8.1 steg för steg-guide

Installationsbeskrivning för CAB Service Platform med CABInstall

Allmänt om programvaror och filer i Windows.

Administrationsmanual ImageBank 2

1 Översikt Vad är kontokoder? Konto/Mapp uppbyggnad Tillgång till Kontokoder Område Kontokoder...5

Mac OS X 10.6 Snow Leopard Installationshandbok

ONEDRIVE ÖVERBLICK Vad är OneDrive?... 2 Molnet?... 2 Två typer av OneDrive... 2 Hitta sin OneDrive för företag... 3

Alla filer som bearbetar PHP script ska avslutas med ändelsen.php, exempelvis ska en indexsida till en hemsida heta index.php

En kort guide för registereditorn

9 Registret//Registry en översikt och en del tips

Laboration 0. Enhetsbokstaven anges med ett kolon efter och man läser ofta ut detta, exempelvis C:(sekolon).

E-post. A. Windows Mail. Öppna alternativ. Placera ikonen på skrivbordet.

PM Dokumentation

DELA DIN MAC MED FLERA ANVÄNDARE

Spara papper! Skriv inte ut sammanfattning utan ladda ner PDF!

En felsökningsguide för rcloud Office tjänsterna och lite manualer.

Snabbguide Kom igång med LaCie Network Space på ditt smarta hemmanätverk

Del 1: Skapa konto i Exchange

Uppdaterad EDP Future Uppdateringsanvisningar från 1.7x. Sida 1

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

LVDB i GEOSECMA. Innehåll. Inledning. Produkt: GEOSECMA Modul: LVDB Skapad för Version: Uppdaterad:

JobOffice SQL databas på server

Visma Proceedo. Att logga in - Manual. Version 1.3 /

Författare Version Datum. Visi System AB

24 Användarrättigheter//User Rights

LEX INSTRUKTION LEX LDAP

JAWS Nätverksauktorisering

version: Sidan 1 av 5

WebOrderInstallation <====================>

Bengans datorhörna WINDOWSTIPS

Lathund för BankID säkerhetsprogram

ADOBE FLASH PLAYER 10.3 Lokal inställningshanterare

Installationsguiden startar med en välkomstdialog antingen för produkten eller för nödvändiga komponenter om aktuella komponenter saknas på datorn.

ShowYourPics. Kom igång guide Alpha True Fiction P roduction AB Sveavägen 98, Stockholm info@truefiction.se

Hur man skapar en Administrativ Image för SolidWorks 2014

Installation och konfiguration av Matematikhuset 3.0 (skollicens) Installation via Group Policy och konfigurering av dataplacering

Felsökning av vanliga fel Kontrollera installera version Innehållsförteckning

Windows 8.1, hur gör jag?

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Använda Office 365 på en iphone eller en ipad

Telia Connect för Windows

Kapitel 4 Arkivmenyn Innehåll

Installationsanvisning Boss delad databas

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Installationsguiden startar med en välkomstdialog antingen för produkten eller för nödvändiga komponenter om de saknas på datorn.

Manual Godman Redovisning

Filbeskrivningar Eller på särskild CD skiva

Innehåll. 7. Hur vet jag vilken storlek på licensen jag har?... 19

Lathund för Novell Filr

17 Net.Exe, kommandofiler, Windows Scripting Host och perl

20 Namngivning av datorer, arbetsgrupper/domäner, användarkonton

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

ANVÄNDARHANDBOK. Advance Online

Flytt av. Vitec Mäklarsystem

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Hemmanätverk. Av Jan Pihlgren. Innehåll

Transkript:

28 Inloggningsskript, profiler och systemprinciper//system Policies Användarna står i centrum för detta kapitel. Inloggningsskript, profiler och systemprinciper//system Policies är tre olika sätt att styra miljön på användarnas datorer. Beroende på om de använder Windows NT 4.0, Windows NT 3.51, Windows 95 eller Windows för Workgroups 3.11, har administratörer tillgång till en eller flera av dessa styrmedel. Inloggningsskript Inloggningsskript har funnits sedan många år i Microsofts olika MS-NET-produkter. I Microsoft LAN Manager 1.0 var det gjort så att klientdelen, LAN Manager for MS-DOS, automatiskt tillhandahöll fyra variabler för inloggningsskript. Som nätverksadministratör fann jag mycket god användning för dem i mina inloggningsskript, men säg den lycka som varar?! När LAN Manager 2.0 kom hade dessa variabler försvunnit. Troligen var det någon som hade kommit på att det inte var rent och snyggt med dem och bestämt att de skulle väck utan att ersätta dem med något annat. När Windows NT lanserades var samma information åter tillgänglig från inloggningsskript, men i Windows 95 får du leta länge efter dem (jag undviker att ens nämna WfWG). Den stora fördelen med inloggningsskript är att de kan skrivas så att de är oberoende av vilket operativsystem som användaren loggar in från samma skript används både för Windows för Workgroups, Windows 95/98 och Windows NT. I en miljö där du ansvarar för flera olika operativsystem underlättar det för dig och även för de användare som använder flera olika datorer med olika operativsystem. 1009

28 Inloggningsskript, profiler och systemprinciper//system Policies Profiler Något nytt som infördes med Windows NT var profiler. Tanken med profiler är god de samlar en mängd inställningar, allt från bakgrundsfärg till nätverksanslutningar. De kan sparas centralt och följa användaren från dator till dator. Profiler är mycket bättre än inloggningsskript: så löd mantrat från Microsoft. Jag säger inte att inloggningsskript är bättre än profiler, men de senare är knutna till sitt eget operativsystem inte ens Windows 95 och Windows NT 4.0 kan dela profiler. Orsaken får väl anses vara den att det skulle vara mycket svårt att skriva profilerna i Windows 95 så att de gick att använda i Windows NT 4.0 och tvärtom (jag måste ju vara snäll mot Microsoft, också). Till skillnad mot både inloggningsskript och systemprinciper är profiler ständigt närvarande närhelst någon är inloggad på en Windows 95/98- eller Windows NT-dator använder de en profil. Profiler i Windows 95/98 och Windows NT 4.0 är mycket synligare än i tidigare versioner av Windows NT. Alla mappar under %SystemRoot%\Profiles\Kontonamn är en del av profilen, den kanske synligaste. Profildelen i Registret//Registry sparas i filen %SystemRoot%\Profiles\Kontonamn\NTUser.Dat. Varje användares NTUser.Dat laddas in i Registret//Registry vid inloggning i huvudträdet HKey_Users med samma namn som användarkontots SID (HKey_Current_User sätts att peka på detta huvudträd). Den profil som används när ingen användare är inloggad återfinns i mappen filen %SystemRoot%\Profiles\Default User. När du öppnar den mappen finner du bland annat dess registerdel, vilken alltid laddas in under HKey_Users\.Default. Systemprinciper//System Policies Ytterligare en nyhet infördes med Windows 95: systemprinciper/ /system policies. I likhet med profiler kan de sparas på en central server, men de används för andra saker än profiler. Faktum är att profiler och systemprinciper kan användas tillsammans de konkurrerar inte. Microsofts Zero Administration Kit, ZAK, bygger på både profiler och systemprinciper. Med systemprinciper ändrar man, i huvudsak, i Registret/ /Registry på en Windows 95- eller Windows NT 4.0-dator. Det 1010

I en Windows NT-domän kan du använda alla tre metoderna samtidigt är mycket lätt att styra användarens möjligheter med hjälp av systemprinciper: du kan ta bort Start-menyn, Nätverket//Network Neighbourhood, Kontrollpanelen//Control Panel, m.m. I Windows NT 5.0 kommer systemprinciper//system policies att spela en allt större roll inställningar som i dag måste göras på enskilda datorer kan i Windows NT 5.0 samlas centralt och skickas till Windows NT-datorerna. Detta kommer att gälla även inställningar som kontoprinciper och användarrättigheter. (Om ryktet har rätt kommer vi att se delar av detta redan i Service Pack 4 för Windows NT 4.0). I en Windows NT-domän kan du använda alla tre metoderna samtidigt I en Windows NT-domän har du möjlighet att använda både profiler, inloggningsskript och systemprinciper samtidigt. Det är inget jag är varm anhängare av, men det är fullt möjligt. I de exempel i Zero Administration Kit som Microsoft ger ut används både profiler och systemprinciper för att åstadkomma en säker och underhållbar miljö för användaren. Uppgift om profil och inloggningsskript syns i Kontohanteraren för domäner//user Manager for Domains. Systemprinciper som används finns alltid i den delade resursen Netlogon på domänkontrollanterna. Dock kan man inte se i Kontohanteraren för domäner//user Manager for Domains att systemprinciper används något jag finner förvirrande titt som tätt. I Kontohanteraren för domäner//user Manager for Domains syns uppgift om profil och inloggningsskript, inget om systemprinciper. 1011

28 Inloggningsskript, profiler och systemprinciper//system Policies Centrallagring Alla tre metoderna att styra användarmiljön har det gemensamt att man kan lagra deras delar centralt. Central lagring av inloggningsskript, profiler och systemprinciper är endast möjlig i Windows NT-domäner eftersom det är domäninloggningen som utlöser deras aktivitet. I en datorarbetsgrupp finns det ingen central del som hanterar inloggning så i den kan du inte använda central lagring. Beroende på de behov ni har kan styrinstrumenten lagras på en enda server eller på flera. Behöver ni ta hänsyn till nätverkstrafik är domänkontrollanterna de bästa ställena för central lagring. Vid domäninloggning kontaktar alltid klientdatorn en domänkontrollant, om då miljöinstrumenten finns på samma domänkontrollant blir nätverkstrafiken mindre. Det är mycket viktigt att samtliga domänkontrollanter har samma uppsättning av inloggningsskript, profiler och systemprinciper i annat fall kan intressanta saker inträffa. Inloggningsskript beter sig annorlunda än profiler och systemprinciper eftersom man i Kontohanteraren för domäner//user Manager for Domains endast kan ange lokal sökväg för inloggningsskripten. De måste alltså alltid finnas på domänkontrollan terna. Den delade resursen Netlogon är viktig Den mapp i vilken inloggningsskript och profiler skall förvaras delas ut med resursnamnet Netlogon. Det är domänkontrollanterna som medger eller nekar domäninloggning så det är endast på domänkontrollanter du finner en delad resurs med detta namn. Namnet Netlogon är alldeles för likt namnet på tjänsten//service Net Logon för att det skall vara ett sammanträffande: tjänsten Net Logon på domänkontrollanterna är den som hanterar domäninloggning. När du anger sökväg till inloggningsskript och profiler anges den enklast utgående från den mapp som är utdelad som Netlogon. %SystemRoot%\System32\Repl\Import\Scripts är mappens namn (det går att ändra mappen, men inte resursnamnet). Alltså: om inloggningsskripten finns i den mappen anger du endast filnamnet, utan sökväg, i rutan Namn på inloggningsskript//logon Script Name. En typisk Netlogon-resurs kan innehålla både inloggnings- 1012

Inloggningsskript och profiler anges i Kontohanteraren för domäner//user Manager for Domains skript, profiler och systemprinciper.. Resursen Netlogon (mappen Scripts i bilden) med plats både för inloggningsskript, profiler och systemprinciper. Mapp (utgående från Netlogon) Samma mapp Principer Profiler Innehåll Inloggningsskript Systemprinciper, filnamn NTConfig.Pol för Windows NT Undermappar till denna innehåller enskilda användares profiler Se till att alla domänkontrollanter har aktuella kopior Du vet aldrig vilken av dina domänkontrollanter som kommer att godkänna nästa domäninloggning, alltså måste alla domänkontrollanter ha aktuella kopior av inloggningsskript, profiler och systemprinciper. Ett sätt att lösa detta är att helt enkelt kopiera alla ändringar till alla domänkontrollanter. Du kan också använda den inbyggda tjänsten Katalogduplicering//Directory Replicator (den är inte helt pålitlig). Inloggningsskript och profiler anges i Kontohanteraren för domäner/ /User Manager for Domains Centrala inloggningsskript och profiler skiljer sig från systemprinciper genom att deras användning alltid anges i Kontohanteraren för domäner//user Manager for Domains. 1013

28 Inloggningsskript, profiler och systemprinciper//system Policies Inloggningsskript De inbyggda möjligheterna i inloggningsskript i Windows NT (och alla andra medlemmar av Windows-familjen) är mycket blygsamma. En som är van vid NetWare:s inloggningsskript häpnar när hon förstår hur lite som kan göras med inloggningsskript i Windows-familjen (även Windows NT). För att motverka de inbyggda begränsningarna har Microsoft låtit skicka med KiXtart i Windows NT Server 4.0 Resource Kit. KiXtart är ett gratis och kan hittas på Nätet (mer om KiXtart strax). Inloggningsskript i Windows NT Göra grupptillhörighet tillgänglig i inloggningsskript endast klienter med Windows NT 4.0 När du anger sökväg till inloggningsskriptet kan du ange gruppnamn som argument (som kommandoradsväxel). Om du skriver följande som sökväg till inloggningsskriptet: Login.Bat %UserName% AvdSalj DomänNamn %LogonServer% kan du i inloggningsskriptet använda konto-, grupp-, och domännamnet samt namnet på inloggningsserver för att göra mer i samma inloggningsskript: if (%2)==() goto NoGroupName @rem Om användaren tillhör säljavdelningen anslut till S:. if (%2)==(AvdSalj) net use s: \\server\salj @rem Inget gruppnamn angivet :NoGroupName net use m: \\server\mla Som du minns är det enkelt i Kontohanteraren för domäner/ /User Manager for Domains att markera alla användare i en viss grupp och sedan ändra inställningar för hela gruppen samtidigt. Gör detta för varje huvudgrupp och du kommer att ha ett mycket användbart inloggningsskript. 1014

Inloggningsskript En notering: gruppnamnet får inte innehålla mellanslag i annat fall kommer de att delas upp på flera argument. Tyvärr är detta begränsat till Windows NT-klienter det hade varit mumma om det fungerat åtminstone i Windows 95. Kan jag önska mig en förändring, Microsoft? Enkla inloggningsskript De miljövariabler som är, mer eller mindre, användbara i ett inloggningsskript för Windows NT-klienter är dessa: Miljövariabel ComputerName HomeDrive HomePath LogonServer Kommentar Namn på klientdatorn Användarens hemmaenhet Användarens hemmamapp Den domänkontrollant som godkände inloggning Processor_Architecture Anger om klienten är Intel eller Alpha SystemDrive SystemRoot UserDomain UserName UserProfile Windows NT:s systemenhet Windows NT:s systemmapp (även enhet) Den domän till vilken användaren loggat in Namnet på användarens domänkonto Sökväg till användarens profil Uppgift om hemmaenhet och hemmamapp fås från domänkontots kontouppgifter. Miljövariablerna ovan, tillsammans med ett huvudgruppsnamn i sökvägen till inloggningsskriptet, gör att du kommer riktigt långt så länge alla klienter använder Windows NT eller du tar på dig besväret med olika inloggningsskript för olika användare. KiXtart kraftfulla inloggningsskript Med KiXtart kan du göra betydligt kraftfullare skript än de i WfWG, Windows 95/98 och Windows NT. Det är lätt att avgöra vilka globala grupper som användarens konto är medlem av, vilket kan användas för att koppla olika nätverksenheter till olika grupper av användare. Så här säger den som skrivit KiXtart om sin Win32-produkt: 1015

28 Inloggningsskript, profiler och systemprinciper//system Policies KiXtart 95 is a logon script processor and/or enhanced batch language for Windows NT and Windows 95 workstations in a Windows Networking environment. KiXtart finns även i en 16-bitars variant så du kan använda ett enda inloggningsskript för alla klienter (Windows 95/98 och Windows NT kan ju köra 16-bitars program). KiXtart på Nätet Du finner KiXtart på http://netnet.net/~swilson/kix.html, med flera ställen sök på KiXtart. Den som skrivit KiXtart jobbar på Microsoft Ruud van Velsen (författaren till KiXtart) arbetar för Microsoft i Nederländerna sedan många år. KiXtart har han tillverkat helt och hållet på sin fritid så det måste ha varit mycket roligt för honom att få se att Microsoft i USA ville ha det med i Windows NT Server 4.0 Resource Kit. Exempel på inloggningsskript Låt oss anta att vi skall göra inloggningsskript för en liten organisation som innehåller en handfull avdelningar. Det finns en PDC, en BDC och en ytterligare server. Varje avdelning har sin egen plats på en servrarna, det finns dessutom gemensamt utrymme för alla användare. Samma inloggningsskript för alla operativsystem minsta gemensamma nämnare Tanken med att använda bara det som fungerar i alla operativsystem är enkel: det blir lättare att förstå, upprätta och underhålla inloggningsskriptet. Naturligtvis avhändar vi oss därmed de godsaker som finns i, framför allt, Windows NT. Vi kopplar i detta fall samtliga användare till samtliga nätverksenheter problemet blir då pedagogiskt eftersom användarna ser enheter de i många fall inte kan komma åt. Notera att svenska bokstäver blir fel om du inte skriver dem i ett kommandoradsprogram, ex. Edit. @echo. @echo Välkommen till domänen! @echo. 1016

Inloggningsskript @echo Ställer klockan net time /domain /set /y @echo Ansluter din hemmamapp. net use h: /h @echo Ansluter alla avdelningsmappar. net use k: \\server1\marknad net use l: \\server2\ledning @echo Ansluter skrivare net use lpt1: \\server1\printer @echo Följande anslutningar gjorda: net use @echo Undersöker nyheter/ändringar \\server1\admin\aftlogin.bat Det återstår för administratörerna att utbilda användarna så att de skriver ut till rätt skrivare, med mera, med mera. Särskilt bekvämt och bra för användarna är det inte. Raden \\server1\admin\aftlogin.bat finns med för att administratörer skall kunna uppdatera användarnas datorer med ändringar och nyheter. (Måhända måste du första ansluta till resursen med en enhet.) Känna av aktuellt operativsystem Önskar vi utnyttja de möjligheter som ges i kommandofiler i Windows NT kan vi använda oss av den i Windows NT inbyggda miljövariabeln %OS%. Ett utdrag: @echo. @echo Välkommen till domänen! @echo. if not (%OS%)==(Windows_NT) goto NotNt Här kan vi göra saker som endast låter sig göra i Windows NT, vi kan exempelvis komma åt användarnamnet med %UserName%. Om kontonamn är uppbyggda med avdelningsbeteckning först, sedan bindestreck och därpå 1017

28 Inloggningsskript, profiler och systemprinciper//system Policies användarnamn, kan du i Windows NT använda denna sats för att få fram avdelningsnamnet (och hoppa till rätt ställe i inloggningsskriptet): for /f "delims=-" %%i in ('echo %test%') do goto %%i :NotNt Nyttan får du själv avgöra. Skulle det behövas kan du sätta upp miljövariabler i AutoExec.Bat-filen på de operativsystem som använder sådan och använda i inloggningsskriptet. Beroende på hur mycket jobb du vill lägga ned på att upprätta och underhålla olika AutoExec.Bat kan du lägga in en eller flera av: q Operativsystem (OS för att använda samma namn som Windows NT) q Användarnamn (UserName) q Huvudgrupp (MainGroup eller annat lämpligt) q Närmaste skrivare (ClosestPrinter) KiXtart-skript När du använder KiXtart är det enklast att alltid ge skriptet namnet KiXtart.Scr och ange kix32.exe (kixtart.exe) som namn på inloggningsskript i Kontohanteraren för domäner//user Manager for Domains. Kopiera också programmet kix32.exe (eller kixtart.exe för 16-bitars skript) till Netlogon-mappen (den mapp som är utdelad med resursnamnet Netlogon).? "Välkommen till nätverket, @FullName!"? "Idag är det @Day, @MDayNo @Month @Year"? "@LServer hade nöjet att logga in Dig idag!"? "Ansluter till din hemmamapp use h: @HomeShr? "Ansluter till den gemensamma mappen use m: \\server3\mla? "Ansluter till din avdelningsmapp if ingroup( "AvdMarknad") use k: \\server1\marknad 1018

Profiler används alltid i Windows NT endif if @Error?? "@@Error = @error" get $x endif Verktyget SVar Finns det datorer med Windows 3 eller endast MS-DOS (med Microsoft Network Client eller LAN Manager för MS-DOS) i ert nätverk kan ni ha användning av ett litet verktyg kallat System Variables, SVar, som är tillgängligt på Microsofts webb-ställe. SVar körs i AutoExec.Bat efter inloggning och upprättar då en kommandofil (som anropas i sin tur) i vilken dessa uppgifter finns: q Användarens hemmamapp på nätverket q Den inloggade användarens kontonamn q Användarens hemmadomän q Datornamn för den lokala datorn q Inloggningsserver Uppgifterna används sedan i inloggningsskript. Profiler används alltid i Windows NT I Windows NT använder man alltid en profil så fort man är inloggad. Det finns lokala profiler på alla Windows NT-datorer. Profiler som administrativt verktyg är dock intressantare när profilen läggs på en server och den sedan laddas ned över nätverket när användaren loggar in. Profiler före Windows NT 4.0 Användarprofiler (eller enbart profiler) har funnits i alla versioner av Windows NT. Före version 4.0 var detta den enda möjligheten (tillsammans med inloggningsskript) att styra en användares miljö. Ett hemskt verktyg med namnet Profilhanteraren//User Profile 1019

28 Inloggningsskript, profiler och systemprinciper//system Policies Editor (UPEdit.Exe) användes för att hantera profilerna. Användarprofilerna kunde dåförtiden omfatta inställningar som bakgrundsfärg, anslutna nätverksenheter, men även inställningar för grafikkortet det senare mindre lyckat om profilen följde användaren (serverbaserad profil). Använd särskilt profilhanteringskonto när du tillverkar profiler När du upprättar profiler måste du tänka på vilket konto du använder. Det är så (korkat) med profiler att man endast kan hantera ändringar gjorda när någon är inloggad. Därför är det av godo om du upprättar ett särskilt användarkonto som du endast använder för att ge dina användare de profiler de skall ha. Tänk till, vad gäller detta kontos inloggningsdatorer, grupptillhörighet och annat. Det är lätt hänt att man glömmer sig när det gäller konton som inte används så ofta. Kanske skall du göra kontot så att det endast kan användas från en liten grupp datorer som du har full kontroll över, du kanske kan inaktivera kontot när det inte skall användas och så vidare. Det är naturligtvis bekvämast om kontot tillhör en administrationsgrupp, men det ökar risken för oavsiktliga fel. Serverbaserade profiler//roaming Profiles q Privat profil//personal Profile q Förinställd profil//mandatory Profile En serverbaserad profil är en profil som lagras på en server och laddas ned till den lokala datorn när användaren loggar in. Serverbaserade profiler kan endast användas i domäner, eftersom det är domäninloggning som gör att de kan laddas över nätverket. En serverbaserad profil kan antingen vara privat//personal eller förinställd//mandatory. Skillnaden mellan privat och förinställd profil är viktig: ändringar som användaren själv gör sparas i privata profiler, men inte om hon använder förinställda profiler. Jag föreslår att användarprofiler samlas i mappar under resursen \\domänkontrollant\netlogon. Använda gärna en mapp med namn Profiler som huvudmapp för profilerna. Tänk på att mappen som innehåller profilen måste vara skrivbar för användaren (om du inte ger henne en Förinställd profil//mandatory Profile). 1020

Profiler används alltid i Windows NT Om du inte använder tjänsten Katalogduplicering//Directory Replication står det dig fritt att välja mapp. Om domänkontrollanterna används för denna uppgift kan du använda miljövariabeln LogonServer i sökvägen till profilen. %LogonServer%\NetLogon\Profiler\%UserName% Sammanfattning av serverbaserade privata profiler Det finns dock ett litet problem med serverbaserade privata profiler. Problemet är synligt först om man har en Windows NT-domän med minst en reservdomänkontrollant. I en domän kan vilken domänkontrollant som helst godkänna/neka användarnas inloggning och skickar då följaktligen användarens profil till klientdatorn. Problemet är att ändringar som användaren gör endast sparas i den kopia av profilen som finns på inloggningsservern. Vill man avända privata profiler bör man spara dem på en namngiven server. Ett lämpligt sätt kan vara att låta varje avdelnings server också lagra profiler för de egna användarna. Detta anges då en fullständig sökväg för varje användare i Kontohanteraren för domäner//user Manager for Domains. De som använder privata profiler kan logga in även om profilen inte är tillgänglig (den icke-domänkontrollant de finns på har stannat). Om era behov är sådana att den privata profilen måste nås kan ni använda ett datorkluster för profilerna. Privata profiler för administratörer För den som inte använder sitt administratörskonto vid all inloggning kan privata profiler hjälpa till med vaksamheten. Som administratör måste du ju vara vaksammare när du använder de allsmäktiga administratörskontona. Här kan en privat profil med en särskild skärmbakgrund vara till hjälp. Skärmbakgrunden kan tillverkas i Paint och helt enkelt bestå av ordet Administratör vilket upprepas över hela skärmen när man använder det som bakgrund. Upprätta en serverbaserad förinställd//mandatory profil Serverbaserade förinställda profiler har inte samma problem som serverbaserade privata profiler efterom de endast kan ändras av administratörer. Förinställda profiler har en egenskap man måste vara medveten om och uppmärksam på om de inte är tillgängliga 1021

28 Inloggningsskript, profiler och systemprinciper//system Policies vid inloggningstillfället nekas användaren inloggning. En liten fördel med förinställda profiler är att delningsbehörigheterna till resursen NetLogon inte behöver vara omfattande ingen användare skall ju kunna ändra något. Det är enkelt att ändra en privat profil till förinställd: 1. Byt namn på användarens profil så att mappnamnet får filtillägget.man, ex. ceciliac.man. 2. Ändra filtillägget på filen NTUser.Dat till NTUser.Man (detta är registerdelen av profilen). NTUser.Dat finns i användarprofilens huvudmapp, ex. \\domänkontrollant\netlogon\profiler\ceciliac. 3. Gör samma sak på alla andra domänkontrollanter. Ändra i sökvägen till profilen 4. Ändra sökvägen till användarens profil så att det nya namnet framgår. 5. Synkronisera kontodatabasen med alla domänkontrollanter. Lista över profiler i Registret//Registry I Registret//Registry finns en lista över alla användare som loggat in på datorn och deras profiler. Du finner denna lista i som undernycklar till nyckeln: HKey_Local_Machine\ Software\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList\ Nycklarna består av SID för användarna och innehåller i sin tur, bl.a. värdet ProfileImagePath som är sökvägen till profilen. Systemprinciper//System Policies Systemprinciper//System Policies som begrepp infördes med Windows 95. Många trodde (så även jag), när Windows NT 4.0 var på väg, att Systemprinciper//System Policies skulle vara 1022

Systemprinciper//System Policies desamma i Windows 95 och Windows NT 4.0 en sorts Win32- profiler. Men, varje avdelning inom Microsoft har självaktning och sin egen stolthet så Systemprinciper//System Policies i Windows 95 och Windows NT 4.0 är inte samma och den enas kan inte användas av den andra. Ytligt ser de mycket lika ut, de heter samma sak och verktyget för att hantera dem har samma namn på både Windows 95 och Windows NT 4.0. Nog av detta. Enligt Microsoft är Systemprinciper//System Policies framtiden så det är bäst att vi rättar in oss i ledet. Enligt samma Microsoft är Systemprinciper//System Policies en samling inställningar för Registret//Registry avsedda för en användare eller en grupp av användare. Med Systemprinciper//System Policies kan du styra en användares tillgång till resurser på en maskin. Allt från att det alltid skall visas ett inloggningsmeddelande till att det inte finns någon knapp för att köra program på Start-menyn (Kör//Run), det enda som syns i Nätverket//Network Neighbourhood är den egna arbetsgruppen/domänen, och mycket annat. Skillnaden mellan profiler och Systemprinciper//System Policies Den stora skillnaden mellan profiler och Systemprinciper//System Policies är att de senare kan man göra mer med. Systemprinciper/ /System Policies bildar grund för Microsofts Zero Administration Kit, ZAK. Systemprincipshanteraren//System Policy Editor Systemprincipshanteraren//System Policy Editor är ett mycket bra verktyg för den som behöver det. Detta något underliga uttalande gör jag eftersom det endast är en liten, men viktig, grupp som har användning för Systemprincipshanteraren//System Policy Editor: de som hanterar stora nätverk. Om jag tillåts ändra detta uttalande omedelbart kanske det hela klarnar. Den som har behov att kunna styra sin användares miljö på ett kraftfullare sätt än inloggningsskript gör möjligt kan använda systemprincipfiler. Dessa filer innehåller begränsningar uppgjorda av administratörerna. Begränsningarna är gjorda så att en dator blir lättanvänd och samtidigt lättadministrerad (något av en tulipanaros i PC-världen 1998). Systemprinciperna i Windows NT har en mycket intressant begränsning de fungerar endast i Windows NT. Den som sett 1023

28 Inloggningsskript, profiler och systemprinciper//system Policies motsvarande verktyg i Windows 95/98 undrar förmodligen (jag vet att jag gör det) varför Microsoft inte kunde göra denna del på samma sätt i de båda operativsystemen. Systemprincipshanteraren//System Policy Editor med ny systemprincip. Bilder för Standardanvändare//Default User och Standarddator//Default Computer syns. När en Windows NT-dator använder en systemprincip kommer inställningar för standardanvändare//default User att påverka nyckeln HKey_Current_User i Registret//Registry och inställningar gjorda för standarddator//default Computer kommer att hamna på tillämpliga ställen under HKey_Local_Machine. Systemprincipens filnamn är NTConfig.Pol De vanliga systemprinciperna i Windows NT 4.0 sparas med namnet NTConfig.Pol. De Windows NT-datorer som är inställda att använda systemprinciper (vilket alla är från början) kommer automatiskt ladda ned filen NTConfig.Pol om den finns i Netlogon på domänkontrollanten. Samma systemprincip innehåller inställningar för flera En trevlig egenskap i systemprinciper är att en och samma fil (NTConfig.Pol) kan innehålla inställningar för flera grupper (och/eller användarkonton). Man kan alltså tillverka en fil, med olika inställningar för olika grupper av användare. Systemprincipshanteraren//System Policy Editor har ett menyval (Gruppprioritet//Group Priority i menyn Alternativ//Options) som gör att man kan styra i vilken ordning en grupps inställningar skall tillämpas. 1024

Systemprinciper//System Policies Systemprinciper kan användas i en arbetsgrupp Till skillnad från både inloggningsskript och profiler kan systemprinciper användas både i arbetsgrupp och Windows NT-domäner. Önskar man använda systemprinciper i en arbetsgrupp krävs att man anger var systemprincipen skall hämtas på alla Windows NT-datorer (se nedan). Inställning för automatisk eller manuell uppdatering av systemprinciper Om du vill ändra hur systemprinciper uppdateras kan du använda Systemprincipshanteraren//System Policy Editor eller ändra direkt i Registret//Registry. Systemprincipshanteraren//System Policy Editor kan användas för att ställa in automatisk eller manuell uppdatering av systemprincipen. I Registret//Registry ändrar du innehållet i värdet UpdateMode (DWord). De tillåtna värdena för UpdateMode är: 0 Avslagen (ingen uppdatering) 1 Automatisk (från Netlogon på domänkontrollanten) 2 Manuell (varifrån anges i värdet NetworkPath) 1025

28 Inloggningsskript, profiler och systemprinciper//system Policies I Registret//Registry finns UpdateMode och NetworkPath på följande ställe: HKey_Local_Machine\ System\ CurrentControlSet\ Control\ Update\ Hjälpfrågor 1. Beskriv inloggningsskript? 2. Berätta något om profiler? 3. Vad är systemprinciper//system policies? 4. Vilka av inloggningsskript, profiler och systemprinciper används i Microsofts Zero Administration Kit, ZAK? 5. Varför måste inloggningsskript, profiler och systemprinciper finnas på samtliga domänkontrollanter? 6. På vilket sätt kan det bli besvärligt om användare har privata serverbaserade profiler som de fritt kan ändra i? 7. Kan man använda någon annan mapp än %SystemRoot%\System32\Repl\Import\Scripts för inloggningsskript på domänkontrollanter? 8. Kan man ändra delningsnamnet NetLogon på domänkontrollanter? 1026

Hjälpfrågor 9. Vad är KiXtart? 10.Hur mycket kostar KiXtart? 11.Vilka av inloggningsskript, profiler och systemprinciper har framtiden för sig? 12.Kan systemprinciper användas i datorarbetsgrupp? 1027

28 Inloggningsskript, profiler och systemprinciper//system Policies Förslag till svar på frågor 1. Beskriv inloggningsskript? Inloggningsskript är kommandofiler eller program som körs automatiskt när en domänanvändare loggar in. Inloggningsskriptet finns på den domänkontrollant som medger inloggning och de laddas ned till och körs på klienten. Det är alltid användarnas egen miljö som gäller för inloggningsskriptet vilket gör att man kan få problem om användaren byter mellan olika operativsystem. Uppgift om inloggningsskriptets namn lagras tillsammans med andra uppgifter i användarens konto och hanteras med Kontohanteraren för domäner//user Manager for Domains. Inloggningsskript kan skrivas så att ett enda skript fungerar med alla versioner av Windows, denna fördel är inloggningsskript ensamma om (jämfört med profiler och systemprinciper//system policies). 2. Berätta något om profiler? Profiler infördes med Windows NT 3.1. Tanken med profiler är god de samlar en mängd inställningar, allt från bakgrundsfärg till nätverksanslutningar. De kan sparas centralt och följa användaren från dator till dator. Profiler är knutna till sitt eget operativsystem inte ens Windows 95 och Windows NT 4.0 kan dela profiler. Profiler är ständigt närvarande närhelst någon är inloggad på en Windows 95/98- eller Windows NT-dator använder de en profil. Profilen i Windows 95/98 och Windows NT 4.0 är mycket synligare än i tidigare versioner av Windows NT. Alla mappar under %SystemRoot%\Profiles\Kontonamn är en del av profilen, den kanske synligaste. Profildelen i Registret//Registry sparas i filen %SystemRoot%\Profiles\Kon tonamn\ntuser.dat. Varje användares NTUser.Dat laddas vid inloggning in i Registret//Registry i HKey_Users, med samma 1028

Förslag till svar på frågor namn som användarkontots SID. Huvudträdet (pekaren) HKey_Current_User sätts att peka på den inladdade profilen under HKey_Users. 3. Vad är systemprinciper//system policies? Med systemprinciper ändrar man, i huvudsak, i Registret//Registry på en Windows 95/98- eller Windows NT 4.0-dator. Det är mycket lätt att minska användarens möjligheter med hjälp av systemprinciper: du kan ta bort Start-menyn, Nätverket//Network Neighbourhood, Kontrollpanelen//Control Panel, m.m. En och samma fil, NTConfig.Pol, kan innehålla inställningar för flera grupper och datorer. 4. Vilka av inloggningsskript, profiler och systemprinciper används i Microsofts Zero Administration Kit, ZAK? Microsofts Zero Administration Kit, ZAK, använder både profiler och systemprinciper. Därtill används även lokal behörighet för att bättre och säkrare kunna styra användarens tillgång till den egna datorn (Windows NT 4.0) och servrar.. 5. Varför måste inloggningsskript, profiler och systemprinciper finnas på samtliga domänkontrollanter? Vid domäninloggning kan man inte på förhand avgöra vilken domänkontrollant som kommer att medge inloggning (förutsatt att det finns minst en reservdomänkontrollant). Därför måste alla inloggningsskript, profiler och systemprinciper finnas på samtliga domänkontrollanter. Vid uppdatering måste man vara noga med att kopiera de uppdaterade filerna till alla domänkontrollanter. Systemprinciper är här annorlunda eftersom de kan fungera även i arbetsgrupp. Då måste man ange serverns namn lokalt i Registret//Registry på varje Windows NT-dator som skall använda systemprincipen. 6. På vilket sätt kan det bli besvärligt om användare har privata serverbaserade profiler som de fritt kan ändra i? Om användare har egna privata serverbaserade profiler och ändrar i dem (genom att ändra bakgrundsfärg eller annat) ändras detta endast i profilen på den domänkontrollant som loggade in användaren. Administratörer måste då använda någon metod för att säkerställa att profilen kopieras till samtliga domänkontrollanter, vilket kan ta mycket nätverks- 1029

28 Inloggningsskript, profiler och systemprinciper//system Policies bandbredd i anspråk. De privara profilerna kan då lagras på namngivna servrar i stället (hela sökvägen måste anges i Kontohanteraren för domäner//user Manager for Domains). 7. Kan man använda någon annan mapp än %SystemRoot%\System32\Repl\Import\Scripts för inloggningsskript på domänkontrollanter? Man kan använda vilken mapp som helst för inloggningsskript, profiler och systemprinciper på domänkontrollanter. Mappen måste dock alltid vara utdelad med det reserverade resursnamnet NetLogon. 8. Kan man ändra delningsnamnet NetLogon på domänkontrollanter? Det går inte att ändra delningsnamnet NetLogon på den delade mapp i vilken inloggningsskript, profiler och systemprinciper finns på domänkontrollanter. Oavsett version av Windows kommer det att leta just efter namnet NetLogon på den inloggande domänkontrollanten. 9. Vad är KiXtart? KiXtart har flera användningsområden, bl.a. som makrospråk, för att ändra i Registret//Registry (Windows 95/98 och Windows NT) samt som miljö för inloggningsskript. KiXtart kan utföra ett stort antal kommandon, kan avläsa gruppmedlemskap och annat. Allt detta samlas i ett inloggningsskript skrivet för KiXtart. KiXtart finns för både WfWG och Windows 95/98/NT. 10. Hur mycket kostar KiXtart? KiXtart finns i Microsoft Windows NT 4.0 Resource Kit, men är också fritt tillgängligt på webben. 11.Vilka av inloggningsskript, profiler och systemprinciper har framtiden för sig? Systemprinciper//system policies kommer att få en mer framskjuten roll i och med Windows NT 5.0. 12.Kan systemprinciper användas i datorarbetsgrupp? Systemprinciper användas i datorarbetsgrupp genom att ange sökvägen till dem i Registret//Registry. Både profiler och inloggningsskript kan endast användas i domäner. 1030

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss