户配置文件、系统规则和登录脚本，是WindowsNT操作系统提供的3种管理用户工作环境的机制。NT系统管理员可以使用这3种管理机制有效地控制用户工作环境。
----由于这3种管理机制在功能上既有交叉，又有不同，且各自都有很大的灵活性，因而常常使得缺乏经验的系统管理员在面对复杂的系统管理任务时，无法设计出合理使用这3种管理机制的管理方案。下面，笔者结合自己的实践经验，谈谈使用这3种管理机制的一些心得。
用户配置文件
----用户配置文件包含了所有用户可以指定的、有关用户工作环境的设置，其中包括"开始"菜单中的菜单项、桌面图标、显示设置和背景颜色等，这些信息保存在一系列与桌面程序项有关的文件夹和一个ntuser.dat文件中。用户配置文件可以保存在本地计算机，也可以保存在一个网络服务器上。用户配置文件分为4种类型：本地、漫游、强制和网络默认。这4种类型用户配置文件之间的差别，主要体现在它们的存放位置和对用户工作环境的控制方式。
----本地用户配置文件缺省状态下，本地用户配置文件存放在本地计算机的%Systemroot%\Profiles（%Systemroot%是NT环境变量，其值为当前使用的Windows根目录）文件夹中。本地用户配置文件的功能有限，因为它存放在本地计算机上，所
以无法使网络用户在NT域中不同工作站上登录时得到相同的环境。此外，本地计算机的硬盘故障或系统崩
溃将破坏本地用户配置文件，这时用户将不得不重新设置原有的工作环境。基于这
些原因，在网络环境中应尽量避免使用本地用户配置文件。
----漫游和强制用户配置文件这种类型的文件均存放在NT域中各工作站都可以访问的网络服务器上。漫游用户配置文件给予用户对其工作环
境以完全的控制权。用户可以随意修改自己的工作环境，在用户注销时，系统将把用
户所做的改动保存到漫游用户配置文件中，以便用户下次登录时调用。与此相反，强制用户配置文件则将用户限制在一个固定的工作环境中，同一个用户在每次登录时都使用相同的工作环境。尽管使用强制用户配置文件的用户可以在登录后改变他们的工作环境设置，但系统不会将他们的改动保存到强制用户配置文件中。因为强制
用户配置文件永远不会因用户注销而改变，所以它可以被一组用户共享。
----不过，在网络服务器上存放用户配置文件会带来一些问题。由于用户配置文件没有存放在本地计算机上，因此用户每次登录时，都必须将他的用户配置文件从网络
服务器上下载到本地计算机上。这样就会使得那些通过慢速广域网连接访问网络的用户的登录过程变得十分缓慢。此外，大量用户配置文件的集中存放，也会给网络
服务器的存储空间带来很大的压力。一般情况下，为每个用户配置文件保留500KB空间就可以了。
----在网络服务器上存放漫游或强制用户配置文件，首先需要在该服务器上建立一
个共享目录。按照惯例，通常将该目录的共享名设为Profiles$。每个用户都将在该目录中拥有一个以用户名命名的子目录，用以存放各自的用户配置文件。每个用户子目录只授予用户自身和系统及系统管理员组以"完全控制"访问权限，这样就可以防止一个用户的配置文件被另一个用户修改，而同时保证系统管理员有权修改任何用户的配置文件。强制用户配置文件还需要另外做些改动，首先要将ntuser.dat文件改
名为ntuser.man，使之成为一个只读文件，然后，要将用户子目录授予用户自身的NTFS权
限设置为只读，以防止用户将ntuser.man重新命名为ntuser.dat。由于Profiles$共享目录主
要是用于系统管理，因此没有必要让普通用户访问。共享名结尾$符号的作用就是将
共享目录从用户浏览网络共享资源的列表中删除。
----集中存放用户配置文件的好处在于，系统管理员能够方便地修改用户的工作环
境。不过，对于漫游用户配置文件，还需要在修改完毕后，使用touch命令修改用户配
置文件中ntuser.dat文件的时间戳。这是因为NT操作系统为每个使用漫游用户配置文件的用户维护着两个版本的用户配置文件。除了存放在网络服务器上的源文件之外，NT还在用户登录工作站的%Systemroot%\Profiles文件夹中存放着一个副本文件。当用户登录时，系统将比较源文件和副本文件中ntuser.dat文件的时间戳。若源文件时间戳比
副本文件时间戳新，则系统将采用源文件设置用户工作环境，并下载源文件覆盖副本文件，反之，系统将采用副本文件设置用户工作环境，并在用户注销时上载副本文件覆盖源文件。此外，系统管理员对用户配置文件的修改必须在用户注销后进
行，否则，所有的改动都将在用户注销时被上载的副本文件覆盖。
----网络默认用户配置文件这种类型的文件是NT为首次登录NT域的用户设置工作环
境所使用的用户配置文件。通过使用网络默认用户配置文件，系统管理员便可以使
每一个新用户获得统一的初始工作环境，如，公共程序的桌面快捷方式、表达企业
文化的墙纸等。
----网络缺省用户配置文件必须存放在NT网络中所有域控制器的NetLogon共享目录中
的DefaultUser子目录中。NetLogon共享目录在域控制器上的绝对路径是%Systemroot%\System32
\Repl\Import\Scripts。可以先在一个域控制器上建立网络默认用户配置文件，然后通过
目录复制服务将其分发到其他域控制器上。创建网络默认用户配置文件，通常先创
建一个新的临时用户账号，然后以该用户账号登录，按照设计的初始工作环境方案设置工作环境，完成后从系统中注销。此时，NT将会把刚才设置的工作环境保存在临时用户的配置文件中。接下来，需要通知NT将临时用户的配置文件做为网络默认用
户配置文件。
----Windows95用户配置文件与NT用户一样，Windows95用户也可以使用基于服务器的用户配置文件。不过，Windows95用户配置文件并不是集中存放在服务器的某个目录中，而是存放在各自的用户主目录中。注意，Windows95和NT用户配置文件是相互独立的，即使用NT和Windows95的用户，将拥有两个不同的用户配置文件。
----为Windows95用户配备用户配置文件，首先需要启用Windows95的用户配置文件机制。进入Windows95控制面板的"口令"属性页，在"用户配置文件"选项中，选择"用户可以自定义首选项和桌面设置"选项，然后重新启动计算机。接着，需要在NT域用户管理器
中为用户设置主目录。在域用户管理器中单击"配置文件"按钮，在主目录的连接路径中填写主目录的网络路径，如：
[url=file://\\ServerName\Home\%username%]\\ServerName\Home\%username%[/url]
，其中ServerName是网络服务器
名字，Home是该服务器上的一个共享目录名，%username%是变量值为用户名的环境变量。这样，NT将在该服务器共享目录中建立一个以用户名命名的子目录，以存放Windows95用户的配置文件。
系统规则
----作为WindowsNT4.0新增的管理机制，系统规则在对用户工作环境控制方面的能力，远远超出了原有的强制用户配置文件，它可以使系统管理员对用户工作环境实施不同程度的控制。例如，使用系统规则后，系统管理员可以禁止用户修改显示分辨率
而允许他改变背景色和墙纸，也可以限制用户使用控制面板等。此外，系统规则还可以使系统管理员控制特定计算机的设置。前面曾介绍，用户配置文件是由一组文件
夹和一个ntuser.dat文件组成的。ntuser.dat文件包含了系统注册表的当前用户信息，并
在用户登录时加入系统注册表。系统规则则是在用户配置文件加入系统注册表后修改系统注册表，因此，当系统规则与用户配置文件同时使用时，前者将覆盖后者对
用户工作环境的设置。
----创建系统规则有两种策略。其一是默认严格策略，即对默认用户实施严格的限制，然
后根据管理需求，对用户组实施宽松的限制。其二是默认宽松策略，即对默认用户实施宽松的限制，而对用户组实施严格的限制。从安全方面考虑，应该尽量采用默认严格策略。这种策略可以保证任何一个未经系统管理员许可的用户在登录系统后的活
动将受到最大程度的限制。在任何情况下，都应该将系统管理员组加入系统规则，并取消对该组的所有限制，以便系统管理员能够完成系统管理工作。
----除了WindowsNT用户，WindowsNT还可以为Windows95用户建立系统规则。为Windows95用户建立系统规则，需要使用Windows95系统策略编辑器，或者使用WindowsNT系统策略编辑器并加载windows.adm策略模板。在为Windows95用户建立了系统规则之后，将其保存为config.pol文件并将该文件放置在所有域控制器的NetLogon共享目录中。
登录脚本
----登录脚本是一个在用户登录时自动执行的简单的程序。它使系统管理员可以设置用户所登录的计算机的时间、为用户连接的网络目录分配驱动器号、将用户的打印重定向至网络打印机、清理临时空间等。
----系统管理员可以在域用户管理器中方便地为用户指定登录脚本。进入"用户属性"页，在"用户环境配置文件"对话框中，将登录脚本文件名写入"登录脚本名"文本框
中。通常情况下，登录脚本是存放在管理登录的服务器的%Systemroot%\SYSTEM32\REPL\IMPORT
\SCRIPTS目录中。若登录脚本存放在其他地方，则需在填写文件名时加入其路径。最
简单的登录脚本就是批处理文件。当然，这类登录脚本所能完成的功能是有限的。有能力的系统管理员，可以通过编程编写功能强大的登录脚本。通过在程序中调用WindowsAPI函数，几乎可以实现所有NT操作系统可以实现的功能。
结束语
----控制用户工作环境的意义，主要在于降低客户支持的费用和维护系统安全。通过使用强制用户配置文件或系统规则，将用户限制在一个由系统管理员定制的、用户
无法改变的工作环境中，可以将因用户误操作而导致系统混乱的可能性降至最低，
从而达到降低客户支持费用的目的。通过使用系统规则，可以对用户的操作行为进
行不同程度的控制，从而系统的安全性大大提高。系统规则还可以弥补Windows95在安
全性方面的漏洞。例如，NT的安全机制可以禁止域用户修改系统注册表中的重要部分，而Windows95则没有这方面的安全机制，只有通过在系统规则中禁止用户使用注册
表编辑工具来防止用户修改系统注册表。其他可用于Windows95用户安全保护的系统
规则设置项包括最小口令长度、数字字母组合式口令、禁用口令缓存以及禁用文件和打印机共享等。
----如果允许用户自己定义工作环境，则可以使用漫游用户配置文件。漫游用户配
置文件可以使NT域用户不论在何处登录，都可以获得一个与上次注销时一致的工作环境，从而为用户的工作提供便利。当使用本地或漫游用户配置文件（而不是强制
用户配置文件）时，可以使用网络默认用户配置文件为用户设置初始工作环境。在任何时候，都可以使用登录脚本来完成诸如连接网络共享资源等用户登录时的初始化工作。在一个各个部门分别使用各自不同的网络资源的企业网络中，登录脚本是十
分有用的。
----总之，作为一名系统管理员，如果能够熟练掌握本文介绍的这3种管理机制，就
可以解决许多系统管理的难题，大大提高整个企业和用户的工作效率。