可以将用户的登录 shell 更改为不同于用户注册表 ( HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell) 中的 explorer.exe。例如,我们可以将其设置为explore.exe -k serverfault.com,用户只能在信息亭模式下查看此站点。
但是,此配置是在用户的配置文件中完成的,并且仅在进行配置的计算机上进行(遗憾的是,漫游配置文件在我的情况下不能使用)。
在 Linux 世界中,在创建用户时可以设置登录 shell。
我正在寻找机会在 Window sdomain 中实现这一点:将活动目录中的域用户登录 shell 设置为域中所有 Windows 计算机上获得的设置。
接受任何想法。遗憾的是,漫游配置文件不可用。
UPD。我想过通过GPP设置用户的注册表项,但是:
- 我不确定用户第一次登录时它是如何工作的
- 在MS16-072更新后,仅针对特定用户的组策略安全过滤存在一些问题。
只需使用 GPO 即可。
您可以在以下位置设置注册表项:GPO > 用户设置 > 首选项 > Windows 设置 > 注册表 > 新建 > 注册表项 将其设置为更新
设置配置单元 (HKCU)
设置密钥路径 (Software\Microsoft\Windows NT\CurrentVersion\Winlogon)
设置将值名称(删除复选框中的 V)设置为“shell”
,将值类型设置为字符串,并将值数据设置为您喜欢的任何值(例如 iexplore.exe -k serverfault.com)。
过滤 GPO,使其仅应用您想要的用户\组(不要忘记添加“域计算机”,以便可以应用策略 - KB3163622)。
更新 刚刚发现有一个实际的GP设置:用户设置>管理模板>系统>自定义用户界面这在用户第一次登录时应该可以正常工作。