在Windows客户端自动设置AD用户头像

Windows现在可以设置用户头像,并在开始菜单显示。如果你安装了Exchange或者Lync,那么可以在Outlook或者Skype里看到用户的头像。这个图片是存储在AD用户属性里的。对于桌面电脑的设置,我们可以同样利用这个属性将AD中的图片作为域账户的图片在客户端本地显示。

总体思路是,从AD中获取用户头像。然后在本地配置获取的图片作为当前用户的头像。

获取用户头像,并修改注册表配置用户头像可以利用以下powershell脚本。

[CmdletBinding(SupportsShouldProcess=$true)]Param()
 function Test-Null($InputObject) { return !([bool]$InputObject) }
 $ADuser = ([ADSISearcher]"(&(objectCategory=User)(SAMAccountName=$env:username))").FindOne().Properties
 $ADuser_photo = $ADuser.thumbnailphoto
 $ADuser_sid = [System.Security.Principal.WindowsIdentity]::GetCurrent().User.Value
 If ((Test-Null $ADuser_photo) -eq $false) {
 $img_sizes = @(32, 40, 48, 96, 192, 200, 240, 448)
 $img_mask = "Image{0}.jpg"
 $img_base = "C:\ProgramData\AccountPictures"
 $reg_base = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users\{0}"
 $reg_key = [string]::format($reg_base, $ADuser_sid)
 $reg_value_mask = "Image{0}"
 If ((Test-Path -Path $reg_key) -eq $false) { New-Item -Path $reg_key }
 Try {
 ForEach ($size in $img_sizes) {
 $dir = $img_base + "\" + $ADuser_sid
 If ((Test-Path -Path $dir) -eq $false) { $(mkdir $dir).Attributes = "Hidden" }
 $file_name = ([string]::format($img_mask, $size))
 $path = $dir + "\" + $file_name
 Write-Verbose " saving: $file_name"
 $ADuser_photo | Set-Content -Path $path -Encoding Byte -Force
 $name = [string]::format($reg_value_mask, $size)
 $value = New-ItemProperty -Path $reg_key -Name $name -Value $path -Force
 }
 }
 Catch {
 Write-Error "Check permissions to files or registry."
 }
 }

脚本中会根据用户的SID,将图片保存在C:\ProgramData\AccountPictures目录里。在用户SID对应的文件夹里会产生Image32 Image 448等图片以应对不同尺寸设置的需求。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users下对应用户的SID下也会有各种尺寸照片对应的具体存放位置。如果看不到图片,请点我

但是普通域用户对于这个注册表键值并没有权限,无法直接写入。我们需要把注册表先建好,赋好权限。可以利用组策略创建这个项目,并给予Domain Users完全控制权限。新建一个组策略,在其中Computer Configuration--Policies--Windows Settings-Security Settings-Registry中新建一条,选择MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users并且添加Domain Users的Full Control权限。选择对继承权限的所有子项目替换现有权限。

然后继续利用这条策略,将之前的powershell脚本也配置在这里。在User Configuration--Windows Settings--Scriptes--Logon里面新建一个脚本。脚本名字%windir%\System32\WindowsPowerShell\v1.0\powershell.exe,脚本参数-Noninteractive -ExecutionPolicy Bypass -Noprofile -File %logonserver%\netlogon\SetADPicture.ps1。

记得把脚本文件放到域控的netlogon共享里。netlogon通常是C:\Windows\SYSVOL\sysvol\contoso.lab\SCRIPTS文件夹。由于是在sysvol中,只需要复制到一台域控上,系统会自动同步到其它服务器上。

由于添加注册表是计算机策略,用户登录脚本是用户策略。所以,这条策略需要应用到客户端计算机OU上也需要应用在用户OU上。或者你可以将其拆分成2条策略,分别应用在计算机和用户OU上。

配置完成之后,需要重新启动计算机。当客户端启动时,会执行新建注册表的策略。用户登录时会从AD用户属性中获取图片,并保存在本地,同时配置本地注册表信息将图片指向这些获取的图片文件。但是这个时候,用户图片并不会显示,因为登录的那一刻用户脚本并没有执行,用户头像还是空白的。确认文件和对应的注册表都创建出来后,注销再登录就可以显示用户头像了。同理,当更新AD用户图片后,客户端第一次登录显示的仍然是旧图片。但是此时新的图片已经下载到本地了,并且覆盖旧图片了,下次登录时就能正常显示了。

参考文章

http://woshub.com/how-to-set-windows-user-account-picture-from-active-directory/

 

posted @ 2019-12-21 09:14  qishine  阅读(1346)  评论(0编辑  收藏  举报