在Windows客户端自动设置AD用户头像

Windows现在可以设置用户头像，并在开始菜单显示。如果你安装了Exchange或者Lync，那么可以在Outlook或者Skype里看到用户的头像。这个图片是存储在AD用户属性里的。对于桌面电脑的设置，我们可以同样利用这个属性将AD中的图片作为域账户的图片在客户端本地显示。

总体思路是，从AD中获取用户头像。然后在本地配置获取的图片作为当前用户的头像。

获取用户头像，并修改注册表配置用户头像可以利用以下powershell脚本。

[CmdletBinding(SupportsShouldProcess=$true)]Param()

 function Test-Null($InputObject) { return !([bool]$InputObject) }

 $ADuser = ([ADSISearcher]"(&(objectCategory=User)(SAMAccountName=$env:username))").FindOne().Properties

 $ADuser_photo = $ADuser.thumbnailphoto

 $ADuser_sid = [System.Security.Principal.WindowsIdentity]::GetCurrent().User.Value

 If ((Test-Null $ADuser_photo) -eq $false) {

 $img_sizes = @(32, 40, 48, 96, 192, 200, 240, 448)

 $img_mask = "Image{0}.jpg"

 $img_base = "C:\ProgramData\AccountPictures"

 $reg_base = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users\{0}"

 $reg_key = [string]::format($reg_base, $ADuser_sid)

 $reg_value_mask = "Image{0}"

 If ((Test-Path -Path $reg_key) -eq $false) { New-Item -Path $reg_key }

 Try {

 ForEach ($size in $img_sizes) {

 $dir = $img_base + "\" + $ADuser_sid

 If ((Test-Path -Path $dir) -eq $false) { $(mkdir $dir).Attributes = "Hidden" }

 $file_name = ([string]::format($img_mask, $size))

 $path = $dir + "\" + $file_name

 Write-Verbose " saving: $file_name"

 $ADuser_photo | Set-Content -Path $path -Encoding Byte -Force

 $name = [string]::format($reg_value_mask, $size)

 $value = New-ItemProperty -Path $reg_key -Name $name -Value $path -Force

 }

 }

 Catch {

 Write-Error "Check permissions to files or registry."

 }

 }

脚本中会根据用户的SID，将图片保存在C:\ProgramData\AccountPictures目录里。在用户SID对应的文件夹里会产生Image32 Image 448等图片以应对不同尺寸设置的需求。在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users下对应用户的SID下也会有各种尺寸照片对应的具体存放位置。如果看不到图片，请点我。

但是普通域用户对于这个注册表键值并没有权限，无法直接写入。我们需要把注册表先建好，赋好权限。可以利用组策略创建这个项目，并给予Domain Users完全控制权限。新建一个组策略，在其中Computer Configuration--Policies--Windows Settings-Security Settings-Registry中新建一条，选择MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AccountPicture\Users并且添加Domain Users的Full Control权限。选择对继承权限的所有子项目替换现有权限。

然后继续利用这条策略，将之前的powershell脚本也配置在这里。在User Configuration--Windows Settings--Scriptes--Logon里面新建一个脚本。脚本名字%windir%\System32\WindowsPowerShell\v1.0\powershell.exe，脚本参数-Noninteractive -ExecutionPolicy Bypass -Noprofile -File %logonserver%\netlogon\SetADPicture.ps1。

记得把脚本文件放到域控的netlogon共享里。netlogon通常是C:\Windows\SYSVOL\sysvol\contoso.lab\SCRIPTS文件夹。由于是在sysvol中，只需要复制到一台域控上，系统会自动同步到其它服务器上。

由于添加注册表是计算机策略，用户登录脚本是用户策略。所以，这条策略需要应用到客户端计算机OU上也需要应用在用户OU上。或者你可以将其拆分成2条策略，分别应用在计算机和用户OU上。

配置完成之后，需要重新启动计算机。当客户端启动时，会执行新建注册表的策略。用户登录时会从AD用户属性中获取图片，并保存在本地，同时配置本地注册表信息将图片指向这些获取的图片文件。但是这个时候，用户图片并不会显示，因为登录的那一刻用户脚本并没有执行，用户头像还是空白的。确认文件和对应的注册表都创建出来后，注销再登录就可以显示用户头像了。同理，当更新AD用户图片后，客户端第一次登录显示的仍然是旧图片。但是此时新的图片已经下载到本地了，并且覆盖旧图片了，下次登录时就能正常显示了。

参考文章

http://woshub.com/how-to-set-windows-user-account-picture-from-active-directory/