1、管理ActiveDirectory用戶和計算機服務器技術2010-01-2621:36:55閱讀133評論0字號：大中小在使用WindowsServer2003所包括的ActiveDirectory服務的網絡上，每個用戶都必須由目錄中的一個用戶對象來表示。用戶對象由包含用戶信息的屬性和用戶在網絡上的權利組成。創建和管理用戶對象是網絡管理員執行的常見任務。一、用戶賬號簡介用戶賬號可為用戶提供登錄到域以訪問網絡資源或登錄到計算機以訪問該機資源的能力。定期使用網絡的每個人都應有一個惟一的用戶賬號。WindowsServer2003提供兩種主要類型的用戶賬號：本地用戶賬號和域用戶賬號。除此之外，Win

2、dowsServer2003系統中還有內置的用戶賬號。本地用戶賬號(LocalUserAccount)本地用戶賬號只能登錄到賬號所在計算機并獲得對該資源的訪問。當創建本地用戶賬號后，WindowsServer2003將在該機的本地安全性數據庫中創建該賬號，本地賬號信息仍為本地，不會被復制到其他計算機或域控制器。當創建一個本地用戶賬號后，計算機使用本地安全性數據庫驗證本地用戶賬號，以便讓用戶登錄到該計算機。注意不要在需要訪問域資源的計算機上創建本地用戶賬號，因為域不能識別本地用戶賬號，也不允許本地用戶訪問域資源。而且，域管理員也不能管理本地用戶賬號，除非他們用計算機管理控制臺中的操作菜單連接到本

3、地計算機。域用戶賬號(DomainUserAccount)域用戶賬號可讓用戶登錄到域并獲得對網絡上其他地方資源的訪問。域用戶賬號是在域控制器上建立的，作為AD的一個對象保存在域的AD數據庫中。用戶在從域中的任何一臺計算機登錄到域中的時候必須提供一個合法的域用戶賬號，該賬號將被域的域控制器所驗證。當在一個域控制器上新建一個用戶賬號后，該用戶賬號被復制到域中所有其他計算機上，復制過程完成后，域樹中的所有域控制器就都可以在登錄過程中對用戶進行身份驗證。內置用戶賬號(Built-inUserAccount)WindowsServer2003自動創建若干個用戶賬號，并且賦予了相應的權限，稱為內置賬號。內

4、置用戶賬號不允許被刪除。最常用的兩個內置賬號是Administrator和Guest。可使用內置Administrator(管理員)賬號管理計算機和域配置，通過執行諸如創建和修改用戶賬號和組、管理安全性策略、創建打印機、給用戶分配權限和權利等任務來獲得對資源的訪問。但做為網絡管理員，應當為自己創建一個用來執行一般性任務的用戶賬號，只在需要執行管理性任務時才使用Administrator賬號登錄。Guest(來客)賬號一般被用于在域中或計算機中沒有固定賬號的用戶臨時訪問域或計算機時使用的。該賬號默認情況下不允許對域或計算機中的設置和資源做永久性的更改。該賬號在系統安裝好之后是被屏蔽的，如果需要，

5、可以手動啟用。二、創建本地用戶賬號創建本地用戶賬號可以在任何一臺除了域的域控制器以外的基于WindowsServer2003的計算機上進行。出于安全性考慮，通常建議只在不是域的組成部分的計算機上創建和使用本地用戶賬號，即在屬于域的計算機上不要設置本地賬號。工作組模式是使用本地用戶賬號的最佳場所。實際案例：創建一個本地用戶賬號，用戶名為wangnan。具體操作如下：（1）打開“控制面板”，雙擊“管理工具”，在管理工具窗口中雙擊“計算機管理”圖標，打開“計算機管理”對話框，如圖3.5.1所示。圖3.5.1“計算機管理”對話框（2）單擊“本地用戶和組”前面的加號，展開出現“用戶”圖標，右擊“用戶”，

6、在彈出的快捷菜單中單擊“新用戶”，打開“新用戶”對話框，在“用戶名”編輯框中輸入賬號的登錄名稱；在“全名”編輯框中輸入用戶的全名；在“描述”編輯框中輸入賬號的簡單描述，以方便日后的管理工作；在“密碼”和“確認密碼”編輯框中輸入密碼，如圖3.5.2所示。圖3.5.2新用戶對話框3）單擊“創建”，在計算機管理窗口中就可以看到新創建的用戶賬號。三、創建域用戶賬號在“域模式下，域控制器（DomainController,簡寫為DC）負責每一臺聯入網絡的電腦和用戶的驗證工作，作用相當于一個單位的門衛一樣。域管理員可以在域控制器上實現對域用戶賬號和計算機賬號以及其他資源的管理。詳細說明：域控制器中包含了由

7、這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。若要創建和管理域用戶賬號，可使用ActiveDirectory用戶和計算機控制臺，在ActiveDirectory目錄樹中創建用戶對象。也可用該工具創建、刪除或禁用用戶對象，并管理用戶對象的屬性。域用戶賬號是在域的DC上被

8、創建，并會被自動復制到域中的其他DC上。盡管在非DC的基于WindowsServer2003的計算機上也可以通過管理工具創建用戶賬號，但實際上這樣的操作僅僅是操作本身在非DC上,而實際賬號的添加是在DC上完成的，因為只有在DC上才維護著AD的賬號數據庫。實際案例：在域上創建一個域用戶賬號，用戶名為zhangwei，具體操作如下：（1）在管理工具中選擇ActiveDirectory用戶和計算機，打開ActiveDirectory用戶和計算機對話框，如圖3.5.3所示。圖3.5.3ActiveDirectory用戶和計算機”對話框（2）在對話框的左側子窗口中單擊要建立賬號

9、的域，右擊該域中的Users，在快捷菜單中選擇新建”用戶”，打開新建對象用戶”對話框，在該對話框中輸入要創建的用戶的登錄名，登錄名是用來在域中活動并訪問資源的惟一憑證，也即帳號名，登錄名在域中必須惟一。如圖3.5.4所示。圖3.5.4“新建對象用戶”對話框（3）單擊“下一步”在對話框中輸入密碼，如圖3.5.5所示（注意輸入的密碼是區分大小寫的）。選擇“用戶下次登錄時需更改密碼”復選框，則用戶在下次用這個密碼登錄之后就需要更改這個密碼。圖3.5.5輸入密碼對話框（4）單擊“下一步”按鈕，在接著的對話框中單擊“完成”結束添加域用戶賬號的操作。四、設置用戶賬號屬性創建的每一個用戶對象都有一套默認屬性

10、。創建了用戶賬號后，可以設置個人屬性和賬號屬性、登錄選項和撥號設置。可使用為域用戶賬號定義的屬性在目錄中搜索用戶，或用于其他應用程序。因此，創建每一個域用戶賬號時都應當提供詳細的定義信息。設置用戶對象屬性，可通過在“ActiveDirectory用戶和計算機”控制臺，右擊該對象，并從彈出的菜單上選擇“屬性”，打開用戶賬號屬性對話框。屬性對話框中的選項卡包含有關每個用戶賬號的信息。用戶對象的默認屬性對話框中每個選項卡的主要內容和作用如表3.5.1所示。表3.5.1“用戶屬性”對話框中各項選項卡的作用選項卡作用常規（General）記錄用戶的姓、名、顯示名、說明、辦公地點、電話號碼、電子郵件地址、

11、主頁及附加Web頁面地址（Address）記錄用戶的街道地址、郵政信箱、城市、州或省、郵政編碼、國家或地區賬號（Account）記錄用戶的賬號屬性，包括：用戶登錄名、登錄時間、允許登錄的計算機、賬號選項和賬號有效期單位(Organization)記錄用戶的頭銜、部門、公司、管理人和直接報告電話（Telephones）記錄用戶的家庭電話、傳呼、手機、傳真、IP電話號碼，并包含填寫備注的空間配置文件（Profile）設置配置文件路徑、登錄腳本路徑、主文件夾和共享文檔文件夾成員屬于（Memberof）記錄用戶所屬的組撥入(Dial-In)記錄用戶的撥號屬性環境(Environment)記錄用戶登錄系

12、統時運行的應用程序和啟用的設備會話（Sessions）設定“終端服務”超時和重新連接設置遠程控制（RemoteControl）配置“終端服務”遙控設置終端用戶配置文件（TerminalServiceProfile）配置“終端服務”用戶配置文件1設置個人屬性用戶對象屬性對話框中有4個選項卡包含有關用戶賬戶的個人信息。這些選項卡是常規、地址、電話和單位。這些選項卡中的屬性與用戶對象或ActiveDirectory的操作沒有直接關系；只提供用戶的背景信息。在這些選項卡中輸入信息可讓您通過使用已掌握的用戶信息輕松查找所需域用戶賬號。2設置賬號屬性屬性對話框中的賬號選項卡包含幾個創建用戶對象時所配置的屬

13、性，如圖3.5.6所示。在該選項卡中可以為用戶更改登錄名。在“賬戶過期”選項組中可以為該賬號設置一個過期時間。默認情況下賬戶是永久有效的，除非被刪除。如果某個臨時用戶賬號希望在某個時間后自動失效，則可以選中“在這之后”單選按鈕，然后打開下拉菜單，在日歷中選擇一個賬號的失效日期，當該曲徑號使用期超過設定的日期，則使用該賬號將不能登錄到域中，而不需要管理員手動刪除賬號。圖3.5.6用戶對象屬性賬號選項卡3.設置登錄時間在圖3.5.6中單擊“登錄時間”按鈕，打開用戶登錄時段對話框，在該對話框中可以設置允許或拒絕用戶登錄到域的時間。藍色的格子代表允許登錄的時間段，默認情況下賬號可以在任意的時間內登錄到

14、域中。單擊要設置的時間格（一個格代表一小時），也可以單擊拖動鼠標一次選中多個時間格，然后單擊“拒絕登錄”前的單選按鈕，使這段時間成為拒絕登錄的時間段，白色的格子代表拒絕登錄，如圖3.5.7所示。圖3.5.7用戶登錄時段對話框4.設置用戶可登錄的計算機在圖3.5.6中單擊“登錄到”按鈕，打開“登錄工作站”對話框，如圖3.5.8所示。在該對話框中可以設置允許用戶登錄到域中的計算機。默認情況下用戶可以從任何一臺域中的計算機上登錄到域。單擊“下列計算機”前的單選按鈕，然后在“計算機名”下的編輯框中輸入允許用戶登錄的計算機名，單擊“添加”按鈕將計算機加入到計算機列表中。如果要刪除某臺允許用戶登錄的計算機

15、，只須在列表中單擊選中的計算機并單擊“刪除”按鈕即可。圖3.5.8“登錄工作站”對話框五、維護用戶賬號除修改用戶對象的屬性外，還可以根據需要以其他方式修改用戶賬號。這些修改包括禁用、啟用或刪除用戶賬號。有時也可能需要解除用戶賬號鎖定或重設密碼。禁用、啟用、重命名和刪除用戶賬號禁用和啟用用戶賬號：當一位用戶長期不需要使用用戶賬號，但還會再次使用的情況下，可以禁用該用戶賬戶，等他再次使用時再啟用該用戶賬戶。重命名用戶賬號：當需要保留一位用戶賬號的所有權利、權限和組的成員身份并修改其名稱或將其分配給另一位用戶時，可以重命名該用戶賬號。刪除用戶賬號：當某個用戶賬號不打算再用時，可以刪除該用戶賬號，以消

16、除因ActiveDirectory服務中存在不使用賬號而造成的潛在安全危險。在ActiveDirectory控制臺上找到需要修改的用戶賬號，右擊該用戶賬號，從彈出的菜單中選擇與要做的修改類型相應的命令，如圖3.5.9所示。Vitrx所首圧務(!)Jd或切Q疇徑9蔑制Q.莘幣惓戶唱畔動M打開主更逆諸郵肚“3ehf“lXF.盡戶和計總舛:_11祜的査誨.-._lptfjoittduE二肌4祜1+池l+Dmisft.C*苗vteLlwiJITztriF爭棘胃好負勺或!MIIJISg計Huiffita沖右is勺屐蠱翎時k!W糸墳甘迎貿2朋和支持廉E吋也詁円此?對1!.Adai容令!ffieatjEkC

17、m安金fEk*jhCon譽傘:Gaul壬iBxir整IETiltrp-ihx童倉fyiTroupo】j采舍協皿就閘尸癌制跖ElS；禮少I1寶全Sk*h曲lAdnini電仝、兔swtcrrjH.用戶挽IHrutCli電nil童全用戶文件叩描作愛看四12口血wqptctiri-irctT7用尸ffii-tXA母文件叩林xtd)口冊fiqp也血菽葩X唐.曙住迺即二兮邊E圖3.5.9禁用、啟用、重命名或刪除用戶賬號重設密碼和解除用戶賬號鎖定如果一位用戶因密碼問題或賬戶鎖定問題不能登錄到域或本地計算機，就需要重設用戶密碼或解除用戶賬號鎖定。只有擁有對用戶賬號所在對象管理權限的人才能執行這樣的任務。重設密

18、碼管理員或用戶設置了用戶賬號密碼后，密碼對任何人都不可見，包括管理員。這樣就防止了包括管理員在內的用戶得知其他用戶的密碼，從而提高安全性。不過，有些情況下管理員需要重設密碼。例如，如果用戶需要更改他們的密碼，但卻在特定時間內無法完成更改，密碼就可能會被配置為過期，該用戶將不能再登錄。用戶也容易忘記密碼，特別是在密碼由管理員設定或用戶被迫經常更改密碼的情況下。出現這種情況時，擁有管理員權限的用戶就可以重設密碼，無需知道當前密碼或過期密碼。解除用戶賬號鎖定許多網絡使用WindowsServer2003組策略強制實施密碼限制，如限制所許可的用戶賬號失敗登錄嘗試次數。當用戶(授權或非授權)輸入用戶賬戶

19、錯誤次數過多，WindowsServer2003將鎖定賬號，防止再次進行嘗試。可以將策略配置為在規定時間內鎖定賬號，或永久鎖定，直到管理員解除鎖定。解除鎖定賬號時要在ActiveDirectory用戶和計算機控制臺，找到要修改的用戶賬號。當前被鎖定的用戶對象上有個紅色的X。右擊該用戶賬號，單擊“屬性”，再單擊“賬戶”選項卡。清空復選框，再單擊確定即可。請注意，賬號是因為復選框被選中而鎖定的。六、創建用戶配置文件用戶配置文件定義了用戶使用WindowsServer2003的工作環境，其中包括用戶計算機的顯示器設定、區域設定、鼠標、聲音設置、開始”菜單及桌面快捷方式等參數，另外還有網絡連接和打印機

20、的設置等。用戶配置文件實際上不是一個具體的文件，而是由一系列文件和文件夾組成的。在硬盤上WindowsServer2003所在的分區中會有一個DocumentsandSettings文件夾，在該文件夾下面有所有在該計算機上登錄過的用戶的配置文件。每個用戶都會有一個自己的文件夾，文件夾的名字就是用戶的登錄名，該文件夾包含了用戶的各種設置，如圖3.5.10所示。從圖中可以看到文件夾分別包含了“開始”菜單、桌面、收藏夾、我的文檔和網上鄰居等設置。圖3.5.10Windows資源管理器1.用戶配置文件的類型用戶配置文件有3種類型，分別是本地用戶配置文件、漫游用戶配置文件、強制用戶配置文件。本地用戶配置

21、文件如果某個用戶配置文件僅限于本機使用，則稱為本地用戶配置文件。當用戶第一次在某臺計算機登錄時，系統就會自動為該用戶在這臺計算機上建立一個本地用戶配置文件。本地用戶配置文件會隨著計算機的不同而有所不同。也就是說，每個用戶在不同的計算機中有不同的本地用戶配置文件。一般情況下，如果計算機沒有連接到網絡上，系統將使用本地用戶配置文件。漫游用戶配置文件漫游用戶配置文件是保存在網絡服務器上的用戶配置文件。當用戶要登錄到某臺計算機，而這臺計算機上沒有本地用戶配置文件時，管理員從網絡服務器上把漫游配置文件拷貝到登錄使用的客戶機上，并且把漫游配置文件應用于那臺計算機。這樣，用戶總得到他的個人桌面設置和連接。系

22、統管理員可以設置漫游用戶配置文件。這樣，用戶就可以得到一個適于個人實際情況的桌面配置。還可以根據實際情況把漫游用戶配置文件設為只讀，以防用戶隨意改動配置文件。用戶在一臺計算機上第一次登錄時，WindowsServer2003把所有的配置文件拷貝到本地計算機上。當用戶再次登錄時，WindowsServer2003把本地存儲的本地用戶配置文件和漫游用戶配置文件進行比較，并拷貝自最后一次登錄以來改變的那些文件，登錄過程相對較短。當注銷用戶時，WindowsServer2003把用戶配置文件的本地版本所作的改變拷貝到原來存儲它的服務器上。強制用戶配置文件強制用戶配置文件也屬于漫游用戶配置文件，不過它具

23、有只讀屬性，其內容由系統管理員事先設置，用戶無法更改，每次登錄時都要使用固定的工作配置。注銷用戶時系統不保存登錄過程中用戶所做的任何改變。當用戶再次登錄時，配置文件仍然和上次登錄時一樣。2.使用本地配置文件在運行WindowsServer2003的計算機上使用本地用戶配置文件對于普通用戶是完全不可見的。操作系統自動為首次登錄的每位用戶創建用戶配置文件。當該用戶再次登錄時，WindowsServer2003從正確的配置文件中加載設置。用戶只需更改桌面設置就可更改他們的本地用戶配置文件，甚至無需知道他們自己在更改設置。例如，用戶可建立網絡連接、更改桌面顏色等。當用戶在登錄的同時修改了桌面環境時，WindowsServer2003會在用戶下一次注銷時將更改合并入存儲在計算機上的用戶配置文件。因此，用戶登錄到運行WindowsServer2003的計算機上時，將始終接收到與他們前一次會話結束時相同的桌面設置。當多個用戶共享一臺計算機時，每個用戶都將維護和接收到一個單獨的配置文件。使用漫游配置文件應當在經常進行備份的文件服務器上創建漫游用戶配置文件，這樣就可以擁有用戶最新的配置文件副本。若要改進繁忙網絡的登錄性能，可將用戶的漫游配置文件放置在成員服務器上