AD中用户帐户属性userAccountControl

如何实现AD域账户导入导出如何实现AD域账户导入导出作为域管理员，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。

如果在图形界面逐个添加、设置，那么需要的时间和人力会超出能够承受范围。

一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。

如果再多的话，就应该考虑使用使用命令行工具，实现批量导入导出对象。

微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。

具体选择上述哪个工具取决于需要完成的任务。

如果需要创建对象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。

本文不涉及使用CSVDE导入对象。

而是换另一种导入导出AD帐户思路：使用CSVDE工具导出AD 帐户到CSV格式的文件中，再使用For语句读取该文件，使用DSADD命令进行批量添加。

具体步骤：一：使用CSVDE导出帐户使用CSVDE 导出现有对象的列表相当简单。

最简单的用法是：csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。

–f 开关表示后面为输出文件的名称。

但是必须注意，上述的用法是很简单，但是导出来的结果可能存在太多你不希望要的记录和信息。

如果要实现更精确的导出记录，可以使用-d 和-r 以及-l 参数。

其中：-d 用来指定特定的搜索位置和范围-r 用来指定特定的搜索对象类型-l 用来指定导出对象的具体属性如：csvde –f users.csv –d"ou=Users,dc=contoso,dc=com"–r "(&(objectcategory=person)( objectclass=user))" –lDN,objectClass,description注意：如果使用CSVDE导出的帐户信息中存在中文，会存在乱码的可能，可以加-U参数来解决。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

AD域概念及其关键概念1. AD域的定义AD（Active Directory）域是一种由微软公司开发的基于目录服务的身份验证和授权服务，用于管理和组织网络中的用户、计算机和其他网络资源。

它是一种分布式数据库系统，旨在提供集中管理和控制网络资源的能力。

AD域可以理解为一个逻辑上的容器，它可以包含多个组织单元（OU，Organizational Unit），每个OU又可以包含多个用户、计算机和其他网络资源。

AD域通过一组规则和策略来管理和控制这些资源的访问和配置。

2. AD域的重要性AD域在企业网络中起着至关重要的作用，具有以下几个重要性：2.1 集中管理和控制AD域提供了集中管理和控制网络资源的能力。

管理员可以通过AD域来创建、修改和删除用户账户、计算机账户以及其他网络资源的账户，以及配置这些账户的访问权限和其他属性。

这种集中管理和控制的方式大大简化了管理员的工作，提高了工作效率。

2.2 统一身份验证和授权AD域作为一个身份验证和授权服务，可以统一管理和验证用户的身份，确保只有授权的用户可以访问网络资源。

通过AD域，用户只需要一个账户和密码就可以访问所有的网络资源，不需要分别登录不同的系统。

这大大简化了用户的登录过程，提高了用户体验。

2.3 安全性和权限控制AD域提供了丰富的安全性和权限控制机制，可以对用户、计算机和其他网络资源进行细粒度的访问控制。

管理员可以通过AD域来定义和管理用户的访问权限，限制用户对某些敏感数据或系统的访问。

这种权限控制机制可以有效地保护企业的数据和系统安全。

2.4 集成其他服务和应用AD域可以与其他服务和应用集成，例如邮件服务器、文件共享服务器、VPN等。

通过与AD域的集成，这些服务和应用可以直接使用AD域中的用户账户和权限信息，简化了配置和管理过程，并提供了更好的用户体验。

3. AD域的关键概念在理解AD域的概念和作用之前，需要了解一些与AD域相关的关键概念。

3.1 域（Domain）域是AD中最基本的组织单位，它是一个逻辑上的容器，用于管理和组织网络中的用户、计算机和其他网络资源。

在AD域中，如何批量添加域用户帐号？作为网管，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。

如果逐个添加、设置的话，十分地麻烦。

一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。

如果再多的话，我们就应该考虑使用csvde.exe 或ldifde.exe来减轻我们的工作量了。

最后简单介绍一下利用脚本（可利用循环功能）批量创建用户帐号一、AD用户帐户复制1、在“AD域和计算机”中建一个作为样板的用户，如S1。

2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。

3、在S1上/右键/复制，输入名字和口令。

说明：1、只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。

2、帐户复制可将在样板用户帐户设置的大多数属性带过来。

具体如下：二、比较csvde与ldifde三、以csvde.exe为例说明：域用户帐户的导出/导入操作步骤如下：1、在“AD域和计算机”中建一个用户，如S1。

2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。

3、在DC上，开始/运行：cmd4、键入：csvde –f demo.csv说明：（1）不要试图将这个文件导回，来验证是否好使。

因为这个文件中的好多字段在导入时是不允许用的，如：ObjectGUID、objectSID、pwdLastSet 和samAccountType 等属性。

我们导出这个文件目的只是为了查看相应的字段名是什么，其值应该怎么写，出错信息如下：（2）可通过-d –r参数指定导出范围和对象类型。

例如：-d “ou=test,dc=mcse,dc=com” 或-d “cn=users,dc=mcse,dc=com”-r “< Objectclass=user>”1、以上面的文件为参考基础，创建自己的my.csv，并利用复制、粘贴、修改得到多条记录。

AD用户属性说明AD Search User Property AttributesAD 用户属性字段Chn Display Name ADSearch Name国际ISDN号码（其他）International ISDN Number (Others)internationalISDNNumber帐户到期account Expires accountExpires帐户名称历史account Name History accountNameHistory加勒比国家联盟策略名称aCS Policy Name aCSPolicyName管理流量统计admin Count adminCount备选案文安全标识alt Security Identities altSecurityIdentities 助理Assistant assistant坏密码时间bad Password Time badPasswordTime坏密码计数bad Pwd Count badPwdCount城市City l代码页code Page codePage评论Comment comment公司Company company控制访问权限control Access Rights controlAccessRights国家Country co国家缩写Country Abbreviation c国家代码country Code countryCodedBCSP西部数据dBCSP wd dBCSPwd默认类存储default Class Store defaultClassStore部Department department桌面配置desktop Profile desktopProfile目标指示器destination Indicator destinationIndicator司Division division动态LDAP服务器dynamic LDAP Server dynamicLDAPServerE - Mail地址E-Mail Address mailE - Mail地址（其他）E-Mail Address (Others)otherMailbox雇员ID Employee ID employeeID传真号码Fax Number facsimileTelephoneNumber传真号码（其他）Fax Number (Others)otherFacsimileTelephoneNumber 名字First Name givenName垃圾科尔时期garbage Coll Period garbageCollPeriod世代后缀Generational Suffix generationQualifier组成员山姆group Membership SAM groupMembershipSAM 集团的优先group Priority groupPriority团体忽略groups To Ignore groupsT oIgnore家庭地址Home Address homePostalAddress主驱动器Home Drive homeDrive主文件夹Home Folder homeDirectory家庭电话Home Phone homePhone家庭电话（其他）Home Phone (Others)otherHomePhone缩写Initials initials国际ISDN号码International ISDN Number primaryInternationalISDNNumber IP电话号码IP Phone Number ipPhoneIP电话号码（其他）IP Phone Number (Others)otherIpPhone 职称Job Title title最后注销last Logoff lastLogoff最后登录last Logon lastLogon传统交易所的DN legacy Exchange DN legacyExchangeDN流明密码历史lm Pwd History lmPwdHistory区域设置ID locale ID localeID锁定时间lockout Time lockoutTime登录名Logon Name userPrincipalName登录名（Windows 2000以前）Logon Name (pre-Windows 2000)sAMAccountName登录工作站Logon Workstations userWorkstations登录数logon Count logonCount登录时间logon Hours logonHours登录工作站logon Workstation logonWorkstation经理Manager manager最大存储max Storage maxStorage讯息处理系统或地址mhs OR Address mhsORAddress中间名Middle Name middleName移动号码Mobile Number mobile流动电话号码（其他）Mobile Number (Others)otherMobile 毫秒的DS -造物主的SID mS-DS- Creator SID mS-DS-CreatorSIDMSMQ的文摘mSMQ Digests mSMQDigestsMSMQ的文摘米格mSMQ Digests Mig mSMQDigestsMigMSMQ的注册证书mSMQ Sign Certificates mSMQSignCertificates MSMQ的注册证书米格mSMQ Sign Certificates Mig mSMQSignCertificatesMig微软网络提供允许拨入msNP Allow Dialin msNPAllowDialin微软网络提供呼叫站ID msNP Calling Station ID msNPCallingStationID微软网络提供保存呼叫站ID msNP Saved Calling Station ID msNPSavedCallingStationID 她的RADIUS回拨号码ms RADIUS Callback Number msRADIUSCallbackNumber她的RADIUS帧的IP地址ms RADIUS Framed IP Address msRADIUSFramedIPAddress她的RADIUS 45.7路线ms RADIUS Framed Route msRADIUSFramedRoute她的RADIUS服务类型ms RADIUS Service TypemsRADIUSServiceType她的RAS保存回拨号码ms RAS Saved Callback Number msRASSavedCallbackNumber 她的RAS保存帧的IP地址ms RAS Saved Framed IP Address msRASSavedFramedIPAddress 她的RAS保存45.7路线ms RAS Saved Framed Route msRASSavedFramedRoute名字Name cn网络地址network Address networkAddress注释Notes info新界密码历史nt Pwd History ntPwdHistoryNT安全描述符nT Security Descriptor nTSecurityDescriptor o o对象希德object Sid objectSid办公地点Office Location physicalDeliveryOfficeName 操作数operator Count operatorCount其他登录工作站other Login Workstations otherLoginWorkstations欧ou ou传呼机号码Pager Number pager传呼机号码（其他）Pager Number (Others)otherPager电话号码（其他）Phone Number (Others)otherTelephone邮政信箱Post Office Box postOfficeBox邮政地址postal Address postalAddress偏好传输方式preferred Delivery Method preferredDeliveryMethod首选欧preferred OU preferredOU主要组ID primary Group ID primaryGroupID文件路径profile Path profilePath最后一组密码pwd Last Set pwdLastSet注册地址registered Address registeredAddress摆脱rid ridSAM帐户类型sAM Account Type sAMAccountType脚本的路径script Path scriptPath安全标识security Identifier securityIdentifier服务主体名称service Principal Name servicePrincipalName 显示在通讯簿show In Address Book showInAddressBookSID历史记录sID History sIDHistory州/省State/Province st街头street street街道地址Street Address streetAddress补充证书supplemental Credentials supplementalCredentials 电话号码Telephone Number telephoneNumber智能电报终端标识符teletex Terminal Identifier teletexTerminalIdentifier电传号码Telex Number primaryTelexNumber电传号码（其他）Telex Number (Others)telexNumber终端服务器terminal Server terminalServer文字编码或地址text Encoded OR Address textEncodedORAddress小标识thumbnail Logo thumbnailLogo缩图照片thumbnail Photo thumbnailPhoto标题Title personalTitle令牌组token Groups tokenGroups令牌组全球性和普遍性token Groups Global And Universal tokenGroupsGlobalAndUniversal 气相色谱可接受任何标记组token Groups No GC Acceptable tokenGroupsNoGCAcceptable Unicode的密码unicode Pwd unicodePwd用户帐户控制user Account Control userAccountControl用户证书user Cert userCert用户证书user Certificate userCertificate用户参数user Parameters userParameters用户共享文件夹user Shared Folder userSharedFolder其他用户共享文件夹user Shared Folder Other userSharedFolderOther用户SMIME证书user SMIME Certificate userSMIMECertificatex121Address x121Address x121Address邮政编码/邮政编码ZIP/Postal Code postalCode。

A D域用户常用组策略设置通过AD共享创建域用户个人共享数据盘
第一步：创建共享文件夹-userdisk
第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略
在域组策略下，viewuser组下创建GPO
域组策略-用户配置-首选项-Windows设置-文件夹
第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略
域组策略-用户配置-首选项-Windows设置-驱动器映射
设置域用户统一桌面背景图
第一步：将桌面背景图放到共享目录下
第二步：创建用户登录后修改桌面背景组策略
域组策略-用户配置-策略-管理模板-桌面-桌面-启用ActiveDesktop 域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用
设置用户登陆后自动修改时间格式为yyyy-mm-dd
第一步：做修改时间格式为yyyy-mm-dd批处理
新建记事本文件data-扩展名改成bat
输入：
@echooff&title
regadd"HKCU\ControlPanel\International"/vsShortDate/tREG_SZ/d yyyy-MM-dd/f exit
第二步：创建用户登陆时自动运行批处理组策略
域组策略-用户配置-策略-Windows设置
双击显示文件夹-将做好的data.bat文件放到该文件夹下
已经要放在这个组策略对应User\Scripts\Logon
再点击添加
点击浏览。

AD域用户账户控制管理AD域用户账户控制管理首先要在计算机上安装域控制器，登陆域控计算机。

1、打开Active Directory用户和计算机。

（路径：开始–>管理工具–> Active Directory用户和计算机）2、打开AD用户和计算机控制台后，首先选择被添加人的部门的组织单元（OU）。

如果是开发人员择需要添加到Developer内，其他部门请添加到“市场部和人力部”，如不确定其部门可添加到“Egensource”内。

*每个OU对应着独立的组策略设置（(GPMO)，确认被添加人加入正确的部门OU内。

3、仔细填写用户信息用户登录名一般为员工姓名的汉语拼音。

4、为该员工设定初始密码，并告知员工该密码。

当员工有过登陆记录后，可将其密码设置成“用户下次登录时必须更改密码”，由员工自行设定密码。

密码复杂度要求：必须6位以上，包含数字和字母的组合。

可根据公司要求设定其他用户密码策略。

5、打开新建的员工信息。

在“常规”页面上，填写真实的员工信息，特别是邮件地址务必确认其正确无误。

6、再“单位”标签内，仔细填写员工的注册信息。

包括职务、部门和公司。

再经理栏内，确认其上级领导。

项目成员是项目经理，产品组成员为产品组经理，不确定的列为部门总监。

7、再“隶属于”标签，将用户归入正确的组内，首先该用户必须属于“公司全体”。

如该员工属于开发人员、技术人员则属于“软件研发部”，如该员工属于市场人员属于“市场部”，如该员工属于人力及行政人与那属于“人力资源部”8、如需要更改某个员工的密码，则需要登录到域控制器上，查看该员工属性信息，选择“重置密码”即可。

择“禁用账户”，并将被禁用的账户移至“已禁用账户”OU内。

AD域用户经常使用组战略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组战略在域组战略下，viewuser组下创建GPO域组战略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组战略域组战略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面布景图第一步：将桌面布景图放到共享目录下第二步：创建用户登录后修改桌面布景组战略域组战略-用户配置-战略-管理模板-桌面-桌面-启用Active Desktop域组战略-用户配置-战略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组战略域组战略-用户配置-战略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组战略对应User\Scripts\Logon 再点击添加点击浏览。