域用户的创建和管理

AD域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

AD：活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期：2011年8月2日处别：Commercial DT组别：DT103撰写人：王敦培【实验名称】：AD域控制器在Windows Server 2003安装实验指导书【实验目的】：了解域的作用以及安装方法【实验任务】：搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】：Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域：1.依次打开：开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步，选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好，处于已经连接状态，下一步6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但是我建议还是采用默认的好，省得以后麻烦。

第五次课创建和管理用户帐户一、什么是用户帐户1、存在于windows server 2000、windows xp、windows server 2003中。

2、系统中的一种对象。

3、包含有多种属性（如用户名、密码等）。

4、不同用户帐户的用户名和密码不同。

5、不同用户帐户的SID不同(security identifier)administrator系统管理员是默认帐号，它拥有最高权限，如修改系统时间、创建共享、安装打机、格式化磁盘、安装驱动程序等。

普通用户能做基本操作，而不能操作涉及系统调整的设置（如修改系统时间、创建共享、装打机等），普通用户不能关机（在2003服务器）。

二、用户帐户的类型1、本地用户帐户（工作组模型创建、安装默认）（1）使用本地用户和组创建（2）存储在SAM数据库中(C:\windows\system32\config)（3）登录时进行本地身份验证2、域用户帐户（域模式创建）○1使用AD用户和计算机创建○2存储在ActiveDirectory数据库中（C：\windows\NTDS\NTDS.Dat）○3登录时进行网络身份验证三、创建用户帐户1、本地用户帐户创建方法域模式创建（1）本地用户和组——Lusrmgr.msc （图形界面）（2）Net user （首先用CMD命令进入命令提示符）net user grace 123 /addnet user grace 456 修改密码命令net user grace /Del 删除帐号net user（3）脚本2、域用户帐户（1）AD用户和计算机——dsa.msc（2）Use add（3）脚本四、有关本地用户帐户的讨论(1)本地帐户的一部分信息存储在注册表中(regedit)，具体位置：Hkey-local-machin\ SAM \SAM，给管理员赋予权限，展开后、刷新。

发现每台计算机管理员帐号sid的结尾500（），即使修改管理员帐号名字，仍能通过类型值1F4识别修改后的帐号是管理员帐号。

如何建域用户账号建立域用户账号是组织中进行身份管理和授权的重要一环。

在域中创建用户账号既可以实现用户身份认证，又可以进行用户访问权限的管理。

以下是实施域用户账号的步骤：1.确定域控制器：首先需要确定用于创建域用户账号的域控制器。

域控制器是一个拥有活动目录服务角色的服务器，用于管理和控制域中所有对象和用户。

2.创建用户模板：在创建用户账号之前，通常可以先创建一个用户模板。

用户模板包含一些常用的配置信息，例如用户名、密码策略、组成员资格、权限等。

通过创建用户模板，可以减少后续创建账号时的重复步骤。

这是一个用来管理域用户账号的工具，可以在域控制器上找到。

双击打开这个工具。

4.在树状结构的目录中选择正确的域和组织单元（OU）：在左侧的目录结构中，点击鼠标右键，选择"New"，然后再选择"user"来创建新的用户账号。

5.填写用户账号信息：在弹出的新用户界面中，填写用户账号的基本信息。

这些信息通常包括名字、登录名、密码、账户类型等。

根据组织需求，还可以添加更多信息，例如员工号码、职位等。

6.分配组和权限：在新用户界面的"Member Of"选项中，可以将用户账号添加到特定的组中。

组可以用来集中管理用户权限和访问控制。

可以根据不同的岗位或者部门创建不同的组，并将用户账号添加到相应的组中。

7.配置用户账户选项：在新用户界面的"Account"选项卡中，可以配置用户账号的一些其他选项，例如密码到期策略、账户锁定、登录时间等。

8.完成创建用户账号：将用户账号的基本信息填写完成后，点击"OK"按钮即可完成用户账号的创建。

9.进行账号测试：创建用户账号后，建议进行账号测试，以确保用户可以成功登录，并根据需要访问相关资源。

可以使用创建的用户名和密码在域中的计算机上进行登录，检查账号是否正常工作。

10.管理和更新用户账号：。

管理员必做的实验：域控制器中用户、组、共享资源的管理一、Windows 2000 Server域控制器中用户的管理? 创建用户账号第1步，点击“开始→程序→管理工具→Active Directory用户和计算机”，在出现的窗口中显示了前面创建的域名（）。

第2步，在窗口的“树”列表框中选择“Users”文件夹，单击鼠标右键，在出现的快捷菜单中选择“新建”下方的用户“User”，出现“新建对象”对话框，可以发现其中的内容比较多，在实际登录网络时使用的是“用户登录名”下方的具体名称，其他项目可根据需要填写。

第3步，当用户的有关信息填入完成后，可单击“下一步”按钮，出现对话框，可以在“密码”文本框中输入该用户账号的使用密码，并在“确认密码”文本框中重新输入进行确认。

另外，系统还提供了4种对该密码的限制方式。

如果选择了“用户下次登录时须更改密码”一项，当用户下次使用该账号登录服务器时，系统将要求用户先更改密码后再登录；当选择了“用户不能更改密码”一项后，用户将无权更改自己的密码；当需要密码长期有效时，可选择“密码永不过期”一项；如果某用户在某一段时间因出差在外或其他的原因不需要登录服务器时，可以选择“账户已停用”一项，这样当别人使用该账号登录服务器时将无效。

具体选择哪一项，用户可根据实际需要来确定。

第4步，单击“下一步”按钮后，出现对话框提示信息，说明该用户账号已经创建，在这里可以检查用户的各项信息是否正确，如有错误可以点击上一步到需要更改的地方进行更改。

第5步，单击“完成”按钮，该用户将显示在域中的“Users”文件夹中。

重复步骤，可以继续创建其他新的用户账号。

? 设置用户账号的安全属性第1步，单击“开始→程序→管理工具→Active Directory用户和计算机”，在出现的“树”列表框中选择“Users”文件夹，再选择该文件夹中要设置属性的账号名称（如hdengwh），单击鼠标右键，选择快捷菜单中的“属性”一项，出现“（hdengwh）属性”对话框。

1.创建域用户
（1）打开“开始”-“管理工具”-“Active Directory用户和计算机”
（2）先创建个公司的 ou,然后在 ou下建部门，部门下再建用户，本实例仅仅测试就不折腾那么多了，只创建了个 office的 ou,然后在 ou下创建win7的登录账号。

（3）单击创建新用户如下图：
在姓名处输入用户名称，也可在姓和名处单独输入姓和名，在用户登录名处输入用户名和所属域名称。

（4）点击下一步输入密码
（5）信息预览
2.将win7加入网域
（1）在系统属性中选择更改设置选项来更改计算机名
（2）单击更改按钮
（3）在隶属于选项，单击域，并输入域名的dns后缀，然后单击确定
（4）输入有权限将计算机加入网域的网域账户，然后单击确认。

（5）加入成功，出现提示，然后重启
（6）重启后出现的欢迎画面，默认是以本地管理员这个画面用户登录，我们需要单击切换用户来使用域用户登录
（7）单击其他用户输入创建的域账户和密码
（8）加入成功后在服务器的计算机OU下已经能看到计算机，还识别出了计算机版本。

在域控制器（DC）中创建域用户账户核心提示：用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行……用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行，操作步骤如下所述。

第1步，以Administrator（系统管理员）身份登录基于Windows Server 2003的域控制器，然后在开始菜单中依次“管理工具”→“Active Directory 用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。

小提示：也可以在“运行”框中输入“DSA.MSC”命令打开该窗口。

第2步，在左窗格中双击域名“”，并在展开的目录中双击“Users”容器。

这时可以在右窗格中查看AD域中已经存在的用户账户。

右键单击“Users”容器，在快捷菜单中依次选择“新建”→“用户”命令，如图1所示。

图1 单击“新建”→“用户”命令第3步，打开“新建-用户”对话框，在“用户登录名”编辑框中输入准备创建的用户名称（如“Jinshouzhi1”）。

然后在其他编辑框中输入用户的实际信息，并单击“下一步”按钮，如图2所示。

图2 创建新用户账户小提示：在该对话框中，“用户登录名”是最重要的，这是用户从工作站登录域的时候使用的用户名称。

第4步，在打开的设置密码对话框中，需要在“密码”和“确认密码”编辑框中重复输入用户账户的密码。

然后单击“下一步”按钮，最后单击“完成”按钮完成添加，如图3所示。

图3 设置用户密码小提示：为保证账户的安全性，这个密码一般不应少于6位，并且必须符合密码策略。

否则将出现错误提示，如图4所示。

图4 提示秘密不符合密码策略第5步，重复上述步骤将用户“Jinshouzhi2”和“Jinshouzhi3”添加到“U sers”容器中。

完成以后在“Active Directory用户和计算机”对话框中查看刚才添加的用户列表，如图5所示。