添加域用户教程

添加域用户

例如：

添加test用户，设置密码12345@admin，限制登录到指定PC001主机，把文件服务器指定共享的个人文件夹(\\SERVER2008\Files$\%username%)映射“Z:”盘，并设置Domain Admin为主要组。

打开“服务器管理器”

点击“角色”的“+”

选择“A D域服务器”

点击“A D域服务器”的“+”

选择“A D用户”

点击“A D用户”的“+”，选择域名

点击“域名”的“+”

在域名上右键

选择“新建”＝＝＞“组织单位”

输入要新建的名称，点击“确定”

在组织单位上右键

新建用户

输入要新建的用户名称，点击“下一步”

输入复杂密码(至少三种字符组成其中有一种特殊符号)，勾选“用户不能更改密码”(可选)“密码永不过期”(必选)，点击“下一步”

点击“完成”

域用户与组账户的管理

一、实验目的 1．添加域用户 2．用户的漫游 3．组织单元委派控制 4．AGDLP实现组的嵌套 二、实验步骤及结果分析 1．添加域用户 添加域用户常见的几种方法： 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器，运行dsa.msc 打开Active Directory用户和计算机，在“域名”（如https://www.360docs.net/doc/2a1906219.html,）处右击，“新建组织单位”，如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”（DQA）项上右击选择“新建用户”，输入新建用户的“用户登录名”，（如hero）。下一步，输入7位以上的安全密码，一直下一步，完成新建用户。

注：如果想要将密码设为简单密码或密码为空，首先要在“开始”“程序”“管理工具”“默认域安全设置”，打开“默认域安全设置”，再依次展开“安全设置”“帐户策略”“密码策略”，将“密码必须符合复杂性要求”禁用，并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。

1.1.3.删除用户。只需直接在相应的“组织单位”（如DQA ）中的用户（如hero）上右击，选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户，常用的命令有：dsadd 添加账户或组；dsmod 修改用户或组的信息；dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如：dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入，只须在上命令后加入一些其它信息的命令，如：-email xx@https://www.360docs.net/doc/2a1906219.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如：dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/2a1906219.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后，在根DC查看用户属性的信息会与原属性有明显不同。

漫游用户配置文件方法

漫游用户配置文件方法 漫游用户配置文件的作用是无论用户登录到哪台基于 Microsoft Windows NT 的计算机上，漫游用户配置文件都为用户提供相同的工作环境。这样就可以避免因为换了机器而丢失以前的作用环境而不爽了，也不会降低工作质量。 创建漫游用户配置文件过程有两个步骤：创建测试用户配置文件，然后将测试用户配置文件复制到网络服务器。 步骤一：在此过程中，您会为漫游用户创建一个测试配置文件：1. 创建一个充当测试用户帐户的用户帐户。例如，创建一个名为 Sales Profile 的帐户。2. 以测试用户帐户登录。这会在本地计算机的 C:\Winnt\Documents and Settings\用户名文件夹中自动创建用户配置文件。 3. 配置桌面环境，包括外观、快捷方式和开始菜单选项。4. 注销，然后以管理员身份登录。 步骤二：最后复制测试配置文件，在此过程中，您会将测试配置文件复制到网络服务器： 1. 在网络驱动器上创建一个要在其中存储网络配置文件的文件夹。（为共享文件夹，在共享权限中设置为完全控制）例如：\\server_name\Profiles\user_name 2. 在"控制面板"中，双击系统，然后单击用户配置文件选项卡。在"储存在本机上的配置文件"下，单击要复制的配置文件，然后单击复制到。 3. 在将配置文件复制到对话框中，键入该文件夹的网络路径。在"允许使用"下，单击更改。 4. 添加相应的用户，然后单击确定。 5. 在"域用户管理器"中，双击该用户帐户，然后在用户属性对话框中，单击配置文件。 6. 在用户配置文件路径框中，键入网络配置文件所在文件夹的 UNC 路径。例如：\\server_name\Profiles\user_name。 实现桌面墙纸的漫游方法 (此方法本人试过好像不需要这样操作也可以实现） 学会如何漫游配置文件后，大家会发现，桌面墙纸是不会与漫游配置文件一同漫游的，这是为什么呢？ 我们来对比一下本地配置文件和漫游后的配置文件。在本地配置文件中有一个Local Settings文件夹，在漫游配置文件中我们是找不到它的，但是漫游配置文件中却多出了个叫做ntuser.ini的配置文件。我们使用文本方式打开它，会看到这样一段话：[General]ExclusionList=Local Settings;Temporary Internet Files;History;Temp原来，在Windows 漫游配置文件的默认情况下，Local Setting文件夹是被排除的，而在这个文件当中存放的就

在域里面添加权限

公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

用户配置文件漫游(windows漫游配置方式)

View环境下用户配置文件漫游 （windows漫游配置文件方式） 一、配置前提下所需的环境： 1、已经搭建好的view环境，采用克隆，浮动分配的方式分发桌面，只分发了两个桌面 win7-1，win7-2，用户三个test1-3 二、配置步骤 （1）配置漫游文件设置 1、在域中的一台服务器上（此次路径为：\\ex.ou.\share$）创建一个共享文件夹，此次叫“share”，共享权限中添加“everyone”用户并设置为可以修改的权限，注意NTFS权限只需要有SYSTEM用户并给予完全控制就可以了，具体如下图

2、在AD服务器中，打开“Active Directory用户和计算机”

3、找到你用于登陆view桌面的用户，右键属性，如下图 4、接着出现如下界面，需要我们在配置文件路径里填入刚才新建的共享文件的路径，

而我们只需填入\\ex.ou.\share$\%username%即可，其中%username%是变量，填完之后点击确定 5,、然后我们再打开属性，就会发现，变量会变成用户名了，如下图

（2）文件夹重定向（此次测试只重定向桌面和文档） 当用户的漫游配置文件数据量太大时，会造成登录和注销的速度变得很慢，此时我们可以设置文件夹重定向解决这一问题。这样设置之后，被重定向的文件夹不再是一个普通的文件夹了而是一个指向文件服务器的路径。以后用户再进行登录或注销时，就不需要将其中的数据文件再下载或者上传了。漫游用户登录和注销的速度慢的问题也就迎刃而解了。 1、再新建一个共享文件夹，命令为“redirect”，具体配置和上面的“share”文件 配置一样，可参考上面的步骤 2、再去AD服务器打开组策略管理器，找到放view用户的OU,然后按下图操作

最新域用户与组账户的

域用户与组账户的管 理

一、实验目的 1．添加域用户 2．用户的漫游 3．组织单元委派控制 4．AGDLP实现组的嵌套 二、实验步骤及结果分析 1．添加域用户 添加域用户常见的几种方法： 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器，运行dsa.msc 打开Active Directory用户和计算机，在“域名”（如https://www.360docs.net/doc/2a1906219.html,）处右击，“新建→组织单位”，如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”（DQA）项上右击选择“新建→用户”，输入新建用户的“用户登录名”，（如hero）。下一步，输入7位以上的安全密码，一直下一步，完成新建用户。

注：如果想要将密码设为简单密码或密码为空，首先要在“开始”→“程序”→“管理工具”→“默认域安全设置”，打开“默认域安全设置”，再依次展开“安全设置”→“帐户策略”→“密码策略”，将“密码必须符合复杂性要求”禁用，并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。

1.1.3.删除用户。只需直接在相应的“组织单位”（如DQA ）中的用户（如hero）上右击，选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户，常用的命令有：dsadd 添加账户或组；dsmod 修改用户或组的信息；dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如：dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入，只须在上命令后加入一些其它信息的命令，如：-email xx@https://www.360docs.net/doc/2a1906219.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如：dsmod user cn=sun,ou- DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/2a1906219.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后，在根DC查看用户属性的信息会与原属性有明显不同。

域控中的用户配置

原文地址：如何将本地用户配置文件更改为域用户漫游作者：kevin 1.先讲讲直接新建域用户，在DC中设置用户漫游； 2.再讲，如果原来用户是本地用户，如何将原有的本地用户的配置文件让她成为漫游用户，配置文件也漫游； 3.跟大家讲讲如何让本地用户配置文件迁移为域用户配置文件，即本来有一用户abc为本地用户，现在该电脑加入了域，域中有一用户abc，然后电脑要用abc 用户登陆到域，而用户配置文件使用本地的abc配置文件； 一，在DC中设置用户漫游 实验环境使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图 2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。

3、进一步权限设置，如图

这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图

192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。 现在配置基本完成，我们从客户端登录一下试试看 初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。 回到服务器上我们会看到生成好多文件，刚才这里面还是空的

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.360docs.net/doc/2a1906219.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

域用户漫游教程

（1）创建漫游用户配置文件 基于AD域的漫游用户功能可以随时随地为用户提供熟悉的工作环境。简而言之，借助该功能可以使用户在任何一台域成员计算机中拥有相同的桌面和系统设置，大致包括以下几个方面： 1.桌面墙纸（其前提是操作系统默认的背景，或者图片存储在配置文件中）； 2.Outlook设置（自动签名、窗体、交换配置文件）； 3.桌面内容（任何文件夹和快捷键）； 4.IE收藏夹和快速启动栏； 5.Cookies和AutoComplete（各种 Web 站点上的设置）； 6.Office设置（自定义词典、固定文档等所示。 在使用漫游用户功能以前，首选需要创建漫游用户配置文件，具体操作步骤如下所述： 第1步，以系统管理员身份登录域控制器，在开始菜单中依次单击【管理工具】→【Active Directory用户和计算机】菜单项，打开“Active Directory 用户和计算机”窗口。在左窗格中展开服务器目录，右键单击Users容器，依次选择【新建】→【用户】快捷命令。在打开的“新建对象-用户”对话框中创建一个用户账户，如图1所示。 图1 新建域用户账户

第2步，在开始菜单中依次单击【管理工具】→【域控制器安全策略】菜单项，打开“默认域控制器安全设置”窗口。在左窗格中依次展开【安全设置】→【本地策略】目录，并选中【用户权限分配】选项。然后在右窗格列表中找到并双击【允许在本地登录】选项。在打开的“允许在本地登录属性”对话框中单击【添加用户和组】按钮添加刚才新建的用户，并单击【确定】按钮，如图2所示。 图2 添加允许在本地登录的用户或组 3步，在开始菜单中单击【注销】命令注销当前系统管理员用户，然后以新建的用户身份登录域控制器。这时打开系统分区中的Documents and Settings 文件夹，可以发现系统自动创建该用户的文件夹。用户可以根据个人喜好设置包括桌面设置（外观、快捷方式和开始菜单选项等）、IE设置（收藏夹、COOKIE 等）等在内的项目，完成后注销当前用户，如图3所示。

2. 使用dsadd批量录入域用户

使用dsadd批量录入域用户 一.打开业务部员工名单Excel表格： 二.将业务部员工名单Excel表格文件另存为csv格式，名称为ADUSER.csv。选择用“记事本”程序打开csv文件。从“用户名称”到“电子邮件”是用“,”分隔开的10个字段，可以用“变量a”到“变量j”进行表示。 三.新建文本文件，并编辑命令如下： for /f "skip=1 eol=; tokens=1-10 delims=," %a in (d:\ADUSER.csv) do dsadd user cn=%a,ou=业务 部,dc=abc,dc=com -upn %b@https://www.360docs.net/doc/2a1906219.html, -samid %b -pwd %c -fn %e -ln %d -dept %f -office %g -tel %h -title %i -email %j -mustchpwd yes -canchpwd yes -disabled yes -profile "\\file\profiles\%b" -hmdir \\file\drive\%b\ -hmdrv Z:

解释： Skip=1 跳过第一行 Eol=；行结束则执行for循环 Tokens=1-10 共有10个变量 Delims=, 变量之间的分隔符为“,” %a in(e:\ADUSER.csv) 变量a的读取路径为： e:\ADUSER.csv Dsadd user 创建一个对象，对象类型为用户 Cn=%a 对象的CN（通用名称，也就是对象的名字）为：变量a Ou=财务部, dc=abc, dc=com 用户的DN（可辨识名称，也就是在AD中的位置） -upn %b@https://www.360docs.net/doc/2a1906219.html, 用户登录到域时所使用的登录名称是：变量b@https://www.360docs.net/doc/2a1906219.html, -samid %b 用户在win2000之前的操作系统上登录到域是所使用的登录名称是：变量b -pwd %c 用户登录密码是：变量c -fn %e 用户名：变量e -ln %d 用户姓：变量d -dept %f 用户所属部门：变量f –office %g 用户办公室：变量g -tel %h 用户电话号码：变量h -title %i 用户职务：变量i -email %j 用户电子邮件地址：变量j -mustchpwd yes 用户下次登录是否必须更改密码。Yes -canchpwd yes 用户是否可以更改密码？ Yes

用批处理批量添加域用户

★浏览次数：1,111 次★发布日期:2012年11月30日 当前位置: 悟软 > 学习教程 > 文章正文 用批处理批量添加域用户 文章标签: Office, windows域, word, 域控制器, 局域网, 批处理 在局域网中使用windows域的优势有很多，个人感觉域的管理其实不复杂，最麻烦的是新建域是添加用户的过程，几十个用户手工慢慢来添加还好说，如果是上百个的话恐怕就没那么容易了，而且还会出错。这里介绍一种通过批处理文件批量添加域用户的方法。 一、准备工作 1、notepad文本编辑器 2、准备一份员工工号和姓名对照的电子版（本例中以员工工号作为登录名） 二、操作步骤 1、将电子版工号姓名表格整理一下，只留下工号和姓名。选择工号和姓名这两列复制到一个txt文件中命名为adduser.txt。 2、使用notepad的列选功能将文档中的多余空格删除，让姓名和工号直接只留下一个空格。 3、使用notepad的列选功能将员工的姓和名分别复制出来成为单独的两列。下图中从左向右分别是将来用户的登陆名、显示名称、姓、名

4、接下来这条cmd命令是重点 For /F “tokens=1,2,3,4″ %%a in (adduser.txt) do dsadd user CN=%%a,OU=htsc,DC=htsc,DC=zz -upn %%a@htsc.zz -display %%b -ln %%c -fn %%d -pwd %%a -pwdneverexpires yes -acctexpires never -desc %%b 其中红色字体部分需要根据环境自行修改 先来解释一下命令内容： tokens=1,2,3,4这段是声明这里有4个变量。分别是%%a,%%b, %%c, %%d。分别对应txt中登陆名、显示名称、姓、名列。 %%a in (adduser.txt) 这段是表示全部变量的来源。这里就是指变量都是来源于之前保存当前目录下的txt文件。 do dsadd user这个是添加创建用户命令。 CN=%%a,OU=htsc,DC=htsc,DC=zz 表示所创建用户的路径 -upn %%a@htsc.zz”这句是指所要用户的upn后缀。 -display %%b这句是指所创建用户的显示名称 -desc %%b 指定要添加的用户描述 –ln %%c是指用户的姓 –fn %%d是指用户的名 -pwd %%a这个是指用户的密码。我设置的是和登录名一样。其他的密码也是可以设置的

域控制器上设置用户配置文件类型(本地、漫游、强制)

有四个类型，分别是本地、漫游、强制、临时。本地就是你的配置文件保存在本地计算机。漫游就是保存在你域控的文件夹中，强制也是保存在域控上，不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上，也就是你做的更改不会保存到域控中。比如你要在桌面上新建一个文档，重启后就没有了。临时是遇到系统故障，或磁盘空间不足，系统就会临时建立一个配置文件，同样也是不保存的。 实验环境 使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图

2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。 3、进一步权限设置，如图

这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图

192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。 现在配置基本完成，我们从客户端登录一下试试看

如何复制用户配置文件

如何复制用户配置文件：在域的部署活动中，客户端经常遇到一个问题，就是在用户登录到域以后，如何保持原有的桌面环境或者说桌面设置。一般来说可以考虑用复制原有的用户配置文件的方法。这个方法脱胎于漫游配置文件的复制，也就是说可以将本地配置文件复制到网络上，作为漫游配置文件的“范本”。这个方法也可以用于调试个别软件权限设置的场景。例如，一些企业自行开发的程序或者某些并不太规范的第三方软件（时常碰到不是吗？），管理员想方设法的赋予了注册表子键和软件存储目录的权限，但软件在domain user的环境下就是无法正常运行，此时也可以考虑复制原有的用户配置文件。相关的文章请参考《让软件适用于域环境》https://www.360docs.net/doc/2a1906219.html,/logs/4888573.html 好，下面我来描述一下配置文件的复制方法： 1. 在控制面板中打开“系统”。 2. 在“高级”选项卡上的“用户配置文件”下，单击“设置”。 3. 单击“储存在本机上的配置文件”下要复制的用户配置文件，然后单击“复制到”。 4. 在“将配置文件复制到”中，键入新配置文件的位置，或者单击“浏览”选择路径。 5. 单击“允许使用”上的“更改”。 6. 在“选择用户或组”对话框的“输入要选择的对象名称”中，添加用户、组或内置安全性原则，或者单击“对象类型”以选择一个对象类型。 要指定欲搜索的域，请单击“选择用户或组”对话框中的“位置”，然后选择所需的域。 要进一步缩小搜索范围，请单击“选择用户或组”对话框中的“高级”。 7. 单击“确定”。 gnaw0725注: 在复制配置文件的操作中，需要注意如下几点 1.要保障复制过程的顺利进行，避免出现文件占用的情况，最好是能使用第三方的、是当前计算机上Administrators 组成员的账户。 也就是说记不要是复制到的用户账户，也不要是被复制的用户账户。 2.您可以可以考虑使用二次登陆的方式，在当前环境下以管理员身份执行复制动作，要从命令行打开“系统”属性对话框，请键入： runas /user:computername\Administrator "rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl" 3.在允许使用这个栏目，一定要将账户名称设置为新的账户或者说是目标账户，否则新的账户将会保持和原有账户一样的权限。如果说被复制的原来的账户是管理员账户（大多数情况如此），那就会存在安全性问题。 4.不要尝试用“Windows 资源管理器”或任何其他文件管理工具来复制用户配置文件，这样可能导致权限混乱，进而影响到账户的登录。

创建AD域及用户添加管理

AD域 域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD：活动目录(Active Directory)主要提供以下功能： ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域： 1.依次打开：开始-运行-输入：Dcpromo 2.下一步，选择自定义

3.选中域控制器(Active Directory)下一步

4.然后会让你安装dns和配置网络, 5.把网卡的网线接好，处于已经连接状态，下一步 6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:

域用户帐户和组的管理

域用户帐户和组的管理

域用户帐户和组的管理 （以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同） 很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。 附注： 在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元，点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后，原来的本地用户和组帐号都没有了，这些对象会变成域用户帐号和域本地组，并被放在该“users”管理单元内。

批量添加域用户

批量添加域用户 一、 AD用户帐户复制 1、在“AD域和计算机”中建一个作为样板的用户，如S1。 2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。 3、在S1上/右键/复制，输入名字和口令。 说明： 1、只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。 2、帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下： 二、比较csvde与ldifde csvde: 逗号分隔符目录交换工具 允许您使用 CSV 源文件将新对象导入到 Active Directory 中；此外，该工具还提供了将现有对象导出到 CSV 文件的功能。CSVDE 不能用于修改现有对象；在导入模式下使用此工具时，您只能创建全新的对象。 使用 CSVDE 导出现有对象的列表相当简单。将 Active Directory 对象导出到名为 ad.csv 的文件,方法如下：csvde –f ad.csv –f 开关表示后面为输出文件的名称。但是您必须注意，根据环境的不同，此基本语法可能会生成不实用的大型输出文件。要将此工具限制为仅导出特定组织单位 (OU) 中的对象，可以将语句修改为如下形式：

csvde –f UsersOU.csv –d u=Users,dc=contoso,dc=com 进一步假定您只对将用户对象导出到 CSV 文件感兴趣。如果是那样的话，您可以添加–r 开关和–l 开关，前者允许指定轻型目录访问协议 (LDAP) 筛选器进行搜索，后者可以限制导出的属性的数量（请注意以下所有内容位于一行）：csvde –f UsersOnly.csv –d u=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description 通过–i 开关，您可以将对象从源 CSV 文件导入到 Active Directory。但是，使用 CSVDE 创建用户对象存在一个关键限制：不能使用 CSVDE 设置用户密码。因此，应该避免使用 CSVDE 创建用户对象。 ldifde:轻型目录访问协议，互换格式目录交换 与 CSVDE 相比，此工具更强大，更灵活。除了可以创建新对象外，LDIFDE 还可以修改和删除现有对象，甚至扩展 Active Directory 架构。LDIFDE 虽然具有灵活性，但为了实现这种灵活性却必须要使用扩展名为 .ldf 的 LDIF 文件作为输出文件，这种文件与简单的 CSV 文件相比，格式更复杂。（只需少量操作就可以配置好用户密码，我稍后将对此进行介绍。） 我们从一个简单的示例开始，将某个 OU 中的用户导出到 LDF 文件中（请注意以下所有内容位于一行）： ldifde -f users.ldf -s https://www.360docs.net/doc/2a1906219.html, -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))" 与大多数命令行工具一样，您可以通过运行 LDIFDE /? 命令找到 LDIFDE 开关的完整说明。图 1介绍了我在此使用过的开关。（注意 CSVDE 和 LDIFDE 命令的开关实际上是相同的。） LDIFDE 的真正功能在于创建和操作对象。然而，进行此操作之前，您首先需要创建一个输入文件。以下语句创建两个名为 afuller 和 rking 的用户帐户；要创建该输入文件，请在记事本（或者您喜欢的纯文本编辑器）中输入以下文本，然后将其保存为 NewUsers.ldf： dn: CN=afuller, U=UsersOU, DC=contoso, DC=com changetype: add cn: afuller objectClass: user samAccountName: afuller dn: CN=rking, U=UsersOU, DC=contoso, DC=com changetype: add cn: rking

利用脚本批量添加域用户账户

2.4.6 利用脚本批量添加域用户账户 以上两种方法是比较常用的批量用户账户添加方法，但是不够灵活（不可以设置密码），而且在添加用户数量多时，输入的工作量也比较大。本节所介绍的WSH脚本方法相对来说，工作量比较小，但难度却要高许多，需要懂得一些基本的脚本语言。仅作选学参考。 【注意】以下脚本也需要在文本模式下，以英文输入方式输入，特别是其中的逗号和引号。其实这是代码输入的一般性常识。 WSH的全称是Windows Script Host，是一种支持ActiveX（COM）的独立脚本语言。WSH脚本程序本来是为了替代DOS时代的批处理文件而产生的，后来由于WSH的应用很广泛，已经不只是局限于批处理的替代品了。从Windows98开始，操作系统就已经自带了WSH，因此在Windows98或以上的操作系统中，可以不安装任何软件就能直接使用WSH。 WSH可以使用VBscript与Jscript，即使用的脚本语言与网页脚本是一样的。WSH文件的扩展名为vbs及js，分别用VBscript与Jscript作为编程脚本语言。还有一种脚本文件的扩展名是wsf，它是一种包含XML的文件，wsf文件中可以同时包含VBscript与Jscript两种语言。wsf文件中，可以使用多种脚本，需要一些XML标签来声明的，最基本的就是用＜script＞标签说明脚本的类型，另外最外层要用＜job＞标签声明任务。此处所介绍的不是这种支持XML 的脚本。 1. 利用WSH脚本中的循环功能实现批量创建用户帐号 用脚本批量添加用户账户的一个最大的好处就是代码输入工作量小，几行就完成了，而且还可以配置用户密码。但难度较大，而且用户名只能是有规律的，不可能针对每个用户具体指定用户名。现在假设要在grfw.local域的Sales组织单位中创建10个用户，用户名为User1、User2~User10。下面是这个示例的代码，用记事本程序以vbs或js扩展名格式保存，然后直接双击运行即可。Set objDomain = GetObject（"LDAP://dc=grfw,dc=local"）# 调用（也称绑定）名为grfw.local对象 Set objOU = objDomain.Create（"organizationalUnit", "ou=Sales"）# 创建一个名为Sales的组织单位。如果相应的组织单位已创建，则此语句不要，而要采用“Set objContainer = GetObject （"LDAP://OU=Sales,dc=grfw,dc=local"）”语句，否则会显示“对象已存在”错误信息。 Set objOU = GetObject（"LDAP://OU=Sales,dc=grfw,dc=local"）# 调用域名为grfw.local，组织单位为Sales对象 objOU.SetInfo # 保存组织单位信息 For i = 1 To 10 # 设置循环变量和级数 Set objUser = objContainer.Create（"User", "cn=UserNo" & i）# 在Users容器下创建UserNo1到UserNo10的用户账户 objUser.Put "sAMAccountName", "UserNo" & i # 把所得的“UserNo”变量值赋予给相应用户账户的sAMAccountName属性 objUser.SetInfo # 保存用户信息

创建AD域及用户添加管理

AD 域 域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD：活动目录(Active Directory)主要提供以下功能： ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域： 1.依次打开：开始-运行-输入：Dcpromo

2.下一步，选择自定义 3.选中域控制器(Active Directory)下一步

4.然后会让你安装dns和配置网络, 5.把网卡的网线接好，处于已经连接状态，下一步

域用户权限设置 (改变及装软件)

https://www.360docs.net/doc/2a1906219.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

域用户帐户和组的管理

域用户帐户和组的管理 2009-12-15 16:46:24| 分类：工作组和域| 标签：|举报|字号大中小订阅 （以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同） 很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。 附注： 在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。 打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“+”号展开该域