AD-用户配置文件

AD配置说明1. LDAP管理1.1打开：基础设置­访问控制­LDAP管理1.2属性说明属性名 描述 备注名称 用户自定义类型 AD服务器类型服务器 服务器连接地址 例：ldap://192.168.1.100端口 服务器连接端口 默认：389登录帐号 AD域帐号 AD域真实存在AD域用户密码 AD域帐号的密码BaseDN 基位置(dc:域名,ou:组织,cn:部门) 例：CN=Users,DC=domainname,DC=com搜索过滤器 过滤条件 例：(objectClass=user) 允许定期同步更新 是否允许本系统与Ad域同步更新YES或NO1.3配置示例1.3.1 AD服务器1.3.2配置如图所示1.3.3连接测试1.3.4保存即可2、域用户管理2.1 打开：基础设置­访问控制­域用户列表2.2 查看 域的所有用户（下拉列表数据是LDAP管理数据）2.3 对AD用户手动导入选中要导入的用户：点击导入：设置导入到指派的机构和用户角色点击导入：弹出导入结果查看导入的用户：基础设置‐访问控制‐用户管理2.4注：导入的密码与登录帐号一样3、AD同步更新设置3.1 前提条件基础设置‐访问控制‐LDAP管理，列状态=”Success”和允许定期同步更新=”是”,如图示：3.2【状态=”Success”】配置选中某行数据，点击”连接测试”按钮,显示”连接测试成功”后，状态会变成” Success”3.3【允许定期同步更新=”是”】配置：编辑‐允许定期同步更新 勾上—保存3.4 设置AD同步更新日程（周期）3.4.1 打开：基础设置—系统工具—定期任务管理3.4.2 新增同步日程任务3.4.3 选择【活动目录(AD)同步更新】‐‐【确认选择】3.4.4 保存即可3.4.5 备注说明AD用户更新信息，同步更新后，用户相关信息会自动更新。

AD用户添加，同步更新后，自动添加到本系统。

用户账户配置文件是指存储用户个人信息和偏好设置的文件，用于在计算机系统中对用户进行身份验证和提供个性化的使用体验。

用户账户配置文件的记录格式通常包括以下内容：1. 用户基本信息在用户账户配置文件中，常常会记录用户的基本信息，如尊称、性莂、出诞辰期、通联方式等。

这些信息用于识别用户的身份，并在需要时进行必要的验证。

2. 登入凭证用户账户配置文件还会存储用户的登入凭证，包括用户名、密码以及可能的安全提示问题和答案。

这些信息用于用户登入系统时进行身份验证，确保只有合法的用户可以访问其账户信息。

3. 偏好设置用户账户配置文件还包括用户的偏好设置，比如语言偏好、时区偏好、界面风格偏好等。

这些偏好设置可以在用户登入时加载，以提供个性化的使用体验。

4. 安全设置为了保护用户的账户安全，配置文件中通常会包括与账户安全相关的设置，比如密保问题、双因素认证设置、登入记录等。

这些设置可以帮助用户加强账户的安全性。

5. 访问权限针对不同用户角色和权限的需求，用户账户配置文件也会记录用户的访问权限设置，包括对系统资源、应用程序和文件的访问权限等。

用户账户配置文件的记录格式通常以一定的结构组织，可以是文本文件、XML文件、JSON文件等格式。

不同的系统和应用程序可能采用不同的记录格式，但它们通常都会遵循一定的规范，以确保用户信息的完整性、安全性和可读性。

需要注意的是，用户账户配置文件中包含的信息涉及用户的隐私和安全，因此在处理和存储这些文件时需要严格遵守相关的安全规范和法律法规，确保用户信息不被泄露或滥用。

开发人员和系统管理员也需要定期对用户账户配置文件进行备份和修订，以应对可能的数据丢失或损坏情况，确保用户信息的安全可靠性。

用户账户配置文件的记录格式涵盖了用户基本信息、登入凭证、偏好设置、安全设置和访问权限等内容，其结构和规范性对于用户信息的完整性和安全性至关重要。

我们在处理和存储用户账户配置文件时，需要密切关注其格式、规范和安全保障，以保护用户隐私和确保系统的安全稳定运行。

. Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导”。

nextnext默认即可。

next nextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入"kelaode"，你们自定。

默认得，nextnext 确定。

这里我不配置dns，根据自己的情况配置。

next 默认即可。

nextnext next这个需要一些时间。

完成。

重起。

二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定，网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定，禁用命令提示符，禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定，在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下如，添加intl.cpl 为只显示“字体”，添加main.cpl为显示键盘和鼠标！设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定，如下图：打印机添加设定在“控制面板——打印机”中，可进行禁止用户添加、删除打印机设定，如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置文件夹重定向1.网络设定：注意DNS设定！2.重定向文件夹权限设定此处注意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。

AD开发用户(User)属性完全手册（AD User）属性的含义：属性名：objectClass，属性值： top属性的含义：属性名：objectClass，属性值： person属性的含义：属性名：objectClass，属性值： organizationalPerson 属性的含义：属性名：objectClass，属性值： user属性的含义：属性名：distinguishedName，属性值： CN=6,OU=建筑部a,OU=设计研究院,DC=zdrmoss,DC=com属性的含义：属性名：instanceType，属性值： 4属性的含义：属性名：uSNCreated，属性值： System.__ComObject属性的含义：属性名：uSNChanged，属性值： System.__ComObject属性的含义：属性名：objectGUID，属性值： System.Byte[]属性的含义：属性名：userAccountControl，属性值： 544属性的含义：属性名：badPwdCount，属性值： 0属性的含义：属性名：codePage，属性值： 0属性的含义：属性名：countryCode，属性值： 156属性的含义：属性名：badPasswordTime，属性值： System.__ComObject 属性的含义：属性名：lastLogoff，属性值： System.__ComObject属性的含义：属性名：lastLogon，属性值： System.__ComObject属性的含义：属性名：pwdLastSet，属性值： System.__ComObject属性的含义：属性名：primaryGroupID，属性值： 513属性的含义：属性名：objectSid，属性值： System.Byte[]属性的含义：属性名：accountExpires，属性值： System.__ComObject 属性的含义：属性名：logonCount，属性值： 0属性的含义：属性名：sAMAccountType，属性值： 805306368属性的含义：属性名：objectCategory，属性值：CN=Person,CN=Schema,CN=Configuration,DC=zdrmoss,DC=com属性的含义：属性名：nTSecurityDescriptor，属性值： System.__ComObject属性含义：用户登录名：属性名：userPrincipalName，属性值： DDD属性的含义：公共名称（通常以此属性标识该用户，name的值相同）属性名：cn，属性值： 6属性的含义：名称（通常以此属性标识该用户，同公共名称CN）属性名：name，属性值： 6属性的含义：用户登录名（Windows2000前）属性名：sAMAccountName，属性值： 1属性的含义：姓属性名：sn，属性值： 3属性的含义：（？？？）属性名：c，属性值： CN属性的含义：市县属性名：l（此属性名为L），属性值：乌鲁木齐属性的含义：省属性名：st，属性值： 15属性的含义：职务属性名：title，属性值： 16属性的含义：描述属性名：description，属性值： 11属性的含义：邮政编码属性名：postalCode，属性值： 123456属性的含义：邮政信箱属性名：postOfficeBox，属性值： 2222222222222属性的含义：电话号码(T)属性名：telephoneNumber，属性值： 13属性的含义：传真属性名：facsimileTelephoneNumber，属性值： 781属性的含义：名属性名：givenName，属性值： 2属性的含义：英文缩写属性名：initials，属性值： 45属性的含义：创建时间属性名：whenCreated，属性值： 2008-12-1 9:48:53属性的含义：修改时间属性名：whenChanged，属性值： 2008-12-1 10:09:34属性的含义：显示名称属性名：displayName，属性值： 17属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 444属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 3333属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 2222属性的含义：国家属性名：co，属性值：中国属性的含义：部门属性名：department，属性值： 4555属性的含义：公司属性名：company，属性值： 5666属性的含义：街道属性名：streetAddress，属性值：青年路属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 654属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 543属性的含义：网页属性名：wWWHomePage，属性值： 属性的含义：用户登录名属性名：userPrincipalName，属性值： ddd@属性的含义：IP电话属性名：ipPhone，属性值： 789属性的含义：其它IP电话属性名：otherIpPhone，属性值： dsssssss 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：电子邮件属性名：mail，属性值： 12属性的含义：家庭电话属性名：homePhone，属性值： 678属性的含义：移动电话属性名：mobile，属性值： 670属性的含义：其它移动电话属性名：otherMobile，属性值： ddddd属性的含义：其它传真属性名：otherFacsimileTelephoneNumber，属性值： dddddd属性的含义：寻呼机属性名：pager，属性值： 679属性的含义：其它寻呼机属性名：otherPager，属性值： 444444444memberOf 隶属于userAccountControl 帐户行为控制标志badPwdCount 用户尝试错误密码的次数badPasswordTime 用户最后一次尝试错误密码的时间lastLogon 用户最后登陆时间primaryGroupID 所属组的IDaccountExpires 帐户到期日期导出上面属性的代码：通过选择树中的节点，查询所有user的属性名称和属性值：DirectoryEntry selNode =ADHelper.GetDirectoryEnter.GetDE_EnyUser(this.TreeView1.SelectedNode. Value.ToString());this.txtdistinguishedName.Text =selNode.Properties["distinguishedName"].Value.ToString();//this.TextBox3.Text = "所有属性的名称和属性值列表如下：";foreach (string propertyName inselNode.Properties.PropertyNames){this.TextBox3.Text += "属性名：" + propertyName + "，属性值： " + selNode.Properties[propertyName][0].ToString(); this.TextBox3.Text += Environment.NewLine;}。

第一步：
在AD中新建一个OU叫ftp，在OU中新建用户，用户名分别为ftp1，ftp2，ftpadmin三个用户。

新建用户
创建完成后
2、右击ftp做委派控制，选择ftpadmin,做“读取所有用户信息”委派。

第二步：建立目录
在d盘建立文件夹ftp，在ftp下分别建立用户名所对应的文件夹ftp1，ftp2 第三步：配置IIS-ftp的操作
1、新建ftp站点
2、在用户隔离先项中选择“用Active Directory隔离用户”见图
3、点击下一步，用户名输入ftpadmin，并输入密码，点击浏览选择域，见图
第四步：对ADSI的设置
1、在命令行模式下输入IISftp回车后提示“此脚本不能与WScript工作”不管它，点确定进入下一个提示whould you like to ………….for VBscript点击“是”下一提示“成功注册了CScript”
2、安装支持工具：打开Windows2003安装盘下SUPPORT文件夹—下的TOOLS文件夹双击安装支持工具suptools.msi文件（默认安装即可）
3、安装成功后在运行中输入adsiedit.msc
4、展开Domain找到你建的OU＝ftp展开分别设置ftp1和ftp2用户属性.
5、在cn=ftp1用户的属性中找到二项为msIIS-ftpDir（将其值设置为ftp1）和msIIS-ftpRoot（将其值设置为d:\ftp）
6、在cn=ftp2用户的属性中设置msIIS-ftpDir（将其值设置为ftp2）和msIIS-ftpRoot（将其值设置为d:\ftp）
测试验证。

一、文件夹重定向特殊文件：Application Data 、桌面、My Documents 、「开始」菜单。

这些文件可以重定向。

1.打开组策略编辑器，点击“用户配置→Windows设置→文件夹重定向”，选择“我的文档”，右键点击选择“属性”。

选择“设置”中的“基本-将每个人的文件夹重定向到同一位置”，则域中应用该策略的用户将使用同一服务器的同一共享文件夹保存域用户文档。

也可以根据具体需要选择“高级-为不同用户组指定位置”，为不同的用户组设置不同的重定向设置，方法和“基本”相同。

应用于站点、域、OU。

2.选择“目标文件夹位置”，我们选择“在根目录路径下为每一用户创建一个文件夹”，“根路径”输入所要保存的网络共享文件夹路径\\192.168.0.1\document（必须是UNC路径），用户对此共享文件夹Document必须有足够的访问权限。

点击“设置”选项卡，设置文件夹的访问权限:1)共享权限为everyone 完全控制；2）‘安全’选项中creator/owner 和local system 有完全控制的权限，administrator和everyone 无权限，需要访问该文件夹的网络用户有列举文件夹/读取数据，创建文件夹/追加数据。

3.组策略刷新后，用户在客户端登录，右击“我的文档”，选择“属性”，可以看到文件夹重定向到\\192.168.0.1\document\lucy我的文档文件夹位置。

此时可以确定域用户文档已经重定向成功。

测试对客户端“我的文档”做改动保存后，服务器中文档内信息也能相应改动，但如果在用户改动文档还未保存时，服务器就意外关机，则文档改动内容无法保存到服务器，但仍会在本地客户端保存，等服务器启动后会自动提示一个文件同步处理对话框，但是会提示文件冲突。

按要求保存后，所做的改动就会保存到服务器的共享文件夹中。

使用Administrator访问该共享文件夹中lucy的文档，提示“拒绝访问”，只有lucy本人能够访问，这样就确保了用户文档的安全性。