Windows AD域用户属性对照表(综合整理)

WindowsAD域用户属性对照表（综合整理）Windows AD域用户属性对照表(综合整理)“常规”标签姓Sn名Givename英文缩写Initials显示名称displayName描述Description办公室physicalDeliveryOfficeName电话号码telephoneNumber电话号码：其它otherTelephone 多个以英文分号分隔电子邮件Mail网页wWWHomePage网页：其它url 多个以英文分号分隔“地址”标签国家/地区 C 如：中国CN，英国GB省/自治区St市/县L街道streetAddress邮政信箱postOfficeBox邮政编码postalCode“帐户”标签用户登录名userPrincipalName 形如：用户登录名（以前版本）sAMAccountName 形如：S1登录时间logonHours登录到userWorkstations 多个以英文逗号分隔用户帐户控制userAccountControl (启用：512，禁用：514 -- 512 + 2，密码永不过期：66048 -- 65536 + 512 ,用户禁用：66050 -- 65536 + 512 + 2)帐户过期accountExpires“配置文件”标签配置文件路径profilePath登录脚本scriptPath主文件夹：本地路径homeDirectory连接homeDrive到homeDirectory“电话”标签家庭电话homePhone (若是其它，在前面加other。

)寻呼机Pager 如：otherhomePhone。

移动电话mobile 若多个以英文分号分隔。

传真FacsimileTelephoneNumberip电话ipPhone注释Info“单位”标签职务Title部门Department公司Company“隶属于”标签隶属于memberOf用户组的DN不需使用引号，多个用分号分隔“拨入”标签远程访问权限（拨入或VPN）msNPAllowDialin 允许访问值：TRUE拒绝访问值：FALSE回拨选项msRADIUSServiceType由呼叫方设置或回拨到值：4总是回拨到msRADIUSCallbackNumber“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签属性显示名称属性名称First Name givenNameLast Name snInitials initialsDescription descriptionOffice physicalDeliveryOfficeNameTelephone Number telephoneNumberTelephone: Other otherTelephoneE-Mail mailWeb Page wwwHomePageWeb Page: Other url帐号属性：显示名称属性名称UserLogon Name userPrincipalName User logon name (pre-Windows 2000)sAMAccountname Logon Hours logonHoursLog On To logonWorkstation Account is locked out userAccountControl User must change password at next logon pwdLastSetUser cannot change password N/AOther Account Options userAccountControl Account Expires accountExpires地址属性显示名称属性名称Street streetAddressP.O.Box postOfficeBoxCity lState/Province stZip/Postal Code postalCodeCountry/Region c, co, and countryCode成员属性显示名称属性名称Member of memberOfSet Primary Group primaryGroupID组织属性显示名称属性名称Title titleDepartment department Company company Manager:Name managerDirect Reports directReports外型属性显示名称属性名称Profile Path profilePath Logon Script scriptPath Home Folder: Local Path homeDirectory Home Folder: Connect homeDrive Home Folder: To homeDirectory 电话相关属性显示名称属性名称Home telephoneNumberHome: Other otherTelephonePager pagerPager: Other pagerOtherMobile mobileMobile: Other otherMobileFax facsimileTelephoneNumberFax: Other otherFacsimileT elephoneNumberIP phone ipPhoneIP phone: Other otherIpPhoneNotes info。

AD配置说明1. LDAP管理1.1打开：基础设置­访问控制­LDAP管理1.2属性说明属性名 描述 备注名称 用户自定义类型 AD服务器类型服务器 服务器连接地址 例：ldap://192.168.1.100端口 服务器连接端口 默认：389登录帐号 AD域帐号 AD域真实存在AD域用户密码 AD域帐号的密码BaseDN 基位置(dc:域名,ou:组织,cn:部门) 例：CN=Users,DC=domainname,DC=com搜索过滤器 过滤条件 例：(objectClass=user) 允许定期同步更新 是否允许本系统与Ad域同步更新YES或NO1.3配置示例1.3.1 AD服务器1.3.2配置如图所示1.3.3连接测试1.3.4保存即可2、域用户管理2.1 打开：基础设置­访问控制­域用户列表2.2 查看 域的所有用户（下拉列表数据是LDAP管理数据）2.3 对AD用户手动导入选中要导入的用户：点击导入：设置导入到指派的机构和用户角色点击导入：弹出导入结果查看导入的用户：基础设置‐访问控制‐用户管理2.4注：导入的密码与登录帐号一样3、AD同步更新设置3.1 前提条件基础设置‐访问控制‐LDAP管理，列状态=”Success”和允许定期同步更新=”是”,如图示：3.2【状态=”Success”】配置选中某行数据，点击”连接测试”按钮,显示”连接测试成功”后，状态会变成” Success”3.3【允许定期同步更新=”是”】配置：编辑‐允许定期同步更新 勾上—保存3.4 设置AD同步更新日程（周期）3.4.1 打开：基础设置—系统工具—定期任务管理3.4.2 新增同步日程任务3.4.3 选择【活动目录(AD)同步更新】‐‐【确认选择】3.4.4 保存即可3.4.5 备注说明AD用户更新信息，同步更新后，用户相关信息会自动更新。

AD用户添加，同步更新后，自动添加到本系统。

AD域参数1. 什么是AD域参数？AD（Active Directory）域参数是指在Windows操作系统中，用于配置和管理域环境的各种参数设置。

AD域参数包括了许多与域、用户、计算机、组织单位等相关的配置项，通过这些参数的设置，管理员可以灵活地管理和控制域中的资源和权限。

2. AD域参数的作用和重要性AD域参数的作用主要体现在以下几个方面：2.1 用户管理AD域参数允许管理员对用户账户进行各种设置，如密码策略、账户锁定策略、密码复杂性要求等。

管理员可以根据实际需求，灵活地调整这些参数，以提高账户的安全性和管理的便捷性。

2.2 计算机管理通过AD域参数，管理员可以对域中的计算机进行管理和配置。

例如，可以设置计算机的自动登录、远程桌面访问权限、计算机加入域的方式等。

这些参数的设置可以提高计算机的安全性和管理效率。

2.3 组织单位管理在AD域中，可以创建组织单位（OU）来对域中的资源进行组织和管理。

通过AD域参数，管理员可以对OU进行各种设置，如权限控制、策略应用等。

这些参数的设置可以更好地管理和控制域中的资源。

2.4 安全性管理AD域参数还包括了一些与安全性相关的设置，如域控制器安全策略、域安全策略等。

通过这些参数的设置，管理员可以提高域的安全性，并防止未经授权的访问和操作。

2.5 集中管理和控制AD域参数的设置是在域控制器上进行的，通过集中管理和控制这些参数，管理员可以方便地对整个域环境进行管理和配置。

这种集中管理的方式可以提高管理效率，减少重复工作，降低管理成本。

3. 常见的AD域参数3.1 密码策略密码策略是指规定用户账户密码的复杂性要求和安全性控制的一组规则。

通过密码策略的设置，管理员可以要求用户设置复杂的密码、定期更改密码、限制密码重用等，以提高账户的安全性。

3.2 账户锁定策略账户锁定策略是指当用户连续多次输入错误密码时，系统自动锁定用户账户的设置。

通过账户锁定策略的设置，管理员可以限制用户连续尝试登录的次数，防止暴力破解密码的攻击。

一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Pert h。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

然后在共享文件夹中进行权限分配，如下图所示，我们只把共享文件夹的读权限授予了用户张建国。

•示例准备•知识了解•读取AD域信息示例•DirectorySearcher.Filter属性扩充说明•用户属性扩充说明(含图文属性对照)•常规•地址•帐户•电话•组织•示例下载•新建层次关系如下：•下面我们开始连接域，并读取出示例准备中键好的组织单位和用户首先编写代码用LDAP尝试对域进行访问形式：LDAP://Domain#region## 是否连接到域/// <summary>/// 功能：是否连接到域/// 作者：Wilson/// 时间：2012-12-15////zh-cn/library/system.directoryservices.directoryentry.path(v =vs.90).aspx/// </summary>/// <param name="domainName">域名或IP</param>/// <param name="userName">用户名</param>/// <param name="userPwd">密码</param>/// <param name="entry">域</param>/// <returns></returns>private bool IsConnected(string domainName, string userName, string userPwd, out DirectoryEntry domain){domain = new DirectoryEntry();try{domain.Path = string.Format("LDAP://{0}", domainName);ername = userName;domain.Password = userPwd;domain.AuthenticationType = AuthenticationTypes.Secure;domain.RefreshCache();return true;}catch(Exception ex)LogRecord.WriteLog("[IsConnected方法]错误信息：" + ex.Message); return false;}}#endregion传用参数，调IsConnected方法，结果如下•连接上AD域后，接着我们找到根OU#region## 域中是否存在组织单位/// <summary>/// 功能：域中是否存在组织单位/// 作者：Wilson/// 时间：2012-12-15/// </summary>/// <param name="entry"></param>/// <param name="ou"></param>/// <returns></returns>private bool IsExistOU(DirectoryEntry entry, out DirectoryEntry ou) {ou = new DirectoryEntry();try{ou = entry.Children.Find("OU=" + txtRootOU.Text.Trim());return (ou != null);catch(Exception ex){LogRecord.WriteLog("[IsExistOU方法]错误信息：" + ex.Message);return false;}}#endregion传入以数，调用IsExistOU方法，结果如下•下面来开始读取组织单位及用户的信息。

AD中用户帐户属性userAccountControl在打开用户帐户的属性后，单击帐户选项卡，然后选中或清除“帐户选项”对话框中的复选框，则会将数值分配给UserAccountControl属性。

分配给该属性的值通知Windows 已启用了哪些选项。

下表列出了可以分配的标志。

不能针对用户或计算机对象设置某些值，原因是这些值只能由目录服务设置或重置。

若要禁用用户的帐户，请将UserAccountControl属性设置为0x0202 (0x002 + 0x0200)。

在十进制中，它是514 (2 + 512)。

属性标志说明∙SCRIPT - 将运行登录脚本。

∙ACCOUNTDISABLE - 禁用用户帐户。

∙HOMEDIR_REQUIRED - 需要主文件夹。

∙PASSWD_NOTREQD - 不需要密码。

∙PASSWD_CANT_CHANGE - 用户不能更改密码。

可以读取此标志，但不能直接设置它。

∙ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。

∙TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。

此帐户为用户提供访问该域的权限，但不提供访问信任该域的任何域的权限。

有时将这种帐户称为“本地用户帐户”。

∙NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。

∙INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐户。

∙WORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或Windows 2000Server 并且属于该域的计算机的计算机帐户。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

AD开发用户(User)属性完全手册（AD User）属性的含义：属性名：objectClass，属性值： top属性的含义：属性名：objectClass，属性值： person属性的含义：属性名：objectClass，属性值： organizationalPerson 属性的含义：属性名：objectClass，属性值： user属性的含义：属性名：distinguishedName，属性值： CN=6,OU=建筑部a,OU=设计研究院,DC=zdrmoss,DC=com属性的含义：属性名：instanceType，属性值： 4属性的含义：属性名：uSNCreated，属性值： System.__ComObject属性的含义：属性名：uSNChanged，属性值： System.__ComObject属性的含义：属性名：objectGUID，属性值： System.Byte[]属性的含义：属性名：userAccountControl，属性值： 544属性的含义：属性名：badPwdCount，属性值： 0属性的含义：属性名：codePage，属性值： 0属性的含义：属性名：countryCode，属性值： 156属性的含义：属性名：badPasswordTime，属性值： System.__ComObject 属性的含义：属性名：lastLogoff，属性值： System.__ComObject属性的含义：属性名：lastLogon，属性值： System.__ComObject属性的含义：属性名：pwdLastSet，属性值： System.__ComObject属性的含义：属性名：primaryGroupID，属性值： 513属性的含义：属性名：objectSid，属性值： System.Byte[]属性的含义：属性名：accountExpires，属性值： System.__ComObject 属性的含义：属性名：logonCount，属性值： 0属性的含义：属性名：sAMAccountType，属性值： 805306368属性的含义：属性名：objectCategory，属性值：CN=Person,CN=Schema,CN=Configuration,DC=zdrmoss,DC=com属性的含义：属性名：nTSecurityDescriptor，属性值： System.__ComObject属性含义：用户登录名：属性名：userPrincipalName，属性值： DDD属性的含义：公共名称（通常以此属性标识该用户，name的值相同）属性名：cn，属性值： 6属性的含义：名称（通常以此属性标识该用户，同公共名称CN）属性名：name，属性值： 6属性的含义：用户登录名（Windows2000前）属性名：sAMAccountName，属性值： 1属性的含义：姓属性名：sn，属性值： 3属性的含义：（？？？）属性名：c，属性值： CN属性的含义：市县属性名：l（此属性名为L），属性值：乌鲁木齐属性的含义：省属性名：st，属性值： 15属性的含义：职务属性名：title，属性值： 16属性的含义：描述属性名：description，属性值： 11属性的含义：邮政编码属性名：postalCode，属性值： 123456属性的含义：邮政信箱属性名：postOfficeBox，属性值： 2222222222222属性的含义：电话号码(T)属性名：telephoneNumber，属性值： 13属性的含义：传真属性名：facsimileTelephoneNumber，属性值： 781属性的含义：名属性名：givenName，属性值： 2属性的含义：英文缩写属性名：initials，属性值： 45属性的含义：创建时间属性名：whenCreated，属性值： 2008-12-1 9:48:53属性的含义：修改时间属性名：whenChanged，属性值： 2008-12-1 10:09:34属性的含义：显示名称属性名：displayName，属性值： 17属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 444属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 3333属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 2222属性的含义：国家属性名：co，属性值：中国属性的含义：部门属性名：department，属性值： 4555属性的含义：公司属性名：company，属性值： 5666属性的含义：街道属性名：streetAddress，属性值：青年路属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 654属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 543属性的含义：网页属性名：wWWHomePage，属性值： 属性的含义：用户登录名属性名：userPrincipalName，属性值： ddd@属性的含义：IP电话属性名：ipPhone，属性值： 789属性的含义：其它IP电话属性名：otherIpPhone，属性值： dsssssss 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：电子邮件属性名：mail，属性值： 12属性的含义：家庭电话属性名：homePhone，属性值： 678属性的含义：移动电话属性名：mobile，属性值： 670属性的含义：其它移动电话属性名：otherMobile，属性值： ddddd属性的含义：其它传真属性名：otherFacsimileTelephoneNumber，属性值： dddddd属性的含义：寻呼机属性名：pager，属性值： 679属性的含义：其它寻呼机属性名：otherPager，属性值： 444444444memberOf 隶属于userAccountControl 帐户行为控制标志badPwdCount 用户尝试错误密码的次数badPasswordTime 用户最后一次尝试错误密码的时间lastLogon 用户最后登陆时间primaryGroupID 所属组的IDaccountExpires 帐户到期日期导出上面属性的代码：通过选择树中的节点，查询所有user的属性名称和属性值：DirectoryEntry selNode =ADHelper.GetDirectoryEnter.GetDE_EnyUser(this.TreeView1.SelectedNode. Value.ToString());this.txtdistinguishedName.Text =selNode.Properties["distinguishedName"].Value.ToString();//this.TextBox3.Text = "所有属性的名称和属性值列表如下：";foreach (string propertyName inselNode.Properties.PropertyNames){this.TextBox3.Text += "属性名：" + propertyName + "，属性值： " + selNode.Properties[propertyName][0].ToString(); this.TextBox3.Text += Environment.NewLine;}。