Linux2 添加新用户

Linux2 添加新用户

图形化的管理用户帐户工具，主要是使用系统本身提供的【用户管理者】来完成的。图形化的操作，直观、形象、简单，适合于初学者。

例如，在桌面上执行【系统】|【管理】|【用户和组群】命令，如图6所示。然后，系统将打开【用户管理者】窗口，如图7所示。

图6 执行【用户和组群】命令图7 【用户管理者】窗口要新建一个用户，可以单击【用户管理者】窗口中工具栏上面的【添加用户】按钮，就会弹出一个【创建新用户】的对话框，如图8所示。

图8 添加新用户

在【创建新用户】对话框中，用户可以输入相关的用户信息。其各文本框含义如下：

【用户名】文本框输入用户要创建的用户帐户的名字。

域用户与组账户的管理

一、实验目的 1．添加域用户 2．用户的漫游 3．组织单元委派控制 4．AGDLP实现组的嵌套 二、实验步骤及结果分析 1．添加域用户 添加域用户常见的几种方法： 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器，运行dsa.msc 打开Active Directory用户和计算机，在“域名”（如https://www.360docs.net/doc/9712975365.html,）处右击，“新建组织单位”，如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”（DQA）项上右击选择“新建用户”，输入新建用户的“用户登录名”，（如hero）。下一步，输入7位以上的安全密码，一直下一步，完成新建用户。

注：如果想要将密码设为简单密码或密码为空，首先要在“开始”“程序”“管理工具”“默认域安全设置”，打开“默认域安全设置”，再依次展开“安全设置”“帐户策略”“密码策略”，将“密码必须符合复杂性要求”禁用，并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。

1.1.3.删除用户。只需直接在相应的“组织单位”（如DQA ）中的用户（如hero）上右击，选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户，常用的命令有：dsadd 添加账户或组；dsmod 修改用户或组的信息；dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如：dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入，只须在上命令后加入一些其它信息的命令，如：-email xx@https://www.360docs.net/doc/9712975365.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如：dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/9712975365.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后，在根DC查看用户属性的信息会与原属性有明显不同。

在域里面添加权限

公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.360docs.net/doc/9712975365.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

2. 使用dsadd批量录入域用户

使用dsadd批量录入域用户 一.打开业务部员工名单Excel表格： 二.将业务部员工名单Excel表格文件另存为csv格式，名称为ADUSER.csv。选择用“记事本”程序打开csv文件。从“用户名称”到“电子邮件”是用“,”分隔开的10个字段，可以用“变量a”到“变量j”进行表示。 三.新建文本文件，并编辑命令如下： for /f "skip=1 eol=; tokens=1-10 delims=," %a in (d:\ADUSER.csv) do dsadd user cn=%a,ou=业务 部,dc=abc,dc=com -upn %b@https://www.360docs.net/doc/9712975365.html, -samid %b -pwd %c -fn %e -ln %d -dept %f -office %g -tel %h -title %i -email %j -mustchpwd yes -canchpwd yes -disabled yes -profile "\\file\profiles\%b" -hmdir \\file\drive\%b\ -hmdrv Z:

解释： Skip=1 跳过第一行 Eol=；行结束则执行for循环 Tokens=1-10 共有10个变量 Delims=, 变量之间的分隔符为“,” %a in(e:\ADUSER.csv) 变量a的读取路径为： e:\ADUSER.csv Dsadd user 创建一个对象，对象类型为用户 Cn=%a 对象的CN（通用名称，也就是对象的名字）为：变量a Ou=财务部, dc=abc, dc=com 用户的DN（可辨识名称，也就是在AD中的位置） -upn %b@https://www.360docs.net/doc/9712975365.html, 用户登录到域时所使用的登录名称是：变量b@https://www.360docs.net/doc/9712975365.html, -samid %b 用户在win2000之前的操作系统上登录到域是所使用的登录名称是：变量b -pwd %c 用户登录密码是：变量c -fn %e 用户名：变量e -ln %d 用户姓：变量d -dept %f 用户所属部门：变量f –office %g 用户办公室：变量g -tel %h 用户电话号码：变量h -title %i 用户职务：变量i -email %j 用户电子邮件地址：变量j -mustchpwd yes 用户下次登录是否必须更改密码。Yes -canchpwd yes 用户是否可以更改密码？ Yes

用批处理批量添加域用户

★浏览次数：1,111 次★发布日期:2012年11月30日 当前位置: 悟软 > 学习教程 > 文章正文 用批处理批量添加域用户 文章标签: Office, windows域, word, 域控制器, 局域网, 批处理 在局域网中使用windows域的优势有很多，个人感觉域的管理其实不复杂，最麻烦的是新建域是添加用户的过程，几十个用户手工慢慢来添加还好说，如果是上百个的话恐怕就没那么容易了，而且还会出错。这里介绍一种通过批处理文件批量添加域用户的方法。 一、准备工作 1、notepad文本编辑器 2、准备一份员工工号和姓名对照的电子版（本例中以员工工号作为登录名） 二、操作步骤 1、将电子版工号姓名表格整理一下，只留下工号和姓名。选择工号和姓名这两列复制到一个txt文件中命名为adduser.txt。 2、使用notepad的列选功能将文档中的多余空格删除，让姓名和工号直接只留下一个空格。 3、使用notepad的列选功能将员工的姓和名分别复制出来成为单独的两列。下图中从左向右分别是将来用户的登陆名、显示名称、姓、名

4、接下来这条cmd命令是重点 For /F “tokens=1,2,3,4″ %%a in (adduser.txt) do dsadd user CN=%%a,OU=htsc,DC=htsc,DC=zz -upn %%a@htsc.zz -display %%b -ln %%c -fn %%d -pwd %%a -pwdneverexpires yes -acctexpires never -desc %%b 其中红色字体部分需要根据环境自行修改 先来解释一下命令内容： tokens=1,2,3,4这段是声明这里有4个变量。分别是%%a,%%b, %%c, %%d。分别对应txt中登陆名、显示名称、姓、名列。 %%a in (adduser.txt) 这段是表示全部变量的来源。这里就是指变量都是来源于之前保存当前目录下的txt文件。 do dsadd user这个是添加创建用户命令。 CN=%%a,OU=htsc,DC=htsc,DC=zz 表示所创建用户的路径 -upn %%a@htsc.zz”这句是指所要用户的upn后缀。 -display %%b这句是指所创建用户的显示名称 -desc %%b 指定要添加的用户描述 –ln %%c是指用户的姓 –fn %%d是指用户的名 -pwd %%a这个是指用户的密码。我设置的是和登录名一样。其他的密码也是可以设置的

创建AD域及用户添加管理

AD域 域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD：活动目录(Active Directory)主要提供以下功能： ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域： 1.依次打开：开始-运行-输入：Dcpromo 2.下一步，选择自定义

3.选中域控制器(Active Directory)下一步

4.然后会让你安装dns和配置网络, 5.把网卡的网线接好，处于已经连接状态，下一步 6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:

批量添加域用户

批量添加域用户 一、 AD用户帐户复制 1、在“AD域和计算机”中建一个作为样板的用户，如S1。 2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。 3、在S1上/右键/复制，输入名字和口令。 说明： 1、只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。 2、帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下： 二、比较csvde与ldifde csvde: 逗号分隔符目录交换工具 允许您使用 CSV 源文件将新对象导入到 Active Directory 中；此外，该工具还提供了将现有对象导出到 CSV 文件的功能。CSVDE 不能用于修改现有对象；在导入模式下使用此工具时，您只能创建全新的对象。 使用 CSVDE 导出现有对象的列表相当简单。将 Active Directory 对象导出到名为 ad.csv 的文件,方法如下：csvde –f ad.csv –f 开关表示后面为输出文件的名称。但是您必须注意，根据环境的不同，此基本语法可能会生成不实用的大型输出文件。要将此工具限制为仅导出特定组织单位 (OU) 中的对象，可以将语句修改为如下形式：

csvde –f UsersOU.csv –d u=Users,dc=contoso,dc=com 进一步假定您只对将用户对象导出到 CSV 文件感兴趣。如果是那样的话，您可以添加–r 开关和–l 开关，前者允许指定轻型目录访问协议 (LDAP) 筛选器进行搜索，后者可以限制导出的属性的数量（请注意以下所有内容位于一行）：csvde –f UsersOnly.csv –d u=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description 通过–i 开关，您可以将对象从源 CSV 文件导入到 Active Directory。但是，使用 CSVDE 创建用户对象存在一个关键限制：不能使用 CSVDE 设置用户密码。因此，应该避免使用 CSVDE 创建用户对象。 ldifde:轻型目录访问协议，互换格式目录交换 与 CSVDE 相比，此工具更强大，更灵活。除了可以创建新对象外，LDIFDE 还可以修改和删除现有对象，甚至扩展 Active Directory 架构。LDIFDE 虽然具有灵活性，但为了实现这种灵活性却必须要使用扩展名为 .ldf 的 LDIF 文件作为输出文件，这种文件与简单的 CSV 文件相比，格式更复杂。（只需少量操作就可以配置好用户密码，我稍后将对此进行介绍。） 我们从一个简单的示例开始，将某个 OU 中的用户导出到 LDF 文件中（请注意以下所有内容位于一行）： ldifde -f users.ldf -s https://www.360docs.net/doc/9712975365.html, -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))" 与大多数命令行工具一样，您可以通过运行 LDIFDE /? 命令找到 LDIFDE 开关的完整说明。图 1介绍了我在此使用过的开关。（注意 CSVDE 和 LDIFDE 命令的开关实际上是相同的。） LDIFDE 的真正功能在于创建和操作对象。然而，进行此操作之前，您首先需要创建一个输入文件。以下语句创建两个名为 afuller 和 rking 的用户帐户；要创建该输入文件，请在记事本（或者您喜欢的纯文本编辑器）中输入以下文本，然后将其保存为 NewUsers.ldf： dn: CN=afuller, U=UsersOU, DC=contoso, DC=com changetype: add cn: afuller objectClass: user samAccountName: afuller dn: CN=rking, U=UsersOU, DC=contoso, DC=com changetype: add cn: rking

利用脚本批量添加域用户账户

2.4.6 利用脚本批量添加域用户账户 以上两种方法是比较常用的批量用户账户添加方法，但是不够灵活（不可以设置密码），而且在添加用户数量多时，输入的工作量也比较大。本节所介绍的WSH脚本方法相对来说，工作量比较小，但难度却要高许多，需要懂得一些基本的脚本语言。仅作选学参考。 【注意】以下脚本也需要在文本模式下，以英文输入方式输入，特别是其中的逗号和引号。其实这是代码输入的一般性常识。 WSH的全称是Windows Script Host，是一种支持ActiveX（COM）的独立脚本语言。WSH脚本程序本来是为了替代DOS时代的批处理文件而产生的，后来由于WSH的应用很广泛，已经不只是局限于批处理的替代品了。从Windows98开始，操作系统就已经自带了WSH，因此在Windows98或以上的操作系统中，可以不安装任何软件就能直接使用WSH。 WSH可以使用VBscript与Jscript，即使用的脚本语言与网页脚本是一样的。WSH文件的扩展名为vbs及js，分别用VBscript与Jscript作为编程脚本语言。还有一种脚本文件的扩展名是wsf，它是一种包含XML的文件，wsf文件中可以同时包含VBscript与Jscript两种语言。wsf文件中，可以使用多种脚本，需要一些XML标签来声明的，最基本的就是用＜script＞标签说明脚本的类型，另外最外层要用＜job＞标签声明任务。此处所介绍的不是这种支持XML 的脚本。 1. 利用WSH脚本中的循环功能实现批量创建用户帐号 用脚本批量添加用户账户的一个最大的好处就是代码输入工作量小，几行就完成了，而且还可以配置用户密码。但难度较大，而且用户名只能是有规律的，不可能针对每个用户具体指定用户名。现在假设要在grfw.local域的Sales组织单位中创建10个用户，用户名为User1、User2~User10。下面是这个示例的代码，用记事本程序以vbs或js扩展名格式保存，然后直接双击运行即可。Set objDomain = GetObject（"LDAP://dc=grfw,dc=local"）# 调用（也称绑定）名为grfw.local对象 Set objOU = objDomain.Create（"organizationalUnit", "ou=Sales"）# 创建一个名为Sales的组织单位。如果相应的组织单位已创建，则此语句不要，而要采用“Set objContainer = GetObject （"LDAP://OU=Sales,dc=grfw,dc=local"）”语句，否则会显示“对象已存在”错误信息。 Set objOU = GetObject（"LDAP://OU=Sales,dc=grfw,dc=local"）# 调用域名为grfw.local，组织单位为Sales对象 objOU.SetInfo # 保存组织单位信息 For i = 1 To 10 # 设置循环变量和级数 Set objUser = objContainer.Create（"User", "cn=UserNo" & i）# 在Users容器下创建UserNo1到UserNo10的用户账户 objUser.Put "sAMAccountName", "UserNo" & i # 把所得的“UserNo”变量值赋予给相应用户账户的sAMAccountName属性 objUser.SetInfo # 保存用户信息

创建AD域及用户添加管理

AD 域 域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD：活动目录(Active Directory)主要提供以下功能： ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域： 1.依次打开：开始-运行-输入：Dcpromo

2.下一步，选择自定义 3.选中域控制器(Active Directory)下一步

4.然后会让你安装dns和配置网络, 5.把网卡的网线接好，处于已经连接状态，下一步

最新域用户与组账户的

域用户与组账户的管 理

一、实验目的 1．添加域用户 2．用户的漫游 3．组织单元委派控制 4．AGDLP实现组的嵌套 二、实验步骤及结果分析 1．添加域用户 添加域用户常见的几种方法： 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器，运行dsa.msc 打开Active Directory用户和计算机，在“域名”（如https://www.360docs.net/doc/9712975365.html,）处右击，“新建→组织单位”，如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”（DQA）项上右击选择“新建→用户”，输入新建用户的“用户登录名”，（如hero）。下一步，输入7位以上的安全密码，一直下一步，完成新建用户。

注：如果想要将密码设为简单密码或密码为空，首先要在“开始”→“程序”→“管理工具”→“默认域安全设置”，打开“默认域安全设置”，再依次展开“安全设置”→“帐户策略”→“密码策略”，将“密码必须符合复杂性要求”禁用，并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。

1.1.3.删除用户。只需直接在相应的“组织单位”（如DQA ）中的用户（如hero）上右击，选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户，常用的命令有：dsadd 添加账户或组；dsmod 修改用户或组的信息；dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如：dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入，只须在上命令后加入一些其它信息的命令，如：-email xx@https://www.360docs.net/doc/9712975365.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如：dsmod user cn=sun,ou- DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/9712975365.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后，在根DC查看用户属性的信息会与原属性有明显不同。

域用户权限设置 (改变及装软件)

https://www.360docs.net/doc/9712975365.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

域用户帐户和组的管理

域用户帐户和组的管理

域用户帐户和组的管理 （以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同） 很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。 附注： 在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元，点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后，原来的本地用户和组帐号都没有了，这些对象会变成域用户帐号和域本地组，并被放在该“users”管理单元内。

允许普通用户登录域控.

域控制器默认不允许普通域用户登录，如果你想修改此默认设置，需要编辑链接在“Domain Controllers”组织单元上的“Default Domain Controllers Policy”。 1. 如图3-163所示，在DCServer上，切换用户，点击“其他用户”。 2. 如图3-164所示，输入域用户和密码，点击“”登录。

图 3-163 切换用户图 3-164 普通用户登录 3. 如图3-165所示，出现提示：您无法登录，因为你使用的登录方法在此计算机上不允许。点击“确定”。可见默认域控制器的安全策略不允许普通域用户登录。 4. 如图3-166所示，以域管理员登录，打开“组策略管理”。右击“Domain Controllers”组织单元下的“Default Domain Controller Policy”，点击“编辑”。 提示：“Default Domain Controller Policy”组策略设置域控制器的本地安全策略。

图 3-165 不允许交互式登录图 3-166 编辑组策略 5. 如图3-167所示，在打开的组策略管理编辑器对话框，点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“本地策略”à“用户权限分配”，可以看到在详细窗口有“允许在本地登录”设置，双击“允许在本地登录”。 6. 如图3-168所示，在出现的允许在本地登录属性对话框，可以看到没有“Domain Users”组，因此普通域用户不能登录，点击“添加用户或组”。 7. 如图3-168所示，在出现的添加用户或组对话框，输入“essDomain Users”，点击“确定”。

域控服务器搭建及加入域控方法

域控制服务器2003服务器架设和加入域图解教程 一、（域控制服务器）2003服务器架设 1.首先安装2003企业版原版，真正的微软2003企业版（（（原版））！我给出2003企业版原版的下载地址： cd1迅雷下载地址： thunder://QUFodHRwOi8vZG93bi54bHlsdy5jb20vRG93bmxvYWQuYXNwP0lEPTIyNiZ zSUQ9MFpa (我不喜欢回复才可以下载愿意冒个泡的就回复下） Disc 1光盘镜像文件名： cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_x13-46432.iso 文件大小：608 MB (637,917,184 字节) 发布日期 (UTC)：4/27/2007 11:06:15 PM 上次更新日期 (UTC)：3/28/2008 2:37:04 AM SHA1：D0DD2782E9387328EBFA45D8804B6850ACABF520 MD5：1017479075166BA7DD762392F8274FE3 至于安装过程我就不详细解释了自己百度百度是我们最好的老师、。。。 这里服务器域管理 IP 192.168.0.254 子网掩码255.255.0.0 DNS首选服务器192.168.0.254因为是域控制是首选DNS指向服务器客服端也是一样！ 还有一点我们在域控制上新建一个用户（admin) 然后加入域管理员组里把所有电脑远程控制设置成被连接不准主动连接这样一个公司就你一个人可以用3389端口用你的域管理员账号很爽的你试试就知道了 2.架设2003域控制器 （1）开始-管理工具-管理我的服务器-添加或删除角色-先安装DNS服务器-再先安装DNS服务器

添加域账号

1、首先你需要搞到公司的人员表（这个一般都可以在人事部搞到手），然后 对人员表做一下简单的修改，修改后的格式如下，分成五个部分，分别是：姓、名、姓名、用户名、登录密码。 2、下面要做的就是把他保存成CSV后缀名的文件，在“文件”中选择“另存为”选择CSV的格式 3、然后把文件拷贝到域控的C盘根目录下 用记事本打开此文件，可以看到生成如下的格式 以下是我的域中OU的情况

现在我要用命令批量的把用户添加到名为“员工”的OU里。 4、运行cmd进入命令行模式，先输入以下命令，查看能否正常输入变量 for /f "tokens=1,2,3,4,5 delims=," %a in (person.csv) do @echo %a %b %c %d %e 可以正常显示如下 5、接下来我们就要输入完整的命令行来进行批量的用户添加 for /f "tokens=1,2,3,4,5 delims=," %a in (person.csv) do dsadd user "cn= %c,ou=员工,dc=myloverxhy,dc=com" -samid %d -upn %d@https://www.360docs.net/doc/9712975365.html, -ln %a -fn %b -pwd %e -disabled yes 其中ou 对应为你要添加到的OU名 两个dc按顺序分别对应你的域名 @https://www.360docs.net/doc/9712975365.html,对应你的后缀 Disabled yes定义添加完的用户是禁用的 运行命令后结果如下，检查下密码规则是不是符合要求

成功添加用户。接下来我们到OU里查看用户，已经全部出现，并且显示为禁用 我们可以选中所有用户，然后右键“启用账户”即可完成。我们可以测试使用账号在域中登录，是可以完成的。

AD域添加用户添加客户端到AD域

AD域添加用户: AD 域基本信息： AD域IP：192.168.235.238 AD域用户名：administrator AD域密码：testpass 1登陆AD域服务器，start-all programs-administrative tools-active directory users and computers 2选择https://www.360docs.net/doc/9712975365.html,---users 3 在users上点击右键，选择new---user 4 在向导中填入用户基本信息 5、完成初始信息后，在user中会出现此用户，双击用户名，在用户属性中完善Email等基本信息。

6、用户添加完成 添加XP客户端到AD域: 1、更改internet protocol(TCP/IP) properties中的DNS为AD域的IP（否则加入后PC登陆会很慢且问题很多）。 2、点击my computer-properties-computer name检查full computer name是否是名字的全拼

3 如果2中不是名字的全拼，点击change，将computer name更改为名字全拼。

4 点击Ok,会提示重启电脑，确认重启。 5 重启后，再次进入my computer-properties-computer name，点击change，将member of 更改为Domain,输入https://www.360docs.net/doc/9712975365.html,. 6 确定后会要求输入域管理员账号密码，输入后确定提示加域成功，重启电脑。 7 再次进入电脑，右键我的电脑---mange-system tools—Local users and groups---groups,在administrators组中增加域用户。

添加域用户软件操作权限

添加域用户软件操作权限 1、前言 在域结构下使用域用户第一次登陆电脑会出使用office不方便等现象，原因是域用户默认权限相当于系统users权限，而运行这些软件时需要增加安装目录及注册表可写入权限。 2、操作步骤： 使用域组策略自动添加相关权限： 2.1、打开组策略对话框，域控服务器或装有域控服务功能的电脑—>“运行”对话框输入“dsa.msc”回车确认。 2.2、打开“Active Director用户和计算机”对话框，选择需要修改的组织单位右击点“属性” 2.3、打开“属性”对话框，点击“组策略”选项卡，单击“打开”按钮。

2.4、打开“组策略管理”对话框，选择组织单位右击“创建并链接GPO”选项，输入相应名称： 2.5、选择新添策略右击“编辑”按钮， 2.6、打开“组策略编辑器”对话框，依次点选：计算机配置—>windows设置—>安全设置—>注册表，右击“注册表”选“添加项”， 2.7、选择相应该注册表项，点击“确定”后会弹出“数据库安全设置”，添加相应的用户名或用户组并赋于相应权限，建议使用用户名，这样的可以控制有这项权利的用户。

2.8、回到“组策略管理”对话框，选择“文件系统”右击“添加项”，操作方法同上，赋于相应用户或用户组权限。 2.9、其他组织结构如需同样策略时只需“组策略管理”窗口中， 右击相应组织单位“链接现有GPO”选相应策略即可。 3、注意事项： 3.1、网内所有电脑的安装路径建议统一，这样便于策略路径的添加。 3.2、部分软件如“office”在换用户时需要使用源安装文件，建议网内统一由网络共 享文件安装，这样就不需要将安装文件拷贝至所有电脑备用。

批量添加域用户操作实战

批量添加域用户操作实战 一、AD用户帐户复制 1、在“AD域和计算机”中建一个作为样板的用户，如S1。 2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。 3、在S1上/右键/复制，输入名字和口令。 说明： 1、只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。 二、比较csvde与ldifde csvde: 逗号分隔符目录交换工具 允许您使用CSV 源文件将新对象导入到Active Directory 中；此外，该工具还提供了将现有对象导出到CSV 文件的功能。CSVDE 不能用于修改现有对象；在导入模式下使用此工具时，您只能创建全新的对象。 使用CSVDE 导出现有对象的列表相当简单。将Active Directory 对象导出到名为的文件,方法如下： csvde –f –f 开关表示后面为输出文件的名称。但是您必须注意，根据环境的不同，此基本语法可能会生成不实用的大型输出文件。要将此工具限制为仅导出特定组织单位(OU) 中的对象，可以将语句修改为如下形式：

csvde –f –d u=Users,dc=contoso,dc=com 进一步假定您只对将用户对象导出到CSV 文件感兴趣。如果是那样的话，您可以添加–r 开关和–l 开关，前者允许指定轻型目录访问协议(LDAP) 筛选器进行搜索，后者可以限制导出的属性的数量（请注意以下所有内容位于一行）：csvde –f –d u=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description 通过–i 开关，您可以将对象从源CSV 文件导入到Active Directory。但是，使用CSVDE 创建用户对象存在一个关键限制：不能使用CSVDE 设置用户密码。因此，应该避免使用CSVDE 创建用户对象。 ldifde:轻型目录访问协议，互换格式目录交换 与CSVDE 相比，此工具更强大，更灵活。除了可以创建新对象外，LDIFDE 还可以修改和删除现有对象，甚至扩展Active Directory 架构。LDIFDE 虽然具有灵活性，但为了实现这种灵活性却必须要使用扩展名为.ldf 的LDIF 文件作为输出文件，这种文件与简单的CSV 文件相比，格式更复杂。（只需少量操作就可以配置好用户密码，我稍后将对此进行介绍。） 我们从一个简单的示例开始，将某个OU 中的用户导出到LDF 文件中（请注意以下所有内容位于一行）： ldifde -f -s -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))" 与大多数命令行工具一样，您可以通过运行LDIFDE / 命令找到LDIFDE 开关的完整说明。图1介绍了我在此使用过的开关。（注意CSVDE 和LDIFDE 命令的开关实际上是相同的。） LDIFDE 的真正功能在于创建和操作对象。然而，进行此操作之前，您首先需要创建一个输入文件。以下语句创建两个名为afuller 和rking 的用户帐户；要创建该输入文件，请在记事本（或者您喜欢的纯文本编辑器）中输入以下文本，然后将其保存为： dn: CN=afuller, U=UsersOU, DC=contoso, DC=com changetype: add cn: afuller objectClass: user samAccountName: afuller dn: CN=rking, U=UsersOU, DC=contoso, DC=com changetype: add cn: rking objectClass: user samAccountName: rking 创建完该文件后，请运行以下命令： ldifde –i –f –s 您可能会猜到，此处使用的唯一新开关-i 表明这是一项导入操作而非导出操作。如果要修改或删除现有对象，不必更改LDIFDE 命令的语法；相反，您应该修改LDF 文件中的内容。要更改用户帐户的说明字段，请创建名为的文本文件。

批量创建域用户

批量创建AD域用户 1、创建以 .csv 格式的EXCEL表格。 2、将表格存放到C: 盘的根目录下。 3、在AD域里面创建OU 4.、执行以下命令：（以下命令需要事先创建OU）

for /f "tokens=1,2,3,4,5 delims=, " %a in (c:\driver.csv) do dsadd user "cn=%b,ou=Driver,dc=driver,dc=com" -samid %c -upn %c@https://www.360docs.net/doc/9712975365.html, -ln %a -fn %b -pwd %e -mustchpwd no -pwdneverexpires yes -disabled no 5、创建成功。 执行命令解释： "tokens=1,2,3,4,5 delims=, " 定义.csv表格中有5个变量，分别为%a，%b， %c，%d 分别对应excel 表格的A，B，C，D列。 delims=, 表示分隔符为 “，”号。 %a in (c:\driver.csv) 定义全部的变量来源，指变量全部来源于保 存在c盘的excel 的csv文件。 Do dsadd user 添加创建用户的命令。 "cn=%b,ou=Driver,dc=driver,dc=com" Cn=%b 定义姓名为B列 Ou= 定义将用户创建为哪一个OU Dc = 定义哪个域名 -samid %c -upn %c@https://www.360docs.net/doc/9712975365.html,定义用户的名称和upn后缀， %c：为表格c列。 -ln %a 定义用户的姓，为表格的a列。 -fn %b 定义用户的名。 -pwd %e 定义用户的密码。 -mustchpwd 定义“首次登陆是否更改密码” yes 是开启，no 是