域用户帐户和组的管理

域用户帐户和组的管理

（以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同）

很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。

一、域用户帐户的特点

和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。

附注：

在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。

本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。

二、管理工具

要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“+”号展开该域

展开后可以找到“users”管理单元，点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后，原来的本地用户和组帐号都没有了，这些对象会变成域用户帐号和域本地组，并被放在该“users”管理单元内。

三、OU（组织单位）

在域中有很多的对象，包括用户帐户、组、共享文件夹和共享打印机等。这些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进行管理。但如果这些大量的对象都放在“users”管理单元内进行管理，会带来一定的不便，例如不便于查找、难于设置策略等。

所以为了更好的组织和管理这些对象，引入的“OU”的概念。OU又叫组织单位，它是一个容器，主要的作用就是用来组织和管理这些对象的。为了便于日后的管理，我们一定的设计好OU的结构。

OU结构的划分有几种不同的方法，例如：

按对象类型来划分。该划分方法是创建几个OU，不同的OU放不同的对象，比如一个OU放用户帐户，另一个OU放计算机帐户等；

按企业的组织结构来划分。方法是为不同的部门创建不同的OU，把属于每个部门的对象都放在一个OU里，比如财务部的OU放财务部的用户帐户、财务部的计算机帐户和组等，而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。这是一种常用的方法；

按地区来划分。该方法主要用在有分支机构的企业，分别为不同的分支机构创建不同的OU，然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企业有广州总公司、上海分公司和北京分公司，那么就分别为这三个分公司建立三个OU，一个OU放广州总公司的对象，一个放上海分公司的对象，还有一个放北京分公司的对象；

混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合，先为不同分支机构创建OU，再在不同的分支机构的OU里按组织结构来创建子OU。这也是一种常用的方法。

要创建一个OU，在“AD用户和计算机”管理工具里右击域名，在弹出的快捷菜单中选择新建，在子菜单中选择“组织单位”

在“新建对象 - 组织单位”对话框中输入组织单位的名称，例如：XXX公司

按“确定”后完成了一个OU的创建

要在该OU里创建子OU，右击该OU，同样在弹出的快捷菜单中选择新建组织单位，分别为不同的部门创建不同的OU，完成后如下图所示

四、为用户创建帐户

要在OU里为域用户创建用户帐户，右击一个OU，在弹出的快捷菜单中选择“新建”，并在子菜单中选择“用户”

在出现的“新建对象 - 用户”对话框中，为用户分别输入“姓”和“名”，并在“用户登录名”中输入用户用来登录系统的登录名，该登录名和电子邮件的地址非常象，如：。前面的姓名是用户的显示名，显示名在同一个OU里必须是唯一的，而用户的登录名在同一个域里必须是唯一的。

按下一步后进入另一个对话框，该对话框要求为域用户输入一个初始密码，并确保勾选“用户下次登录时须更改密码”选项。

下一步后按“完成”按钮完成用户帐户的创建。

五、限制用户能登录的计算机

在域环境下，一个域用户帐户默认是可以登录到域中任意一台计算机的（DC除外），这样为用户提供了方便。因为假设用户正在使用的计算机出现故障了，需要维修，那么该用户可以用他自己的域用户帐户在其它计算机上登录域，继续完成自己未完成的工作，继续使用域中的资源而不会受到影响，但工作组却没有提供这样的方便。

但是如果我们需要限制用户只能使用某些计算机来登录域，那么可以通过设置用户帐户的属性来实现。

打开要进行限制的用户帐户的属性，找到“帐户”选项卡，点击“登录到”按钮

在打开的“登录工作站”对话框中，可以看到默认的设置是用户可以登录到“所有计算机”，要进行限制，选择“下列计算机”单选按钮，并在“计算机名”文本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。如果有必要，可以添加多台计算机。

完成后，该用户只能在指定的计算机上登录，而不能在未指定的计算机上登录到域。

六、限制用户登录域的时间

在默认设置下，域用户可以在任何时间登录到域，但如果想限制用户只能在某些时间才允许登录到域，而其它时间不能登录到域，比如说公司规定只有在星期一到五的8：00到18：00这段时间可以登录到域，而其它时间不能登录到域，则可以通过设置用户帐户的属性来实现。

打开用户帐户的属性对话框，找到“帐户”选项卡，点击“登录时间...”按钮

在打开的“XX的登录时间”对话框中，选定特定的时间段，并选择“允许登录”或“拒绝登录”，确定。

七、设置漫游配置文件

1、什么是配置文件：

配置文件是用于保存特定用户工作环境的特殊文件（一组文件）。用户工作环境包括：用户的桌面设置、应用程序设置、用户的“我的文档”、收藏夹、开始菜单、临时文件等设置。每个用户都有属于自己的配置文件。当一个用户在一台计

算机上登录后，默认在计算机的C：盘下有一个“Documents and Settings”文件夹，该文件夹用于保存用户的配置文件，每个用户都在该文件夹里有一个和自己用户名同名的子文件夹，该子文件夹保存的就是该用户的配置文件。

2、为什么要用漫游配置文件：

如果用户需要经常在不同的计算机上登录，那么每在一台计算机登录，该计算机就会为该用户建立一个配置文件，多台计算机意味着该用户有多个配置文件，这样可能会出现这样一种情况：用户“U1”在计算机“C1”登录，然后在“我的文档”里保存了一个文件“F1”，然后该用户注销后在计算机“C2”登录，可是当用户打开“我的文档”时却找不到他的文件“F1”。这是因为在不同的计算机上用户的配置文件并不一致，该用户只能回到计算机“C1”的登录才可以找回自己的文件“F1”。

另外，用户在“桌面”或“我的文档”里保存的所有文件实际上是保存在本地计算机里，数据的备份是需要由用户自己来完成的。然而，并不是所有用户都知道“什么是备份”？“如何备份”？

3、漫游配置文件的优点：

漫游配置文件是指把用户的配置文件集中存放在网络中的某个专用服务器中（文件服务器），当用户登录时，系统会自动去寻找该服务器，并找到属于该用户的配置文件，然后加载。这时，无论用户在什么地方登录，该用户都可以使用同一个配置文件，不会出现上述的问题，在任何一台计算机登录所获得的工作环境都是一样的。同时，由于所有用户的配置文件集中保存在同一台服务器中，所以也方便了管理员进行集中的备份，保证数据的安全。

4、为用户设置漫游配置文件

首先要找一台专用的文件服务器，在该服务器中建立一个文件夹并共享，共享权限设置everyone写入权限。

然后选择一个用户，打开属性对话框，找到“配置文件”选项卡。在“配置文件路径”中填入上面建立的共享文件夹的UNC路径，并在该路径后跟该用户的用户名，以便于把该用户的配置文件存放在以用户名命名的子文件夹里。确定。

这时该用户在域中任一台计算机上登录，该用户的工作环境都是一样的。

八、用户主文件夹

用户主文件夹是用于给用户保存文件的主要的地方。用户可以在“桌面”、“我的文档”和本地磁盘中保存数据，但当用户经常需要在不同的计算机上登录时，用户的文件可能会分散保存在不同的地方，对用户使用造成不便，同时也不利于对数据进行备份。当用户计算机出现故障时，也有可能会造成用户数据的丢失。主文件夹是在一台专用的服务器中，类似于上面的“漫游配置文件”中的文件夹，用户的所有数据都可以保存在主文件夹里，好处是用户在任何一台计算机上登录都可以找到自己的文件，不用担心用户计算机的故障会造成数据的丢失，方便管理员对数据进行集中备份等。

为用户设置主文件夹的方法和设置漫游配置文件的方法差不多，也要先在一台专用的文件服务器上建立一个共享文件夹，并开放everyone写入权限，然后在用户属性对话框中找到“配置文件”选项卡，选中“连接”，选择一个驱动器符号，在“到：”处写入共享文件夹的路径，并在该路径后加上该用户的用户名。确定，完成。

当该用户登录后，在“我的电脑”里会多出一个“网络驱动器”，该网络驱动器就是刚才我们建立的用户主文件夹。用户把自己的文件保存到该网络驱动器里时，实际上是保存在那台专用的文件服务器中。

九、组的管理

在域中，组的类型有两种，分别是“安全组”和“通讯组”。安全组即可以设置

权限，也可以收发电子邮件；而通讯组不能设置权限，只能收发电子邮件。

根据组的作用范围不同，组又分为“本地域组”、“全局组”和“通用组”三种。

本地域组：作用范围是该组所在的域内，可以包含的成员包括：所有域的用户帐户、全局组、通用组，以及本域的域本地组。

全局组：作用范围是所有受信任的域，可以包含的成员有：本域的用户帐户和全局组。

通用组：作用范围是所有受信任的域，可以包含的成员有：所有域的用户帐户、全局组和通用组。

要新建组，右击某个OU，选择“新建”->“组”

在出现的对话框中输入组的名称，选择组的类型和作用范围，确定即可。（注：只有域功能模式在2000或2003模式才能新建通用组）

要提升域功能级别，右击域名，在出现的菜单中选择“提升域功能级别”

在弹出的“提升域功能级别”对话框中，可以看到当前的域功能级别，然后在下面的下拉列表中选择一个合适的域功能级别，确定。（域功能级别提升后不能返回，是单向的操作）

创建了组以后，就可以把相应的用户帐号或某些组加入到组里以方便赋予权限。

十、使用组的策略

在域环境下使用组，一般遵循AGDLP规则，另外还有AGGDLP、AGUDLP、AGGUDLP 等规则。

以最常用的AGDLP规则为例介绍一下用法：

A-用户

G-全局组

DL-本地域组

P-权限

AGDLP是指把用户帐号加入全局组，把全局组加入本地域组，然后对本地域组设置权限。

为什么不把用户帐户加入全局组，然后直接对全局组设置权限？或者把用户加入本地域组，然后直接对本地域组设置权限？

1、把用户加入全局组，然后直接对全局组设置权限

该方法的缺点是：由于全局组只能包括本域的用户和全局组，如果需要设置其它域的用户的权限，则必需要单独设置，如果有多个全局组，则设置权限也要设置多次。

2、把用户加入本地域组，然后直接对本地域组设置权限

该方法的缺点是：由于本地域组的作用范围是本地域，如果用户需要访问其它域的资源，则需要重新为该用户设置权限，如果有多个用户，则要分别设置多次。

在域里面添加权限

公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

域用户与组账户的管理

一、实验目的 1．添加域用户 2．用户的漫游 3．组织单元委派控制 4．AGDLP实现组的嵌套 二、实验步骤及结果分析 1．添加域用户 添加域用户常见的几种方法： 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器，运行dsa.msc 打开Active Directory用户和计算机，在“域名”（如https://www.wendangku.net/doc/be4203354.html,）处右击，“新建组织单位”，如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”（DQA）项上右击选择“新建用户”，输入新建用户的“用户登录名”，（如hero）。下一步，输入7位以上的安全密码，一直下一步，完成新建用户。

注：如果想要将密码设为简单密码或密码为空，首先要在“开始”“程序”“管理工具”“默认域安全设置”，打开“默认域安全设置”，再依次展开“安全设置”“帐户策略”“密码策略”，将“密码必须符合复杂性要求”禁用，并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。

1.1.3.删除用户。只需直接在相应的“组织单位”（如DQA ）中的用户（如hero）上右击，选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户，常用的命令有：dsadd 添加账户或组；dsmod 修改用户或组的信息；dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如：dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入，只须在上命令后加入一些其它信息的命令，如：-email xx@https://www.wendangku.net/doc/be4203354.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如：dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.wendangku.net/doc/be4203354.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后，在根DC查看用户属性的信息会与原属性有明显不同。

2003域中限制用户安装和卸载软件的权限

何在2003域中限制用户安装和卸载软件的权限，我应该怎么通过设置 策略实现？ 可以考虑“power users”组，改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置： 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上，管理员可以为gpo 配置受限制 的组。 如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置： .打开“安全模板管理控制台。 注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录，然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。 注意：通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。 选择需要限制的组，然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“backup operators”组），建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?

域控中 管理计算机和用户帐号

域控中管理计算机和用户帐号 管理计算机和用户帐号 在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具，且用户可以在Windows2000 Professional 中安装它的管理工具，以便利用客户机对活动目录进行远程管理。 本章介绍了Active Directory用户和计算机的常用管理工具的使用： 1. 账户、组、组织机构相关的基本概念 2. 用户和计算机账户的配置与管理 3. 组的创建和管理 4. 组织机构的添加与管理 5. 资源的发布和搜索 6. 域和域间信任的管理 7.1 基本概念 活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户，计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于： 验证计算机或用户的身份 允许访问域中资源 审核用户或计算机帐号的活动 7.1.1 用户帐号 用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软 件的服务帐号。 7.1.2 计算机帐号 每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号，就象用户帐号一样，被用来验证和审核计算机的登录过程和访问域资源。 7.1.3 组 组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。使用组可以： 管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享 资源的访问。 筛选器组策略设置 创建电子邮件通讯组 有两种类型的组： 安全组 通讯组 安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组，而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。 通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。 任何时候，组都可以从安全组转换为通讯组，反之亦然，但仅限于域处于本机模式的情况下。域处于

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.wendangku.net/doc/be4203354.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

runas应用,普通域用户的管理员权限

Runas的使用方法 域用户没有管理员权限，但是很多的软件却必须有管理员权限才能运行，不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略，不运行就是不运行。 XP虽然停止更新，但仍然是公司的主力。最近装了几台win7的系统，这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手，像我这样半路出家来当IT的人，将自己的经验分享也是无上的光荣啊。 Runas命令简介： Runas允许用户使用其他权限运行指定的工具和程序，而不是当前用户登录提供的权限。 是不是很拗口，不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好，控制面板—用户—选项下面多了个—凭据管理功能，让你不再每次运行的时候输入密码，一次输入永久使用。 以域用户要运行QQ软件为例： 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是：admin，本机名称为：dell-PC,系统域名为：dellserver 2、在电脑桌面的空白处，右击鼠标---新建---快捷方式----输入一下命令： Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”

3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中，设置当前用户的权限为“读取”，运行，不允许修改。 5、将快捷方式，复制到没有权限的域用户桌面双击运行弹出命令窗口： 输入管理员密码一次。以后便不用再输入了，系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2．/user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。

域用户权限设置 (改变及装软件)

http: 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答： 根据您的描述，我对这个问题的理解是： 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”

b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.

域用户及组账户的管理

域用户及组账户的管理 域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。 本章的主要内容包括： 》域用户账户 》一次同时添加多个用户账户 》域组账户 》提升域功能级别 》组的使用准则 ３.１域用户账户 作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。 本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。 非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以

通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。 ３.１.１组织单位 组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。 你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。 ３.１.２用户登录账户 在Windows Server 2003或Windows 2000 Ｓerver域中，用户可以利用”用户登录名称（Windows 2000以前版本）“来登录域（见图３-１）： 》用户登录名称（user principal name, UPN）它的格式与电子邮件账户相同，例如图3-1中的test@yu.local，这个名称只能在Windows Server 2003, Windows XP Professional, Windows 2000计算机上登录域时使用（如图３-2）。在整个林内，这个名称必须是唯一的。 UPN并不会随着账户的转移而改变，举例来说，用户”王乔治“的用户账户位于域https://www.wendangku.net/doc/be4203354.html, 内，若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域，如域https://www.wendangku.net/doc/be4203354.html,,，其UPN仍然是test@yu.local，用户王乔泽仍然可以继续使用原来的UPN登录。

账号密码及权限管理制度

XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理，通过控制用户密码、权限，实现控制访问权限分配，防止对公司网络的非授权访问，特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络：是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域，否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。

?一自然人对应一个系统账号，以便将用户与其操作联系起来，使用户对 其操作行为负责。 ?用户因工作变更或离开公司时，管理员要及时取消或者锁定该用户所有 账号，对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限，负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准，才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化，尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分，则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求，才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序，则不授 予权限。 ?对于本公司外的用户，需要访问本公司内部资源时，需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则：

域用户权限

域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况，windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候，域用户自动加入了客户机本地的“user”组，这个组只有一些基本的使用功能。而您提到的重启服务，安装程序这样的操作，是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限，您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号，让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”，选择“管理” b。选择“本地用户和组” c。选择“组”， d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。

另外，如果您需要某些用户对服务器的某些服务有管理权限，但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略，展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务，双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置，然后点击“编辑安全设置” 5。在弹出窗口中，选择添加。 6。输入您需要的用户(组)，然后在下面的权限栏中，赋予那个用户(组) “启动，停止和暂停”权限。 关于安装程序，您可以还可以把用户加入到本地的“power user”组，这个组的成员有权限装一部分的软件，但是涉及以下方面的程序无法安装: 1。需要修改服务，驱动，系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份，不属于管理员直接拒绝。 由于各种程序，特别是第三方程序的细节我们很难确定，而且有时候安装的问题不一定会立刻显示出来，我们还是建议您使用管理员权限去安装程序。

《域管理》教程

?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。 在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。 你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来

域用户本地权限设置

域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候，默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中

的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中，然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1： 创建datong.vbs，内容如下： Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域（例如https://www.wendangku.net/doc/be4203354.html,）”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”

如何突破公司电脑域账号限制获得管理员权限

【基本思路】 利用PE工具启动电脑，清除Administrator账号的密码，进而重新开机直接登录管路员账号。 [ 现在PE工具非常多，在此，我仅以其中一款为案例说明详细步骤] 一、制作前准备（注意：操作前备份好u盘数据） 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址： https://www.wendangku.net/doc/be4203354.html,:90/老毛桃WinPe－u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘，画面如下图：

点击“一键制成USB启动盘”按钮（注意操作前备份重要数据） 制作成功，如下图，此时可以拔出你的U盘

注意：由于U盘系统文件隐藏，你会发现u盘空间会减少330M左右，请不要担心此时没有制作成功

三、重启进入BIOS设置U盘启动(提示:请先插入U盘后，再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS（可能有的主机不是DEL有的是F2或F1.请按界面提示进入），选择Advanced BIOS FEATURES ，将Boot Sequence（启动顺序），设定为USB-HDD模式，第一，设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下，退回BIOS主界面，选择Save and Exit（保存并退出BIOS设置，直接按F10也可以，但不是所有的BIOS都支持）回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。

管理员操作手册AD域控及组策略管理CTO

AD域控及组策略管理 目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。 1、工作组与域的区别...................... 错误!未指定书签。 2、公司采用域管理的好处.................. 错误!未指定书签。 3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。 二、AD域控（DC）基本操作 .............. 错误!未指定书签。 1、登陆AD域控........................... 错误!未指定书签。 2、新建组织单位（OU）.................... 错误!未指定书签。 3、新建用户.............................. 错误!未指定书签。 4、调整用户.............................. 错误!未指定书签。 5、调整计算机............................ 错误!未指定书签。 三、AD域控常用命令.................... 错误!未指定书签。 1、创建组织单位：(dsadd)................. 错误!未指定书签。 2、创建域用户帐户(dsadd)................. 错误!未指定书签。 3、创建计算机帐户(dsadd)................. 错误!未指定书签。 4、创建联系人(dsadd)..................... 错误!未指定书签。 5、修改活动目录对象（dsmod）............. 错误!未指定书签。 6、其他命令（dsquery、dsmove、dsrm）..... 错误!未指定书签。 四、组策略管理......................... 错误!未指定书签。 1、打开组策略管理器...................... 错误!未指定书签。 2、受信任的根证书办法机构组策略设置...... 错误!未指定书签。 3、IE安全及隐私组策略设置 ............... 错误!未指定书签。 4、注册表项推送.......................... 错误!未指定书签。

域用户权限设置 (改变及装软件)

https://www.wendangku.net/doc/be4203354.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

用户组跟域的区别

局域网中工作组和域之间的差别 为什么要组建局域网呢？就是要实现资源的共享，既然资源要共享，资源就不会太少。如何管理这些在不同机器上的资源呢？域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域，什么是工作组呢？它们的区别又是什么呢？ "自由"的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中，以方便管理。比如在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，都列在"网上邻居"内，可想而知会有多么乱(恐怕网络邻居也会显示"下一页"吧)。为了解决这一问题，Windows 9x/NT/2000才引用了"工作组"这个概念，比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源，就在"网上邻居"里找到那个系的工作组名，双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢？其实方法很简单，只需要右击Windows桌面上的"网上邻居"，在弹出的菜单出选择"属性"，点击"标识"，在"计算机名"一栏中添入你想好的名字，在"工作组"一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然也只有你自己的电脑在里面。不过要注意，计算机名和工作组的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。"计算机说明"是附加信息，不填也可以，但是最好填上一些这台电脑主人的信息，如"数学系主机"等。单击"确定"按钮后，Windows 98提示需要重新启动，按要求重新启动之后，再进入"网上邻居"，就可以看到你所在工作组的成员了。 相对而言，所处在同一个工作组内部成员相互交换信息的频率最高，所以你一进入"网上邻居"，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击"整个网络"，然后你才会看到网络上其他的工作组，双击其他工作组的名称，这样你才可以看到里面的成员，与之实现资源交换。 除此之外，你也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。也就是说，你可以随便加入同一网络上的任何工作组，也可以随时离开一个工作组。"工作组"就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个"房间"，以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方，如果说工作组是"免费的旅店"那么域(Domain)就是"星级的宾馆"；工作组可以随便出出进进，而域则需要严格控制。"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。 不过在"域"模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为"域控制器(Domain Controller，简写为DC)"。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的，

如何实现AD域账户导入导出

如何实现AD域账户导入导出

如何实现AD域账户导入导出 作为域管理员，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。如果在图形界面逐个添加、设置，那么需要的时间和人力会超出能够承受范围。一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。如果再多的话，就应该考虑使用使用命令行工具，实现批量导入导出对象。微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。 具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。本文不涉及使用CSVDE导入对象。而是换另一种导入导出AD帐户思路：使用CSVDE工具导出AD 帐户到CSV格式的文件中，再使用For语句读取该文件，使用DSADD命令进行批量添加。 具体步骤：

一：使用CSVDE导出帐户 使用CSVDE 导出现有对象的列表相当简单。 最简单的用法是： csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。–f 开关表示后面为输出文件的名称。 但是必须注意，上述的用法是很简单，但是导出来的结果可能存在太多你不希望要的记录和信息。 如果要实现更精确的导出记录，可以使用-d 和-r 以及-l 参数。 其中：-d 用来指定特定的搜索位置和范围 -r 用来指定特定的搜索对象类型 -l 用来指定导出对象的具体属性如： csvde –f users.csv –d "ou=Users,dc=contoso,dc=com" –r "(&(objectcategory=person)( objectclass=user))" –l DN,objectClass,description

域用户帐户和组的管理

域用户帐户和组的管理

域用户帐户和组的管理 （以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同） 很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。 附注： 在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元，点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后，原来的本地用户和组帐号都没有了，这些对象会变成域用户帐号和域本地组，并被放在该“users”管理单元内。