一、创建域控服务器
添加角色和功能
选择Active Directory域服务和DNS服务器
安装完毕后,配置域控服务器,没有林和域的情况下,选择添加新林,该林即为根域名。
都设置完毕后点击安装
安装完毕重启计算机
至此,已经创建完一个新域和管理这个域的一台域控服务器(还可以增加多台)
二、让其他计算机加入该域。
登陆要加入该域的计算机,先更改IP地址,把首选DNS设置成域控服务器的IP地址。
然后打开计算机属性,选择更改设置
然后选择更改
点击确定,然后输入此台计算机的管理员账户和密码
然后重启计算机后生效。
三、为在该域中的计算机创建可用于登陆的账户和密码。第一种方法:
在域控服务器上,选择AD DS服务,选择其中的域控服务器然后右键选择Active Directory 管理中心
创建即可。
第二种方法
域控服务器中选择计算机属性
选择创建新账户
然后选择当前域添加即可
选择完成创建完毕
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/064329487.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/064329487.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/064329487.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
AD 域 域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD:活动目录(Active Directory)主要提供以下功能: ①基础网络服务:包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务:管理用户域账户、用户信息、企业通讯录(与电子系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。 ④资源管理:管理打印机、文件共享服务等网络资源。 ⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑:支持财务、人事、电子、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域:
1.依次打开:开始-运行-输入:Dcpromo 2.下一步,选择自定义 3.选中域控制器(Active Directory)下一步
4.然后会让你安装dns和配置网络, 5.把网卡的网线接好,处于已经连接状态,下一步
Windows Server 2012 R2 创建AD域 前言 我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。 环境 网络子网掩码网关 域名 创建域的必备条件 DNS域名:先要想好一个符合dns格式的域名,如 DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器) 注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。创建网络中的第一台域控制器 修改机器名和ip 先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成 安装域功能 选择服务器 选择域服务 提升为域控制器 添加新林 此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为,则内部的林根域名就不能是,否则未来可能会有兼容问题。 选择林功能级别,域功能级别。、 此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别 默认会直接在此服务器上安装DNS服务器 第一台域控制器必须是全局编录服务器的角色 第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能设置目录还原密码。 目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码 出现此警告无需理会 系统会自动创建一个netbios名称,可以更改。 不支持DNS域名的旧系统,如win98 winnt需要通过netbios名来进行通信 数据库文件夹:用了存储AD数据库 日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库SYSVOL文件夹:用了存储域共享文件(例如组策略)
AD域 域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD:活动目录(Active Directory)主要提供以下功能: ①基础网络服务:包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。 ④资源管理:管理打印机、文件共享服务等网络资源。 ⑤桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域: 1.依次打开:开始-运行-输入:Dcpromo 2.下一步,选择自定义
3.选中域控制器(Active Directory)下一步
4.然后会让你安装dns和配置网络, 5.把网卡的网线接好,处于已经连接状态,下一步 6.安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
如何实现AD域账户导入导出
如何实现AD域账户导入导出 作为域管理员,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果在图形界面逐个添加、设置,那么需要的时间和人力会超出能够承受范围。一般来说,如果不超过10个,我们可利用AD用户帐户复制来实现。如果再多的话,就应该考虑使用使用命令行工具,实现批量导入导出对象。微软默认提供了两个批量导入导出工具,分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。 具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象,那么既可以使用CSVDE,也可以使用LDIFDE,如果需要修改或删除对象,则必须使用LDIFDE。本文不涉及使用CSVDE导入对象。而是换另一种导入导出AD帐户思路:使用CSVDE工具导出AD 帐户到CSV格式的文件中,再使用For语句读取该文件,使用DSADD命令进行批量添加。 具体步骤:
一:使用CSVDE导出帐户 使用CSVDE 导出现有对象的列表相当简单。 最简单的用法是: csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。–f 开关表示后面为输出文件的名称。 但是必须注意,上述的用法是很简单,但是导出来的结果可能存在太多你不希望要的记录和信息。 如果要实现更精确的导出记录,可以使用-d 和-r 以及-l 参数。 其中:-d 用来指定特定的搜索位置和范围 -r 用来指定特定的搜索对象类型 -l 用来指定导出对象的具体属性如: csvde –f users.csv –d "ou=Users,dc=contoso,dc=com" –r "(&(objectcategory=person)( objectclass=user))" –l DN,objectClass,description
把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了
使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如Microsoft(R) Exchange Server)的支持。 AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。 1、使用本地管理员登录。 2、修改计算机名为“DC” 3、更改计算机名后,需要重新启动服务器。 4、设置服务器固定IP。 5、通过服务器管理器中添加角色,进行域服务角色安装。(注windows server 2012中已不能使用dcpromo进入域安装向导) 6、默认选择“下一步”。
7、选择“基于角色或基于功能的安装”。下一步。 8、选择本地服务器“DC”。下一步。 9、选择“Active Directory域服务。 10、默认选项。下一步。 11、默认选项。下一步。 12、选择“如果需要,自动重新启动目标服务器”。按“安装”。(备注:指定备用源路径,指向windows server 2012安装盘) 13、安装完成。按“关闭”。
14、选择服务器任务详细信息,选择“部署后配置”按:将此服务器提升为域控制器。 15、选择“添加新林”,填写根域名:。 16、选择林和域功能级别是windows server 2003,提供域控制器功能,选择“域名系统(DNS)服务器。默认是选“全局编录”。并设置活动目录还原密码。 17、默认选择下一步。 18、默认显示NetBIOS是MCITP。 19、默认选择下一步。 20、显示安装信息,下一步。 21、查看导出安装AD脚本。
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
域用户与组账户的管 理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/064329487.html,)处右击,“新建→组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建→用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”→“程序”→“管理工具”→“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”→“帐户策略”→“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/064329487.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou- DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/064329487.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
如何在DC上开设新用户账户(图解版) 2010年04月21日星期三上午 10:20 企业管理中,计算机管理一般都是用域控制器来管理,域控制器(Domain Controller,简写为DC)。有关详细的介绍不是本文需要阐述的。笔者只是通过这篇文章,告诉初入网管的用户,如果最快最简单的开始新用户的计算机客户端登录账户。 请在DC上登录。 笔者此次使用的是Windows 2003来做演示,上面的图片信息是该服务器的登录界面。这里需要提醒用户,请使用域管理员账户,或者有开设新用户权限的账户登录DC服务器。 在这个演示中,笔者使用的是“域”管理员账号,并且登录了一个叫“XY”的域。
登录DC后,请打开“Active Directory 用户和计算机”管理器,例如上图。上面的信息是笔者这台DC中已经建立的公司管理架构。 接下来我们来假设一个实际的案例:比如今天作为管理员的你,接到人事部分的通知,需要给一个新来的财务部员工开设计算机登陆账号,该新员工叫“张学友”。按照公司的规定,在开设计算机登陆账号的同时,开设内部邮件账号。
用户需要找到“财务部”,此时我们可以看到,在右侧的信息中已经有了部分的用户信息,这个部门已经有了10个对象,9个是“用户”,1个是“安全组”。我们还可以看到,在3个用户信息上有个红色的“X”符号,这个意思是用户的账号被“禁用”。 此时管理员可以使用鼠标,在该部门的空白区域,点击鼠标的左键。计算机就会出现像图片上的信息,我们需要选择“新建”-“用户”继续下一步操作。
此时,服务器会弹出“新建对象-用户”对话框。 根据上面的实际案例,我们就建立一个新用户的信息。
实验域用户和组的创建 1、实训目的 (1)掌握将计算机加到域的方法 (2)掌握创建与管理域用户和组 2、实训内容 将计算机添加到域中,创建与用户账户、域组 3、课前准备 (1)_____________是计算机网络的基本安全组件,服务器通过_____________来 辨别用户身份,让合法用户登录计算机网络。 (2)在Windows Server 2003域中,域用户组分为____________和_____________ 两种类型,____________是实现与安全有关的工作和功能的用户组; ____________不是Windows Server 2003的安全实体,它不包括SID(安全标示符),不能赋予访问资源的权限。常用的用户组都是____________。(3)在Windows Server 2003内建的用户有____________和____________,其中 ____________具有最高权限,__________是偶尔要使用网域用户存取资源权力的账户。 4、实训 (1)配置服务器的本地连接的属性。 IP地址:________________________、子网掩码:______________________ DNS服务器地址:______________________ (2)配置客户机的本地连接的属性。 IP地址:________________________、子网掩码:______________________ DNS服务器地址:______________________ (3)你是怎样启动活动目录管理控制台的? (4)创建一个PC1用户的基本过程。
第一部分 情景:新建域环境,需要创建大批用户帐号。 环境:Windows Server 2003 + SP2 (DC) 操作: 1、在C盘根目录下创建add.cmd 和UserList.txt 两个文件。虚线内为实际内容。 add.cmd (文件内容为一行,无回车) For /F "tokens1,2" %%a in (UserList.txt) do dsadd user CN%%a,OUtest,DCaltn,DCCom -upn %%a@https://www.doczj.com/doc/064329487.html, -display %%b -pwd p@ssw0rd -pwdneverexpires yes UserList.txt (拼音和中文名之间有一个空格) zhangsan 张三 lisi 李四 wangwu 王五 2、运行add.cmd ,搞定。 第二部分 仅从操作过程来看非常简单,考试.大提示但有细节之处。 1、dsadd user 是Windows Server 2003 才具备的工具。 2、UserList.txt 内的原始数据还是需要手工输入的。 3、For语句将读取UserList.txt,把每行第一个空格前的内容赋予变量%%a,空格后的内容赋予变量%%b。For语句中tokens的含义是关键。后面一部分则是dsadd user的命令,可以根据自己的需求修改域名和OU名,如果直接创建在默认的Users文件下的话就把OUtest改成CNUsers。 4、我在创建用户时关注的一些选项以及这些选项在dsadd中的对应开关符 (1)用户登录名(-upn
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
批量添加域用户操作实战 一、AD用户帐户复制 1、在“AD域和计算机”中建一个作为样板的用户,如S1。 2、设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。 3、在S1上/右键/复制,输入名字和口令。 说明: 1、只有AD域用户帐户才可以复制,对于本地用户帐户无此功能。 二、比较csvde与ldifde csvde: 逗号分隔符目录交换工具 允许您使用CSV 源文件将新对象导入到Active Directory 中;此外,该工具还提供了将现有对象导出到CSV 文件的功能。CSVDE 不能用于修改现有对象;在导入模式下使用此工具时,您只能创建全新的对象。 使用CSVDE 导出现有对象的列表相当简单。将Active Directory 对象导出到名为的文件,方法如下: csvde –f –f 开关表示后面为输出文件的名称。但是您必须注意,根据环境的不同,此基本语法可能会生成不实用的大型输出文件。要将此工具限制为仅导出特定组织单位(OU) 中的对象,可以将语句修改为如下形式:
csvde –f –d u=Users,dc=contoso,dc=com 进一步假定您只对将用户对象导出到CSV 文件感兴趣。如果是那样的话,您可以添加–r 开关和–l 开关,前者允许指定轻型目录访问协议(LDAP) 筛选器进行搜索,后者可以限制导出的属性的数量(请注意以下所有内容位于一行):csvde –f –d u=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description 通过–i 开关,您可以将对象从源CSV 文件导入到Active Directory。但是,使用CSVDE 创建用户对象存在一个关键限制:不能使用CSVDE 设置用户密码。因此,应该避免使用CSVDE 创建用户对象。 ldifde:轻型目录访问协议,互换格式目录交换 与CSVDE 相比,此工具更强大,更灵活。除了可以创建新对象外,LDIFDE 还可以修改和删除现有对象,甚至扩展Active Directory 架构。LDIFDE 虽然具有灵活性,但为了实现这种灵活性却必须要使用扩展名为.ldf 的LDIF 文件作为输出文件,这种文件与简单的CSV 文件相比,格式更复杂。(只需少量操作就可以配置好用户密码,我稍后将对此进行介绍。) 我们从一个简单的示例开始,将某个OU 中的用户导出到LDF 文件中(请注意以下所有内容位于一行): ldifde -f -s -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))" 与大多数命令行工具一样,您可以通过运行LDIFDE / 命令找到LDIFDE 开关的完整说明。图1介绍了我在此使用过的开关。(注意CSVDE 和LDIFDE 命令的开关实际上是相同的。) LDIFDE 的真正功能在于创建和操作对象。然而,进行此操作之前,您首先需要创建一个输入文件。以下语句创建两个名为afuller 和rking 的用户帐户;要创建该输入文件,请在记事本(或者您喜欢的纯文本编辑器)中输入以下文本,然后将其保存为: dn: CN=afuller, U=UsersOU, DC=contoso, DC=com changetype: add cn: afuller objectClass: user samAccountName: afuller dn: CN=rking, U=UsersOU, DC=contoso, DC=com changetype: add cn: rking objectClass: user samAccountName: rking 创建完该文件后,请运行以下命令: ldifde –i –f –s 您可能会猜到,此处使用的唯一新开关-i 表明这是一项导入操作而非导出操作。如果要修改或删除现有对象,不必更改LDIFDE 命令的语法;相反,您应该修改LDF 文件中的内容。要更改用户帐户的说明字段,请创建名为的文本文件。
实验二创建和管理域 一、实验目的 1.掌握Windows Server 2003域的创建(安装活动目录); 2.学会将计算机加入到域; 3.学会创建和管理域用户账户; 4.学会创建和管理域中的组。 二、实验内容 1.在Windows Server 2003 上安装活动目录(即安装Active Directory); 2.将计算机加入到域; 3.创建和管理域用户账户; 4.创建和管理域中的组。 三、基础知识 1.活动目录 活动目录(Active Drectory)是一个存储在网络中多台服务器上的分布式数据库,这个数据库中存储了整个网络中的账户信息(包括用户账户、计算机账户等各种权限和资源信息),当用户登陆网络时,活动目录将进行身份验证,并分配许可的资源和权限。 2.域和域控制器 域(Domain)是Windows Server 2003计算机网络的单一安全边界。域控制器是指控制域的服务器,亦即安装了活动目录的服务器。活动目录由一个或多个域组成,域是目录服务的一个基本单元。 3.组和安全组、分布组的领域 组(Group)是活动目录或者本地计算机对象,它包含用户、联系人、计算机和其他的组。安全组显示在访问控制列表(ACL)中,定义了网络资源和对象的权限。分布组则没有安全性,不在访问控制列表中显示。 4.活动目录用户与计算机账户 用户或者计算机要登陆到网络以使用网络资源,必须是活动目录用户或计算机账户,以便于通过安全验证。活动目录用户与计算机账户是用户的安全凭据。 四、实验环境 1.一台安装有Windows Server 2003 Enterprise Edition中文版的计算机YZCITSVMAIN 作为服务器,安装其操作系统的默认选项,并且设置该计算机的静态IP地址:,子网掩码:; 2.两台安装好Windows 2000 Professional的计算机,两台安装好Windows XP的计算机作为客户机成员,两台安装好Windows Server 2003的计算机作为域中的成员服务器; 3.连接好的10 BASE T或100 BASE T以太网; 4.Windows Server 2003 Enterprise Edition中文版安装光盘。 五、实验步骤 1.安装Acitive Directory创建域 (1)打开准备安装目录服务服务器计算机的电源,启动计算机,以Administrator身份登录,将Windows Server 2003 Enterprise Edition中文版安装光盘放入光盘驱动器。
批量创建AD域用户 1、创建以 .csv 格式的EXCEL表格。 2、将表格存放到C: 盘的根目录下。 3、在AD域里面创建OU 4.、执行以下命令:(以下命令需要事先创建OU)
for /f "tokens=1,2,3,4,5 delims=, " %a in (c:\driver.csv) do dsadd user "cn=%b,ou=Driver,dc=driver,dc=com" -samid %c -upn %c@https://www.doczj.com/doc/064329487.html, -ln %a -fn %b -pwd %e -mustchpwd no -pwdneverexpires yes -disabled no 5、创建成功。 执行命令解释: "tokens=1,2,3,4,5 delims=, " 定义.csv表格中有5个变量,分别为%a,%b, %c,%d 分别对应excel 表格的A,B,C,D列。 delims=, 表示分隔符为 “,”号。 %a in (c:\driver.csv) 定义全部的变量来源,指变量全部来源于保 存在c盘的excel 的csv文件。 Do dsadd user 添加创建用户的命令。 "cn=%b,ou=Driver,dc=driver,dc=com" Cn=%b 定义姓名为B列 Ou= 定义将用户创建为哪一个OU Dc = 定义哪个域名 -samid %c -upn %c@https://www.doczj.com/doc/064329487.html,定义用户的名称和upn后缀, %c:为表格c列。 -ln %a 定义用户的姓,为表格的a列。 -fn %b 定义用户的名。 -pwd %e 定义用户的密码。 -mustchpwd 定义“首次登陆是否更改密码” yes 是开启,no 是
纯手写截图~~超级累。。希望大家多多指出错误! 先用EXCEL建立一个文档。 第四行,不要输入。只是说明这个属性的作用。 原为 输入好要建立的账号属性后,将这个文档另存为为csv格式。
保存到C盘根目录下。修改名称。这里我就不修改啦 scv里的内容 接下来就是输入代码: For /f “tokens=1,2,3,4,5 delims=,”%a in (c:\book1.csv) do dsadd user “cn=%c,ou=明星部,dc=domain,dc=com”–samid %d –upn%d@https://www.doczj.com/doc/064329487.html,–ln %a –fn %b –pwd %d –mustchpwd no –pwdneverexpires yes –disabledyes 以上,全部代码输入到CMD中执行之前,要先建立上面代码中有的OU。 执行
结果 下面代码的解剖说明 For /f “tokens=1,2,3,4,5 delims=,”%a in (c:\book1.csv) do dsadd user “cn=%c,ou=明星部,dc=domain,dc=com”–samid %d –upn%d@https://www.doczj.com/doc/064329487.html,–ln %a –fn %b –pwd %d –mustchpwd no –pwdneverexpires yes –disabledyes ---------------------------------------------------------------------------------------------------------------------- For /f “tokens=1,2,3,4,5 delims=,” “tokens=1,2,3,4,5”这段是声明这里有5个变量。分别是%a,%b,%c,%d,%e。分别对应EXCEL