NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 服务管理 .: 管理计算机和用户帐号

管理计算机和用户帐号

一,需求提出

工作上有一个需求,需要批量的导入一些账号,并要求有一些属性,比如:部门,职位,分机等!

其实呢,需求很简单,解决方案也很简单,但在实际的操作过程中,也确实出现了一些问题,GG和BD了一些,也看了一些其他人的博客等内容,但大多都是比较雷同,更有甚者直接照搬微软帮助和支持中心的模板,并没有实际的操作案例的讲解,以及操作注意事项,根据其博客操作,总会出现这样那样的问题!出于此,虽然这篇很简单,但我还是要写出来与大家一起分享,分享的不单单是实际的解决方案,更是用心负责细心的态度,

当我们拿到这个需求,我们可能就要问了,这些属性我应该从哪里得到呢?我也记不住那么多的属性值呀!其实我们也可以变通的,我们可以先导入,然后根据导出的文件来对比这些属性值就可以完成,下面就让我们来看下过程!

二, 环境描述

1,DC一台(2003系统,安装有office 2007)

2,域名是:TT.Com

3,建立了一个OU:TT,并在TT这个OU下建立了一个用户:

三, 使用csvde导出账号

微软默认提供了两个批量导入导出工具,分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换),具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象,那么既可以使用CSVDE,也可以使用LDIFDE,如果需要修改或删除对象,则必须使用LDIFDE。我们这里选择csvde!

1,打开cmd,更换目录到C盘根目录,方便我们查找文件,如图1,

Csvde –f user.Csv 将AD对象导出到名为user.csv的文件,-f 开关表示后面为输出文件的名字。

图1

2,以上导出的信息量很大,从图中可以看出有200个项目,这样会有太多干扰我们的一些信息,不方便我们来查找我们想要的东西,我们可以适当的加一点参数来导出我们最想要的信息,如图2,

说明:TT这个OU和用户alice(这个用户的一些属性被我填写了,比如职位,部门,分机等,需要什么属性就填写相关的项目,但为了更好的效果可以填写英文,因为中文导出后会出现乱码,当然,在导出的时候,后面加一个参数 –u也是可以解决的,但在后期我们编辑的时候不太方便,所以尽量使用英文作为模板)是我为了导出我们需要的属性值而建立的,这个无关紧要,只是要导出一个属性值的模板来让我们参考!从图中我们可以看到这次只导出了2个项目,比上次那个会清晰很多!当然,csvde的参数还有很多,但我们能够用到的确实不是很多,行了解更多的可以打“?”来查看,或者参考官网:http://technet.microsoft.com/zh-cn/lipary/cc732101(v=ws.10)

1 u+ z- @4 q) l* l9 G- J

图2

四, 编辑模板

根据上一步导出的信息,我们就可以找到我们所需要的:职位,部门,分机等这些信息的属性值了,分别是“title,department,telephoneNumber”,其实有一个技巧就是,我们可以直接的修改这个csv文件,不需要再去新建了!我们把其他不需要的删除,只留下我们需要的,如图3,

图3

五, 导入用户

打开cmd,更换到C盘根目录,使用命令导入,如图4

Csvde –I –f user2.csv -i是导入的意思,-f是指定文件的意思

图4

六, 因为工具不能直接导入密码,并且我们在导入的使用使用了514,这是锁定账号的意思,用户的密码是空的,并且是用户下次登录需要更改密码。这显然是不安全的,如图5,

图5

七, 启用账号并设定初始密码!

1, 因为现在的用户是空密码,我们的默认域策略是要求复杂性的,所以暂时还无法启用用户,我们先更改密码,由于用户比较多,手动一个个去改麻烦,工具又不允许导入密码,所以,我们可以使用一个bat文件来对用户进行更改,如图6,建立完成后另存为pwd.bat,打开cmd切换到C根目录进行运行,看到完成的结果!

图6

2, 然后,使用shift进行多选,右键选择启用用户即可!如图7

图7

八, 查看结果是否满足需求

我们打开一个用户,看职位,部门,分机是否存在,如图8

九, 总结

在我们进行 导入的时候,不是说所有的账号有属于一个OU里,那么,我们在导入前是需要先加你相应的OU的,这是一个前提条件,不然在导入的时候会报错!另外一个工具是ldifde,其实用法我个人感觉是一样的

管理计算机和用户帐号

Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000 Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。
本章介绍了Active Directory用户和计算机的常用管理工具的使用:
1.
账户、组、组织机构相关的基本概念
2.
用户和计算机账户的配置与管理
3.
组的创建和管理
4.
组织机构的添加与管理
5.
资源的发布和搜索
6.
域和域间信任的管理


  7.1 基本概念
  活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于:
 验证计算机或用户的身份
 允许访问域中资源
 审核用户或计算机帐号的活动
7.1.1
用户帐号
  用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软件的服务帐号。


  7.1.2 计算机帐号
  每一个运行 Windows 2000 Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。
7.1.3

  组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以:
 管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。
 筛选器组策略设置
 创建电子邮件通讯组
  有两种类型的组:
 安全组
 通讯组
  安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。
  通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。
  任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。下表总结了域模式对组的作用。
7.1.4
组作用域
  每个安全组和通讯组均具有作用域,该作用域标识组在域树或树林中所应用的范围。有三类不同的作用域通用、全局和域本地。
通用作用域
 
全局作用域
 
域本地作用域

在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。
 

在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。
 

在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。

在本机模式域中,不能创建有通用作用域的安全组。
 

在本机模式域中,可将其成员作为来自相同域的帐户。
 

在本机模式域中,可将其成员作为来自任何域的帐户和全局组。

组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。
 

组可被放入其他组并且在任何域中指派权限。
 

组可被放入其他域本地组并且仅在相同域中指派权限。

不能转换为任何其他组作用域。
 

只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。
 

只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。
7.1.5
内置和预定义组
  安装域控制器时,部分默认的组安装于 "Active Directory 用户和计算机"控制台的"内置""用户"文件夹中。这些组是安全组并且代表一些公用的权利和权限集合,可用于将某些角色、权利和权限授予用户放入默认组的帐户和组。
  有域本地作用域的默认组放在"内置"文件夹中。有全局作用域的预定义组放在"用户"文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹,但不能将它们移动至其他域。
内置组:
  放入"Active Directory 用户和计算机""内置"文件夹中的默认组为:帐户操作员 、管理员 、备份操作员 、来宾 、打印操作员 、复制器 、服务器操作员、用户 。下表显示了这些组拥有的默认权利:
用户权利
 
允许
 
在默认情况下分配有此权利的组
从网络访问该计算机
 
连接到网上的计算机。
 
管理员、每个人、超级用户
备份文件和文件夹
 
备份文件和文件夹该权利将取代文件和文件夹权限
 
管理员、备份操作员
旁路遍历检查
 
即使用户没有访问父文件夹的权限,也可在文件夹之间移动以访问文件。
 
每个人
更改系统时间
 
设置计算机内部时钟的时间。
 
管理员、超级用户
创建页面文件
 
该权利无效。
 
管理员
调试程序
 
调试各种底层对象,例如线程。
 
管理员
从远程系统强制关机
 
关闭远程计算机。
 
管理员
增加调度优先级
 
提高进程的执行优先级。
 
管理员、超级用户
加载和卸载设备驱动程序
 
安装和删除设备驱动程序。
 
管理员
内置组:(续表)
本地登录
 
通过计算机键盘在计算机上登录。
 
管理员、备份操作员、每个人、来宾、超级用户和用户
管理审计和安全日志
 
指定需要审计的资源访问(诸如文件访问)类型,并且查看和清除安全日志。该权利不允许用户设置系统审计策略。管理员组的成员始终可以查看和清除安全日志。
 
管理员
修改固件环境变量
 
修改存储于支持此类配置的计算机非易失内存中的系统环境变量。
 
管理员
图示单独的进程
 
用图表的形式显示某个进程的情况(性能数据采集)
 
管理员、超级用户
图示文件系统性能
 
用图表的形式显示计算机的情况(性能数据采集)
 
管理员
内置组:(续表)
还原文件和文件文件夹
 
恢复备份文件和文件文件夹该权利将取代文件和目录权限
 
管理员、备份操作员
关闭系统
 
关闭 Windows 2000
 
管理员、备份操作员、每个人、超级用户和用户
取得文件或其他对象的所有权
 
取得文件、文件夹、打印机和计算机上(或连接在计算机上)的其他对象的所有权。该权利将取代保护对象的权限。有关文件和文件夹权限的信息。
 
管理员
预定义组:
  放在"Active Directory 用户和计算机""用户"文件夹中的预定义组有:组名称 、证书发行者 、域管理器 、域计算机 、域控制器 、域来宾 、域用户 、企业管理员 、组策略管理员、架构管理员。可使用这些有全局作用域的组将该域中各种类型的用户帐户(普通用户、管理员和来宾)收集到组中。然后这些组可以放入该域和其他域中有域本地作用域的组。
7.1.6
特殊身份
  除"内置""用户"文件夹中的组以外,Windows 2000 Server 还包括几种特殊身份:为方便起见,这些身份通称为组。这些特殊组没有用户可修改的特别成员身份,但是它们能根据环境在不同时间代表不同用户。这三个特殊组为:
§
 每个人
 代表所有当前网络的用户,包括来自其他域的来宾和用户。无论用户何时登录到网络上,它们都将被自动添加到 Everyone 组。
§
 网络
  代表当前通过网络访问给定资源的用户(不是通过从本地登录到资源所在的计算机来访问资源的用户)。无论用户何时通过网络访问给定的资源,它们都将自动添加到网络组。
§
 交互
  代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户(不是通过网络访问资源的用户)。无论用户何时访问当前登录的计算机上所给的资源,它们都被自动添加到交互组。
7.1.7
组对网络性能影响
  用户登录到 Windows 2000 网络时,Windows 2000 域控制器决定用户属于哪个组。Windows 2000 创建安全令牌并将其指派给用户。安全令牌列出了用户帐户 ID 和用户所属的所有安全组的安全 ID。组成员身份可能影响网络性能,由于:
§
 登录的影响
  建立安全令牌需要时间,所以用户所属的安全组越多,生成这个用户安全令牌的时间越长,并且该用户登录到网络的时间也越长。造成这一影响的程度将随着网络带宽以及处理登录过程的域控制器的配置而变化。
  有时,用户可能想创建只用于电子邮件的组,并不准备使用该组将权利和权限指派给它的成员。为提高登录性能,可创建类似通讯组的组而非安全组。
§
 有通用作用域的组的复制
  对存储在全局编录中的数据的更改将复制到树林的每个全局编录中。有通用作用域的组及其成员列在全局编录中。有通用作用域的组的一个成员更改时,整个组成员身份都必须复制到域树或树林中的所有全局编录中。
  具有全局或域本地作用域的组也列在全局编录中,但未列出其成员。这将会减小全局编录的大小,并且明显减少需要随时更新全局编录的复制通信量。可通过为经常更改的目录对象使用具有全局或域本地作用域的组来提高网络性能。
§
 网络带宽
  每个用户的安全令牌都被发送到用户访问的每台计算机,以使目标计算机能够对照该计算机上所有资源的权限列表比较包含在令牌内的所有安全 ID,从而决定用户在该计算机上是否有相应的权利或权限。目标计算机还检查令牌中的任何安全 ID 是否属于目标计算机上的任何本地组。
  用户所属的组越多,其安全令牌就越大。如果用户的网络有大量用户,这些大型安全令牌对网络带宽和域控制器处理能力的影响非常明显。

7.2 用户账户的管理
  7.2.1 添加用户帐号
  在 Windows2000 Server 中,一个用户帐号包含了用户的名称、密码、所属组、个人信息、通讯方式等信息,在添加一个用户帐号后,它被自动分配一个安全标识 SID ,这个标识是唯一的,即使帐号被删除,它的 SID 仍然保留,如果在域中再添加一个相同名称的帐号,它将被分配一个新的 SID,在域中利用帐号的SID来决定用户的权限。
  添加用户帐号的步骤如下:
  步骤1 首选启动 Active Directry 用户和计算机管理器单击 User 容器会看到在安装 Active Directry 时自动建立的用户帐号
  步骤2 单击操作新建用户在创建新对象对话框中输入
 
用户的姓名、登录名,其中的下层登录名是指当用户从运行 WindowsNT/98 等以前版本的操作系统的计算机登录网络所使用的用户名 如图 7.1→下一步
步骤3 在密码对话框中输入密码或不填写密码并选择"用户下次登录时须更改密码"选项,以便让用户在第一次登录时修改密码
  步骤4 在完成对话框中会显示以上设置的信息,单击完成
  这时用户会在管理器中看到新添加的用户 如图 7.2
 
7.2.2.
管理用户账户
§
 输入用户的信息
  在用户属性对话框中的常规标签中可以输入有关用户的描述、办公室、电话、电子邮件地址及个人主页地址;在地址标签中输入用户的所在地区及通信地址;在电话/备注标签中输入有关用户的家庭电话、寻呼机、移动电话、传真、IP 电话及相关备注信息。这样便于用户以后在活动目录中查找用户并获得相关信息。
§
 用户环境的设置
  用户可以设置每一个用户的环境,如用户配置文件、登录脚本、宿主目录等,这些设置根据实际情况而定,用
 
户将在以后章节加以详细说明。
§
 设置用户登录时间
  在帐户标签中单击"登录时间"按钮,出现如图 7.3对话框所示,图中横轴每个方块代表一小时,纵轴每个方块代表一天,蓝色方块表示允许用户使用的时间,空白方块表示该时间不允许用户使用,默认为在所有时间均允许用户使用。在这个例子中用户设置允许用户在每星期的周一到周五的 700~1900 之间使用。
步骤:在用户(Mark Lee)的登录时段对话框中,选择不允许登录的时间段单击"拒绝登录"
  当用户在允许登录的时间段内登录到网络中,并且一直持续到超过允许登录的时间时,用户可以继续连接使用,但不允许作新的连接,如果用户注销后,则无法再次登录。
§
 限制用户由某台客户机登录
  在帐户并且中单击"登录到"按钮出现如图 7.4对话框所示,在默认情况下用户可以从所有的客户机登录,也可以设置让用户从某些工作站登录,设置时输入计算机的计算机名称(NetBIOS名),然后单击添加按钮,这些设置对于非 WindowsNT/2000 工作站是无效的,如用户可以不受限制的从任何一台 DOSWindows 客户机登录。
§
 设置帐户的有效期限
  在帐户并且的下方,用户可以选择帐户的使用期限,在默认情况下帐户是永久有效的,但对于临时员工来说,设置帐户的有效期限就非常有用,在有效期限到期后,该帐户被标记为失效,默认为一个月。
§
 管理用户帐户
  在创建用户帐号后,可以根据需要对帐户进行密码重新设置、修改、重命名等操作。
重设密码: 选择用户帐户操作重设密码,在密码设置对话框中输入新的密码,如果要求用户在下次登录时修改密码则选中"用户下次登录时须更改密码"选项
帐户的移动: 选择用户帐号操作移动,在移动对话框中选择相应的容器或组织单位
重命名:  选择帐户操作重命名,更改用户的名称,对内置的帐户也可以更改,(如更改系统管理员的帐户名称,这样有利于提高系统的安全性),在更改名称后,由于该帐户的安全标识 SID 并未被修改,所以,其帐户的属性、权限等设置均未发生改变。
删除帐户: 选择帐户操作删除,用户可以一次删除一个或多个帐户,在删除帐户后如再添加一个相同名称的帐户,由于 SID 的不同,它无法继承已被删除帐户的属性和权限。
 
§
 计算机帐户的创建
  步骤1 首选启动 Active Directry 用户和计算机管理器单击 Computer 容器操作计算机,则出现如图7.5所示
  步骤2 输入计算机名称,单击确定完成创建工作

 

 


 
7.3
组的管理
  用户可以利用将用户加入到组中的方式,简化网络的管理工作。当用户对组设置了权限后,则组中所有的用户就具有了该权限,这样避免用户对每一个用户设置权限,从而减轻了工作量。
1.
添加组
  步骤1 打开 Active Directory 用户和计算机
  步骤2 在控制台树中,双击域节点
  步骤3 右键单击要添加组的文件夹,指向"新建",然后单击""
  步骤4 键入新组的名称在默认情况下,用户输入的名称还将作为新组的 Windows 2000 以前版本的名称如图7.6
 
  步骤5 单击所需的"组作用域"
  步骤6 单击所需的"组类型"
  注意:如果用户目前创建的组所属的域处于混合模式,则只能选择具有"域本地""全局"作用域的安全组。
2.
指定用户隶属的组
  步骤: 在组属性对话框中单击成员属于标签如图 7.7,可以查看到当前用户隶属于那些组,如要将用户添加到其它的组中则单击添加按钮,出现如图 7.8所示的对话框,在上方的窗体中选择需要添加的组(可以按住 Shift Ctrl 键,利用鼠标选择多个组),然后单击添加按钮则所选的组会出现在下方的窗体中,单击确定。
 
如果需要将用户从他所属的指定组中删除,则在成员属于窗体中选择该组,单击删除按钮。注意,用户帐号至少隶属于一个组,该组被称为主要组,这个主要组必须是一个全局组且它不可删除。
3.
管理组
将组转换为另一种组类型
  步骤1 打开 Active Directory 用户和计算机
  步骤2 在控制台树中,双击域节点
  步骤3 单击包含该组的文件夹
  步骤4 在详细信息窗格中,右键单击组,然后单击"属性"
  步骤5 "常规"选项卡的"组类型"中,单击"分布式""安全式 "
更改组作用域
  步骤1 打开 Active Directory 用户和计算机
  步骤2 在控制台树中,双击域节点。
  步骤3 单击包含组的文件夹
  步骤4 在详细信息窗格中,右键单击组,然后单击"属性"
  步骤5 "常规"选项卡的"组作用域"下,单击"本地域""全局""通用"
删除组
  步骤1 打开 Active Directory 用户和计算机。
  步骤2 在控制台树中,双击域节点。
  步骤3 单击包含组的文件夹。
  步骤4 在详细信息窗格中,右键单击组,然后单击"删除"
 

  7.4 组织单位的管理
1.
创建组织单位
  步骤1 打开 Active Directory 用户和计算机
  步骤2 在控制台树中,双击域节点。
  步骤3 右键单击域节点或者要在其中添加组织单位的组织单位。
  步骤4 指向"新建",然后单击"组织单位"
  步骤5 键入组织单位的名称 如图 7.9
 
2.
组织单位的委派控制
  步骤1 打开 Active Directory 用户和计算机
  步骤2 在控制台树中,双击域节点
  步骤3 在详细信息窗格中,右键单击该组织单位,然后单击"委派控制"来启动控制委派向导
  步骤4 在用户和组对话框中,但击"添加"选择受委派的用户和组
  步骤5 在委派任务中,可以指定委派公用任务,也可以选择委派更为细化的自定义任务,如图 7.10
  步骤6 在摘要信息单击"完成"


这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited