根据ou自动创建AD组

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

活动目录中的对象由使用组织单位(OU) 进行组织。

OU 的设计具有两项主要因素：目录对象管理的委派以及组策略对象(GPO) 的应用。

OU 设计应该反映出在网域中管理对象的方式。

变更OU 设计并不困难，但是因为必须小心地操控访问控制列表，所以可能会较为复杂。

一旦建立委派和组策略之后，重新设计已经套用设定的OU 可能很花时间。

因为OU 可担任系统管理委派及组策略应用的双重角色，所以必须进行两次OU 设计程序：一次针对委派，另一次则针对组策略的用法。

工作1：针对系统管理的委派来设计OU 设定OU 可以用来将对象(例如用户或计算机) 的系统管理委派给指定的群组。

虽然可以将权限委派给个人，但最佳的作法仍是使用群组，因为随着组织中的人员变更，更新委派群组中的成员资格要比更新目录中的对象权限来得容易。

藉由OU 进行委派涉及下列的工作：·识别或建立即将委派权利的系统管理员群组。

·将即将委派权利的个人或群组放置到OU 中。

建立系统管理群组具有管理权的OU。

·将要指派的对象权利指派给每个OU 内的系统管理群组。

·在OU 内建立/放置要控制的对象。

·识别要委派系统管理工作的群组时，请尽可能地详细说明必要的最低控制权限。

工作2：设计组策略应用程序的OU 设定您可以建立OU，以将组策略设定套用至特定的计算机或用户子集。

根据默认，OU 中的所有对象都会收到已套用的GPO 所包含的设定。

从委派(或作业) 角度来看，完成OU 设计之后的下一个步骤就是修改OU 设计，以说明组策略设定所可能导致的任何独特状况。

例如，从委派角度来看，您可以建立称为“工作站”的OU，以委派用来管理所有工作站的权限。

在考虑组策略时，可能需要在桌面计算机OU 和行动装置OU 中反映出桌面计算机及笔记本电脑不同的原则需求。

在此案例中，可以将这些桌面计算机和移动装置OU 建立为工作站或OU 内的子OU，或者由这两个个别的OU 来取代工作站OU。

一：建域1.开始>>运行>>dcpromo2.进入AD安装向导3.关于系统兼容性的说明4.创建域控制器的类型，我们这里因为是第一台域控制器，所以选第一项。

第二项为创建备份域控制器做冗余的时候用的，这留到以后关于迁移域控制器的时候再跟大家说。

5.创建一个新域。

各项的说明图中已经给出，我们这里选第一项"在新林中的域"，因为本文的环境为安装第一个域。

6.创建的域的名称。

我个人来说习惯在企业内部用。

local的后缀表示本地的。

BIOS域名，一般不用改直接下一步！8.数据库及日志文件存放的位置，可以改也可以不改。

如果你习惯把日志类文件放到一齐的话，可以进行修改。

因为我只有一个盘就不改了。

9.共享的系统卷，这里要注意了！此文件必须要放在NTFS卷上！而且sysvol文件是被用于以后的域信息同步的。

所以在安装完后会自动的共享出来。

10.这里一般的话集成安装DNS比较好，如果是分离安装的话，对新手比较麻烦。

因为AD 会在DNS下创建许多SRV记录。

11.设置权限，其实就是为了与旧的系统AD迹象联系用的。

一般来说默认就可以了！2000以前的已经没见过有人用了。

12.AD在进入目录服务还原模式时使用的管理员密码。

注意与现在的管理员密码概念区分。

此密码只适用于目录服务还原模式。

此模式在大家平时选择进入安全模式的菜单下可以找到。

13.你所创建的域环境摘要，说穿就是你前面的设置信息。

14.在上面的图示中点击下一步就开始部署AD了！需要一点时间，大概5分钟就可以了。

休息一下眼睛。

在这里之前如果大家没有填写TCP/IP的信息，会在安装过程中叫你填写TCP/IP信息。

15.会出现提示要选择映像文件的位置--如选择取消，DNS服务就会手动配置（有点麻烦）,点击确定-----浏览---选择文件的位置16.看到这里就表示安装完毕了。

17.最后就重启--------立即重启才会生效二，加入域1.加入域前的准备a.开始---程序---管理工具---ActiveDirectory用户和计算机---选择---新建域名下的Computers---在右侧窗口，右击---新建---计算机---输入计算机名（是你要加入这个域的计算机名，）---下一步---下一步---完成。

AD域管理解决方案一、架构设计1. 域控制器（DC）：在企业网络中配置多个域控制器，确保高可用性，并减少单点故障的风险。

每个域控制器都要运行Active Directory服务，并拥有复制和故障转移功能。

2.组织单位（OU）：根据企业的组织架构和业务需求，创建适当的OU来对各个部门、组织单元进行管理。

OU可以根据需要进行重命名、合并或删除。

3.安全组和分发组：根据不同的权限需求，创建安全组来管理用户的访问权限。

分发组用于将软件包、策略等分发给特定的用户组。

4.策略管理：使用组策略管理（GPO）来对用户和计算机进行集中管理和配置，例如设置密码策略、桌面背景、软件安装等。

可以根据业务需求创建不同的GPO，并将其应用到不同的OU或安全组上。

5.用户管理：使用AD提供的用户管理功能，对用户进行创建、删除、禁用、启用、密码重置等操作。

同时，使用单一登录（SSO）技术，可以实现用户在任何一个域控制器上登录的能力。

6.计算机管理：通过AD可以对计算机进行集中管理，包括加入域、远程管理、软件分发等。

可以使用域管理员账户对计算机进行管理，并通过组策略对其配置进行统一管理。

7.安全审计和监控：使用AD提供的安全审计功能，对域内的活动进行监控和记录。

可以设置审计策略，并将审计日志发送到集中的日志服务器进行分析。

8.备份和恢复：定期备份AD数据库和系统状态，以防发生丢失或故障。

同时，进行灾难恢复演练，以确保在紧急情况下能够快速恢复AD服务。

二、操作流程1.设计和规划：根据企业的组织结构和业务需求，设计适合的域控制器架构和管理策略。

确定OU结构和安全组设置，制定相应的操作规范和权限策略。

2.部署域控制器：根据设计方案，在企业网络中配置域控制器，确保其高可用性和故障转移能力。

进行域控制器的加入和复制配置，并进行适当的测试和验证。

3.创建组织单位和安全组：根据设计方案，在AD中创建组织单位和安全组，并进行相应的配置和权限分配。

一、AD域OU的概念和作用在讨论AD域OU下的计算机对象之前，首先需要了解AD域OU的概念和作用。

AD（Active Directory）域是Windows操作系统中用于组织和管理网络资源（包括用户、计算机、打印机等）的服务。

而OU（Organizational Unit）则是AD中用于组织和管理资源的一种容器，类似于文件系统中的文件夹。

1. AD域OU的作用：AD域OU的作用主要是用于对网络资源进行更细粒度的管理。

通过将网络资源（如用户、计算机等）按照组织架构进行组织，可以更方便地进行权限控制、策略应用、管理和维护等操作。

AD域OU也可以帮助管理员更好地理清网络资源的层次结构，便于管理和维护。

二、AD域OU下的计算机对象的特点和管理方法在AD域下，计算机也是一种重要的网络资源，因此对于AD域OU 下的计算机对象的管理显得尤为重要。

下面将介绍AD域OU下的计算机对象的特点和管理方法。

1. 计算机对象的特点：在AD域中，每台计算机都是一个对象，通过将计算机对象放置在不同的OU中，可以对其进行不同的管理。

计算机对象可以拥有自己的安全策略、组策略、权限设置等。

计算机对象也可以被管理员进行查找、管理、监控等操作。

2. 计算机对象的管理方法：对于AD域OU下的计算机对象，管理员可以通过以下几种方法进行管理：- 将计算机对象放置在合适的OU中：根据组织架构和管理需求，管理员可以将计算机对象放置在不同的OU中，便于对其进行管理和维护。

- 设置计算机对象的安全策略：管理员可以对计算机对象设置安全策略，包括访问控制、加密设置、防火墙设置等，以保证计算机的安全和稳定运行。

- 应用组策略：管理员可以通过组策略对计算机对象进行统一的管理，包括应用软件设置、系统设置、Internet设置等，提高计算机对象的统一性和管理效率。

三、AD域OU下的计算机对象的管理实践下面将介绍AD域OU下的计算机对象的管理实践，包括计算机对象的创建、移动、删除、管理策略的应用等。

常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。

相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：AD域控制器：Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是：copy bssec.scr c:\windows\system32即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。

作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。

打开“”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：屏保设置完毕。

AD组策略的设置（超详细）AD组策略的设置（超详细）⼀、编辑组策略1、允许⼀户登陆本计算机在OU⼀⼀→右键属性→组策略→新建策略→编辑策略→计算机配置→WINDOWS设置→安全设置→本地策略→⼀户权限分配→允许在本地登陆。

⼀gpupdate /force 命令刷新。

2、拒绝⼀户访问运⼀、CMD、以及批处理⼀件。

1、在要设定的OU上点击右键→属性→组策略→编辑策略→⼀户配置→管理摸板→任务栏和开始菜单→删除开始菜单上的运⼀菜单。

⼀gpupdate /force 命令刷新。

2、在要设定的域控制器点击右键→属性→组策略→编辑策略→⼀户配置→管理摸板→系统→阻⼀⼀户访问命令提⼀符→继续点击下⼀的的选项→是否拒绝使⼀批处理⼀件处理→选择“是”。

⼀gpupdate /force 命令刷新。

⼀、拒绝继承权限1、在下⼀级的OU上→属性→组策略→禁⼀策略的继承。

⼀gpupdate /force 命令刷新。

三、强制继承1、在上⼀级的OU上→属性→组策略→选项→禁⼀替代钩上。

⼀gpupdate /force 命令刷新。

四、过滤⼀户（特定的⼀群）1、在要设定的OU上→属性→组策略→属性→安全→添加⼀户→给予权限→拒绝组策略。

⼀gpupdate /force 命令刷新。

五、桌⼀管理1、在要设定的OU上→属性→组策略→编辑组策略→⼀户配置→管理模板→桌⼀→Active desktop→启⼀Active desktop→启⼀Active desktop墙纸→输⼀对应的主机的地址和共享⼀件。

2、⼀户配置→管理模板→系统→CTRL+ALR+DEL选项。

六、密码策略1、在域控制器上→属性→组策略→新建组策略→编辑组策略→计算机配置→安全设置→（1、密码策略2、帐户锁定策略）七、组策略脚本1、当⼀户启动时→启动脚本→登陆脚本2、当⼀户注销时→注销脚本→关机脚本3、wscript.echo"内容" 后缀改为“VBS”1、建⼀脚本→2、点开域控制器→属性→组策略→添加组策略→编辑组策略→⼀户配置（计算机配置）→WINDOWS设置→脚本→双击登陆→显⼀⼀件→把脚本⼀件拖进去→3、在点击添加→写⼀⼀件名就可以了。

AD域控规划方案AD（Active Directory）域控是一种用于管理和组织网络资源的目录服务。

它是基于Microsoft的Windows域架构开发的，可以在整个网络中管理和控制用户帐号、计算机、组织单元和其他网络资源。

在进行AD域控规划时，需要考虑以下几个方面：1.网络架构：首先确定网络的拓扑结构，例如是否采用分布式架构、中心化架构还是混合架构。

网络拓扑结构决定了域控的部署策略。

2.组织单元（OU）设计：OU是AD域中的容器，用于组织和管理对象，如用户、计算机和组等。

合理的OU设计可以方便管理和控制权限。

一般可以根据组织结构、业务需求或地理位置等因素进行划分。

3.域名称：域名称是AD架构的基础，它应该与组织的名称相关联，方便记忆和管理。

建议选择一个能够代表组织的名称，并确保唯一性。

4.域控部署策略：域控可以部署在物理服务器上，也可以采用虚拟化技术。

需要根据网络规模、性能需求和容错能力来确定部署策略。

5.域控的数量和位置：域控的数量和位置应该能够满足业务需求和可扩展性要求。

一般建议至少部署两个域控以提高容错能力，可以选择不同的物理位置或数据中心。

6.域控的安全性：域控是网络中最关键的服务器之一，应该采取一系列安全措施来保护其安全性。

例如使用强密码、限制远程访问、定期备份和监控等。

7.域控容灾和恢复：在域控发生故障或灾难时，需要有相应的容灾和恢复策略。

可以采用备份和还原、冗余部署或灾难恢复计划等方式来确保域控的可用性。

8. 域控的更新和维护：域控的更新和维护是保持系统稳定和安全的重要任务。

可以使用Windows更新服务、定期巡检和故障排除来确保域控的运行良好。

在具体的AD域控规划中，可以按照以下步骤进行：1.定义AD域的目标和需求：明确组织的需求和目标，确定AD域的作用和范围。

2.设计OU结构和组织方式：根据组织结构、权限需求和业务流程来设计OU结构。

确保OU结构清晰、简洁和易于管理。

3.确定域名称和架构：选择一个能够代表组织的域名称，并确定AD 域的架构和拓扑结构。

为何不能交互式登陆前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。

在这里我必须讲一讲NT和win2000的身份验证机制。

NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。

而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。

SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。

但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。

当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。

ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write 等等).说了这么多，我再谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。

ad域常用操作
AD(Active Directory)域（Active Directory Domain）是一种集
中式网络管理和身份认证的解决方案，常用于Windows服务
器操作系统。

以下是AD域的常用操作：
1. 创建域：使用AD域控制器向导创建新的域。

2. 创建组织单位（OU）：将域内的用户、计算机和其他对象
分组管理。

3. 创建用户和组：在AD域中创建和管理用户和组对象，以便进行身份验证和授权。

4. 设置密码策略：定义密码的复杂性要求和过期策略，以增加网络安全性。

5. 分配权限和访问控制：通过组策略管理工具为用户和组分配权限，控制他们对网络资源的访问。

6. 启用审计日志：启用AD域的审计功能，以便记录和追踪用户和组的活动。

7. 建立信任关系：与其他域或外部身份验证系统建立信任关系，以实现跨域认证和资源共享。

8. 进行备份和恢复：定期备份和恢复AD域的数据，以防止数据丢失或意外损坏。

9. 更新和维护：定期更新AD域控制器和相关组件，以确保系统的安全性和性能。

10. 监控和故障排除：使用AD域监控工具监视域的运行状态，并及时解决出现的故障和问题。

这些是AD域的常见操作，用于管理和维护域内的用户、计算机和安全设置。

AD（Active Directory）域组织单元是Active Directory 中的一种容器对象，用于组织和管理域中的对象。

AD 域组织单元可以包含用户、计算机、组、打印机等对象，并可以根据需要对这些对象进行管理和控制。

AD 域组织单元的主要作用包括：
1.组织和管理对象：通过将对象放置在不同的组织单元中，可以更
好地组织和管理域中的对象。

2.权限管理：可以为组织单元中的对象分配权限，以控制对这些对
象的访问。

3.策略管理：可以为组织单元中的对象应用组策略，以实现对这些
对象的管理和控制。

4.简化管理：通过使用组织单元，可以简化域的管理，提高管理效
率。

在AD 域中，可以根据需要创建多个组织单元，并根据需要对这些组织单元进行管理和控制。

例如，可以创建一个名为“销售”的组织单元，用于管理销售部门的用户、计算机和组等对象。

扩展资料：
要在AD（Active Directory）域中创建组织单元（OU），可以按照以下步骤进行操作：
1.打开Active Directory 用户和计算机管理控制台。

2.在控制台左侧的树形视图中，展开域节点。

3.右键单击要创建OU 的域节点，选择“新建”>“组织单元”。

4.在“新建对象-组织单元”对话框中，输入OU 的名称，例如“销售”。

5.可以根据需要设置其他属性，例如描述、地理位置等。

6.单击“确定”按钮，完成OU 的创建。

创建完成后，可以在控制台的树形视图中看到新创建的OU，并可以在该OU 中创建用户、计算机、组等对象。

实现域网络管理模式之在AD域中用OU实现子域控制在上一次的学习中，阿昊为晨晨讲解了借助“组策略”在AD域中部署软件的方法。

经过反复实验，晨晨已经完全掌握了这部分技术。

为了进一步体现AD域的强大管理功能，这一次阿昊又安排了有关AD域的另一个应用实例—用OU实现子域控制。

阿昊有着丰富的网络管理实战经验，他经常遇到这样的情况：在基于域网络管理模式的网络中，由于员工忘记了自己的账户密码而请求系统管理员重设密码。

为了保证员工能在最短的时间内重新获得密码，很多网络管理员都希望把重设用户密码的权限赋予某一个用户（组），使其在一定的范围内（如一个组中）拥有修改密码的权限。

遇到这种情况，可以考虑通过建立OU（组织单位）实现子域控制，从而解决遇到的问题。

晨晨笔记：什么是OU？OU（Organizational Unit，组织单位）是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。

通俗一点说，如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。

创建OUOU的创建需要在DC（域控制器）中进行，创建步骤如下：第1步以Administrator（系统管理员）身份登录域控制器。

然后依次单击“开始/管理工具/Active Directory 用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。

第2步在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。

第3步打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称（如“广告信息部”），并单击“确定”按钮，如图1。

在OU中添加用户完成OU的创建以后，现在需要把公司广告信息部的所有员工账户都放入该OU中。

具体实现步骤如下：第1步在“Active Directory用户和计算机”控制台窗口中展开“Users”容器，同时选中所有合适的用户账户。

AD域权限委派:只能管理自己的OU
(2011-02-13 14:01:01)
转载▼
分类：Active Directo
标签：
it
自定义MMC
将Active Directory 用户和计算机（ADUC）的mmc进行自定义，只把委派用户管理的OU 列出，保存后发送给此用户，然后将ADUC所需的文件拷贝的客户端，此用户就可以管理特定OU而无法浏览到其他OU。

a) 在DC上，点击开始-运行，输入mmc，确定。

b) 添加ADUC管理单元。

c) 找到将委派给用户的OU，如销售部，右键单击选择从这里创建窗口。

将显示整个域的窗口关闭，只留下特定OU的窗口。

d) 在查看-自定义中可以选择用户可以在UI上进行的操作，选择好后确定。

e) 在文件-选项中，将控制台模式改为用户模式-受限访问，单窗口。

勾选不要保存对此控制台的更改，不勾选允许用户自定义视图。

f) 将自定义好的mmc保存后发给用户。

并将DC上system32文件夹下的adprop.dll、dsadmin.dll和dsprop.dll拷贝到客户端的system32文件夹，然后在客户端运行regsvr32 adprop.dll、regsvr32 dsadmin.dll和regsvr32 dsprop.dll注册这些文件。

这样客户端就可以管理特定OU而无法看到其它OU了。

注意：从DC上拷贝文件要和客户端对应，2008 R2 要拷到Windows 7，2003 要拷到XP。

并且32位、64位要对应。

本文转自/logs/102066736.html。

AD域用户账户控制管理AD域用户账户控制管理首先要在计算机上安装域控制器，登陆域控计算机。

1、打开Active Directory用户和计算机。

（路径：开始–>管理工具–> Active Directory用户和计算机）2、打开AD用户和计算机控制台后，首先选择被添加人的部门的组织单元（OU）。

如果是开发人员择需要添加到Developer内，其他部门请添加到“市场部和人力部”，如不确定其部门可添加到“Egensource”内。

*每个OU对应着独立的组策略设置（(GPMO)，确认被添加人加入正确的部门OU内。

3、仔细填写用户信息用户登录名一般为员工姓名的汉语拼音。

4、为该员工设定初始密码，并告知员工该密码。

当员工有过登陆记录后，可将其密码设置成“用户下次登录时必须更改密码”，由员工自行设定密码。

密码复杂度要求：必须6位以上，包含数字和字母的组合。

可根据公司要求设定其他用户密码策略。

5、打开新建的员工信息。

在“常规”页面上，填写真实的员工信息，特别是邮件地址务必确认其正确无误。

6、再“单位”标签内，仔细填写员工的注册信息。

包括职务、部门和公司。

再经理栏内，确认其上级领导。

项目成员是项目经理，产品组成员为产品组经理，不确定的列为部门总监。

7、再“隶属于”标签，将用户归入正确的组内，首先该用户必须属于“公司全体”。

如该员工属于开发人员、技术人员则属于“软件研发部”，如该员工属于市场人员属于“市场部”，如该员工属于人力及行政人与那属于“人力资源部”8、如需要更改某个员工的密码，则需要登录到域控制器上，查看该员工属性信息，选择“重置密码”即可。

择“禁用账户”，并将被禁用的账户移至“已禁用账户”OU内。