3、域用户与组账户的

• •
建立UPN后缀的步骤：
• 开始——管理工具——“Active Directory域
和信任关系”——右击“Active Directory 域和信任关系”——”属性” • 在对话框中输入替代的UPN后缀，并单击 “添加”按钮。后缀可以不符合DNS格式。 • 完成后，可以通过“Active Directory用户 和计算机”控制台来改变用户的后缀。
3.1.4 账户的一般管理工作
用户账户的一般管理工作有：更改域用 户的账户名称、删除账户、禁用账ห้องสมุดไป่ตู้、启 用账户、移动账户、修改密码与解除锁定 账户等。
3.1.5 查找用户账户
可以通过“开始”——“Active Directory 用户和计算机”——选择”操作”菜单— —“查找”的途径查找用户账户。
3.1.3 建立UPN的后缀
默认的UPN后缀是用户账户所在域的域名称。 在某些情况下，用户可能希望使用其他替代的后 缀。 用户希望他的UPN可以与电子邮件账户相同，让 用户不论是登录域或收发电子邮件可以使用一致 的名称。 由于域内含有较多层的子域，造成子域内的用户 名UPN后缀太长，给用户登录带来不便。
在Windows 2003或2000域中，用户可以 利用“用户登录名称（UPN）”或“用户登 录名称（Windows 2000以前版本）”来登 录域。
用户登录名称（UPN）
UPN的格式与电子邮件账户相同，例如： xinhua@lab.net，这个名称只能在2003，XP， 2000系统中使用。在整个域林内这个名称必须是 唯一的。 UPN不会随着账户的转移而改变。比如，用户 “xinhua”位于域LAB.NET内，若被移动到林中的 另一个域，如域HENAN.NET，其UPN仍然是 xinhua@lab.net，用户仍然可以继续使用原来的 UPN登录。
域用户与组账户的管理
主讲：丁文
本章主要内容
• 域用户账户 • 一次添加多个用户账户 • 域组账户 • 提升域功能级别
3.1 域用户账户
作为域系统管理员，可以用“Active Directory用户和计算机”控制台来建立并 管理域用户账户。当用户利用域用户账户 登陆后，便可以直接连接域内的所有计算 机、访问资源。我们把这种只需登陆一次 的功能称为“单一登陆”。
添加“Active Directory用户和计算机”控制 台
对于非控制器的Windows Server 2003、 Windows XP等计算机，我们可以通过安装 “Windows Server 2003 Administration Tools Pack”来拥有“Active Directory用户 和计算机”控制台等管理工具。也就是运 行Windows Server 2003安装光盘中I386文 件夹内的ADMINPAK.MSI程序。
3.1.1 组织单位
组织单位内可以容纳其他的对象，如用 户账户、组账户、计算机账户等，以便更 容易的管理资源，并可以通过组策略来集 中管理域的用户工作环境与计算机环境。 设置组织单位名称的时候要有意义，如 “teacher”、“student”等，而且不要经常 改变名称。
3.1.2 用户登录账户
3.2 一次添加多个用户账户
• CSVDE.EXE: 用于添加用户账户，但不能修
改或删除用户账户 • LDIFDE.EXE: 用于添加、修改、删除用户 账户
利用记事本等工具将用户帐户数据输入 到文件内。
建立文本文件时，注意事项：
必须指明要将用户帐户建立到何处，制定存储路
径 必须包含对象的类型 必须包含“用户登录名称（Windows 2000以前版 本）” 应该包含UPN 可以包含用户的其它信息，如电话号码，住址等 无法设定用户的密码 建议将新建的用户帐户禁用
3.2.1 CSVDE
使用格式: CSVDE -i -f CSVDE.txt
文本文件说明
属性
DN objectClass sAMAccountName userPrincipalName displayName userAccountControl
说明
对象的存储路径 对象种类 用户登录名称（Windows 2000以前版本） UPN 显示名称 514表示禁用此帐户，512表示启用此帐户
用户登录账户（Windows 2000以前版本）
是以旧格式LAB\XINHUA登陆账户。 Windows NT、98等2000以前的版本的用户 必须以这种格式的名称来登录域。在 Windows 2003、XP、2000计算机也可以采 用这种格式名称来登录。但是在同一个域 内，这个名称必须是唯一的。
3.3.1 通用组
通用组可以设定在多有域内的访问权限， 以便访问每一个域内的资源。特征如下： • 其成员能够包含整个林中任何一个域内的 用户、通用组与全局组，但它无法包含任 何一个域内的域本地组。 • 通用组可以访问任何一个域内的资源。
3.3.2 全局组
全局组主要用来组织用户，既可以将多 个富裕相同权限的用户帐户加入到同一个 全局组内。特征如下： • 其成员只能够包含所属域内的用户与全局 组。 • 全局组可以访问任何一个域内的资源。
3.2.2 LDIFDE
• 格式
LDIFDE -i -f LDIFDE.txt
• 提示
LDIFDE 暂时不支持中文，如无法识 别中文名称的OU、导入的中文数据会出现 乱码。
3.3 域组帐户
组的分类： • 通用组（universal group） • 全局组（global group） • 域本地组（domain local group）
3.1.6 域控制器之间数据的复制
自动复制：如果是同一个站点内的域控制器，则默 认是15s后自动将最新的变动数据复制出去。若不 是同一个站点则需所安排的时间来决定 手工复制：在域控制器上，执行“开始—管理工 具—Active Directory站点和服务—Sites—Default First Site Name—Servers—目的域控制器—NTDS Settings—源域控制器—立即复制副本”
域本地组
域本地组主要用来指派在其所属域内的 访问权限，以便访问域内的资源。特征如 下： • 其成员可以使任何一个域内的用户、通用 组与全局组，也可以是同一个域内的域本 地组，但无法使其他域内的域本地组。 • 域本地组织能够访问同一个域内的资源。
各个组的特性
组 特性 成员（Windows 2000混合模式） 成员（Windows 纯模式或 Windows Server 2003） 可以在哪个域内 被设置使用权限 通用组 不支持安全性的通用 组 所有域内的用户、全 局组、通用组 全局组 同一个域内的用 户 同一个域内的用 户与全局组 域本地组 所有域内的用户、 全局组 所有域内的用户、 全局组、通用组， 同一个域内的域本 地组 同一个域
所有域（功能级别 所有域 必须是Windows 2000 纯模式或Windows Server 2003） 可以被转换成本地组 可以被转换成通 或全局组（只要此组 用组（只要此组 内的成员不含通用组） 不属于任何一个 全局组）
组转换
可以被转换成通用 组（只要此组内的 成员不含域本地组）
3.4 提升域功能级别
1. 执行：开始—管理工具—Active Directory
用户和计算机—右击域名称—提升域功能 级别 2. 如果为“Windows 2000混合模式”级别， 可以选择提升为“Windows 2000纯模式” 或“Windows Server 2003”级别；如果为 “Windows 2000纯模式”则可以选择提 升为 “Windows Server 2003”级别