AD中用户帐户属性userAccountControl

如何实现AD域账户导入导出如何实现AD域账户导入导出作为域管理员，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。

如果在图形界面逐个添加、设置，那么需要的时间和人力会超出能够承受范围。

一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。

如果再多的话，就应该考虑使用使用命令行工具，实现批量导入导出对象。

微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。

具体选择上述哪个工具取决于需要完成的任务。

如果需要创建对象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。

本文不涉及使用CSVDE导入对象。

而是换另一种导入导出AD帐户思路：使用CSVDE工具导出AD 帐户到CSV格式的文件中，再使用For语句读取该文件，使用DSADD命令进行批量添加。

具体步骤：一：使用CSVDE导出帐户使用CSVDE 导出现有对象的列表相当简单。

最简单的用法是：csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。

–f 开关表示后面为输出文件的名称。

但是必须注意，上述的用法是很简单，但是导出来的结果可能存在太多你不希望要的记录和信息。

如果要实现更精确的导出记录，可以使用-d 和-r 以及-l 参数。

其中：-d 用来指定特定的搜索位置和范围-r 用来指定特定的搜索对象类型-l 用来指定导出对象的具体属性如：csvde –f users.csv –d"ou=Users,dc=contoso,dc=com"–r "(&(objectcategory=person)( objectclass=user))" –lDN,objectClass,description注意：如果使用CSVDE导出的帐户信息中存在中文，会存在乱码的可能，可以加-U参数来解决。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

AD域概念及其关键概念1. AD域的定义AD（Active Directory）域是一种由微软公司开发的基于目录服务的身份验证和授权服务，用于管理和组织网络中的用户、计算机和其他网络资源。

它是一种分布式数据库系统，旨在提供集中管理和控制网络资源的能力。

AD域可以理解为一个逻辑上的容器，它可以包含多个组织单元（OU，Organizational Unit），每个OU又可以包含多个用户、计算机和其他网络资源。

AD域通过一组规则和策略来管理和控制这些资源的访问和配置。

2. AD域的重要性AD域在企业网络中起着至关重要的作用，具有以下几个重要性：2.1 集中管理和控制AD域提供了集中管理和控制网络资源的能力。

管理员可以通过AD域来创建、修改和删除用户账户、计算机账户以及其他网络资源的账户，以及配置这些账户的访问权限和其他属性。

这种集中管理和控制的方式大大简化了管理员的工作，提高了工作效率。

2.2 统一身份验证和授权AD域作为一个身份验证和授权服务，可以统一管理和验证用户的身份，确保只有授权的用户可以访问网络资源。

通过AD域，用户只需要一个账户和密码就可以访问所有的网络资源，不需要分别登录不同的系统。

这大大简化了用户的登录过程，提高了用户体验。

2.3 安全性和权限控制AD域提供了丰富的安全性和权限控制机制，可以对用户、计算机和其他网络资源进行细粒度的访问控制。

管理员可以通过AD域来定义和管理用户的访问权限，限制用户对某些敏感数据或系统的访问。

这种权限控制机制可以有效地保护企业的数据和系统安全。

2.4 集成其他服务和应用AD域可以与其他服务和应用集成，例如邮件服务器、文件共享服务器、VPN等。

通过与AD域的集成，这些服务和应用可以直接使用AD域中的用户账户和权限信息，简化了配置和管理过程，并提供了更好的用户体验。

3. AD域的关键概念在理解AD域的概念和作用之前，需要了解一些与AD域相关的关键概念。

3.1 域（Domain）域是AD中最基本的组织单位，它是一个逻辑上的容器，用于管理和组织网络中的用户、计算机和其他网络资源。

在AD域中，如何批量添加域用户帐号？作为网管，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。

如果逐个添加、设置的话，十分地麻烦。

一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。

如果再多的话，我们就应该考虑使用csvde.exe 或ldifde.exe来减轻我们的工作量了。

最后简单介绍一下利用脚本（可利用循环功能）批量创建用户帐号一、AD用户帐户复制1、在“AD域和计算机”中建一个作为样板的用户，如S1。

2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。

3、在S1上/右键/复制，输入名字和口令。

说明：1、只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。

2、帐户复制可将在样板用户帐户设置的大多数属性带过来。

具体如下：二、比较csvde与ldifde三、以csvde.exe为例说明：域用户帐户的导出/导入操作步骤如下：1、在“AD域和计算机”中建一个用户，如S1。

2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。

3、在DC上，开始/运行：cmd4、键入：csvde –f demo.csv说明：（1）不要试图将这个文件导回，来验证是否好使。

因为这个文件中的好多字段在导入时是不允许用的，如：ObjectGUID、objectSID、pwdLastSet 和samAccountType 等属性。

我们导出这个文件目的只是为了查看相应的字段名是什么，其值应该怎么写，出错信息如下：（2）可通过-d –r参数指定导出范围和对象类型。

例如：-d “ou=test,dc=mcse,dc=com” 或-d “cn=users,dc=mcse,dc=com”-r “< Objectclass=user>”1、以上面的文件为参考基础，创建自己的my.csv，并利用复制、粘贴、修改得到多条记录。

AD用户属性说明AD Search User Property AttributesAD 用户属性字段Chn Display Name ADSearch Name国际ISDN号码（其他）International ISDN Number (Others)internationalISDNNumber帐户到期account Expires accountExpires帐户名称历史account Name History accountNameHistory加勒比国家联盟策略名称aCS Policy Name aCSPolicyName管理流量统计admin Count adminCount备选案文安全标识alt Security Identities altSecurityIdentities 助理Assistant assistant坏密码时间bad Password Time badPasswordTime坏密码计数bad Pwd Count badPwdCount城市City l代码页code Page codePage评论Comment comment公司Company company控制访问权限control Access Rights controlAccessRights国家Country co国家缩写Country Abbreviation c国家代码country Code countryCodedBCSP西部数据dBCSP wd dBCSPwd默认类存储default Class Store defaultClassStore部Department department桌面配置desktop Profile desktopProfile目标指示器destination Indicator destinationIndicator司Division division动态LDAP服务器dynamic LDAP Server dynamicLDAPServerE - Mail地址E-Mail Address mailE - Mail地址（其他）E-Mail Address (Others)otherMailbox雇员ID Employee ID employeeID传真号码Fax Number facsimileTelephoneNumber传真号码（其他）Fax Number (Others)otherFacsimileTelephoneNumber 名字First Name givenName垃圾科尔时期garbage Coll Period garbageCollPeriod世代后缀Generational Suffix generationQualifier组成员山姆group Membership SAM groupMembershipSAM 集团的优先group Priority groupPriority团体忽略groups To Ignore groupsT oIgnore家庭地址Home Address homePostalAddress主驱动器Home Drive homeDrive主文件夹Home Folder homeDirectory家庭电话Home Phone homePhone家庭电话（其他）Home Phone (Others)otherHomePhone缩写Initials initials国际ISDN号码International ISDN Number primaryInternationalISDNNumber IP电话号码IP Phone Number ipPhoneIP电话号码（其他）IP Phone Number (Others)otherIpPhone 职称Job Title title最后注销last Logoff lastLogoff最后登录last Logon lastLogon传统交易所的DN legacy Exchange DN legacyExchangeDN流明密码历史lm Pwd History lmPwdHistory区域设置ID locale ID localeID锁定时间lockout Time lockoutTime登录名Logon Name userPrincipalName登录名（Windows 2000以前）Logon Name (pre-Windows 2000)sAMAccountName登录工作站Logon Workstations userWorkstations登录数logon Count logonCount登录时间logon Hours logonHours登录工作站logon Workstation logonWorkstation经理Manager manager最大存储max Storage maxStorage讯息处理系统或地址mhs OR Address mhsORAddress中间名Middle Name middleName移动号码Mobile Number mobile流动电话号码（其他）Mobile Number (Others)otherMobile 毫秒的DS -造物主的SID mS-DS- Creator SID mS-DS-CreatorSIDMSMQ的文摘mSMQ Digests mSMQDigestsMSMQ的文摘米格mSMQ Digests Mig mSMQDigestsMigMSMQ的注册证书mSMQ Sign Certificates mSMQSignCertificates MSMQ的注册证书米格mSMQ Sign Certificates Mig mSMQSignCertificatesMig微软网络提供允许拨入msNP Allow Dialin msNPAllowDialin微软网络提供呼叫站ID msNP Calling Station ID msNPCallingStationID微软网络提供保存呼叫站ID msNP Saved Calling Station ID msNPSavedCallingStationID 她的RADIUS回拨号码ms RADIUS Callback Number msRADIUSCallbackNumber她的RADIUS帧的IP地址ms RADIUS Framed IP Address msRADIUSFramedIPAddress她的RADIUS 45.7路线ms RADIUS Framed Route msRADIUSFramedRoute她的RADIUS服务类型ms RADIUS Service TypemsRADIUSServiceType她的RAS保存回拨号码ms RAS Saved Callback Number msRASSavedCallbackNumber 她的RAS保存帧的IP地址ms RAS Saved Framed IP Address msRASSavedFramedIPAddress 她的RAS保存45.7路线ms RAS Saved Framed Route msRASSavedFramedRoute名字Name cn网络地址network Address networkAddress注释Notes info新界密码历史nt Pwd History ntPwdHistoryNT安全描述符nT Security Descriptor nTSecurityDescriptor o o对象希德object Sid objectSid办公地点Office Location physicalDeliveryOfficeName 操作数operator Count operatorCount其他登录工作站other Login Workstations otherLoginWorkstations欧ou ou传呼机号码Pager Number pager传呼机号码（其他）Pager Number (Others)otherPager电话号码（其他）Phone Number (Others)otherTelephone邮政信箱Post Office Box postOfficeBox邮政地址postal Address postalAddress偏好传输方式preferred Delivery Method preferredDeliveryMethod首选欧preferred OU preferredOU主要组ID primary Group ID primaryGroupID文件路径profile Path profilePath最后一组密码pwd Last Set pwdLastSet注册地址registered Address registeredAddress摆脱rid ridSAM帐户类型sAM Account Type sAMAccountType脚本的路径script Path scriptPath安全标识security Identifier securityIdentifier服务主体名称service Principal Name servicePrincipalName 显示在通讯簿show In Address Book showInAddressBookSID历史记录sID History sIDHistory州/省State/Province st街头street street街道地址Street Address streetAddress补充证书supplemental Credentials supplementalCredentials 电话号码Telephone Number telephoneNumber智能电报终端标识符teletex Terminal Identifier teletexTerminalIdentifier电传号码Telex Number primaryTelexNumber电传号码（其他）Telex Number (Others)telexNumber终端服务器terminal Server terminalServer文字编码或地址text Encoded OR Address textEncodedORAddress小标识thumbnail Logo thumbnailLogo缩图照片thumbnail Photo thumbnailPhoto标题Title personalTitle令牌组token Groups tokenGroups令牌组全球性和普遍性token Groups Global And Universal tokenGroupsGlobalAndUniversal 气相色谱可接受任何标记组token Groups No GC Acceptable tokenGroupsNoGCAcceptable Unicode的密码unicode Pwd unicodePwd用户帐户控制user Account Control userAccountControl用户证书user Cert userCert用户证书user Certificate userCertificate用户参数user Parameters userParameters用户共享文件夹user Shared Folder userSharedFolder其他用户共享文件夹user Shared Folder Other userSharedFolderOther用户SMIME证书user SMIME Certificate userSMIMECertificatex121Address x121Address x121Address邮政编码/邮政编码ZIP/Postal Code postalCode。

A D域用户常用组策略设置通过AD共享创建域用户个人共享数据盘
第一步：创建共享文件夹-userdisk
第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略
在域组策略下，viewuser组下创建GPO
域组策略-用户配置-首选项-Windows设置-文件夹
第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略
域组策略-用户配置-首选项-Windows设置-驱动器映射
设置域用户统一桌面背景图
第一步：将桌面背景图放到共享目录下
第二步：创建用户登录后修改桌面背景组策略
域组策略-用户配置-策略-管理模板-桌面-桌面-启用ActiveDesktop 域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用
设置用户登陆后自动修改时间格式为yyyy-mm-dd
第一步：做修改时间格式为yyyy-mm-dd批处理
新建记事本文件data-扩展名改成bat
输入：
@echooff&title
regadd"HKCU\ControlPanel\International"/vsShortDate/tREG_SZ/d yyyy-MM-dd/f exit
第二步：创建用户登陆时自动运行批处理组策略
域组策略-用户配置-策略-Windows设置
双击显示文件夹-将做好的data.bat文件放到该文件夹下
已经要放在这个组策略对应User\Scripts\Logon
再点击添加
点击浏览。

AD域用户账户控制管理AD域用户账户控制管理首先要在计算机上安装域控制器，登陆域控计算机。

1、打开Active Directory用户和计算机。

（路径：开始–>管理工具–> Active Directory用户和计算机）2、打开AD用户和计算机控制台后，首先选择被添加人的部门的组织单元（OU）。

如果是开发人员择需要添加到Developer内，其他部门请添加到“市场部和人力部”，如不确定其部门可添加到“Egensource”内。

*每个OU对应着独立的组策略设置（(GPMO)，确认被添加人加入正确的部门OU内。

3、仔细填写用户信息用户登录名一般为员工姓名的汉语拼音。

4、为该员工设定初始密码，并告知员工该密码。

当员工有过登陆记录后，可将其密码设置成“用户下次登录时必须更改密码”，由员工自行设定密码。

密码复杂度要求：必须6位以上，包含数字和字母的组合。

可根据公司要求设定其他用户密码策略。

5、打开新建的员工信息。

在“常规”页面上，填写真实的员工信息，特别是邮件地址务必确认其正确无误。

6、再“单位”标签内，仔细填写员工的注册信息。

包括职务、部门和公司。

再经理栏内，确认其上级领导。

项目成员是项目经理，产品组成员为产品组经理，不确定的列为部门总监。

7、再“隶属于”标签，将用户归入正确的组内，首先该用户必须属于“公司全体”。

如该员工属于开发人员、技术人员则属于“软件研发部”，如该员工属于市场人员属于“市场部”，如该员工属于人力及行政人与那属于“人力资源部”8、如需要更改某个员工的密码，则需要登录到域控制器上，查看该员工属性信息，选择“重置密码”即可。

择“禁用账户”，并将被禁用的账户移至“已禁用账户”OU内。

AD域用户经常使用组战略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组战略在域组战略下，viewuser组下创建GPO域组战略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组战略域组战略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面布景图第一步：将桌面布景图放到共享目录下第二步：创建用户登录后修改桌面布景组战略域组战略-用户配置-战略-管理模板-桌面-桌面-启用Active Desktop域组战略-用户配置-战略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组战略域组战略-用户配置-战略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组战略对应User\Scripts\Logon 再点击添加点击浏览。

如何实现AD域账户导入导出作为域管理员，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。

如果在图形界面逐个添加、设置，那么需要的时间和人力会超出能够承受范围。

一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。

如果再多的话，就应该考虑使用使用命令行工具，实现批量导入导出对象。

微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。

具体选择上述哪个工具取决于需要完成的任务。

如果需要创建对象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。

本文不涉及使用CSVDE导入对象。

而是换另一种导入导出AD帐户思路：使用CSVDE工具导出AD帐户到CSV格式的文件中，再使用For语句读取该文件，使用DSADD命令进行批量添加。

具体步骤：一：使用CSVDE导出帐户使用CSVDE 导出现有对象的列表相当简单。

最简单的用法是：csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。

–f 开关表示后面为输出文件的名称。

但是必须注意，上述的用法是很简单，但是导出来的结果可能存在太多你不希望要的记录和信息。

如果要实现更精确的导出记录，可以使用-d 和 -r 以及-l 参数。

其中：-d 用来指定特定的搜索位置和范围-r 用来指定特定的搜索对象类型-l 用来指定导出对象的具体属性如：csvde –f users.csv –d "ou=Users,dc=contoso,dc=com"–r "(&(objectcategory=person)(objectclass=user))" –lDN,objectClass,description注意：如果使用CSVDE导出的帐户信息中存在中文，会存在乱码的可能，可以加-U参数来解决。

AD Search User Property AttributesAD 用户属性字段Chn Display Name ADSearch Name国际ISDN号码（其他）International ISDN Number (Others)internationalISDNNumber帐户到期account Expires accountExpires帐户名称历史account Name History accountNameHistory加勒比国家联盟策略名称aCS Policy Name aCSPolicyName管理流量统计admin Count adminCount备选案文安全标识alt Security Identities altSecurityIdentities助理Assistant assistant坏密码时间bad Password Time badPasswordTime坏密码计数bad Pwd Count badPwdCount城市City l代码页code Page codePage评论Comment comment公司Company company控制访问权限control Access Rights controlAccessRights国家Country co国家缩写Country Abbreviation c国家代码country Code countryCodedBCSP西部数据dBCSP wd dBCSPwd默认类存储default Class Store defaultClassStore部Department department桌面配置desktop Profile desktopProfile目标指示器destination Indicator destinationIndicator司Division division动态LDAP服务器dynamic LDAP Server dynamicLDAPServerE - Mail地址E-Mail Address mailE - Mail地址（其他）E-Mail Address (Others)otherMailbox雇员ID Employee ID employeeID传真号码Fax Number facsimileTelephoneNumber传真号码（其他）Fax Number (Others)otherFacsimileTelephoneNumber 名字First Name givenName垃圾科尔时期garbage Coll Period garbageCollPeriod世代后缀Generational Suffix generationQualifier组成员山姆group Membership SAM groupMembershipSAM集团的优先group Priority groupPriority团体忽略groups To Ignore groupsToIgnore家庭地址Home Address homePostalAddress主驱动器Home Drive homeDrive主文件夹Home Folder homeDirectory家庭电话Home Phone homePhone家庭电话（其他）Home Phone (Others)otherHomePhone缩写Initials initials国际ISDN号码International ISDN Number primaryInternationalISDNNumber IP电话号码IP Phone Number ipPhoneIP电话号码（其他）IP Phone Number (Others)otherIpPhone职称Job Title title最后注销last Logoff lastLogoff最后登录last Logon lastLogon传统交易所的DN legacy Exchange DN legacyExchangeDN流明密码历史lm Pwd History lmPwdHistory区域设置ID locale ID localeID锁定时间lockout Time lockoutTime登录名Logon Name userPrincipalName登录名（Windows 2000以前）Logon Name (pre-Windows 2000)sAMAccountName登录工作站Logon Workstations userWorkstations登录数logon Count logonCount登录时间logon Hours logonHours登录工作站logon Workstation logonWorkstation经理Manager manager最大存储max Storage maxStorage讯息处理系统或地址mhs OR Address mhsORAddress中间名Middle Name middleName移动号码Mobile Number mobile流动电话号码（其他）Mobile Number (Others)otherMobile毫秒的DS -造物主的SID mS-DS- Creator SID mS-DS-CreatorSIDMSMQ的文摘mSMQ Digests mSMQDigestsMSMQ的文摘米格mSMQ Digests Mig mSMQDigestsMigMSMQ的注册证书mSMQ Sign Certificates mSMQSignCertificates MSMQ的注册证书米格mSMQ Sign Certificates Mig mSMQSignCertificatesMig微软网络提供允许拨入msNP Allow Dialin msNPAllowDialin微软网络提供呼叫站ID msNP Calling Station ID msNPCallingStationID微软网络提供保存呼叫站ID msNP Saved Calling Station ID msNPSavedCallingStationID 她的RADIUS回拨号码ms RADIUS Callback Number msRADIUSCallbackNumber她的RADIUS帧的IP地址ms RADIUS Framed IP Address msRADIUSFramedIPAddress她的RADIUS 45.7路线ms RADIUS Framed Route msRADIUSFramedRoute她的RADIUS服务类型ms RADIUS Service Type msRADIUSServiceType她的RAS保存回拨号码ms RAS Saved Callback Number msRASSavedCallbackNumber 她的RAS保存帧的IP地址ms RAS Saved Framed IP Address msRASSavedFramedIPAddress 她的RAS保存45.7路线ms RAS Saved Framed Route msRASSavedFramedRoute名字Name cn网络地址network Address networkAddress注释Notes info新界密码历史nt Pwd History ntPwdHistoryNT安全描述符nT Security Descriptor nTSecurityDescriptorØo o对象希德object Sid objectSid办公地点Office Location physicalDeliveryOfficeName 操作数operator Count operatorCount其他登录工作站other Login Workstations otherLoginWorkstations欧ou ou传呼机号码Pager Number pager传呼机号码（其他）Pager Number (Others)otherPager电话号码（其他）Phone Number (Others)otherTelephone邮政信箱Post Office Box postOfficeBox邮政地址postal Address postalAddress偏好传输方式preferred Delivery Method preferredDeliveryMethod首选欧preferred OU preferredOU主要组ID primary Group ID primaryGroupID文件路径profile Path profilePath最后一组密码pwd Last Set pwdLastSet注册地址registered Address registeredAddress摆脱rid ridSAM帐户类型sAM Account Type sAMAccountType脚本的路径script Path scriptPath安全标识security Identifier securityIdentifier服务主体名称service Principal Name servicePrincipalName显示在通讯簿show In Address Book showInAddressBookSID历史记录sID History sIDHistory州/省State/Province st街头street street街道地址Street Address streetAddress补充证书supplemental Credentials supplementalCredentials电话号码Telephone Number telephoneNumber智能电报终端标识符teletex Terminal Identifier teletexTerminalIdentifier电传号码Telex Number primaryTelexNumber电传号码（其他）Telex Number (Others)telexNumber终端服务器terminal Server terminalServer文字编码或地址text Encoded OR Address textEncodedORAddress小标识thumbnail Logo thumbnailLogo缩图照片thumbnail Photo thumbnailPhoto标题Title personalTitle令牌组token Groups tokenGroups令牌组全球性和普遍性token Groups Global And Universal tokenGroupsGlobalAndUniversal 气相色谱可接受任何标记组token Groups No GC Acceptable tokenGroupsNoGCAcceptable Unicode的密码unicode Pwd unicodePwd用户帐户控制user Account Control userAccountControl用户证书user Cert userCert用户证书user Certificate userCertificate用户参数user Parameters userParameters用户共享文件夹user Shared Folder userSharedFolder其他用户共享文件夹user Shared Folder Other userSharedFolderOther用户SMIME证书user SMIME Certificate userSMIMECertificatex121Address x121Address x121Address邮政编码/邮政编码ZIP/Postal Code postalCode。

A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC 的 IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

AD域控管理是Active Directory域控制器管理的简称，它是一种基于Windows操作系统的网络服务，用于实现用户身份验证、目录服务、安全策略等功能。

具体来说，AD域控管理包括以下内容：
1.用户管理：AD域控制器可以管理用户账户，包括创建、修改、删除用户账户，设置用户属性，如用户名、密码、电子邮件地址等。

2.组管理：AD域控制器可以管理组账户，包括创建、修改、删除组账户，将用户添加到组中，从组中移除用户等。

3.计算机管理：AD域控制器可以管理计算机账户，包括创建、修改、删除计算机账户，设置计算机属性，如计算机名、工作组等。

4.权限管理：AD域控制器可以管理用户和组的权限，包括设置访问权限、权限继承等。

5.策略管理：AD域控制器可以管理安全策略，包括设置密码策略、账户锁定策略等。

6.目录服务：AD域控制器可以提供目录服务，包括LDAP（轻量级目录访问协议）服务、Kerberos认证服务等。

7.备份与恢复：AD域控制器可以备份和恢复Active Directory数据库，确保数据的安全性和完整性。

总之，AD域控管理是Windows操作系统中非常重要的网络服务之一，它可以帮助管理员实现用户身份验证、目录服务、安全策略等功能，提高网络的安全性和稳定性。

AD域功能介绍范文AD域是指活动目录域服务（Active Directory Domain Services），是由Microsoft开发的一种目录服务，能够存储和管理网络中的资源和用户信息。

它是Windows Server操作系统的一部分，用于集中管理网络中的用户帐户、计算机和其他设备，以及应用程序和数据资源。

本文将详细介绍AD域的功能。

1.用户管理：AD域支持集中化管理用户账号信息，在一个集中的位置存储和管理用户的用户名、密码和其他关联信息。

通过AD域，管理员可以轻松地创建、修改和删除用户帐户，控制用户的访问权限，以及监控和审计用户的活动。

这极大地简化了用户帐户的管理和维护工作。

2.计算机管理：AD域可以集中管理网络中的计算机和其他设备。

管理员可以使用AD域来轻松地部署和管理计算机，包括创建计算机帐户、配置计算机的网络设置和安全策略，以及远程管理和控制计算机。

3.资源共享和访问控制：AD域提供了资源共享和访问控制的功能。

通过AD域，管理员可以轻松地创建和管理共享文件夹和打印机，控制用户对这些资源的访问权限，以及访问这些资源的审核和监视。

这样一来，管理员可以更好地管理和保护网络中的共享资源，确保用户只能访问他们所需的资源。

4.安全认证和授权：AD域提供了安全认证和授权的功能。

通过AD域，管理员可以对用户进行身份验证，确保他们是合法用户，并根据用户的角色和权限分配授权。

这不仅提高了网络安全性，还确保用户只能访问他们被授权的资源。

5.分级管理和组织架构：AD域支持分级管理和组织架构的功能。

管理员可以使用AD域来创建组织单位（OU）和树状结构，以便更好地组织和管理网络中的用户、计算机和其他资源。

通过分级管理和组织架构，管理员能够更有效地管理和维护AD域，提高工作效率。

6.统一的登录和单点登录：AD域提供了统一的登录功能，允许用户使用一个账号登录到多个应用程序和服务。

通过单点登录，用户只需要登录一次，就可以访问多个应用程序和服务，提高用户的工作效率和便利性。

ad 常用query语句AD（Active Directory）是一种用于管理网络中的用户、计算机和其他资源的目录服务。

在使用AD时，我们常常需要使用查询语句来搜索、筛选和操作目录中的对象。

下面是一些常用的AD查询语句，以帮助管理员更好地管理和维护AD环境。

1. 查询所有用户```(&(objectCategory=person)(objectClass=user))```该查询语句可以返回AD中所有的用户对象。

2. 查询所有计算机```(objectCategory=computer)```该查询语句可以返回AD中所有的计算机对象。

3. 查询指定用户属性```(&(objectCategory=person)(objectClass=user)(sAMAccountName=us ername))```该查询语句可以返回指定用户名的用户对象。

4. 查询指定计算机属性```(&(objectCategory=computer)(name=computername))```该查询语句可以返回指定计算机名的计算机对象。

5. 查询指定组的成员```(&(objectCategory=user)(memberOf=groupname))```该查询语句可以返回指定组的所有成员。

6. 查询禁用的用户```(&(objectCategory=person)(objectClass=user)(userAccountControl:1 .2.840.113556.1.4.803:=2))```该查询语句可以返回所有已禁用的用户。

7. 查询密码过期的用户```(&(objectCategory=person)(objectClass=user)(pwdLastSet<=date)(u serAccountControl:1.2.840.113556.1.4.803:=65536))```该查询语句可以返回密码已过期的用户。

姓 Sn名 Givename英文缩写 Initials显示名称 displayName描述 Description办公室 physicalDeliveryOfficeName电话号码 telephoneNumber电话号码：其它 otherTelephone 多个以英文分号分隔电子邮件 Mail网页 wWWHomePage网页：其它 url 多个以英文分号分隔“地址”标签国家/地区 C 如：中国CN，英国GB省/自治区 St市/县 L街道 streetAddress邮政信箱 postOfficeBox邮政编码 postalCode“帐户”标签用户登录名 userPrincipalName 形如：pccai1983@用户登录名（以前版本） sAMAccountName 形如：S1登录时间 logonHours登录到 userWorkstations 多个以英文逗号分隔用户帐户控制 userAccountControl (启用：512，禁用：514，密码永不过期：66048) 帐户过期 accountExpires“配置文件”标签配置文件路径 profilePath登录脚本 scriptPath主文件夹：本地路径 homeDirectory连接 homeDrive到 homeDirectory家庭电话 homePhone (若是其它，在前面加other。

)寻呼机 Pager 如：otherhomePhone。

移动电话 mobile 若多个以英文分号分隔。

传真 FacsimileTelephoneNumberIP电话 ipPhone注释 Info“单位”标签职务 Title部门 Department公司 Company“隶属于”标签隶属于 memberOf用户组的DN不需使用引号，多个用分号分隔“拨入”标签远程访问权限（拨入或VPN） msNPAllowDialin允许访问值：TRUE拒绝访问值：FALSE回拨选项 msRADIUSServiceType由呼叫方设置或回拨到值：4总是回拨到 msRADIUSCallbackNumber帐号属性：地址属性成员属性组织属性外型属性电话相关属性。

AD开发用户(User)属性完全手册（AD User）属性的含义：属性名：objectClass，属性值： top属性的含义：属性名：objectClass，属性值： person属性的含义：属性名：objectClass，属性值： organizationalPerson 属性的含义：属性名：objectClass，属性值： user属性的含义：属性名：distinguishedName，属性值： CN=6,OU=建筑部a,OU=设计研究院,DC=zdrmoss,DC=com属性的含义：属性名：instanceType，属性值： 4属性的含义：属性名：uSNCreated，属性值： System.__ComObject属性的含义：属性名：uSNChanged，属性值： System.__ComObject属性的含义：属性名：objectGUID，属性值： System.Byte[]属性的含义：属性名：userAccountControl，属性值： 544属性的含义：属性名：badPwdCount，属性值： 0属性的含义：属性名：codePage，属性值： 0属性的含义：属性名：countryCode，属性值： 156属性的含义：属性名：badPasswordTime，属性值： System.__ComObject 属性的含义：属性名：lastLogoff，属性值： System.__ComObject属性的含义：属性名：lastLogon，属性值： System.__ComObject属性的含义：属性名：pwdLastSet，属性值： System.__ComObject属性的含义：属性名：primaryGroupID，属性值： 513属性的含义：属性名：objectSid，属性值： System.Byte[]属性的含义：属性名：accountExpires，属性值： System.__ComObject 属性的含义：属性名：logonCount，属性值： 0属性的含义：属性名：sAMAccountType，属性值： 805306368属性的含义：属性名：objectCategory，属性值：CN=Person,CN=Schema,CN=Configuration,DC=zdrmoss,DC=com属性的含义：属性名：nTSecurityDescriptor，属性值： System.__ComObject属性含义：用户登录名：属性名：userPrincipalName，属性值： DDD属性的含义：公共名称（通常以此属性标识该用户，name的值相同）属性名：cn，属性值： 6属性的含义：名称（通常以此属性标识该用户，同公共名称CN）属性名：name，属性值： 6属性的含义：用户登录名（Windows2000前）属性名：sAMAccountName，属性值： 1属性的含义：姓属性名：sn，属性值： 3属性的含义：（？？？）属性名：c，属性值： CN属性的含义：市县属性名：l（此属性名为L），属性值：乌鲁木齐属性的含义：省属性名：st，属性值： 15属性的含义：职务属性名：title，属性值： 16属性的含义：描述属性名：description，属性值： 11属性的含义：邮政编码属性名：postalCode，属性值： 123456属性的含义：邮政信箱属性名：postOfficeBox，属性值： 2222222222222属性的含义：电话号码(T)属性名：telephoneNumber，属性值： 13属性的含义：传真属性名：facsimileTelephoneNumber，属性值： 781属性的含义：名属性名：givenName，属性值： 2属性的含义：英文缩写属性名：initials，属性值： 45属性的含义：创建时间属性名：whenCreated，属性值： 2008-12-1 9:48:53属性的含义：修改时间属性名：whenChanged，属性值： 2008-12-1 10:09:34属性的含义：显示名称属性名：displayName，属性值： 17属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 444属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 3333属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 2222属性的含义：国家属性名：co，属性值：中国属性的含义：部门属性名：department，属性值： 4555属性的含义：公司属性名：company，属性值： 5666属性的含义：街道属性名：streetAddress，属性值：青年路属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 654属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 543属性的含义：网页属性名：wWWHomePage，属性值： 属性的含义：用户登录名属性名：userPrincipalName，属性值： ddd@属性的含义：IP电话属性名：ipPhone，属性值： 789属性的含义：其它IP电话属性名：otherIpPhone，属性值： dsssssss 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：电子邮件属性名：mail，属性值： 12属性的含义：家庭电话属性名：homePhone，属性值： 678属性的含义：移动电话属性名：mobile，属性值： 670属性的含义：其它移动电话属性名：otherMobile，属性值： ddddd属性的含义：其它传真属性名：otherFacsimileTelephoneNumber，属性值： dddddd属性的含义：寻呼机属性名：pager，属性值： 679属性的含义：其它寻呼机属性名：otherPager，属性值： 444444444memberOf 隶属于userAccountControl 帐户行为控制标志badPwdCount 用户尝试错误密码的次数badPasswordTime 用户最后一次尝试错误密码的时间lastLogon 用户最后登陆时间primaryGroupID 所属组的IDaccountExpires 帐户到期日期导出上面属性的代码：通过选择树中的节点，查询所有user的属性名称和属性值：DirectoryEntry selNode =ADHelper.GetDirectoryEnter.GetDE_EnyUser(this.TreeView1.SelectedNode. Value.ToString());this.txtdistinguishedName.Text =selNode.Properties["distinguishedName"].Value.ToString();//this.TextBox3.Text = "所有属性的名称和属性值列表如下：";foreach (string propertyName inselNode.Properties.PropertyNames){this.TextBox3.Text += "属性名：" + propertyName + "，属性值： " + selNode.Properties[propertyName][0].ToString(); this.TextBox3.Text += Environment.NewLine;}。

WindowsAD域用户属性对照表（综合整理）Windows AD域用户属性对照表(综合整理)“常规”标签姓Sn名Givename英文缩写Initials显示名称displayName描述Description办公室physicalDeliveryOfficeName电话号码telephoneNumber电话号码：其它otherTelephone 多个以英文分号分隔电子邮件Mail网页wWWHomePage网页：其它url 多个以英文分号分隔“地址”标签国家/地区 C 如：中国CN，英国GB省/自治区St市/县L街道streetAddress邮政信箱postOfficeBox邮政编码postalCode“帐户”标签用户登录名userPrincipalName 形如：用户登录名（以前版本）sAMAccountName 形如：S1登录时间logonHours登录到userWorkstations 多个以英文逗号分隔用户帐户控制userAccountControl (启用：512，禁用：514 -- 512 + 2，密码永不过期：66048 -- 65536 + 512 ,用户禁用：66050 -- 65536 + 512 + 2)帐户过期accountExpires“配置文件”标签配置文件路径profilePath登录脚本scriptPath主文件夹：本地路径homeDirectory连接homeDrive到homeDirectory“电话”标签家庭电话homePhone (若是其它，在前面加other。

)寻呼机Pager 如：otherhomePhone。

移动电话mobile 若多个以英文分号分隔。

传真FacsimileTelephoneNumberip电话ipPhone注释Info“单位”标签职务Title部门Department公司Company“隶属于”标签隶属于memberOf用户组的DN不需使用引号，多个用分号分隔“拨入”标签远程访问权限（拨入或VPN）msNPAllowDialin 允许访问值：TRUE拒绝访问值：FALSE回拨选项msRADIUSServiceType由呼叫方设置或回拨到值：4总是回拨到msRADIUSCallbackNumber“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签属性显示名称属性名称First Name givenNameLast Name snInitials initialsDescription descriptionOffice physicalDeliveryOfficeNameTelephone Number telephoneNumberTelephone: Other otherTelephoneE-Mail mailWeb Page wwwHomePageWeb Page: Other url帐号属性：显示名称属性名称UserLogon Name userPrincipalName User logon name (pre-Windows 2000)sAMAccountname Logon Hours logonHoursLog On To logonWorkstation Account is locked out userAccountControl User must change password at next logon pwdLastSetUser cannot change password N/AOther Account Options userAccountControl Account Expires accountExpires地址属性显示名称属性名称Street streetAddressP.O.Box postOfficeBoxCity lState/Province stZip/Postal Code postalCodeCountry/Region c, co, and countryCode成员属性显示名称属性名称Member of memberOfSet Primary Group primaryGroupID组织属性显示名称属性名称Title titleDepartment department Company company Manager:Name managerDirect Reports directReports外型属性显示名称属性名称Profile Path profilePath Logon Script scriptPath Home Folder: Local Path homeDirectory Home Folder: Connect homeDrive Home Folder: To homeDirectory 电话相关属性显示名称属性名称Home telephoneNumberHome: Other otherTelephonePager pagerPager: Other pagerOtherMobile mobileMobile: Other otherMobileFax facsimileTelephoneNumberFax: Other otherFacsimileT elephoneNumberIP phone ipPhoneIP phone: Other otherIpPhoneNotes info。