域用户的创建和管理

合集下载

第五周创建和管理域用户账户

（3）设置账户student4@只能在名为“a1”的计算机上登录
（4）要求账户student3@能够在域控件器本地登录
三、课堂小结
1、工作域与工组的区别
2、域用户的创建
四、布置作业
简述工作域与工组的区别
2、改变密码策略选项：
（1）“管理工具”-“域安全策略”-“安全设置”-“账户策略”-“密码策略”
（2）“密码复杂性”修改成“已禁用”
（3）“密码长度最小值”设置为“0个字符”，则可以不设置密码
2、重设密码
步骤1：右击需要重新设置密码的账户，选择“重设密码”
步骤2：在对话框内输入新的密码
3、复制用户账户
6设置域用户账户的属性1设置用户的个人信息2设置域用户的帐户信息3设置域帐户的登录时间4设置域用户帐户可以登录的计算机7开放域用户帐号在域控制器本地登录的权限开始管理工具域控制器安全策略安全设置本地策略用户权限分配双击允许在本地登录增加用户或组课堂练习
教学过程、板书设计
一、复习引入
1、各种用户账户的区别
步骤3：右击Users，选择“新建”－“用户”（或者单击“操作”—“新建”）
步骤4：创建Tom@域用户账户（用户名是唯一的，命名与文件夹命名类同）
步骤5：设置密码
注意：
1、密码的设置：
长度必须至少7个字符，并且不包含用户帐户名称的全部或部分文字，还有至少要包含A－Z、
a－z、0－9、特殊符号等4组字符中的3组。
三、课堂练习：
１、更改用户密码
把student3@账号的密码改为“自己的生日＋windows2003”。
２、设置账户属性
（1）设置账户student1@的登录时间为周一、周三、周五这三天时间
（2）设置账户student2@的帐户选项为用户不能更改密码

创建AD域及用户添加管理

AD域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

AD：活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期：2011年8月2日处别：Commercial DT组别：DT103撰写人：王敦培【实验名称】：AD域控制器在Windows Server 2003安装实验指导书【实验目的】：了解域的作用以及安装方法【实验任务】：搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】：Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域：1.依次打开：开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步，选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好，处于已经连接状态，下一步6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但是我建议还是采用默认的好，省得以后麻烦。

创建和管理用户帐户网络操作系统

第五次课创建和管理用户帐户一、什么是用户帐户1、存在于windows server 2000、windows xp、windows server 2003中。

2、系统中的一种对象。

3、包含有多种属性（如用户名、密码等）。

4、不同用户帐户的用户名和密码不同。

5、不同用户帐户的SID不同(security identifier)administrator系统管理员是默认帐号，它拥有最高权限，如修改系统时间、创建共享、安装打机、格式化磁盘、安装驱动程序等。

普通用户能做基本操作，而不能操作涉及系统调整的设置（如修改系统时间、创建共享、装打机等），普通用户不能关机（在2003服务器）。

二、用户帐户的类型1、本地用户帐户（工作组模型创建、安装默认）（1）使用本地用户和组创建（2）存储在SAM数据库中(C:\windows\system32\config)（3）登录时进行本地身份验证2、域用户帐户（域模式创建）○1使用AD用户和计算机创建○2存储在ActiveDirectory数据库中（C：\windows\NTDS\NTDS.Dat）○3登录时进行网络身份验证三、创建用户帐户1、本地用户帐户创建方法域模式创建（1）本地用户和组——Lusrmgr.msc （图形界面）（2）Net user （首先用CMD命令进入命令提示符）net user grace 123 /addnet user grace 456 修改密码命令net user grace /Del 删除帐号net user（3）脚本2、域用户帐户（1）AD用户和计算机——dsa.msc（2）Use add（3）脚本四、有关本地用户帐户的讨论(1)本地帐户的一部分信息存储在注册表中(regedit)，具体位置：Hkey-local-machin\ SAM \SAM，给管理员赋予权限，展开后、刷新。

发现每台计算机管理员帐号sid的结尾500（），即使修改管理员帐号名字，仍能通过类型值1F4识别修改后的帐号是管理员帐号。

如何建域用户账号

如何建域用户账号建立域用户账号是组织中进行身份管理和授权的重要一环。

在域中创建用户账号既可以实现用户身份认证，又可以进行用户访问权限的管理。

以下是实施域用户账号的步骤：1.确定域控制器：首先需要确定用于创建域用户账号的域控制器。

域控制器是一个拥有活动目录服务角色的服务器，用于管理和控制域中所有对象和用户。

2.创建用户模板：在创建用户账号之前，通常可以先创建一个用户模板。

用户模板包含一些常用的配置信息，例如用户名、密码策略、组成员资格、权限等。

通过创建用户模板，可以减少后续创建账号时的重复步骤。

这是一个用来管理域用户账号的工具，可以在域控制器上找到。

双击打开这个工具。

4.在树状结构的目录中选择正确的域和组织单元（OU）：在左侧的目录结构中，点击鼠标右键，选择"New"，然后再选择"user"来创建新的用户账号。

5.填写用户账号信息：在弹出的新用户界面中，填写用户账号的基本信息。

这些信息通常包括名字、登录名、密码、账户类型等。

根据组织需求，还可以添加更多信息，例如员工号码、职位等。

6.分配组和权限：在新用户界面的"Member Of"选项中，可以将用户账号添加到特定的组中。

组可以用来集中管理用户权限和访问控制。

可以根据不同的岗位或者部门创建不同的组，并将用户账号添加到相应的组中。

7.配置用户账户选项：在新用户界面的"Account"选项卡中，可以配置用户账号的一些其他选项，例如密码到期策略、账户锁定、登录时间等。

8.完成创建用户账号：将用户账号的基本信息填写完成后，点击"OK"按钮即可完成用户账号的创建。

9.进行账号测试：创建用户账号后，建议进行账号测试，以确保用户可以成功登录，并根据需要访问相关资源。

可以使用创建的用户名和密码在域中的计算机上进行登录，检查账号是否正常工作。

10.管理和更新用户账号：。

域控制器中用户、组、共享资源的管理

管理员必做的实验：域控制器中用户、组、共享资源的管理一、Windows 2000 Server域控制器中用户的管理? 创建用户账号第1步，点击“开始→程序→管理工具→Active Directory用户和计算机”，在出现的窗口中显示了前面创建的域名（）。

第2步，在窗口的“树”列表框中选择“Users”文件夹，单击鼠标右键，在出现的快捷菜单中选择“新建”下方的用户“User”，出现“新建对象”对话框，可以发现其中的内容比较多，在实际登录网络时使用的是“用户登录名”下方的具体名称，其他项目可根据需要填写。

第3步，当用户的有关信息填入完成后，可单击“下一步”按钮，出现对话框，可以在“密码”文本框中输入该用户账号的使用密码，并在“确认密码”文本框中重新输入进行确认。

另外，系统还提供了4种对该密码的限制方式。

如果选择了“用户下次登录时须更改密码”一项，当用户下次使用该账号登录服务器时，系统将要求用户先更改密码后再登录；当选择了“用户不能更改密码”一项后，用户将无权更改自己的密码；当需要密码长期有效时，可选择“密码永不过期”一项；如果某用户在某一段时间因出差在外或其他的原因不需要登录服务器时，可以选择“账户已停用”一项，这样当别人使用该账号登录服务器时将无效。

具体选择哪一项，用户可根据实际需要来确定。

第4步，单击“下一步”按钮后，出现对话框提示信息，说明该用户账号已经创建，在这里可以检查用户的各项信息是否正确，如有错误可以点击上一步到需要更改的地方进行更改。

第5步，单击“完成”按钮，该用户将显示在域中的“Users”文件夹中。

重复步骤，可以继续创建其他新的用户账号。

? 设置用户账号的安全属性第1步，单击“开始→程序→管理工具→Active Directory用户和计算机”，在出现的“树”列表框中选择“Users”文件夹，再选择该文件夹中要设置属性的账号名称（如hdengwh），单击鼠标右键，选择快捷菜单中的“属性”一项，出现“（hdengwh）属性”对话框。

创建域账户和加入域

1.创建域用户
（1）打开“开始”-“管理工具”-“Active Directory用户和计算机”
（2）先创建个公司的 ou,然后在 ou下建部门，部门下再建用户，本实例仅仅测试就不折腾那么多了，只创建了个 office的 ou,然后在 ou下创建win7的登录账号。

（3）单击创建新用户如下图：
在姓名处输入用户名称，也可在姓和名处单独输入姓和名，在用户登录名处输入用户名和所属域名称。

（4）点击下一步输入密码
（5）信息预览
2.将win7加入网域
（1）在系统属性中选择更改设置选项来更改计算机名
（2）单击更改按钮
（3）在隶属于选项，单击域，并输入域名的dns后缀，然后单击确定
（4）输入有权限将计算机加入网域的网域账户，然后单击确认。

（5）加入成功，出现提示，然后重启
（6）重启后出现的欢迎画面，默认是以本地管理员这个画面用户登录，我们需要单击切换用户来使用域用户登录
（7）单击其他用户输入创建的域账户和密码
（8）加入成功后在服务器的计算机OU下已经能看到计算机，还识别出了计算机版本。

在域控制器(DC)中创建域用户账户

在域控制器（DC）中创建域用户账户核心提示：用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行……用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行，操作步骤如下所述。

第1步，以Administrator（系统管理员）身份登录基于Windows Server 2003的域控制器，然后在开始菜单中依次“管理工具”→“Active Directory 用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。

小提示：也可以在“运行”框中输入“DSA.MSC”命令打开该窗口。

第2步，在左窗格中双击域名“”，并在展开的目录中双击“Users”容器。

这时可以在右窗格中查看AD域中已经存在的用户账户。

右键单击“Users”容器，在快捷菜单中依次选择“新建”→“用户”命令，如图1所示。

图1 单击“新建”→“用户”命令第3步，打开“新建-用户”对话框，在“用户登录名”编辑框中输入准备创建的用户名称（如“Jinshouzhi1”）。

然后在其他编辑框中输入用户的实际信息，并单击“下一步”按钮，如图2所示。

图2 创建新用户账户小提示：在该对话框中，“用户登录名”是最重要的，这是用户从工作站登录域的时候使用的用户名称。

第4步，在打开的设置密码对话框中，需要在“密码”和“确认密码”编辑框中重复输入用户账户的密码。

然后单击“下一步”按钮，最后单击“完成”按钮完成添加，如图3所示。

图3 设置用户密码小提示：为保证账户的安全性，这个密码一般不应少于6位，并且必须符合密码策略。

否则将出现错误提示，如图4所示。

图4 提示秘密不符合密码策略第5步，重复上述步骤将用户“Jinshouzhi2”和“Jinshouzhi3”添加到“U sers”容器中。

完成以后在“Active Directory用户和计算机”对话框中查看刚才添加的用户列表，如图5所示。

windows server 2019服务器操作系统-第14章域帐户的管理

规】、【环境】、【会话】、【远程控制】、【终
端服务配置文件】、【拨入】、【地址】、【帐
户】、【配置文件】、【电话】、【单位】和【隶
属于】等属性标签。
用户属性对话框
（1）【常规】标签包含建立新用户帐户时提供的信息。可以在【描述】和【办公室】文本框中增加信息，也可以输入用户联系信息，包括电话号码、E-mail地址和Web页面URL，如下图所示。
第9章域帐户的管理
主要知识点：
一、创建和管理域用帐户二、活动目录物理结构三、组的类型和作用范围四、用户配置文件
（了解）（了解）（掌握）（掌握）
一域用户和计算机帐户
1、用户帐户和计算机帐户概述
（1）活动目录用户帐户

用户帐户是用来记录用户的用户名和密码、
【选择组】对话框
（3）单击【禁用帐户】选项，当前用户将被禁止使用，此时在窗口中显示的用户名左侧小图标上将显示一个红色的“X”符号，表明当前此用户不可登录到服务器。再次打开快捷菜单时，原来的【禁用帐户】选项变为【启用帐户】，单击此选项，用户名被启用，可以进行登录操作。
（4）单击【重设密码】选项显示对话框，管理员可以修改用户的密码，并设置用户是否在下次登录时更改密码。
account对象中。
（2）通讯组

该组不是安全主体，只被用作分配列表。
可以在通讯组中存储联系和用户帐户。由于联系不
包括用户帐户的系统开销，所以只把联系放入组中
才更有意义。通讯组还和Microsoft Exchange兼
容，所以被广泛用于电话技术和传递信息应用软件
中。当升级Exchange用以支持Active Directory

windows实验03 域用户账户的管理、漫游、主文件夹

实验三域用户账户的管理1、查看了解“Active Directory 用户和计算机”窗口内的容器及其成员。

①Builtin容器：部分内置的组账户；放内置的安全的本地域组；类型：安全组-本地域；由管理员手动创建的组不能放里面。

②Computers容器：域里面包含的计算机账户；管理员手动创建的计算机账户放里面。

③Users容器：包含内置的两个用户账户和管理员手动创建的域的用户账户。

类型：用户、非内置的安全组-本地域、安全组-全局、安全组-通用。

④Domain Controllers容器（域控制器DC）：存放的域里的域控制器账户。

2、创建域用户账户；①域管理员在域控制器上创建用户user1：Users容器右击-新建用户②设置密码。

注意用户名的命名规则和密码的使用规则，2008 Server 系统的密码策略要求用户密码长度不能低于7个字符，密码复杂性要求大小写英文字母+0----9数字+一些特殊字符。

打开“管理工具”/组策略管理，可以查看自己域的默认安全策略。

3、设置域用户账户属性（用户登录时间；用户登录地点；账户禁用；重设用户密码等等）域管理员在域控制器上设置域用户账户属性：用户user1右击属性-重置密码或禁用账户若登录密码过期则显示：重新设置密码：域管理员在域控制器上打开AD管理中心可以设置用户登录时间和用户登录地点4、用户漫游配置文件；①域管理员在域控制器上C盘-新建文件夹-属性-高级共享-共享此文件夹②设置共享权限：Everyone组完全控制③设置用户user1的配置文件路径：验证1：①用户user1在域的客户机上第一次登录②用户user1在域的客户机上新建文件夹user1和文本文件user1③用户user1注销后环境配置文件才能保存④回到WIN-AD，share文件夹里user1.V2里面保存的就是user1的环境配置文件。

⑤用户的环境配置文件只有自己能够控制，包括管理员在内的其他用户都不能访问。

在Windows系统中设置和管理用户账户

在Windows系统中设置和管理用户账户在Windows系统中，用户账户是操作系统的核心组成部分之一。

正确地设置和管理用户账户可以保护计算机安全，并为每个用户提供独立的工作空间。

本文将详细介绍如何在Windows系统中设置和管理用户账户，包括创建、修改、删除用户账户以及分配权限等方面。

第一章：用户账户的基本概念和分类在Windows系统中，用户账户有两种主要类型：本地用户账户和域用户账户。

本地用户账户仅适用于本地计算机，而域用户账户则可以在网络中共享，通常由Windows服务器管理。

用户账户还可以分为多种类型，如管理员账户、标准用户账户、受限用户账户等等，不同类型的用户账户具有不同的权限和访问级别。

第二章：创建新的用户账户要创建新的用户账户，首先需要以管理员身份登录系统。

然后，打开“控制面板”并选择“用户账户”。

在用户账户操作界面，点击“创建新账户”选项。

接下来，输入新账户的名称和密码，根据需要选择用户账户类型。

最后，单击“创建账户”按钮，即可成功创建新账户。

第三章：修改用户账户设置为了满足不同用户的需求，Windows系统提供了丰富的用户账户设置选项。

在“用户账户”界面中，选择要修改的账户，并点击“更改账户类型”或“更改账户设置”选项。

用户可以修改账户的名称、密码、类型和注释等信息。

此外，还可以为账户设置头像图片和关联的Microsoft账户。

第四章：删除用户账户在某些情况下，我们需要删除不再使用的用户账户。

在“用户账户”界面中，选择要删除的账户，并点击“删除账户”选项。

系统会提示用户确认操作，确认后，该账户及其相关数据将被永久删除。

需要注意的是，只有管理员账户可以执行账户删除操作。

第五章：切换用户账户和注销操作在Windows系统中，用户之间可以通过切换用户账户来共享计算机。

切换用户账户是指将当前用户从系统注销，并切换到另一个用户账户。

用户可以点击系统托盘中的用户图标，选择要切换的用户账户，输入相应密码后即可完成切换。

第7章域用户账户[1]

7.1.1 域用户帐户的创建
7.1 域用户帐户的管理
域用户帐户的创建
域用户帐户属性的设置
7.1.2 域用户帐户属性的设置
域用户帐户的基本信息的设置
7.1.2 域用户帐户属性的设置
域用户帐户的登录设置
第7章域用户帐户、组和组织单位的管理
域用户帐户的管理计算机帐户的管理组对象的管理组织单位的管理组策略
第7章域用户帐户、组和组织单位的管理
域用户帐户的管理计算机帐户的管理组对象的管理组织单位的管理组策略
7.3 组对象的管理
●组的类型及作用域
●用户组的创建与管理
●域用户组的AGDLP使用策略
7.3.1 组的类型及作用域
1 组的类型在 Active Directory 中有两种类型的组：通讯组和安全组。可以使用通讯组创建电子邮件通讯组列表，使用安全组给共享资源指派权限。（1）通讯组通讯组只有在电子邮件应用程序（如 Exchange）中，才能使用通讯组将电子邮件发送给一组用户。通讯组不启用安全，这意味着它们不能列在随机访问控制列表 (DACL) 中。如果需要组来控制对共享资源的访问，则创建安全组。（2）安全组安全组要小心使用，安全组提供了一种有效的方式来指派对网络上资源的访问权。
7.5.3组策略软件安装
1 应用程序指派给用户
7.5.3组策略软件安装
2 将应用程序指派给计算机
7.5.3组策略软件安装
3 将应用程序发布给用户
7.6 实训：域用户帐户、组和组织单位的管理
7.4 组织单位的管理
创建组织单位组织单位用于委派管理
7.4.1 创建组织单位
创建组织单位的步骤为： 1）打开“Active Directory 用户和计算机”。 2）在控制台树中，右键单击要在其中添加组织单位的文件夹。 3）指向“新建”，然后单击“组织单位”。 4）在打开的“新建对象-组织单位”的“名称”中键入组织单位的名称（如Department of Computer），单击“确定”，如图所示。

6域用户和组的建立和管理

混合模式：此模式中，域控制器可以包含WindowsNT系统。特点：混合模式：此模式中，域控制器可以包含WindowsNT系统。特点特点：
◇.不支持通用组。 ◇.只有本地组可以包含全局组，而且是单一的嵌套，不支持其它的嵌套，例：不支持将全局组包含到其他全局组内。
本机模式：此模式中，所有的域控制器必须都是Windows2000计算机，本机模式：此模式中，所有的域控制器必须都是Windows2000计算机，其他成员可以包含WindowsNT系统。特点其他成员可以包含WindowsNT系统。特点：特点：
管理工具— 管理工具—Active Directory 用户和计算机—展开域名— 用户和计算机—展开域名— Builtin。 Builtin。
Administrator：具备系统管理员的权限，拥有整个域最大的控制 Administrator：具备系统管理员的权限，拥有整个域最大的控制权。默认包含内置Administrator，权。默认包含内置Administrator，Domain Admin全局组， Admin全局组， Enterprise Admin全局组。 Admin全局组。 Server Operators：此组员拥有管理域控制器的权利。 Operators：此组员拥有管理域控制器的权利。 Account Operators：此组员拥有管理域内帐号和组的权利。 Operators：此组员拥有管理域内帐号和组的权利。 Printer Operators：此组员管理域控制器上的共享打印机，也可 Operators：此组员管理域控制器上的共享打印机，也可以将域控制器关机（shutdown）以将域控制器关机（shutdown）。 Backup Operators：此组员用来备份和还原域控制器内的数据， Operators：此组员用来备份和还原域控制器内的数据，也可以将域控制器关机（shutdown）也可以将域控制器关机（shutdown）。 Users：给此组指派适当的权利，以便让此组中的用户访问域中资 Users：给此组指派适当的权利，以便让此组中的用户访问域中资源。

域用户及组账户的管理

域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。

系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。

本章的主要内容包括：》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则３.１域用户账户作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。

当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。

换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。

这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。

本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。

非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。

３.１.１组织单位组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。

你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。

应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。

域管理员使用手册

域管理员使用手册引言域管理员是负责管理和维护一个域或网络环境的重要角色。

他们负责确保域中的计算机和网络设备正常运行，管理用户账户和权限，并处理域中出现的任何问题。

本手册将引导域管理员了解其职责、掌握必要的技能，并提供一些最佳实践和工具，以更好地管理和维护域环境。

一、了解域环境作为域管理员，首先必须了解域环境的基本概念和组成部分。

一个域是一组计算机和用户的集合，它们共享同一个身份验证和授权机制。

域控制器是一个承担身份验证和授权功能的服务器，它是域环境的核心组件。

域管理员应该了解域的逻辑结构和物理结构，掌握域控制器的工作原理以及域内各种对象（用户、计算机、组等）的组织和管理方式。

二、用户账户管理1. 创建用户账户域管理员应该熟悉创建用户账户的步骤和最佳实践。

创建用户账户时需要提供基本信息（如用户名、密码）以及其他属性（如部门、职位等）。

合理使用账户命名规则和密码策略，以确保安全性和易管理性。

2. 管理用户权限域管理员应该能够授予和撤销用户的权限。

在处理权限时，应该遵循最小权限原则，即给予用户所需的最低权限，以减少安全风险。

另外，应该学会使用组来管理用户权限，将用户分组并授予组权限，以简化权限管理和维护。

3. 禁用和删除用户账户当用户离职或不再需要访问域资源时，域管理员应该及时禁用或删除他们的账户，以确保域的安全性。

三、计算机管理1. 加入域域管理员应该了解如何将计算机加入域。

通过加入域，计算机可以使用域身份进行身份验证，从而访问域资源。

2. 计算机策略设置域管理员应该学会使用计算机策略来管理域中计算机的行为。

计算机策略可以控制计算机的安全设置、用户权限、软件安装等。

3. 计算机维护和故障排除域管理员应该能够维护和排查域中计算机的常见问题。

例如，域管理员应该能够修复网络连接问题、解决域身份验证问题等。

四、域控制器管理1. 域控制器部署和升级域管理员应该了解如何部署新的域控制器，并且如何升级现有的域控制器。

AD用户的管理和创建

4.用户漫游与强制配置文件
实验拓扑图:
任务一:创建域用户账户
1.我们在S1上打开mmc控制台添加AD的相关组件,展开AD用户和计算机右键域选新建组织单位
在其右侧点右键新建用户,输入用户登陆名,接着输入用户密码
这样我们域当中的域用户已经建立好了,他隶属于域用户组.
4.我们用user1用户登陆S1并在桌面上添加一个文档名为“漫游配置test”
5.接着我们在S1上注销user1用户,并在加入到域的客户机C1上登陆,我们会发现文档“漫游配置test”
6.这样我们的漫游配置文件就成功了,接着介绍强制漫游配置文件,我们用user1在S1上登陆打开E盘进入share文件夹下的user1文件夹下,最后将NTUSER.DAT该名为NTUSER.MAN
7．完成后,我们注销user1,再用user1登陆S1服务器,在桌面上我们删除文档“漫游配置.txt”
8.我们注销user1在到客户机上C1或服务器S1登陆,我们会发现“漫游配置.txt”又会神奇的出现在桌面上.
任务二:创建域组账户
1.在testOU的右侧新建组cht全局组
2.同样我们可以建立其它的类型的组如域本地与安全的组,至于通信组只在AD与exchange邮件系统集成时才能发挥其相应的作用在此我们不做选择.通用组作用域只在当域被提升为2003功能级别时,才会出现,如下图我已经将域提升为2003功能级别.
3.我具体说明一下这三种组作用域区别,如下表
组
特性
通用组
全局组
域本地组
成员
所有域
同一个域内的用户和全局组
所有域内的用户,全局组,通用组，同一个域内的域本地组
可以在哪一个域内被设置使用权限
所有域
所有域

帐户和组的创建及管理

实验三帐户和组的创建及管理实训班级：姓名：【实训目的】（1）掌握本地用户和域用户的管理和配置，组的规划和建立。

（2）了解Windows Server 2003域用户和本地用户的区别。

（3）理解组的概念和作用，认识组的类型。

【实训环境】Microsoft Windows Server 2003 Enterprise Edition【实训任务】1、创建本地帐户在工作组模式下创建一个本地帐户，并使用此本地帐户进行登录，查看用户配置文件。

2、创建域帐户（1）在域模式下创建域用户j1、j2、j3、s1、s2(密码自定)，j1、j2属于js（技术组），s1、s2属于sc(市场组)，并查看用户配置文件的类型,为用户j1创建漫游用户配置文件。

（2）设置用户s1、s2登录时间为每星期的周一到周五的7:00—19：00之间。

3、创建组织单位并实现权限委派（1）在域模式下创建组织单位：北京分公司，并在其下分别创建3个子OU：市场部、技术部、财务部。

（2）通过权限委派使域用户j3具有在OU（北京分公司）中创建、删除以及管理用户帐户的权限。

【实训步骤】一、创建本地用户1.创建2.用户配置文件二、创建域用户1.创建域用户j1、j2、j3、s1、s22.创建js（技术组），sc(市场组)3.j1、j2属于js（技术组），s1、s2属于sc(市场组)3.查看用户配置文件的类型4.用户j1创建漫游用户配置文件。

4.设置用户s1、s2登录时间为每星期的周一到周五的7:00—19：00之间。

三、创建组织单位并实现权限委派（1）在域模式下创建组织单位：北京分公司，并在其下分别创建3个子OU：市场部、技术部、财务部。

（2）通过权限委派使域用户j3具有在OU（北京分公司）中创建、删除以及管理用户帐户的权限。

【实验中遇到的问题】1.对于域控制器的操作还缺乏熟一定的技术。

2.对于安全策略还缺乏一定的了解，不能及时的发现问题。

3.对于权限的分配缺乏一定的认识。

实验：域账户管理

域账户管理1.实验目的与要求1.掌握活动目录的安装.2.掌握域账户的创建和管理.3.掌握域组的创建和管理.2．实验步骤1.安装活动目录。

域名自己定义。

在“开始”当中，找到运行，然后输入“dcpromo”按确定，出现安装界面，点击“下一步”，选择“新域的域控制器”，点击“下一步”，在选择默认的“在新林中的域”，点击“下一步”，然后再跳出来的对话框中选择“否，只在这台计算机上安装并配置DNS”。

点击“下一步”。

输入新域的DNS全名，点击“下一步”。

选好所要安方的位置，点击“下一步”。

再点击“下一步”。

安装active directory,完成安装将重新启动计算机。

2.创建域用户账号,以自己姓名拼音首字母命名.在“管理工具”中进入“active directory 用户和计算机”，找到“users”,然后再这里添加域用户账号。

3.重设新建域用户账号密码在“管理工具”中进入“active directory 用户和计算机”，找到“users”选中所要修改账户右键，然后可以重设域用户账号密码。

4.指定用户登录时间为周一到周六白天8点到下午5点.单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

在控制台树中，单击包含所需用户帐户的容器。

在右窗格中，右键单击相应的用户帐户，然后单击“属性”。

单击“帐户”选项卡，然后单击“登录时间”。

单击“全部”以选中所有可用时间，然后单击“拒绝登录”。

选择允许该用户登录到域的时间段，然后单击“允许登录”。

登录时间表下方的状态行会显示当前选择的登录时间。

配置完登录时间后，单击“确定”，然后单击“user account属性”对话框中的“确定”。

退出“Active Directory 用户和计算机”管理单元。

5.限制用户登录计算机6.设置新建账号失效日期为2012年4月5日.组名自定。

8.新建一个域组，域组的作用域为通用组，组名自定。

9.把新建账号添加到新建的域组，使其成为新建域组的成员。