AD-用户配置文件

AD配置说明1. LDAP管理1.1打开：基础设置­访问控制­LDAP管理1.2属性说明属性名 描述 备注名称 用户自定义类型 AD服务器类型服务器 服务器连接地址 例：ldap://192.168.1.100端口 服务器连接端口 默认：389登录帐号 AD域帐号 AD域真实存在AD域用户密码 AD域帐号的密码BaseDN 基位置(dc:域名,ou:组织,cn:部门) 例：CN=Users,DC=domainname,DC=com搜索过滤器 过滤条件 例：(objectClass=user) 允许定期同步更新 是否允许本系统与Ad域同步更新YES或NO1.3配置示例1.3.1 AD服务器1.3.2配置如图所示1.3.3连接测试1.3.4保存即可2、域用户管理2.1 打开：基础设置­访问控制­域用户列表2.2 查看 域的所有用户（下拉列表数据是LDAP管理数据）2.3 对AD用户手动导入选中要导入的用户：点击导入：设置导入到指派的机构和用户角色点击导入：弹出导入结果查看导入的用户：基础设置‐访问控制‐用户管理2.4注：导入的密码与登录帐号一样3、AD同步更新设置3.1 前提条件基础设置‐访问控制‐LDAP管理，列状态=”Success”和允许定期同步更新=”是”,如图示：3.2【状态=”Success”】配置选中某行数据，点击”连接测试”按钮,显示”连接测试成功”后，状态会变成” Success”3.3【允许定期同步更新=”是”】配置：编辑‐允许定期同步更新 勾上—保存3.4 设置AD同步更新日程（周期）3.4.1 打开：基础设置—系统工具—定期任务管理3.4.2 新增同步日程任务3.4.3 选择【活动目录(AD)同步更新】‐‐【确认选择】3.4.4 保存即可3.4.5 备注说明AD用户更新信息，同步更新后，用户相关信息会自动更新。

AD用户添加，同步更新后，自动添加到本系统。

用户账户配置文件是指存储用户个人信息和偏好设置的文件，用于在计算机系统中对用户进行身份验证和提供个性化的使用体验。

用户账户配置文件的记录格式通常包括以下内容：1. 用户基本信息在用户账户配置文件中，常常会记录用户的基本信息，如尊称、性莂、出诞辰期、通联方式等。

这些信息用于识别用户的身份，并在需要时进行必要的验证。

2. 登入凭证用户账户配置文件还会存储用户的登入凭证，包括用户名、密码以及可能的安全提示问题和答案。

这些信息用于用户登入系统时进行身份验证，确保只有合法的用户可以访问其账户信息。

3. 偏好设置用户账户配置文件还包括用户的偏好设置，比如语言偏好、时区偏好、界面风格偏好等。

这些偏好设置可以在用户登入时加载，以提供个性化的使用体验。

4. 安全设置为了保护用户的账户安全，配置文件中通常会包括与账户安全相关的设置，比如密保问题、双因素认证设置、登入记录等。

这些设置可以帮助用户加强账户的安全性。

5. 访问权限针对不同用户角色和权限的需求，用户账户配置文件也会记录用户的访问权限设置，包括对系统资源、应用程序和文件的访问权限等。

用户账户配置文件的记录格式通常以一定的结构组织，可以是文本文件、XML文件、JSON文件等格式。

不同的系统和应用程序可能采用不同的记录格式，但它们通常都会遵循一定的规范，以确保用户信息的完整性、安全性和可读性。

需要注意的是，用户账户配置文件中包含的信息涉及用户的隐私和安全，因此在处理和存储这些文件时需要严格遵守相关的安全规范和法律法规，确保用户信息不被泄露或滥用。

开发人员和系统管理员也需要定期对用户账户配置文件进行备份和修订，以应对可能的数据丢失或损坏情况，确保用户信息的安全可靠性。

用户账户配置文件的记录格式涵盖了用户基本信息、登入凭证、偏好设置、安全设置和访问权限等内容，其结构和规范性对于用户信息的完整性和安全性至关重要。

我们在处理和存储用户账户配置文件时，需要密切关注其格式、规范和安全保障，以保护用户隐私和确保系统的安全稳定运行。

. Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导”。

nextnext默认即可。

next nextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入"kelaode"，你们自定。

默认得，nextnext 确定。

这里我不配置dns，根据自己的情况配置。

next 默认即可。

nextnext next这个需要一些时间。

完成。

重起。

二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定，网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定，禁用命令提示符，禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定，在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下如，添加intl.cpl 为只显示“字体”，添加main.cpl为显示键盘和鼠标！设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定，如下图：打印机添加设定在“控制面板——打印机”中，可进行禁止用户添加、删除打印机设定，如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置文件夹重定向1.网络设定：注意DNS设定！2.重定向文件夹权限设定此处注意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。

AD开发用户(User)属性完全手册（AD User）属性的含义：属性名：objectClass，属性值： top属性的含义：属性名：objectClass，属性值： person属性的含义：属性名：objectClass，属性值： organizationalPerson 属性的含义：属性名：objectClass，属性值： user属性的含义：属性名：distinguishedName，属性值： CN=6,OU=建筑部a,OU=设计研究院,DC=zdrmoss,DC=com属性的含义：属性名：instanceType，属性值： 4属性的含义：属性名：uSNCreated，属性值： System.__ComObject属性的含义：属性名：uSNChanged，属性值： System.__ComObject属性的含义：属性名：objectGUID，属性值： System.Byte[]属性的含义：属性名：userAccountControl，属性值： 544属性的含义：属性名：badPwdCount，属性值： 0属性的含义：属性名：codePage，属性值： 0属性的含义：属性名：countryCode，属性值： 156属性的含义：属性名：badPasswordTime，属性值： System.__ComObject 属性的含义：属性名：lastLogoff，属性值： System.__ComObject属性的含义：属性名：lastLogon，属性值： System.__ComObject属性的含义：属性名：pwdLastSet，属性值： System.__ComObject属性的含义：属性名：primaryGroupID，属性值： 513属性的含义：属性名：objectSid，属性值： System.Byte[]属性的含义：属性名：accountExpires，属性值： System.__ComObject 属性的含义：属性名：logonCount，属性值： 0属性的含义：属性名：sAMAccountType，属性值： 805306368属性的含义：属性名：objectCategory，属性值：CN=Person,CN=Schema,CN=Configuration,DC=zdrmoss,DC=com属性的含义：属性名：nTSecurityDescriptor，属性值： System.__ComObject属性含义：用户登录名：属性名：userPrincipalName，属性值： DDD属性的含义：公共名称（通常以此属性标识该用户，name的值相同）属性名：cn，属性值： 6属性的含义：名称（通常以此属性标识该用户，同公共名称CN）属性名：name，属性值： 6属性的含义：用户登录名（Windows2000前）属性名：sAMAccountName，属性值： 1属性的含义：姓属性名：sn，属性值： 3属性的含义：（？？？）属性名：c，属性值： CN属性的含义：市县属性名：l（此属性名为L），属性值：乌鲁木齐属性的含义：省属性名：st，属性值： 15属性的含义：职务属性名：title，属性值： 16属性的含义：描述属性名：description，属性值： 11属性的含义：邮政编码属性名：postalCode，属性值： 123456属性的含义：邮政信箱属性名：postOfficeBox，属性值： 2222222222222属性的含义：电话号码(T)属性名：telephoneNumber，属性值： 13属性的含义：传真属性名：facsimileTelephoneNumber，属性值： 781属性的含义：名属性名：givenName，属性值： 2属性的含义：英文缩写属性名：initials，属性值： 45属性的含义：创建时间属性名：whenCreated，属性值： 2008-12-1 9:48:53属性的含义：修改时间属性名：whenChanged，属性值： 2008-12-1 10:09:34属性的含义：显示名称属性名：displayName，属性值： 17属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 444属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 3333属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 2222属性的含义：国家属性名：co，属性值：中国属性的含义：部门属性名：department，属性值： 4555属性的含义：公司属性名：company，属性值： 5666属性的含义：街道属性名：streetAddress，属性值：青年路属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 654属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 543属性的含义：网页属性名：wWWHomePage，属性值： 属性的含义：用户登录名属性名：userPrincipalName，属性值： ddd@属性的含义：IP电话属性名：ipPhone，属性值： 789属性的含义：其它IP电话属性名：otherIpPhone，属性值： dsssssss 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：电子邮件属性名：mail，属性值： 12属性的含义：家庭电话属性名：homePhone，属性值： 678属性的含义：移动电话属性名：mobile，属性值： 670属性的含义：其它移动电话属性名：otherMobile，属性值： ddddd属性的含义：其它传真属性名：otherFacsimileTelephoneNumber，属性值： dddddd属性的含义：寻呼机属性名：pager，属性值： 679属性的含义：其它寻呼机属性名：otherPager，属性值： 444444444memberOf 隶属于userAccountControl 帐户行为控制标志badPwdCount 用户尝试错误密码的次数badPasswordTime 用户最后一次尝试错误密码的时间lastLogon 用户最后登陆时间primaryGroupID 所属组的IDaccountExpires 帐户到期日期导出上面属性的代码：通过选择树中的节点，查询所有user的属性名称和属性值：DirectoryEntry selNode =ADHelper.GetDirectoryEnter.GetDE_EnyUser(this.TreeView1.SelectedNode. Value.ToString());this.txtdistinguishedName.Text =selNode.Properties["distinguishedName"].Value.ToString();//this.TextBox3.Text = "所有属性的名称和属性值列表如下：";foreach (string propertyName inselNode.Properties.PropertyNames){this.TextBox3.Text += "属性名：" + propertyName + "，属性值： " + selNode.Properties[propertyName][0].ToString(); this.TextBox3.Text += Environment.NewLine;}。

第一步：
在AD中新建一个OU叫ftp，在OU中新建用户，用户名分别为ftp1，ftp2，ftpadmin三个用户。

新建用户
创建完成后
2、右击ftp做委派控制，选择ftpadmin,做“读取所有用户信息”委派。

第二步：建立目录
在d盘建立文件夹ftp，在ftp下分别建立用户名所对应的文件夹ftp1，ftp2 第三步：配置IIS-ftp的操作
1、新建ftp站点
2、在用户隔离先项中选择“用Active Directory隔离用户”见图
3、点击下一步，用户名输入ftpadmin，并输入密码，点击浏览选择域，见图
第四步：对ADSI的设置
1、在命令行模式下输入IISftp回车后提示“此脚本不能与WScript工作”不管它，点确定进入下一个提示whould you like to ………….for VBscript点击“是”下一提示“成功注册了CScript”
2、安装支持工具：打开Windows2003安装盘下SUPPORT文件夹—下的TOOLS文件夹双击安装支持工具suptools.msi文件（默认安装即可）
3、安装成功后在运行中输入adsiedit.msc
4、展开Domain找到你建的OU＝ftp展开分别设置ftp1和ftp2用户属性.
5、在cn=ftp1用户的属性中找到二项为msIIS-ftpDir（将其值设置为ftp1）和msIIS-ftpRoot（将其值设置为d:\ftp）
6、在cn=ftp2用户的属性中设置msIIS-ftpDir（将其值设置为ftp2）和msIIS-ftpRoot（将其值设置为d:\ftp）
测试验证。

一、文件夹重定向特殊文件：Application Data 、桌面、My Documents 、「开始」菜单。

这些文件可以重定向。

1.打开组策略编辑器，点击“用户配置→Windows设置→文件夹重定向”，选择“我的文档”，右键点击选择“属性”。

选择“设置”中的“基本-将每个人的文件夹重定向到同一位置”，则域中应用该策略的用户将使用同一服务器的同一共享文件夹保存域用户文档。

也可以根据具体需要选择“高级-为不同用户组指定位置”，为不同的用户组设置不同的重定向设置，方法和“基本”相同。

应用于站点、域、OU。

2.选择“目标文件夹位置”，我们选择“在根目录路径下为每一用户创建一个文件夹”，“根路径”输入所要保存的网络共享文件夹路径\\192.168.0.1\document（必须是UNC路径），用户对此共享文件夹Document必须有足够的访问权限。

点击“设置”选项卡，设置文件夹的访问权限:1)共享权限为everyone 完全控制；2）‘安全’选项中creator/owner 和local system 有完全控制的权限，administrator和everyone 无权限，需要访问该文件夹的网络用户有列举文件夹/读取数据，创建文件夹/追加数据。

3.组策略刷新后，用户在客户端登录，右击“我的文档”，选择“属性”，可以看到文件夹重定向到\\192.168.0.1\document\lucy我的文档文件夹位置。

此时可以确定域用户文档已经重定向成功。

测试对客户端“我的文档”做改动保存后，服务器中文档内信息也能相应改动，但如果在用户改动文档还未保存时，服务器就意外关机，则文档改动内容无法保存到服务器，但仍会在本地客户端保存，等服务器启动后会自动提示一个文件同步处理对话框，但是会提示文件冲突。

按要求保存后，所做的改动就会保存到服务器的共享文件夹中。

使用Administrator访问该共享文件夹中lucy的文档，提示“拒绝访问”，只有lucy本人能够访问，这样就确保了用户文档的安全性。

AD安装的情况以及配置方法情况一：单域，主域控制器设备：两台win2k server,配置如下：1．计算机名：zky-01 IP:192.168.10.47 netmask:255.255.255.0 gw:192.168.10.12. 计算机名：zky--02 IP:192.168.10.48 netmask:255.255.255.0 gw:192.168.10.1 目的：zky-01为主域控制器（primary domain server），zky--02为成员服务器(member server)DNS可以在安装AD的前中后安装，本例是在安装前配置的.1.安装DNS在zky-01上打开DNS配置窗口，在此前要先把原来的DNS卸除干净，包括删除system32下的DNS 目录，然后再安装服务。

1）.创建正向解析区域（forward lookup zone）,为.反向解析区域(reverse lookup zone),网络号：192.168.102). 设置两个区域的属性：要注意以下几点：先打开区域的属性①进入“属性”的“常规”选项允许两个区域为动态更新状态，（dynamic update）选择”是”图1②打开“起始授权机构(SOA)”，在“主服务器”后加上后缀(primary dns suffix)为,也就是在zky-01后加上,其他设置根据自己的需要进行操作，如下图所示：图2③在“名称服务器”选项中，“编辑”服务器名zky-01,再其后添加，完成操作后，会出现下图3所示：图3④就是要打开反向区域,设置和正向区域是一样的，不再獒述。

至此，DNS的配置基本可以。

4)在“本地连接”属性中让DNS指向本机地址192.168.10.475)restart;这是必需的。

6）重启后，在区域中会有A记录，反向区域中有PTR记录，这说明DNS配置正确。

2.安装AD“运行”→dcpromo,选择安装新域的域控制器，新树，新森林。

【AD用户设置系列】批量修改漫游配置文件路径作者：宋杨日期：2010-07-26系列导读：本系列文章短小精悍，通过设置企业中AD用户帐户的配置文件来满足企业用户的业务需求。

[二]一次要改变大量的用户配置文件路径是非常累的事，因此今天和大家分享如何通过命令行工具来批量修改用户配置文件的路径。

前面跟大家介绍了如何设置漫游配置文件，做法是需要在“Active Dircetory 用户和计算机”工具中找到用户然后右击用户选择属性中的“配置文件”并在“配置文件路径”后填写提前在服务器上设置好的共享文件夹的UNC路径。

这样的方法确实可以给“用户配置文件管理”这项工作内容带来很大的方便。

但是，如果有1万个用户需要做漫游配置的话，我们就要做1万次。

或者是我们已经设置好了，有一天公司因为更换存储员工配置文件的服务器，需要把所有做了漫游配置的员工的配置文件路径修改成新的UNC 路径，一个一个改，那也是一件很累人的事情。

所以，咱们需要一个让IT人员减负的方法来做这件事。

做法：使用命令行下的工具dsquery +dsmod来实现批量设置或修改。

1、查询用户的命令行工具dsquery：打开命令提示符，输入：dsquery user"OU=_Demo,DC=itechy,DC=org"注释：通过以上命令可以找到在“”这个域中的“_Demo”的OU 中有三个用户“user1”、“user2”、“user3”（命令中的"OU=_Demo,DC=itechy,DC=org"表示LDAP路径，dsquery是查询AD的一条命令）；执行结果如下：2、修改用户配置的命令行工具dsmod：在命令提示符中输入：dsmod user"CN=user1,CN=_Demo,DC=itechy,DC=org" -profile \\WIN-2008FILESRV\profies\$username$注释：通过以上命令就可以将“”域中“_Demo”OU中的用户“user1”的漫游配置路径从原来的“\\WIN-2008DC\profies\user3” 修改成“\\WIN-2008FILESRV\profies\$username$”（其中$username$是代表用户的变量），“-profile” 这个参数就是用来设置新的配置文件路径的；执行结果如下：再次打开“Active Dircetory 用户和计算机”工具察看user3的配置文件路径会发现已经被咱们成功修改了。

Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器，就是nt 下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导"。

nextnext默认即可.next nextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入”kelaode"，你们自定。

默认得,nextnext 确定。

这里我不配置dns，根据自己的情况配置。

next 默认即可.nextnext next这个需要一些时间.完成。

重起.二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置(1)编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2)打开“开始-—-管理工具-—--域安全策略”中添加“通过终端服务容许登录"和“允许本地登录“(下图)(3）打开“默认域安全策略”,在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定，禁用命令提示符，禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定，在“用户配置——-管理模板---桌面"中如下配置控制面板设定1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序"，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下如，添加intl。

把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

共享文件夹的创建及权限设置手册
一、共享文件夹的创建
根据域中组织单元的情况，建立相对应的部门文件夹
共享test文件夹，点击权限——允许Everyone对其进行只读访问的权限
在test共享文件夹中，分别创建域中所包含的各个部门间所使用的共享文件夹名称
在域中各个组织单元中，创建用户和组
将组织单元内的用户加入该组织单元内的组中，右击组——属性——成员——添加——高级——立即搜索
完成后，点击确定。

在test共享文件夹中，找到相应的行政部文件夹，右击属性——安全——高级——取消允许父项的继承权限传播到该对象和所有子对象……前的勾
弹出安全对话框，点击复制
文件夹的使用权限
点击高级，立即查找
根据需求设置相应的共享访问权限，点击确定完成。

AD用户、组织单元的导入和导出AD用户的导入和导出工具有很多种，这里只解释微软官方提供的工具第三方工具，通过API、ADSI二次开发的工具不在讨论之列。

在下接触AD 不就，文中难免疏漏，还请各位指正，先行谢过。

入门演示在c:\下面保存此文件为test.csv 路径和文件名可以使用其它注意别留多余的空格自找麻烦其实也就是这样一个表用逗号分割的形式写，最后一项后面不写逗号然后再命令行下输入下面指令第一条type test.csv是为了显示文本中的内容第二条是用来导入用户的命令用户已经导入了，但用户是禁用的。

如果要该用户能登陆域要把用户启用。

DN objectClass sAMAccountName 这三个属性是必须的，也是最少的导入属性。

大批量导入用户这样导入只是为了有个初步的认识，下面介绍一些实际操作中的问题。

比如一个测试AD，为了模拟生产AD的环境，需要把用户和组织单元全部导入，事实上我遇到了一个上百个组织单元，接近7000个用户信息的导入操作，涉及真实信息需要保密，此处只还是做一个模拟的例子。

既然需要导入这么多用户，肯定要有相应的信息了，于是我得到了两个csv文件。

一个是组织单元的导出文件，一个是用户的导出文件。

文件的内容不便透露，这里还是模拟一下。

下面再test下面建几个组织单元（OU），如图。

然后建几个用户分别放进对应的ou里，格式从前向后依次是最小的ou，如下格式DN,objectClass,sAMAccountName"CN=testAA,OU=test11,OU=test1,OU=test,DC=bjtest,DC=com",user,testAA"CN=testbb,OU=test12,OU=test1,OU=test,DC=bjtest,DC=com",user,testbb"CN=testcc,OU=test2,OU=test,DC=bjtest,DC=com",user,testcc用户已经导入，注意这种最简的导入方式用户默认是禁用的，并且是没有密码的，后面将讲解怎么批量添加密码。

AD用户属性说明AD Search User Property AttributesAD 用户属性字段Chn Display Name ADSearch Name国际ISDN号码（其他）International ISDN Number (Others)internationalISDNNumber帐户到期account Expires accountExpires帐户名称历史account Name History accountNameHistory加勒比国家联盟策略名称aCS Policy Name aCSPolicyName管理流量统计admin Count adminCount备选案文安全标识alt Security Identities altSecurityIdentities 助理Assistant assistant坏密码时间bad Password Time badPasswordTime坏密码计数bad Pwd Count badPwdCount城市City l代码页code Page codePage评论Comment comment公司Company company控制访问权限control Access Rights controlAccessRights国家Country co国家缩写Country Abbreviation c国家代码country Code countryCodedBCSP西部数据dBCSP wd dBCSPwd默认类存储default Class Store defaultClassStore部Department department桌面配置desktop Profile desktopProfile目标指示器destination Indicator destinationIndicator司Division division动态LDAP服务器dynamic LDAP Server dynamicLDAPServerE - Mail地址E-Mail Address mailE - Mail地址（其他）E-Mail Address (Others)otherMailbox雇员ID Employee ID employeeID传真号码Fax Number facsimileTelephoneNumber传真号码（其他）Fax Number (Others)otherFacsimileTelephoneNumber 名字First Name givenName垃圾科尔时期garbage Coll Period garbageCollPeriod世代后缀Generational Suffix generationQualifier组成员山姆group Membership SAM groupMembershipSAM 集团的优先group Priority groupPriority团体忽略groups To Ignore groupsT oIgnore家庭地址Home Address homePostalAddress主驱动器Home Drive homeDrive主文件夹Home Folder homeDirectory家庭电话Home Phone homePhone家庭电话（其他）Home Phone (Others)otherHomePhone缩写Initials initials国际ISDN号码International ISDN Number primaryInternationalISDNNumber IP电话号码IP Phone Number ipPhoneIP电话号码（其他）IP Phone Number (Others)otherIpPhone 职称Job Title title最后注销last Logoff lastLogoff最后登录last Logon lastLogon传统交易所的DN legacy Exchange DN legacyExchangeDN流明密码历史lm Pwd History lmPwdHistory区域设置ID locale ID localeID锁定时间lockout Time lockoutTime登录名Logon Name userPrincipalName登录名（Windows 2000以前）Logon Name (pre-Windows 2000)sAMAccountName登录工作站Logon Workstations userWorkstations登录数logon Count logonCount登录时间logon Hours logonHours登录工作站logon Workstation logonWorkstation经理Manager manager最大存储max Storage maxStorage讯息处理系统或地址mhs OR Address mhsORAddress中间名Middle Name middleName移动号码Mobile Number mobile流动电话号码（其他）Mobile Number (Others)otherMobile 毫秒的DS -造物主的SID mS-DS- Creator SID mS-DS-CreatorSIDMSMQ的文摘mSMQ Digests mSMQDigestsMSMQ的文摘米格mSMQ Digests Mig mSMQDigestsMigMSMQ的注册证书mSMQ Sign Certificates mSMQSignCertificates MSMQ的注册证书米格mSMQ Sign Certificates Mig mSMQSignCertificatesMig微软网络提供允许拨入msNP Allow Dialin msNPAllowDialin微软网络提供呼叫站ID msNP Calling Station ID msNPCallingStationID微软网络提供保存呼叫站ID msNP Saved Calling Station ID msNPSavedCallingStationID 她的RADIUS回拨号码ms RADIUS Callback Number msRADIUSCallbackNumber她的RADIUS帧的IP地址ms RADIUS Framed IP Address msRADIUSFramedIPAddress她的RADIUS 45.7路线ms RADIUS Framed Route msRADIUSFramedRoute她的RADIUS服务类型ms RADIUS Service TypemsRADIUSServiceType她的RAS保存回拨号码ms RAS Saved Callback Number msRASSavedCallbackNumber 她的RAS保存帧的IP地址ms RAS Saved Framed IP Address msRASSavedFramedIPAddress 她的RAS保存45.7路线ms RAS Saved Framed Route msRASSavedFramedRoute名字Name cn网络地址network Address networkAddress注释Notes info新界密码历史nt Pwd History ntPwdHistoryNT安全描述符nT Security Descriptor nTSecurityDescriptor o o对象希德object Sid objectSid办公地点Office Location physicalDeliveryOfficeName 操作数operator Count operatorCount其他登录工作站other Login Workstations otherLoginWorkstations欧ou ou传呼机号码Pager Number pager传呼机号码（其他）Pager Number (Others)otherPager电话号码（其他）Phone Number (Others)otherTelephone邮政信箱Post Office Box postOfficeBox邮政地址postal Address postalAddress偏好传输方式preferred Delivery Method preferredDeliveryMethod首选欧preferred OU preferredOU主要组ID primary Group ID primaryGroupID文件路径profile Path profilePath最后一组密码pwd Last Set pwdLastSet注册地址registered Address registeredAddress摆脱rid ridSAM帐户类型sAM Account Type sAMAccountType脚本的路径script Path scriptPath安全标识security Identifier securityIdentifier服务主体名称service Principal Name servicePrincipalName 显示在通讯簿show In Address Book showInAddressBookSID历史记录sID History sIDHistory州/省State/Province st街头street street街道地址Street Address streetAddress补充证书supplemental Credentials supplementalCredentials 电话号码Telephone Number telephoneNumber智能电报终端标识符teletex Terminal Identifier teletexTerminalIdentifier电传号码Telex Number primaryTelexNumber电传号码（其他）Telex Number (Others)telexNumber终端服务器terminal Server terminalServer文字编码或地址text Encoded OR Address textEncodedORAddress小标识thumbnail Logo thumbnailLogo缩图照片thumbnail Photo thumbnailPhoto标题Title personalTitle令牌组token Groups tokenGroups令牌组全球性和普遍性token Groups Global And Universal tokenGroupsGlobalAndUniversal 气相色谱可接受任何标记组token Groups No GC Acceptable tokenGroupsNoGCAcceptable Unicode的密码unicode Pwd unicodePwd用户帐户控制user Account Control userAccountControl用户证书user Cert userCert用户证书user Certificate userCertificate用户参数user Parameters userParameters用户共享文件夹user Shared Folder userSharedFolder其他用户共享文件夹user Shared Folder Other userSharedFolderOther用户SMIME证书user SMIME Certificate userSMIMECertificatex121Address x121Address x121Address邮政编码/邮政编码ZIP/Postal Code postalCode。