Windows AD域用户属性对照表(综合整理)

WindowsAD域用户属性对照表（综合整理）Windows AD域用户属性对照表(综合整理)“常规”标签姓Sn名Givename英文缩写Initials显示名称displayName描述Description办公室physicalDeliveryOfficeName电话号码telephoneNumber电话号码：其它otherTelephone 多个以英文分号分隔电子邮件Mail网页wWWHomePage网页：其它url 多个以英文分号分隔“地址”标签国家/地区 C 如：中国CN，英国GB省/自治区St市/县L街道streetAddress邮政信箱postOfficeBox邮政编码postalCode“帐户”标签用户登录名userPrincipalName 形如：用户登录名（以前版本）sAMAccountName 形如：S1登录时间logonHours登录到userWorkstations 多个以英文逗号分隔用户帐户控制userAccountControl (启用：512，禁用：514 -- 512 + 2，密码永不过期：66048 -- 65536 + 512 ,用户禁用：66050 -- 65536 + 512 + 2)帐户过期accountExpires“配置文件”标签配置文件路径profilePath登录脚本scriptPath主文件夹：本地路径homeDirectory连接homeDrive到homeDirectory“电话”标签家庭电话homePhone (若是其它，在前面加other。

)寻呼机Pager 如：otherhomePhone。

移动电话mobile 若多个以英文分号分隔。

传真FacsimileTelephoneNumberip电话ipPhone注释Info“单位”标签职务Title部门Department公司Company“隶属于”标签隶属于memberOf用户组的DN不需使用引号，多个用分号分隔“拨入”标签远程访问权限（拨入或VPN）msNPAllowDialin 允许访问值：TRUE拒绝访问值：FALSE回拨选项msRADIUSServiceType由呼叫方设置或回拨到值：4总是回拨到msRADIUSCallbackNumber“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签属性显示名称属性名称First Name givenNameLast Name snInitials initialsDescription descriptionOffice physicalDeliveryOfficeNameTelephone Number telephoneNumberTelephone: Other otherTelephoneE-Mail mailWeb Page wwwHomePageWeb Page: Other url帐号属性：显示名称属性名称UserLogon Name userPrincipalName User logon name (pre-Windows 2000)sAMAccountname Logon Hours logonHoursLog On To logonWorkstation Account is locked out userAccountControl User must change password at next logon pwdLastSetUser cannot change password N/AOther Account Options userAccountControl Account Expires accountExpires地址属性显示名称属性名称Street streetAddressP.O.Box postOfficeBoxCity lState/Province stZip/Postal Code postalCodeCountry/Region c, co, and countryCode成员属性显示名称属性名称Member of memberOfSet Primary Group primaryGroupID组织属性显示名称属性名称Title titleDepartment department Company company Manager:Name managerDirect Reports directReports外型属性显示名称属性名称Profile Path profilePath Logon Script scriptPath Home Folder: Local Path homeDirectory Home Folder: Connect homeDrive Home Folder: To homeDirectory 电话相关属性显示名称属性名称Home telephoneNumberHome: Other otherTelephonePager pagerPager: Other pagerOtherMobile mobileMobile: Other otherMobileFax facsimileTelephoneNumberFax: Other otherFacsimileT elephoneNumberIP phone ipPhoneIP phone: Other otherIpPhoneNotes info。

AD配置说明1. LDAP管理1.1打开：基础设置­访问控制­LDAP管理1.2属性说明属性名 描述 备注名称 用户自定义类型 AD服务器类型服务器 服务器连接地址 例：ldap://192.168.1.100端口 服务器连接端口 默认：389登录帐号 AD域帐号 AD域真实存在AD域用户密码 AD域帐号的密码BaseDN 基位置(dc:域名,ou:组织,cn:部门) 例：CN=Users,DC=domainname,DC=com搜索过滤器 过滤条件 例：(objectClass=user) 允许定期同步更新 是否允许本系统与Ad域同步更新YES或NO1.3配置示例1.3.1 AD服务器1.3.2配置如图所示1.3.3连接测试1.3.4保存即可2、域用户管理2.1 打开：基础设置­访问控制­域用户列表2.2 查看 域的所有用户（下拉列表数据是LDAP管理数据）2.3 对AD用户手动导入选中要导入的用户：点击导入：设置导入到指派的机构和用户角色点击导入：弹出导入结果查看导入的用户：基础设置‐访问控制‐用户管理2.4注：导入的密码与登录帐号一样3、AD同步更新设置3.1 前提条件基础设置‐访问控制‐LDAP管理，列状态=”Success”和允许定期同步更新=”是”,如图示：3.2【状态=”Success”】配置选中某行数据，点击”连接测试”按钮,显示”连接测试成功”后，状态会变成” Success”3.3【允许定期同步更新=”是”】配置：编辑‐允许定期同步更新 勾上—保存3.4 设置AD同步更新日程（周期）3.4.1 打开：基础设置—系统工具—定期任务管理3.4.2 新增同步日程任务3.4.3 选择【活动目录(AD)同步更新】‐‐【确认选择】3.4.4 保存即可3.4.5 备注说明AD用户更新信息，同步更新后，用户相关信息会自动更新。

AD用户添加，同步更新后，自动添加到本系统。

AD域参数1. 什么是AD域参数？AD（Active Directory）域参数是指在Windows操作系统中，用于配置和管理域环境的各种参数设置。

AD域参数包括了许多与域、用户、计算机、组织单位等相关的配置项，通过这些参数的设置，管理员可以灵活地管理和控制域中的资源和权限。

2. AD域参数的作用和重要性AD域参数的作用主要体现在以下几个方面：2.1 用户管理AD域参数允许管理员对用户账户进行各种设置，如密码策略、账户锁定策略、密码复杂性要求等。

管理员可以根据实际需求，灵活地调整这些参数，以提高账户的安全性和管理的便捷性。

2.2 计算机管理通过AD域参数，管理员可以对域中的计算机进行管理和配置。

例如，可以设置计算机的自动登录、远程桌面访问权限、计算机加入域的方式等。

这些参数的设置可以提高计算机的安全性和管理效率。

2.3 组织单位管理在AD域中，可以创建组织单位（OU）来对域中的资源进行组织和管理。

通过AD域参数，管理员可以对OU进行各种设置，如权限控制、策略应用等。

这些参数的设置可以更好地管理和控制域中的资源。

2.4 安全性管理AD域参数还包括了一些与安全性相关的设置，如域控制器安全策略、域安全策略等。

通过这些参数的设置，管理员可以提高域的安全性，并防止未经授权的访问和操作。

2.5 集中管理和控制AD域参数的设置是在域控制器上进行的，通过集中管理和控制这些参数，管理员可以方便地对整个域环境进行管理和配置。

这种集中管理的方式可以提高管理效率，减少重复工作，降低管理成本。

3. 常见的AD域参数3.1 密码策略密码策略是指规定用户账户密码的复杂性要求和安全性控制的一组规则。

通过密码策略的设置，管理员可以要求用户设置复杂的密码、定期更改密码、限制密码重用等，以提高账户的安全性。

3.2 账户锁定策略账户锁定策略是指当用户连续多次输入错误密码时，系统自动锁定用户账户的设置。

通过账户锁定策略的设置，管理员可以限制用户连续尝试登录的次数，防止暴力破解密码的攻击。

一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Pert h。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

然后在共享文件夹中进行权限分配，如下图所示，我们只把共享文件夹的读权限授予了用户张建国。

•示例准备•知识了解•读取AD域信息示例•DirectorySearcher.Filter属性扩充说明•用户属性扩充说明(含图文属性对照)•常规•地址•帐户•电话•组织•示例下载•新建层次关系如下：•下面我们开始连接域，并读取出示例准备中键好的组织单位和用户首先编写代码用LDAP尝试对域进行访问形式：LDAP://Domain#region## 是否连接到域/// <summary>/// 功能：是否连接到域/// 作者：Wilson/// 时间：2012-12-15////zh-cn/library/system.directoryservices.directoryentry.path(v =vs.90).aspx/// </summary>/// <param name="domainName">域名或IP</param>/// <param name="userName">用户名</param>/// <param name="userPwd">密码</param>/// <param name="entry">域</param>/// <returns></returns>private bool IsConnected(string domainName, string userName, string userPwd, out DirectoryEntry domain){domain = new DirectoryEntry();try{domain.Path = string.Format("LDAP://{0}", domainName);ername = userName;domain.Password = userPwd;domain.AuthenticationType = AuthenticationTypes.Secure;domain.RefreshCache();return true;}catch(Exception ex)LogRecord.WriteLog("[IsConnected方法]错误信息：" + ex.Message); return false;}}#endregion传用参数，调IsConnected方法，结果如下•连接上AD域后，接着我们找到根OU#region## 域中是否存在组织单位/// <summary>/// 功能：域中是否存在组织单位/// 作者：Wilson/// 时间：2012-12-15/// </summary>/// <param name="entry"></param>/// <param name="ou"></param>/// <returns></returns>private bool IsExistOU(DirectoryEntry entry, out DirectoryEntry ou) {ou = new DirectoryEntry();try{ou = entry.Children.Find("OU=" + txtRootOU.Text.Trim());return (ou != null);catch(Exception ex){LogRecord.WriteLog("[IsExistOU方法]错误信息：" + ex.Message);return false;}}#endregion传入以数，调用IsExistOU方法，结果如下•下面来开始读取组织单位及用户的信息。

AD中用户帐户属性userAccountControl在打开用户帐户的属性后，单击帐户选项卡，然后选中或清除“帐户选项”对话框中的复选框，则会将数值分配给UserAccountControl属性。

分配给该属性的值通知Windows 已启用了哪些选项。

下表列出了可以分配的标志。

不能针对用户或计算机对象设置某些值，原因是这些值只能由目录服务设置或重置。

若要禁用用户的帐户，请将UserAccountControl属性设置为0x0202 (0x002 + 0x0200)。

在十进制中，它是514 (2 + 512)。

属性标志说明∙SCRIPT - 将运行登录脚本。

∙ACCOUNTDISABLE - 禁用用户帐户。

∙HOMEDIR_REQUIRED - 需要主文件夹。

∙PASSWD_NOTREQD - 不需要密码。

∙PASSWD_CANT_CHANGE - 用户不能更改密码。

可以读取此标志，但不能直接设置它。

∙ENCRYPTED_TEXT_PASSWORD_ALLOWED - 用户可以发送加密的密码。

∙TEMP_DUPLICATE_ACCOUNT - 此帐户属于其主帐户位于另一个域中的用户。

此帐户为用户提供访问该域的权限，但不提供访问信任该域的任何域的权限。

有时将这种帐户称为“本地用户帐户”。

∙NORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。

∙INTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐户。

∙WORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft Windows NT 4.0 Server、Microsoft Windows 2000 Professional 或Windows 2000Server 并且属于该域的计算机的计算机帐户。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

AD开发用户(User)属性完全手册（AD User）属性的含义：属性名：objectClass，属性值： top属性的含义：属性名：objectClass，属性值： person属性的含义：属性名：objectClass，属性值： organizationalPerson 属性的含义：属性名：objectClass，属性值： user属性的含义：属性名：distinguishedName，属性值： CN=6,OU=建筑部a,OU=设计研究院,DC=zdrmoss,DC=com属性的含义：属性名：instanceType，属性值： 4属性的含义：属性名：uSNCreated，属性值： System.__ComObject属性的含义：属性名：uSNChanged，属性值： System.__ComObject属性的含义：属性名：objectGUID，属性值： System.Byte[]属性的含义：属性名：userAccountControl，属性值： 544属性的含义：属性名：badPwdCount，属性值： 0属性的含义：属性名：codePage，属性值： 0属性的含义：属性名：countryCode，属性值： 156属性的含义：属性名：badPasswordTime，属性值： System.__ComObject 属性的含义：属性名：lastLogoff，属性值： System.__ComObject属性的含义：属性名：lastLogon，属性值： System.__ComObject属性的含义：属性名：pwdLastSet，属性值： System.__ComObject属性的含义：属性名：primaryGroupID，属性值： 513属性的含义：属性名：objectSid，属性值： System.Byte[]属性的含义：属性名：accountExpires，属性值： System.__ComObject 属性的含义：属性名：logonCount，属性值： 0属性的含义：属性名：sAMAccountType，属性值： 805306368属性的含义：属性名：objectCategory，属性值：CN=Person,CN=Schema,CN=Configuration,DC=zdrmoss,DC=com属性的含义：属性名：nTSecurityDescriptor，属性值： System.__ComObject属性含义：用户登录名：属性名：userPrincipalName，属性值： DDD属性的含义：公共名称（通常以此属性标识该用户，name的值相同）属性名：cn，属性值： 6属性的含义：名称（通常以此属性标识该用户，同公共名称CN）属性名：name，属性值： 6属性的含义：用户登录名（Windows2000前）属性名：sAMAccountName，属性值： 1属性的含义：姓属性名：sn，属性值： 3属性的含义：（？？？）属性名：c，属性值： CN属性的含义：市县属性名：l（此属性名为L），属性值：乌鲁木齐属性的含义：省属性名：st，属性值： 15属性的含义：职务属性名：title，属性值： 16属性的含义：描述属性名：description，属性值： 11属性的含义：邮政编码属性名：postalCode，属性值： 123456属性的含义：邮政信箱属性名：postOfficeBox，属性值： 2222222222222属性的含义：电话号码(T)属性名：telephoneNumber，属性值： 13属性的含义：传真属性名：facsimileTelephoneNumber，属性值： 781属性的含义：名属性名：givenName，属性值： 2属性的含义：英文缩写属性名：initials，属性值： 45属性的含义：创建时间属性名：whenCreated，属性值： 2008-12-1 9:48:53属性的含义：修改时间属性名：whenChanged，属性值： 2008-12-1 10:09:34属性的含义：显示名称属性名：displayName，属性值： 17属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 444属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 3333属性的含义：电话号码后的其它按钮输入的值属性名：otherTelephone，属性值： 2222属性的含义：国家属性名：co，属性值：中国属性的含义：部门属性名：department，属性值： 4555属性的含义：公司属性名：company，属性值： 5666属性的含义：街道属性名：streetAddress，属性值：青年路属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 654属性的含义：家庭电话后的其它按钮输入的内容属性名：otherHomePhone，属性值： 543属性的含义：网页属性名：wWWHomePage，属性值： 属性的含义：用户登录名属性名：userPrincipalName，属性值： ddd@属性的含义：IP电话属性名：ipPhone，属性值： 789属性的含义：其它IP电话属性名：otherIpPhone，属性值： dsssssss 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：网页后的其它按钮输入的内容属性名：url，属性值： 属性的含义：电子邮件属性名：mail，属性值： 12属性的含义：家庭电话属性名：homePhone，属性值： 678属性的含义：移动电话属性名：mobile，属性值： 670属性的含义：其它移动电话属性名：otherMobile，属性值： ddddd属性的含义：其它传真属性名：otherFacsimileTelephoneNumber，属性值： dddddd属性的含义：寻呼机属性名：pager，属性值： 679属性的含义：其它寻呼机属性名：otherPager，属性值： 444444444memberOf 隶属于userAccountControl 帐户行为控制标志badPwdCount 用户尝试错误密码的次数badPasswordTime 用户最后一次尝试错误密码的时间lastLogon 用户最后登陆时间primaryGroupID 所属组的IDaccountExpires 帐户到期日期导出上面属性的代码：通过选择树中的节点，查询所有user的属性名称和属性值：DirectoryEntry selNode =ADHelper.GetDirectoryEnter.GetDE_EnyUser(this.TreeView1.SelectedNode. Value.ToString());this.txtdistinguishedName.Text =selNode.Properties["distinguishedName"].Value.ToString();//this.TextBox3.Text = "所有属性的名称和属性值列表如下：";foreach (string propertyName inselNode.Properties.PropertyNames){this.TextBox3.Text += "属性名：" + propertyName + "，属性值： " + selNode.Properties[propertyName][0].ToString(); this.TextBox3.Text += Environment.NewLine;}。

[分享] AD域控制器所有使用的端口明细列表控制器, 端口, 列表控制器, 端口, 列表端口协议应用程序协议系统服务名称n/a GRE GRE（IP 协议 47）路由和远程访问n/a ESP IPSec ESP（IP 协议 50）路由和远程访问n/a AH IPSec AH（IP 协议 51）路由和远程访问7 TCP Echo 简单 TCP/IP 服务7 UDP Echo 简单 TCP/IP 服务9 TCP Discard 简单 TCP/IP 服务9 UDP Discard 简单 TCP/IP 服务13 TCP Daytime 简单 TCP/IP 服务13 UDP Daytime 简单 TCP/IP 服务17 TCP Quotd 简单 TCP/IP 服务17 UDP Quotd 简单 TCP/IP 服务19 TCP Chargen 简单 TCP/IP 服务19 UDP Chargen 简单 TCP/IP 服务20 TCP FTP 默认数据 FTP 发布服务21 TCP FTP 控制 FTP 发布服务21 TCP FTP 控制应用程序层网关服务23 TCP Telnet Telnet25 TCP SMTP 简单邮件传输协议25 UDP SMTP 简单邮件传输协议25 TCP SMTP Exchange Server25 UDP SMTP Exchange Server42 TCP WINS 复制 Windows Internet 名称服务42 UDP WINS 复制 Windows Internet 名称服务53 TCP DNS DNS Server53 UDP DNS DNS Server53 TCP DNS Windows 防火墙/Internet 连接共享53 UDP DNS Windows 防火墙/Internet 连接共享67 UDP DHCP 服务器 DHCP 服务器67 UDP DHCP 服务器 Windows 防火墙/Internet 连接共享69 UDP TFTP 普通 FTP 后台程序服务80 TCP HTTP Windows 媒体服务80 TCP HTTP 万维网发布服务80 TCP HTTP SharePoint Portal Server88 TCP Kerberos Kerberos 密钥分发中心88 UDP Kerberos Kerberos 密钥分发中心102 TCP X.400 Microsoft Exchange MTA 堆栈110 TCP POP3 Microsoft POP3 服务110 TCP POP3 Exchange Server119 TCP NNTP 网络新闻传输协议123 UDP NTP Windows 时间123 UDP SNTP Windows 时间135 TCP RPC 消息队列135 TCP RPC 远程过程调用135 TCP RPC Exchange Server135 TCP RPC 证书服务135 TCP RPC 群集服务135 TCP RPC 分布式文件系统135 TCP RPC 分布式链接跟踪135 TCP RPC 分布式事务处理协调器135 TCP RPC 事件日志135 TCP RPC 传真服务135 TCP RPC 文件复制135 TCP RPC 本地安全机构135 TCP RPC 远程存储通知135 TCP RPC 远程存储服务器135 TCP RPC Systems Management Server 2.0135 TCP RPC 终端服务授权135 TCP RPC 终端服务会话目录137 UDP NetBIOS 名称解析计算机浏览器137 UDP NetBIOS 名称解析服务器137 UDP NetBIOS 名称解析 Windows Internet 名称服务137 UDP NetBIOS 名称解析 Net Logon137 UDP NetBIOS 名称解析 Systems Management Server 2.0 138 UDP NetBIOS 数据报服务计算机浏览器138 UDP NetBIOS 数据报服务 Messenger138 UDP NetBIOS 数据报服务服务器138 UDP NetBIOS 数据报服务 Net Logon138 UDP NetBIOS 数据报服务分布式文件系统138 UDP NetBIOS 数据报服务 Systems Management Server 2.0 138 UDP NetBIOS 数据报服务许可证记录服务139 TCP NetBIOS 会话服务计算机浏览器139 TCP NetBIOS 会话服务传真服务139 TCP NetBIOS 会话服务性能日志和警报139 TCP NetBIOS 会话服务后台打印程序139 TCP NetBIOS 会话服务服务器139 TCP NetBIOS 会话服务 Net Logon139 TCP NetBIOS 会话服务远程过程调用定位器139 TCP NetBIOS 会话服务分布式文件系统139 TCP NetBIOS 会话服务 Systems Management Server 2.0 139 TCP NetBIOS 会话服务许可证记录服务143 TCP IMAP Exchange Server161 UDP SNMP SNMP 服务162 UDP SNMP 陷阱出站 SNMP 陷阱服务389 TCP LDAP 服务器本地安全机构389 UDP LDAP 服务器本地安全机构389 TCP LDAP 服务器分布式文件系统389 UDP LDAP 服务器分布式文件系统443 TCP HTTPS HTTP SSL443 TCP HTTPS 万维网发布服务443 TCP HTTPS SharePoint Portal Server445 TCP SMB 传真服务445 TCP SMB 后台打印程序445 TCP SMB 服务器445 TCP SMB 远程过程调用定位器445 TCP SMB 分布式文件系统445 TCP SMB 许可证记录服务445 TCP SMB Net Logon500 UDP IPSec ISAKMP 本地安全机构515 TCP LPD TCP/IP 打印服务器548 TCP Macintosh 文件服务器 Macintosh 文件服务器554 TCP RTSP Windows 媒体服务563 TCP NNTP over SSL 网络新闻传输协议593 TCP HTTP 上的 RPC 远程过程调用593 TCP HTTP 上的 RPC Exchange Server636 TCP LDAP SSL 本地安全机构636 UDP LDAP SSL 本地安全机构993 TCP SSL 上的 IMAP Exchange Server995 TCP SSL 上的 POP3 Exchange Server1270 TCP MOM-Encrypted Microsoft Operations Manager 2000 1433 TCP TCP 上的 SQL Microsoft SQL Server1433 TCP TCP 上的 SQL MSSQL$UDDI1434 UDP SQL Probe Microsoft SQL Server1434 UDP SQL Probe MSSQL$UDDI1645 UDP 旧式 RADIUS Internet 身份验证服务1646 UDP 旧式 RADIUS Internet 身份验证服务1701 UDP L2TP 路由和远程访问1723 TCP PPTP 路由和远程访问1755 TCP MMS Windows 媒体服务1755 UDP MMS Windows 媒体服务1801 TCP MSMQ 消息队列1801 UDP MSMQ 消息队列1812 UDP RADIUS 身份验证 Internet 身份验证服务1813 UDP RADIUS 计帐 Internet 身份验证服务1900 UDP SSDP SSDP 发现服务2101 TCP MSMQ-DCs 消息队列2103 TCP MSMQ-RPC 消息队列2105 TCP MSMQ-RPC 消息队列2107 TCP MSMQ-Mgmt 消息队列2393 TCP OLAP Services 7.0 SQL Server：下层 OLAP 客户端支持2394 TCP OLAP Services 7.0 SQL Server：下层 OLAP 客户端支持2460 UDP MS Theater Windows 媒体服务2535 UDP MADCAP DHCP 服务器2701 TCP SMS 远程控制（控件） SMS 远程控制代理2701 UDP SMS 远程控制（控件） SMS 远程控制代理2702 TCP SMS 远程控制（数据） SMS 远程控制代理2702 UDP SMS 远程控制（数据） SMS 远程控制代理2703 TCP SMS 远程聊天 SMS 远程控制代理2703 UPD SMS 远程聊天 SMS 远程控制代理2704 TCP SMS 远程文件传输 SMS 远程控制代理2704 UDP SMS 远程文件传输 SMS 远程控制代理2725 TCP SQL 分析服务 SQL 分析服务器2869 TCP UPNP 通用即插即用设备主机2869 TCP SSDP 事件通知 SSDP 发现服务3268 TCP 全局编录服务器本地安全机构3269 TCP 全局编录服务器本地安全机构3343 UDP 群集服务群集服务3389 TCP 终端服务 NetMeeting 远程桌面共享3389 TCP 终端服务终端服务3527 UDP MSMQ-Ping 消息队列4011 UDP BINL 远程安装4500 UDP NAT-T 本地安全机构5000 TCP SSDP 旧事件通知 SSDP 发现服务5004 UDP RTP Windows 媒体服务5005 UDP RTCP Windows 媒体服务42424 TCP 会话状态 状态服务51515 TCP MOM-Clear Microsoft Operations Manager 2000本文的“系统服务端口”部分包含对每个服务的简短说明，显示该服务的逻辑名称，并指出每个服务进行正确操作所需的端口和协议。

windows注册表中英文对照详解《开始菜单及相关设置》[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoRecentDocsMenu"=dword:00000001（隐藏开始->文档菜单）"NoRecentDocsHistory"=dword:00000001（禁止将打开的文档存入历史记录）"ClearRecentDocsOnExit"=dword:00000001（退出系统自动清除历史记录，包括文档、运行和查找）"NoFavoritesMenu"=dword:00000001（隐藏开始->收藏夹菜单）"NoSMHelp"=dword:00000001（隐藏开始->帮助菜单）（WIN2000/ME/XP）"NoFind"=dword:00000001（禁用查找/搜索）"NoRun"=dword:00000001（禁用运行，禁止IE访问本地资源，除非输入"桌面"，禁止WIN2000/XP通过任务管理器创建新任务）"NoLogOff"=dword:00000001（禁用注销）（WIN9X）"StartMenuLogOff"=dword:00000001（禁用注销）（WIN2000/XP）"NoClose"=dword:00000001（禁用关闭系统/关闭计算机）"NoSetFolders"=dword:00000001（隐藏控制面板、打印机/网络连接，WIN2000/XP仅从开始菜单隐藏；此外还禁用WIN+E快捷键）"NoSetTaskbar"=dword:00000001（禁止设置任务栏和开始菜单）"NoFolderOptions"=dword:00000001（从开始->设置菜单和资源管理器菜单中删除文件夹选项）"NoWindowsUpdate"=dword:00000001（从开始菜单中删除Windows Update，禁止到Windows Update网站升级）"NoSetActiveDesktop"=dword:00000001（从开始->设置菜单中删除活动桌面）（WIN9X）"NoActiveDesktop"=dword:00000001（禁用活动桌面，WIN9X/2000在桌面右键菜单和显示属性里不出现相关项目）"NoActiveDesktopChanges"=dword:00000001（禁止更改活动桌面，在显示属性里不出现相关项目）《资源管理器设置》[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoFileMenu"=dword:00000001（隐藏Explorer中的文件菜单）"NoNetConnectDisconnect"=dword:00000001（禁止使用资源管理器或网上邻居映射或断开网络驱动器）"NoWebView"=dword:00000001（禁止按Web页查看）（WIN2000/XP）《隐藏桌面图标》[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"Nodesktop"=dword:00000001（隐藏桌面所有图标）"NoNetHood"=dword:00000001（隐藏桌面网上邻居图标）"NoInternetIcon"=dword:00000001（隐藏桌面Internet Explorer图标）《禁止使用鼠标右键》[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoViewContextMenu"=dword:00000001（禁止在桌面、我的电脑中使用鼠标右键）"NoTrayContextMenu"=dword:00000001（禁止在任务栏中使用鼠标右键）"NoChangeStartMenu"=dword:00000001（禁止在开始菜单使用鼠标右键及拖放）《打印机设置》[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoAddPrinter"=dword:00000001（禁止添加打印机）"NoDeletePrinter"=dword:00000001（禁止删除打印机）"NoPrinterTabs"=dword:00000001（隐藏打印机属性中的常规和详细资料页面）（WIN9X）《隐藏驱动器》[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoDrives" =hex:01,00,00,00（隐藏A盘）/02,00,00,00（隐藏B盘）/04,00,00,00（隐藏C盘）/08,00,00,00（隐藏D盘）/10,00,00,00（隐藏E盘）/20,00,00,00（隐藏F盘）/ff,ff,ff,03（隐藏全部）[注]若要隐藏多个驱动器，将其对应的值相加即可，如要隐藏A盘和C盘，设置"05,00,00,00"；要隐藏D盘，E盘和F盘设置"38，00，00，00"，注意要以十六进制运算。

一、实验环境AD域控制器和DNS服务器ip：13.200.1.100Windows7主机一：13.200.1.104Windows7主机二：13.200.1.105二．AD域控制器和DNS的安装这一步不是必须的，在安装Active Directory 域服务时可以同时装上DNS服务器。

Active Directory 域服务安装向导-->其它域控制服务器，勾上DNS服务器也有同样效果，鉴于服务器配置容易出现一些未知小错误，还是提前安装上比较省心。

•开始菜单-->管理工具-->服务器管理器•选择左侧树形菜单“角色”节点，右键“添加角色”点击“下一步按钮”勾选“DNS 服务器”点击“下一步”按钮点击“下一步”按钮点击“安装”按钮点击“关闭”按钮，重启服务器！二、AD域控制的配置开始菜单-->运行-->输入命令“dcpromo”à点击“确定” 按钮进入安装界面弹出Active Directory 域服务安装向导，并点击“下一步”按钮点击“下一步”按钮选择“在新林中新建域”并点击“下一步”按钮输入域名并点击“下一步”按钮我们这里的域为：林功能级别选择“Windows Server 2008 R2” 并点击“下一步”按钮点击“下一步”按钮，如果最初没有安装DNS服务器，此处可以勾选并安装点击“下一步”按钮弹出DNS提示框，点击“是“按钮，继续安装点击“下一步”按钮输入Administrator密码和确认密码，点击“下一步”按钮点击“下一步”按钮点击“完成”按钮，重启服务器四、权限分配设置共享文件夹用户权限Test1为只读Test2为可读可写六、加入域Test1用户加入域Test2用户加入域七、验证文件夹权限Test1上面的文件操作可以下载文件不能上传文件Test2可以上传也可以下载。

山东神达化工windows_ad域配置方案和操作手册2015年01月14日目录1.背景 (3)2.为什么要用域 (4)2.1.一个演示实例说明 (4)2.2域的概念 (7)3.如何部署一个域 (7)3.1.DNS前期准备 (8)3.1.1.创建区域并允许动态更新 (9)3.1.2.检查NS和SOA记录 (12)3.2.创建域控制器 (14)3.3.创建计算机账号 (23)3.4.创建用户账号 (26)4.用备份进行域的灾难重建 (30)4.1.如何备份 (30)4.2.如何还原 (34)5.部署额外域控制器 (39)6.ACTIVE DIRECTORY的授权还原 (48)7.ACTIVE DIRECTORY的脱机碎片整理 (57)8.针对神达化工的具体方案 (62)8.1.用户管理 (62)8.2.灾备和重建 (63)8.3.桌面恢复 (63)8.4.域用户集成本地管理员 (63)8.5如何限制域用户脱离域后登陆 (68)1.背景山东神达化工有限公司（以下简称：神达化工）目前实施的HONEYWELL PHD 实时数据库需要且必须运行在windows的ad域中，目前项目进展顺利。

神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示：图1⏹一台域控制器：负责域用户的维护⏹一台数据库服务器：运行HONEYWELL所依赖的数据库⏹一台web服务器：对外访问，所有终端通过这台机器获取浏览信息。

神达化工在以往的信息化建设中并未使用过windows的ad域，借助HONEYWELL PHD 实时数据库项目，希望将域引入并通过域对公司内部的计算机进行管控。

在项目建设过程中，针对windows的ad域，神达化工还有如下疑虑：1、什么是域，为什么要实施域。

2、如何创建、管理、维护域。

3、如何处理灾备和恢复。

针对以上几个问题，下面将详细介绍并列举实例进行演示。

2.为什么要用域微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

ad域内的基本对象AD域（Active Directory）是Windows Server操作系统中的一项重要功能，它用于管理和组织网络中的基本对象。

基本对象是AD域中的核心元素，它们包括用户、计算机、组和域控制器等。

本文将分别介绍这些基本对象的定义、特点和使用。

一、用户对象用户对象是AD域中最常见的基本对象之一。

它用于存储和管理网络中的用户信息，包括用户名、密码、权限等。

用户对象可以用于控制用户访问网络资源的权限，例如文件夹、打印机等。

此外，用户对象还可以用于配置用户的个性化设置，例如桌面背景、字体等。

用户对象的创建和管理通常由域管理员负责。

管理员可以通过AD域控制器上的用户和计算机管理工具创建和编辑用户对象。

在创建用户对象时，管理员需要指定用户名、密码和其他相关属性，如所属组织单位、电子邮件地址等。

创建完成后，用户对象会被存储在AD 域的目录数据库中，并可以在整个域中进行访问和使用。

二、计算机对象计算机对象是AD域中代表网络计算机的基本对象。

它用于存储和管理计算机的相关信息，如计算机名、IP地址、操作系统版本等。

计算机对象可以用于控制计算机在AD域中的加入和访问权限。

通过将计算机对象添加到特定的安全组中，管理员可以限制计算机对特定资源的访问权限。

与用户对象类似，计算机对象的创建和管理也由域管理员负责。

管理员可以通过AD域控制器上的管理工具创建和编辑计算机对象。

在创建计算机对象时，管理员需要指定计算机名、所属组织单位、IP 地址等相关属性。

创建完成后，计算机对象会被存储在AD域的目录数据库中，并可以进行访问和使用。

三、组对象组对象是AD域中用于组织和管理用户和计算机的基本对象。

它可以将一组用户或计算机集合到一起，并为其分配相同的权限和访问控制策略。

组对象可以简化权限管理和资源授权的过程，并提高系统安全性。

在AD域中，有两种类型的组对象：安全组和分配组。

安全组用于控制用户或计算机对资源的访问权限，可以将用户或计算机添加到安全组中来实现权限控制。

AD用户属性说明AD Search User Property AttributesAD 用户属性字段Chn Display Name ADSearch Name国际ISDN号码（其他）International ISDN Number (Others)internationalISDNNumber帐户到期account Expires accountExpires帐户名称历史account Name History accountNameHistory加勒比国家联盟策略名称aCS Policy Name aCSPolicyName管理流量统计admin Count adminCount备选案文安全标识alt Security Identities altSecurityIdentities 助理Assistant assistant坏密码时间bad Password Time badPasswordTime坏密码计数bad Pwd Count badPwdCount城市City l代码页code Page codePage评论Comment comment公司Company company控制访问权限control Access Rights controlAccessRights国家Country co国家缩写Country Abbreviation c国家代码country Code countryCodedBCSP西部数据dBCSP wd dBCSPwd默认类存储default Class Store defaultClassStore部Department department桌面配置desktop Profile desktopProfile目标指示器destination Indicator destinationIndicator司Division division动态LDAP服务器dynamic LDAP Server dynamicLDAPServerE - Mail地址E-Mail Address mailE - Mail地址（其他）E-Mail Address (Others)otherMailbox雇员ID Employee ID employeeID传真号码Fax Number facsimileTelephoneNumber传真号码（其他）Fax Number (Others)otherFacsimileTelephoneNumber 名字First Name givenName垃圾科尔时期garbage Coll Period garbageCollPeriod世代后缀Generational Suffix generationQualifier组成员山姆group Membership SAM groupMembershipSAM 集团的优先group Priority groupPriority团体忽略groups To Ignore groupsT oIgnore家庭地址Home Address homePostalAddress主驱动器Home Drive homeDrive主文件夹Home Folder homeDirectory家庭电话Home Phone homePhone家庭电话（其他）Home Phone (Others)otherHomePhone缩写Initials initials国际ISDN号码International ISDN Number primaryInternationalISDNNumber IP电话号码IP Phone Number ipPhoneIP电话号码（其他）IP Phone Number (Others)otherIpPhone 职称Job Title title最后注销last Logoff lastLogoff最后登录last Logon lastLogon传统交易所的DN legacy Exchange DN legacyExchangeDN流明密码历史lm Pwd History lmPwdHistory区域设置ID locale ID localeID锁定时间lockout Time lockoutTime登录名Logon Name userPrincipalName登录名（Windows 2000以前）Logon Name (pre-Windows 2000)sAMAccountName登录工作站Logon Workstations userWorkstations登录数logon Count logonCount登录时间logon Hours logonHours登录工作站logon Workstation logonWorkstation经理Manager manager最大存储max Storage maxStorage讯息处理系统或地址mhs OR Address mhsORAddress中间名Middle Name middleName移动号码Mobile Number mobile流动电话号码（其他）Mobile Number (Others)otherMobile 毫秒的DS -造物主的SID mS-DS- Creator SID mS-DS-CreatorSIDMSMQ的文摘mSMQ Digests mSMQDigestsMSMQ的文摘米格mSMQ Digests Mig mSMQDigestsMigMSMQ的注册证书mSMQ Sign Certificates mSMQSignCertificates MSMQ的注册证书米格mSMQ Sign Certificates Mig mSMQSignCertificatesMig微软网络提供允许拨入msNP Allow Dialin msNPAllowDialin微软网络提供呼叫站ID msNP Calling Station ID msNPCallingStationID微软网络提供保存呼叫站ID msNP Saved Calling Station ID msNPSavedCallingStationID 她的RADIUS回拨号码ms RADIUS Callback Number msRADIUSCallbackNumber她的RADIUS帧的IP地址ms RADIUS Framed IP Address msRADIUSFramedIPAddress她的RADIUS 45.7路线ms RADIUS Framed Route msRADIUSFramedRoute她的RADIUS服务类型ms RADIUS Service TypemsRADIUSServiceType她的RAS保存回拨号码ms RAS Saved Callback Number msRASSavedCallbackNumber 她的RAS保存帧的IP地址ms RAS Saved Framed IP Address msRASSavedFramedIPAddress 她的RAS保存45.7路线ms RAS Saved Framed Route msRASSavedFramedRoute名字Name cn网络地址network Address networkAddress注释Notes info新界密码历史nt Pwd History ntPwdHistoryNT安全描述符nT Security Descriptor nTSecurityDescriptor o o对象希德object Sid objectSid办公地点Office Location physicalDeliveryOfficeName 操作数operator Count operatorCount其他登录工作站other Login Workstations otherLoginWorkstations欧ou ou传呼机号码Pager Number pager传呼机号码（其他）Pager Number (Others)otherPager电话号码（其他）Phone Number (Others)otherTelephone邮政信箱Post Office Box postOfficeBox邮政地址postal Address postalAddress偏好传输方式preferred Delivery Method preferredDeliveryMethod首选欧preferred OU preferredOU主要组ID primary Group ID primaryGroupID文件路径profile Path profilePath最后一组密码pwd Last Set pwdLastSet注册地址registered Address registeredAddress摆脱rid ridSAM帐户类型sAM Account Type sAMAccountType脚本的路径script Path scriptPath安全标识security Identifier securityIdentifier服务主体名称service Principal Name servicePrincipalName 显示在通讯簿show In Address Book showInAddressBookSID历史记录sID History sIDHistory州/省State/Province st街头street street街道地址Street Address streetAddress补充证书supplemental Credentials supplementalCredentials 电话号码Telephone Number telephoneNumber智能电报终端标识符teletex Terminal Identifier teletexTerminalIdentifier电传号码Telex Number primaryTelexNumber电传号码（其他）Telex Number (Others)telexNumber终端服务器terminal Server terminalServer文字编码或地址text Encoded OR Address textEncodedORAddress小标识thumbnail Logo thumbnailLogo缩图照片thumbnail Photo thumbnailPhoto标题Title personalTitle令牌组token Groups tokenGroups令牌组全球性和普遍性token Groups Global And Universal tokenGroupsGlobalAndUniversal 气相色谱可接受任何标记组token Groups No GC Acceptable tokenGroupsNoGCAcceptable Unicode的密码unicode Pwd unicodePwd用户帐户控制user Account Control userAccountControl用户证书user Cert userCert用户证书user Certificate userCertificate用户参数user Parameters userParameters用户共享文件夹user Shared Folder userSharedFolder其他用户共享文件夹user Shared Folder Other userSharedFolderOther用户SMIME证书user SMIME Certificate userSMIMECertificatex121Address x121Address x121Address邮政编码/邮政编码ZIP/Postal Code postalCode。

AD Search User Property AttributesAD 用户属性字段Chn Display Name ADSearch Name国际ISDN号码（其他）International ISDN Number (Others)internationalISDNNumber帐户到期account Expires accountExpires帐户名称历史account Name History accountNameHistory加勒比国家联盟策略名称aCS Policy Name aCSPolicyName管理流量统计admin Count adminCount备选案文安全标识alt Security Identities altSecurityIdentities助理Assistant assistant坏密码时间bad Password Time badPasswordTime坏密码计数bad Pwd Count badPwdCount城市City l代码页code Page codePage评论Comment comment公司Company company控制访问权限control Access Rights controlAccessRights国家Country co国家缩写Country Abbreviation c国家代码country Code countryCodedBCSP西部数据dBCSP wd dBCSPwd默认类存储default Class Store defaultClassStore部Department department桌面配置desktop Profile desktopProfile目标指示器destination Indicator destinationIndicator司Division division动态LDAP服务器dynamic LDAP Server dynamicLDAPServerE - Mail地址E-Mail Address mailE - Mail地址（其他）E-Mail Address (Others)otherMailbox雇员ID Employee ID employeeID传真号码Fax Number facsimileTelephoneNumber传真号码（其他）Fax Number (Others)otherFacsimileTelephoneNumber 名字First Name givenName垃圾科尔时期garbage Coll Period garbageCollPeriod世代后缀Generational Suffix generationQualifier组成员山姆group Membership SAM groupMembershipSAM集团的优先group Priority groupPriority团体忽略groups To Ignore groupsToIgnore家庭地址Home Address homePostalAddress主驱动器Home Drive homeDrive主文件夹Home Folder homeDirectory家庭电话Home Phone homePhone家庭电话（其他）Home Phone (Others)otherHomePhone缩写Initials initials国际ISDN号码International ISDN Number primaryInternationalISDNNumber IP电话号码IP Phone Number ipPhoneIP电话号码（其他）IP Phone Number (Others)otherIpPhone职称Job Title title最后注销last Logoff lastLogoff最后登录last Logon lastLogon传统交易所的DN legacy Exchange DN legacyExchangeDN流明密码历史lm Pwd History lmPwdHistory区域设置ID locale ID localeID锁定时间lockout Time lockoutTime登录名Logon Name userPrincipalName登录名（Windows 2000以前）Logon Name (pre-Windows 2000)sAMAccountName登录工作站Logon Workstations userWorkstations登录数logon Count logonCount登录时间logon Hours logonHours登录工作站logon Workstation logonWorkstation经理Manager manager最大存储max Storage maxStorage讯息处理系统或地址mhs OR Address mhsORAddress中间名Middle Name middleName移动号码Mobile Number mobile流动电话号码（其他）Mobile Number (Others)otherMobile毫秒的DS -造物主的SID mS-DS- Creator SID mS-DS-CreatorSIDMSMQ的文摘mSMQ Digests mSMQDigestsMSMQ的文摘米格mSMQ Digests Mig mSMQDigestsMigMSMQ的注册证书mSMQ Sign Certificates mSMQSignCertificates MSMQ的注册证书米格mSMQ Sign Certificates Mig mSMQSignCertificatesMig微软网络提供允许拨入msNP Allow Dialin msNPAllowDialin微软网络提供呼叫站ID msNP Calling Station ID msNPCallingStationID微软网络提供保存呼叫站ID msNP Saved Calling Station ID msNPSavedCallingStationID 她的RADIUS回拨号码ms RADIUS Callback Number msRADIUSCallbackNumber她的RADIUS帧的IP地址ms RADIUS Framed IP Address msRADIUSFramedIPAddress她的RADIUS 45.7路线ms RADIUS Framed Route msRADIUSFramedRoute她的RADIUS服务类型ms RADIUS Service Type msRADIUSServiceType她的RAS保存回拨号码ms RAS Saved Callback Number msRASSavedCallbackNumber 她的RAS保存帧的IP地址ms RAS Saved Framed IP Address msRASSavedFramedIPAddress 她的RAS保存45.7路线ms RAS Saved Framed Route msRASSavedFramedRoute名字Name cn网络地址network Address networkAddress注释Notes info新界密码历史nt Pwd History ntPwdHistoryNT安全描述符nT Security Descriptor nTSecurityDescriptorØo o对象希德object Sid objectSid办公地点Office Location physicalDeliveryOfficeName 操作数operator Count operatorCount其他登录工作站other Login Workstations otherLoginWorkstations欧ou ou传呼机号码Pager Number pager传呼机号码（其他）Pager Number (Others)otherPager电话号码（其他）Phone Number (Others)otherTelephone邮政信箱Post Office Box postOfficeBox邮政地址postal Address postalAddress偏好传输方式preferred Delivery Method preferredDeliveryMethod首选欧preferred OU preferredOU主要组ID primary Group ID primaryGroupID文件路径profile Path profilePath最后一组密码pwd Last Set pwdLastSet注册地址registered Address registeredAddress摆脱rid ridSAM帐户类型sAM Account Type sAMAccountType脚本的路径script Path scriptPath安全标识security Identifier securityIdentifier服务主体名称service Principal Name servicePrincipalName显示在通讯簿show In Address Book showInAddressBookSID历史记录sID History sIDHistory州/省State/Province st街头street street街道地址Street Address streetAddress补充证书supplemental Credentials supplementalCredentials电话号码Telephone Number telephoneNumber智能电报终端标识符teletex Terminal Identifier teletexTerminalIdentifier电传号码Telex Number primaryTelexNumber电传号码（其他）Telex Number (Others)telexNumber终端服务器terminal Server terminalServer文字编码或地址text Encoded OR Address textEncodedORAddress小标识thumbnail Logo thumbnailLogo缩图照片thumbnail Photo thumbnailPhoto标题Title personalTitle令牌组token Groups tokenGroups令牌组全球性和普遍性token Groups Global And Universal tokenGroupsGlobalAndUniversal 气相色谱可接受任何标记组token Groups No GC Acceptable tokenGroupsNoGCAcceptable Unicode的密码unicode Pwd unicodePwd用户帐户控制user Account Control userAccountControl用户证书user Cert userCert用户证书user Certificate userCertificate用户参数user Parameters userParameters用户共享文件夹user Shared Folder userSharedFolder其他用户共享文件夹user Shared Folder Other userSharedFolderOther用户SMIME证书user SMIME Certificate userSMIMECertificatex121Address x121Address x121Address邮政编码/邮政编码ZIP/Postal Code postalCode。

AD域服务简介和使⽤——其实都是配置dns和域控服务器，各pc 加⼊域，然后设置账号，⽤AD。

CN：为可辨别名。

OU：为组织单元。

DC：为从属于哪个域默认端⼝是TCP、UDP为389OU\DC为图1，分解为 dc=adtest,dc=comOU为组织名称 ou=测试部CN是你⾃⼰设为管理员的⼀个⽤户名称如:lihb 密码为lihb的密码如a123456⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

姓 Sn名 Givename英文缩写 Initials显示名称 displayName描述 Description办公室 physicalDeliveryOfficeName电话号码 telephoneNumber电话号码：其它 otherTelephone 多个以英文分号分隔电子邮件 Mail网页 wWWHomePage网页：其它 url 多个以英文分号分隔“地址”标签国家/地区 C 如：中国CN，英国GB省/自治区 St市/县 L街道 streetAddress邮政信箱 postOfficeBox邮政编码 postalCode“帐户”标签用户登录名 userPrincipalName 形如：pccai1983@用户登录名（以前版本） sAMAccountName 形如：S1登录时间 logonHours登录到 userWorkstations 多个以英文逗号分隔用户帐户控制 userAccountControl (启用：512，禁用：514，密码永不过期：66048) 帐户过期 accountExpires“配置文件”标签配置文件路径 profilePath登录脚本 scriptPath主文件夹：本地路径 homeDirectory连接 homeDrive到 homeDirectory家庭电话 homePhone (若是其它，在前面加other。

)寻呼机 Pager 如：otherhomePhone。

移动电话 mobile 若多个以英文分号分隔。

传真 FacsimileTelephoneNumberIP电话 ipPhone注释 Info“单位”标签职务 Title部门 Department公司 Company“隶属于”标签隶属于 memberOf用户组的DN不需使用引号，多个用分号分隔“拨入”标签远程访问权限（拨入或VPN） msNPAllowDialin允许访问值：TRUE拒绝访问值：FALSE回拨选项 msRADIUSServiceType由呼叫方设置或回拨到值：4总是回拨到 msRADIUSCallbackNumber帐号属性：地址属性成员属性组织属性外型属性电话相关属性。

域和AD的一篇入门文章本文的目的，是作为域和AD的一篇入门文章，使没有安装过域，或刚刚接触域的年轻网管能对域和AD有一个全面的了解，并利用此文入门，将所管理的网络实现一个基于域的管理模式。

一、认识Windows的域本小节重点从理论上阐述域的概念、作用和Windows中域的产生。

一台Windows计算机，它要么隶属于工作组，要么隶属于域。

所以说到域，我们就不得不提一下工作组，工作组是MS的概念，一般的普遍称谓是对等网。

工作组通常是一个由不多于10台计算机组成的逻辑集合，如果要管理更多的计算机，MS推荐你使用域的模式进行集中管理，这样的管理更有效。

你可以使用域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。

当然这里的10台只是一个参考值，11台甚至20台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。

工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。

另外工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的NetBIOS名称列表。

用户可以使用默认的workgroup，也可以任意起个名字，同一工作组或不同工作组在访问时也没有什么分别。

域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要一台计算机安装NT/2000/03 Server版本使其充当DC，来实现集中式的管理。

若考虑到容错的话，至少需要两台。

对于NT4域就是一台PDC（具有唯一性），一至多台BDC，对于2000/03域，已经没有PDC和BDC的概念，要容错就需要两至多台DC。

域是逻辑分组，与网络的物理拓扑无关，可以很小，比如只有一台DC；也可以很大，包括遍布世界各地的计算机，比如大型跨国公司网络上的域（当然实际中他们多采用多域结构，还可以利用AD站点来优化AD复制）。