域创建新账户-实例图解

域服务器设置图解+⽤户分组添加,组织单位等。

域服务器的搭建2010-09-06 16:55:53| 分类：软件操作及⾼级处| 标签：域服务器的搭建|字号⼤中⼩订阅今天做个域！⾸先，在开始运⾏菜单中输⼊“dcpromo”回车这时他就会出现⼀个页⾯，然后直接点击下⼀步就⾏，到这⼀步时，选择新域的域控制器这时候弹出的页⾯是直接选择默认的（在新林中的域）就可以了！紧接着他会要求输⼊新域的dns全名，按⾃⼰的习惯来就可以，我⾃⼰输⼊的是/doc/06bd4ebaf121dd36a32d829a.html下⼀步以后他会要求你输⼊域的netbios名，其实现在都⽤不着，直接按默认的来，然后直接点击下⼀步，接下来的⼀部要注意，下⾯这个东西有点⽤，要记住⾃⼰的⽂件保存路径，很可能以后会⽤的上，（保存哪都⾏）我的保存路径是E盘。

说到这时，AD数据库是⽤来存放域配置信息的，包括⽤户的信息等；AD⽇志是⽤来存储域中⽤户的活动信息及域中的其他的活动信息！咱们继续，上⼀步完了以后他会出现⼀个共享系统卷的保存位置，我把它定义在我的e盘，紧接着下⼀步会出现⼀个失望的界⾯这时不要紧，这个原因是⾃⼰没在电脑上配置dns服务器，所以我们还需要建⽴⼀个dns服务器所以这⼀步我们必须选择第2项，为这台计算机安装并配置dns然后直接下⼀步，这时我们默认选择第2项，它的意思就是说要通过⾝份验证紧接着下⼀步是⼀个⾄关重要的⼀项，要牢记，它是⽬录服务还原模式的管理员密码，当域还原的时候⽤的着！（记住就⾏，平时不⽤！）如下图所⽰点击下⼀步继续。

这时他会把你配置的域的信息全部展⽰出来，我觉得最好再审查⼀遍，以免不必要的⿇烦，下⾯是我配置的域的信息再点击下⼀步的时候，他就开始了安装这时基本的⼿动填写就可以告⼀段落了，不过现在⼜有⼀个东西出现这是他在提⽰插⼊window2003的原装盘，他要找的是i386⽂件，现在我去挂接⼀下，挂接好以后他开始了安装，不⼀会⼜有⼀个提⽰：原来是我忘了配置静态的ip地址，所以我先去⼿动配置⼀下！（配置步骤是这样的：⽹上邻居右键属性----->然后本地连接右键属性--------》双击tcp/ip-------》然后⼿动配置地址，这是我配置的）于是他⼜开始了安装，短暂的功夫之后，终于完成安装点击完成后他会提⽰重启电脑，咱们重启⼀下！这个重启电脑要费电事，时间⽐较长，要耐⼼等待！启动以后，它开机时⾝份认证的时候点击“选项”他就多出⼏项，咱们选择刚建好的域去登陆然后输⼊密码进去看看！然后右键“我的电脑属性”，选择“计算机名”，发现，电脑已经加⼊到了域中！。

WindowsServer域用户批量创建方法----------我是基于这篇文档修改的，做了一点点补充，原理就是利用for循环加创建用户的一些参数循环执行。

一创建方法首先，用Excel创建需要导入的用户的列表。

如下图所示。

A：姓；B：名：C：姓名；D：登录名；E：域名；F：密码；G：组织单位。

具体每一个账户都要设置哪些属性可自由决定。

在这里我就做了一下修改，我把“名”给去掉了。

（为了更加直观，请看表格对应的创建用户的弹窗）设置完后，另存为CSV文件。

然后将该文件移动至域控服务器某个磁盘的根目录下。

这里我们放在C盘根目录。

以管理员运行cmd，打开命令提示符窗口。

输入以下代码，回车即成功创建了。

for /f "tokens=1,2,3,4,5,6 delims=," %a in (C:\1004Student.csv) do dsadd user "cn=%b,ou=%f,ou=UserOU,dc=SZHIT,dc=CLOUD,dc=COM" -samid %c -upn %*************.COM-ln %a -display %c -pwd %e -mustchpwd no -pwdneverexpires yes -disabled no现在打开Active Directory用户和计算机，发现这两个用户已成功创建了。

备注：在运行代码创建用户之前，资源所隶属的组织单位必须先手动建立。

(其实也有命令创建OU的命令，如果想搞的话可以做一个脚本出来，我们需要做的就是填一些参数就可以了，我上网找的时候，好像就有人写成了小软件。

)二代码说明(1)For /f "tokens=1,2,3,4,5,6 delims=,"“tokens=1,2,3,4,5,6”这段是声明这里有6个变量。

分别是%a,%b,%c,%d,%e,%f。

分别对应EXCEL表格A,B,C,D,E,F列。

Windows Server 2012 R2 创建AD域前言我们按照下图来创建第一个林中的第一个域。

创建方法为先安装一台Windows服务器，然后将其升级为域控制器。

然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。

环境网络192.168.100.1 子网掩码255.255.255.0 网关192.168.100.2域名DC1 192.168.100.11/24DC2 192.168.100.12/24Server 192.168.100.13/24PC1 192.168.100.14/24创建域的必备条件DNS域名：先要想好一个符合dns格式的域名，如DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

创建网络中的第一台域控制器修改机器名和ip先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成安装域功能选择服务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。

选择林功能级别，域功能级别。

、此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能设置目录还原密码。

目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码出现此警告无需理会系统会自动创建一个netbios名称，可以更改。

Windows Server 2003域控制器的安装、新建用户及客户机加入域的步骤一．Windows Server 2003域控制器的安装步骤1.在<管理您的服务器>里点里点““增加或删除角色增加或删除角色””（如果开机时不自动弹出<管理您的服务器>界面，就依次点界面，就依次点““开始开始””——“—“管理工具管理工具管理工具”——“”——“”——“管理您的工具管理您的工具管理您的工具””）2.直接点下一步””直接点““下一步3.选择后，点下一步””后，点““下一步下一步””后，点““下一步4.选择后，点7.再点下一步””再点““下一步下一步””后，点““下一步10.选择后，点11.输入你想要取的域名后，点“下一步”12.直接点下一步””直接点““下一步13.点“下一步下一步””14.再点下一步””再点““下一步15.选择后，点“下一步””一步16.设还原模式的密码后，点下一步””设还原模式的密码后，点““下一步17.点“下一步下一步””出现如下界面就耐心的等一段时间了18.等待一段时间后，点“完成”19.即重启即重启””20.出现如下界面，点完成””出现如下界面，点““完成之后就出现如下界面21.检验域控制器安装是否成功21.1选择“开始”——“管理工具”——“Active Directory 用户和计算机”21.2选择21.3出现如下的界面这时就说明域控制区器安装成功了二．在域里面新建一个用户1.为了在新建用户设密码的时候能顺利快速地进行，先调节一下一下““安全策略安全策略””，点，点““开始开始”——“”——“”——“管理工具管理工具管理工具”——“”——“”——“域域安全策略安全策略””2.点“安全设置安全设置””5.右击属性””，点““属性密码必须符合复杂性要求””，点右击““密码必须符合复杂性要求6.选择正确””，点““正确已禁用””，点选择““已禁用7.右击属性””，点““属性密码长度最小值””，点右击““密码长度最小值8.调为正确””调为““0”后，点后，点““正确9.然后，点然后，点““开始开始”——“”——“”——“关机关机关机”——“”——“”——“重新启动重新启动重新启动””10.重启进入桌面后重启进入桌面后，，点“开始开始””——“管理工具管理工具””——“ActiveDirectory 用户和计算机用户和计算机””11.右击右击““user ”，点，点““新建新建”——“”——“”——“用户用户用户””12.输入下一步””后，点““下一步用户登录名””后，点输入““姓”和“用户登录名13.输入下一步””用户不能更改密码””后，点“下一步密码””，选“用户不能更改密码输入““密码14.点“完成完成””15.在出现的界面中看到刚刚新建的用户名在出现的界面中看到刚刚新建的用户名““wlx”中新建的用户““wlx”就成功了此时，在域此时，在域““”中新建的用户三．客户机登录到域1.打开客户机（客户机可以装不同版本的的系统）后，右击“我的电脑我的电脑””，点，点““属性属性””2.点“计算机名计算机名””3.点“更改更改””4.输入要加的域名称后，点正确””输入要加的域名称后，点““正确5.如果加入域成功，将会显示如果加入域成功，将会显示““欢迎加入域”（以，最为例）的信息框，否则提示错误信息，我安装的为例）的信息框，否则提示错误信息”。

在域控制器（DC）中创建域用户账户核心提示：用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行……用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行，操作步骤如下所述。

第1步，以Administrator（系统管理员）身份登录基于Windows Server 2003的域控制器，然后在开始菜单中依次“管理工具”→“Active Directory 用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。

小提示：也可以在“运行”框中输入“DSA.MSC”命令打开该窗口。

第2步，在左窗格中双击域名“”，并在展开的目录中双击“Users”容器。

这时可以在右窗格中查看AD域中已经存在的用户账户。

右键单击“Users”容器，在快捷菜单中依次选择“新建”→“用户”命令，如图1所示。

图1 单击“新建”→“用户”命令第3步，打开“新建-用户”对话框，在“用户登录名”编辑框中输入准备创建的用户名称（如“Jinshouzhi1”）。

然后在其他编辑框中输入用户的实际信息，并单击“下一步”按钮，如图2所示。

图2 创建新用户账户小提示：在该对话框中，“用户登录名”是最重要的，这是用户从工作站登录域的时候使用的用户名称。

第4步，在打开的设置密码对话框中，需要在“密码”和“确认密码”编辑框中重复输入用户账户的密码。

然后单击“下一步”按钮，最后单击“完成”按钮完成添加，如图3所示。

图3 设置用户密码小提示：为保证账户的安全性，这个密码一般不应少于6位，并且必须符合密码策略。

否则将出现错误提示，如图4所示。

图4 提示秘密不符合密码策略第5步，重复上述步骤将用户“Jinshouzhi2”和“Jinshouzhi3”添加到“U sers”容器中。

完成以后在“Active Directory用户和计算机”对话框中查看刚才添加的用户列表，如图5所示。

如何在DC上开设新用户账户（图解版）2010年04月21日星期三上午 10:20企业管理中，计算机管理一般都是用域控制器来管理，域控制器（Domain Controller，简写为DC）。

有关详细的介绍不是本文需要阐述的。

笔者只是通过这篇文章，告诉初入网管的用户，如果最快最简单的开始新用户的计算机客户端登录账户。

请在DC上登录。

笔者此次使用的是Windows 2003来做演示，上面的图片信息是该服务器的登录界面。

这里需要提醒用户，请使用域管理员账户，或者有开设新用户权限的账户登录DC服务器。

在这个演示中，笔者使用的是“域”管理员账号，并且登录了一个叫“XY”的域。

登录DC后，请打开“Active Directory 用户和计算机”管理器，例如上图。

上面的信息是笔者这台DC中已经建立的公司管理架构。

接下来我们来假设一个实际的案例：比如今天作为管理员的你，接到人事部分的通知，需要给一个新来的财务部员工开设计算机登陆账号，该新员工叫“张学友”。

按照公司的规定，在开设计算机登陆账号的同时，开设内部邮件账号。

用户需要找到“财务部”，此时我们可以看到，在右侧的信息中已经有了部分的用户信息，这个部门已经有了10个对象，9个是“用户”，1个是“安全组”。

我们还可以看到，在3个用户信息上有个红色的“X”符号，这个意思是用户的账号被“禁用”。

此时管理员可以使用鼠标，在该部门的空白区域，点击鼠标的左键。

计算机就会出现像图片上的信息，我们需要选择“新建”-“用户”继续下一步操作。

此时，服务器会弹出“新建对象-用户”对话框。

根据上面的实际案例，我们就建立一个新用户的信息。

该同事叫“张学友”，管理员需要在“姓“、”名”中分别输入“张“、”学友”，这个界面的第三行“姓名”就会自动跳出“张学友”这个信息。

第二行的右侧“英文缩写”可以不填如果对方有，那也可以填写进去。

在该对话框的第4行我们注意到需要填写的是“用户登录名”，这个信息非常重要！这个就是之后计算机客户端的使用者在计算机上登录时需要输入的用户名称，或者我们可以称之为叫“账号”。

域网络构建教程（3 ）创建用户及计算机账户（2003Server）创建用户及计算机账户我们辛辛苦苦建立了域环境的目的就是为了使我们的网络有一个良好的管理性和操控性，为用户及计算机建立账户正是这一工作的起点。

在进行这一工作之前请注意三点。

第一：分析网络中的软件环境和权限分配，分门别类的罗列出来。

第二：依据第一点，对整个网络中的人员和设备的结构和关系进行规划整理，为下一步域环境下的组以及组织单元的安排打下良好基础。

第三：所有的设置都应经过详细的测试之后再应用于生产环境。

第三条非常重要，它通用于域的方方面面。

在实际工作中稳定高于一切，请务必牢记这一点。

至于教训嘛，你忘记这一点就会得到的。

首先我们要在域控制器上建立账户。

老祖宗说的好——物以类聚、人以群分，现在我们要用到前文所述的规划了。

根据权限（主要是针对各种资源的访问权限）的不同把账户分组，再根据使用环境（主要是计算机的软件系统）的不同把组放入组织单位。

从未接触过域的人听着已经云山雾罩了。

下面我们来逐步实行。

一、建立计算机账户在域控制器的管理工具中找到Active Directory用户和计算机，它是建立及管理账户的集中化工具，打开后的窗口如图：一般情况下，计算机账户要通过在客户机上的设置其加入域来自动添加到上图的Computers文件夹下。

在客户机上的操作步骤如下：右击我的电脑——选择属性，在弹出的对话框中选择计算机名选项卡，其中有两个按钮——网络ID和更改。

如图：在实际使用中，这两个选项卡都可以将计算机加入到域中。

个人感觉网络ID提供的步骤更像是一个向导过程（当然就显得啰嗦些了），而且在最后提供了将指定的域用户添加到本机用户组（可根据权限选择不同的组）的选项。

更改的步骤就简单多了，直接输入域名即可。

首先点击更改按钮在弹出的对话框中选择域并输入你的域名，如图：点击确定，输入用户名和密码。

这里说明一下，2003系统建立的域环境中，你新建的每一个用户账户，默认都可以添加10台计算机进入域中。

域的建立步骤教程目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

配置与实现活动目录项目任务说明创建域账户、组及组织单元，组策略、安全管理模板、审核策略技术要点、知识书中：域账户：（1）域账户是域控制器上创建的账户，所有域账户都属于domain users组；（2）域管理员账号属于domain users组，具有管理域控制器的权限；（3）当计算机加入域时，会把域的组domain users加入到计算机的本地users 组，会把域的组domain admins加入到计算机的本地administrators组；（4）域账号默认在域控制器上有权限，具体的权限需要根据授权设置确定；域账号在成员计算机的全限时通过映射到本地用户实现的。

拓展资料：操作步骤：1.创建域账户、组及组织单元（1）登陆域控制管理器，新建组织单位（OU）。

在弹出的对话框中，输入“office”。

（2）新建用户账户。

分别设置用户名登陆和密码选项。

（3）双击该用户，在账户选项卡中，用户登录名与账户姓名可以不同。

然后对该用户进行需要的设置。

2.组策略（1）单击运行，输入“gpmc.msc”命令，打开“组策略管理”窗口。

新建一个组策略对象office。

（2）右击office选项，在打开的快捷菜单中，选择“编辑”选项，编辑组策略。

单击“用户配置”、“windows设置”、“安全设置”选项，右击“软件限制策略”，创建软件限制策略。

右击“其他规则”，在打开的快捷菜单中选择“新建哈希规则”。

单击“浏览”按钮，找到QQ，则会自动读取QQ的哈希值。

（3）右击“office”选项，在打开的快捷菜单中，选择“链接现有GPO（L）”。

盘：拒绝写入权限”编辑拒绝写入权限，设置两个策略。

，3.安全管路模板（1）在运行中输入“mmc”命令，在打开的窗口中选择“文件”、“添加、删除管理单元”。

（2）添加安全模板和安全配置与分析管理单元。

（3）右击“安全配置和分析”，选择“打开数据库”。

4.审核策略（1）打开“组策略管理”，右击“Default Domain Plicy”选项，选择“编辑”。

添加域用户
例如：
添加test用户，设置密码12345@admin，限制登录到指定PC001主机，把文件服务器指定共享的个人文件夹(\\SERVER2008\Files$\%username%)映射“Z:”盘，并设置Domain Admin为主要组。

打开“服务器管理器”
点击“角色”的“+”
选择“A D域服务器”
点击“A D域服务器”的“+”
选择“A D用户”
点击“A D用户”的“+”，选择域名
点击“域名”的“+”
在域名上右键
选择“新建”＝＝＞“组织单位”
输入要新建的名称，点击“确定”
在组织单位上右键
新建用户
输入要新建的用户名称，点击“下一步”
输入复杂密码(至少三种字符组成其中有一种特殊符号)，勾选“用户不能更改密码”(可选)“密码永不过期”(必选)，点击“下一步”
点击“完成”
修改一些其它信息，在用户名称上右键“属性”
在“描述”中输入备注名字
点击“账户”
点击“登录到”
点一下“下列计算机”
输入要指定登录的计算机名称，点击“添加”
点击“确定”
点击“配置文件”
点击“连接”，在“Z:”到“SERVER2008\Files$\%username%”[SERVER200（共享的服务器名称）Files$（共享服务器上的Files文件夹，文件名后的$是指该共享文件夹是隐藏的，只能输入路径才可以访问）%username%（用户名的环境变量）]
选择“隶属于”
点击“添加”
点击“高级”
点击“立即查找”
选择要加入的组，点击“确定”
点击“确定”
选择“Domain Admin”设置主要组，最后点击“确定”完成。

配置与实现活动目录项目任务说明创建域账户、组及组织单元，组策略、安全管理模板、审核策略技术要点、知识书中：域账户：（1）域账户是域控制器上创建的账户，所有域账户都属于domain users组；（2）域管理员账号属于domain users组，具有管理域控制器的权限；（3）当计算机加入域时，会把域的组domain users加入到计算机的本地users 组，会把域的组domain admins加入到计算机的本地administrators组；（4）域账号默认在域控制器上有权限，具体的权限需要根据授权设置确定；域账号在成员计算机的全限时通过映射到本地用户实现的。

拓展资料：操作步骤：1.创建域账户、组及组织单元（1）登陆域控制管理器，新建组织单位（OU）。

在弹出的对话框中，输入“office”。

（2）新建用户账户。

分别设置用户名登陆和密码选项。

（3）双击该用户，在账户选项卡中，用户登录名与账户姓名可以不同。

然后对该用户进行需要的设置。

2.组策略（1）单击运行，输入“gpmc.msc”命令，打开“组策略管理”窗口。

新建一个组策略对象office。

（2）右击office选项，在打开的快捷菜单中，选择“编辑”选项，编辑组策略。

单击“用户配置”、“windows设置”、“安全设置”选项，右击“软件限制策略”，创建软件限制策略。

右击“其他规则”，在打开的快捷菜单中选择“新建哈希规则”。

单击“浏览”按钮，找到QQ，则会自动读取QQ的哈希值。

（3）右击“office”选项，在打开的快捷菜单中，选择“链接现有GPO（L）”。

盘：拒绝写入权限”编辑拒绝写入权限，设置两个策略。

，3.安全管路模板（1）在运行中输入“mmc”命令，在打开的窗口中选择“文件”、“添加、删除管理单元”。

（2）添加安全模板和安全配置与分析管理单元。

（3）右击“安全配置和分析”，选择“打开数据库”。

4.审核策略（1）打开“组策略管理”，右击“Default Domain Plicy”选项，选择“编辑”。

批量添加域用户操作实战一、AD用户帐户复制1、在“AD域和计算机”中建一个作为样板的用户，如S1。

2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。

3、在S1上/右键/复制，输入名字和口令。

说明：1、只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。

二、比较csvde与ldifdecsvde: 逗号分隔符目录交换工具允许您使用CSV 源文件将新对象导入到Active Directory 中；此外，该工具还提供了将现有对象导出到CSV 文件的功能。

CSVDE 不能用于修改现有对象；在导入模式下使用此工具时，您只能创建全新的对象。

使用CSVDE 导出现有对象的列表相当简单。

将Active Directory 对象导出到名为的文件,方法如下：csvde –f–f 开关表示后面为输出文件的名称。

但是您必须注意，根据环境的不同，此基本语法可能会生成不实用的大型输出文件。

要将此工具限制为仅导出特定组织单位(OU) 中的对象，可以将语句修改为如下形式：csvde –f –d u=Users,dc=contoso,dc=com进一步假定您只对将用户对象导出到CSV 文件感兴趣。

如果是那样的话，您可以添加–r 开关和–l 开关，前者允许指定轻型目录访问协议(LDAP) 筛选器进行搜索，后者可以限制导出的属性的数量（请注意以下所有内容位于一行）：csvde –f –d u=Users,dc=contoso,dc=com –r"(&(objectcategory=person)(objectclass=user))" –lDN,objectClass,description通过–i 开关，您可以将对象从源CSV 文件导入到Active Directory。

但是，使用CSVDE 创建用户对象存在一个关键限制：不能使用CSVDE 设置用户密码。

因此，应该避免使用CSVDE 创建用户对象。

Active Directory 高级应用1.新建域控制器首先，先安装一个全新的windows server 2003 企业版，用管理员登陆装域之前我们先看一下机器的配置情况，先查看一下计算机名，鼠标右键我的电脑-属性，打开系统属性选项卡，点击计算机名标签，这里计算机名为dc,环境是工作组WORKGROUP，因为还没有加入域，所以这里显示的是工作组我们再来查看一下计算机的IP设置情况，鼠标右键网上邻居-属性，打开网络连接窗口，鼠标右键本地连接-属性，打开本地连接属性，选择Internet协议(tcp/ip)点属性，打开Internet协议(tcp/ip)属性选项卡，这里我们把IP设置为192.168.2.1,子网掩码255.255.0.0，DNS设置为192.168.2.1好了，准备工作已经做好了，现在我们开始安装AD拉，还有一点要注意，安装AD时会用到系统安装光盘，所以我们现在把系统盘装入光驱，现在开始装DC，点击开始-运行，输入dcpromo,确定这是欢迎向导界面，点击下一步这是操作系统兼容性，点击下一步这里是选择域控制器类型，因为我们这里是域中的第一台域控制器，所以我们选新域的域控制器，点击下一步我们选在新林中的域，点击下一步这里让我们添入新的域名，我们在新域的DNS全名里写入,点击下一步这里让我们添写域的NetBIOS域名，直接默认就好了，点击下一步这里让我们选择数据库文件夹和日志文件夹的安装目录，默认就好了，当然这里我们也能够更改，如果C盘够大直接默认就好拉，这里我就不修改了，点击下一步这里让我们选择共享的系统卷的保存位置，默认好拉，点击下一步这里已经运行了一次DNS注册诊断，因为我们之前没有安装DNS服务器，所以诊断结果是没有在超时间隔以内响应，这里我们选择第2项，在这台计算机上安装并配置DNS 服务器，并讲这台DNS服务器设为这台计算机的首先DNS服务器，这也是我们在安装AD之前配置IP时为什么把DNS添写自己的IP，点击下一步这里让我们选择操作系统的兼容权限，如果我们的客户机都是2000版本以上我们选择第2项，只与windows 2000或windows server 2003操作系统兼容的权限，点击下一步这里让我们输入目录服务还原模式的管理员密码，如果AD意外损坏了，我们需要还原AD，还原是需要密码的，这里我们输入一个密码，这里的密码不用与管理员的密码相同，只是作为AD还原使用，密码不要忘了，要不万一需要还原时我们还原不了拉，点击下一步这里显示了之前我们配置的相关信息，点击下一步开始安装了，我们稍等几分钟就会安装完成AD安装完成拉，我们点击完成这里问我们是否立即重新启动，我们选择立即重新启动这是重新启动之后登陆界面，我们点击选项会看到多出来个登陆到，这里我们选择zhen，输入管理员密码，点击确定，登陆计算机登陆后我们鼠标右键我的电脑-属性-计算机名，查看一下，完整的计算机名已经变为,工作组也换成了域。

1、首先你需要搞到公司的人员表（这个一般都可以在人事部搞到手），然后对人员表做一下简单的修改，修改后的格式如下，分成五个部分，分别是：姓、名、姓名、用户名、登录密码。

2、下面要做的就是把他保存成CSV后缀名的文件，在“文件”中选择“另存为”选择CSV的格式3、然后把文件拷贝到域控的C盘根目录下用记事本打开此文件，可以看到生成如下的格式以下是我的域中OU的情况现在我要用命令批量的把用户添加到名为“员工”的OU里。

4、运行cmd进入命令行模式，先输入以下命令，查看能否正常输入变量for /f "tokens=1,2,3,4,5 delims=," %a in (person.csv) do@echo %a %b %c %d %e可以正常显示如下5、接下来我们就要输入完整的命令行来进行批量的用户添加for /f "tokens=1,2,3,4,5 delims=," %a in (person.csv) do dsadd user "cn=%c,ou=员工,dc=myloverxhy,dc=com" -samid %d -upn %d@ -ln %a -fn %b -pwd %e -disabled yes其中ou 对应为你要添加到的OU名两个dc按顺序分别对应你的域名@对应你的后缀Disabled yes定义添加完的用户是禁用的运行命令后结果如下，检查下密码规则是不是符合要求成功添加用户。

接下来我们到OU里查看用户，已经全部出现，并且显示为禁用我们可以选中所有用户，然后右键“启用账户”即可完成。

我们可以测试使用账号在域中登录，是可以完成的。

项目5 用户与组的管理
（1）在系统登录时如果输入密码有误，则会进入如图5-9所示的密码错误提示界面。

（2）单击“确定”按钮，进入如图5-10所示的密码出错后登录界面。

单击“重设密码”按钮，进入“欢迎使用密码重置向导”对话框，这里对使用密码重置作了简要的介绍，此时将密码重设盘插入软驱或者USB接口。

图5-9 密码错误提示界面图5-10 密码出错后登录界面
（3）单击“下一步”按钮，进入“插入密码重置盘”对话框，如图5-11所示。

（4）单击“下一步”按钮，进入“重置用户帐户密码”对话框，如图5-12所示。

输入新密码及密码提示，单击“下一步”按钮，进入“正在完成密码重设向导”对话框，单击“完成”按钮即可完成设置新密码。

图5-11 插入密码重置盘图5-12 重置用户账户密码
如果没有密码重设盘，可以直接在账户上更改密码，这样做的缺点是用户将无法访问受保护的数据，例如用户的加密文件、存储在本机用来连接Internet的密码等数
据。

操作步骤是单击“计算机管理”→“本地用户和组”选项，在“用户”列表中选
择并右键单击该账户，选择“设置密码”。

5.2.2 创建与管理域用户账户
1．创建域用户账户
当有新的用户需要使用网络上的资源时，管理员必须在域控制器中为其添加一个相应的用户账户，否则该用户无法访问域中的资源。

另一方面，当有新的客户计算机要加入到域中时，管理员必须
111。