管理active directory中用户和计算机账户
在独立服务器上装了Server 2003 之后,运行“Active Directory 向导”以创建新的 Active Directory 目录林或域,然后将 Server 2003 计算机转换为目录林中的第一个域控制器。若要将 Windows Server 2003 计算机转换为目录林中的第一个域控制器,请按照下列步骤操作:在光驱里面放入server 2003 系统盘(也可用虚拟光驱若是在虚拟机上也可用镜像文件)
1. 点击开始-管理工具-管理您的服务器—添加删除角色-域控制器Active Directory(也可以单击 开始-运行 ,然后键入 dcpromo 。)
2. 单击 确定 以启动“Active Directory 安装向导”,然后单击 下一步 。
3. 单击“新域的域控制器”,然后单击 下一步 。
4. 单击“在新目录林中的域”,然后单击 下一步 。
5. 为新域指定完整的 DNS 名称。请注意,因为该过程用于实现实验室环境,而不是将该环境集成到现有的 DNS 基础结构中,因此可以在该设置中使用诸如 mycompany.local 之类的一般名称。单击 下一步 。
6. 接受域的默认NetBIOS名(若使用第6中的建议则它为“mycompany”)-'下一步'。
7. 将数据库和日志文件的位置设为默认设置 c:\winnt
tds文件夹下,然后单击下一步
8. 将Sysvol文件夹的位置设置为在默认设置 c:\winnt\sysvol 文件夹下然后'下一步’。
9. 单击“在这台计算机上安装并配置 DNS 服务器”,然后单击 下一步 。
10. 单击“只与2000 或 Server 2003 服务器或操作系统兼容的权限”,然后单击 下一步。
11. 因为这是实验室环境,所以将目录服务恢复模式的管理员密码留为空白。请注意,在完整的生产环境中,应通过使用安全密码格式设置此密码。单击 下一步 。
12. 检查并确认所选择的选项,然后单击 下一步 。
13. Active Directory 的安装将继续进行。请注意,该操作将需要几分钟。
14. 出现提示时,重启计算机。重启后,确认已经为新的域控制器创建了域名系统 (DNS) 服务位置记录。若要确认已创建了 DNS 服务位置记录,请按照下列步骤操作:
1. 单击 开始 ,指向 管理工具 ,然后单击 DNS ,以启动 DNS 管理控制台。
2. 展开该服务器名称,再展开 正向搜索区域 ,然后展开该域。
3. 确认 _msdcs、_sites、_tcp 和 _udp 文件夹已存在。这些文件夹和它们包含的服务位置记录对于 Active Directory 和 Server 2003 的运行至关重要。
将用户和计算机添加到 Active Directory 域中
新的 Active Directory 域建立后,在该域中创建一个用户帐户作为管理帐户。在将
该用户添加到适当的安全组中时,使用该帐户将计算机添加到域中。
4. 若要创建新用户,请按照下列步骤操作:
1. 单击 开始 ,指向 管理工具 ,然后单击“Active Directory 用户和计算机”,以启动 Active Directory 用户和计算机控制台。
2. 单击已创建的域名,然后展开这些目录。
3. 右键单击 用户 ,指向 新建 ,然后单击 用户 。
4. 键入新用户的名、姓和用户登录名,然后单击 下一步 。
5. 键入新密码,确认密码,然后单击以选中以下复选框之一:a, 用户下次登录时须更改密码(推荐多数用户采用);b. 用户不能更改密码;c. 密码永不过期;d. 帐户已停用 点击 下一步
6. 检查提供的信息是否每一项均正确,单击 完成 。
5. 创建新用户后,让该用户帐户成为能够允许用户执行管理任务的组中的成员。因为所控制的是实验室环境,所以可以通过使其成为 Schema、Enterprise 和 Domain Administrators 组的成员,授予该用户帐户完全的管理访问权限。若要将帐户添加到 Schema、Enterprise 和 Domain Administrators 组,请按照下列步骤操作:
1. 从“Active Directory 用户和计算机”控制台,右键单击已创建的新帐户,然后单击 属性 。
2. 单击 隶属于 选项卡,然后单击 添加 。
3. 在选择组对话框中指定一个组,然后-确定,将所需添加到列表中。
4. 对用户要在其中具有帐户成员资格的每一个组重复选择过程。
5. 单击 确定 完成。
6. 该过程的最后一步是将成员服务器添加到域中。该过程也适用于工作站。若要向域中添加计算机,请按照下列步骤操作:
1. 登录到要将其添加到域的计算机。
2. 右键单击 我的电脑 ,然后单击 属性 。
3. 单击 计算机名 选项卡,然后单击 更改 。
4. 在计算机名更改的对话框里,点击隶属下方的域修改域名,确定。
5. 在显示提示后,键入您以前创建的帐户的用户名和密码,然后单击 确定 。 将显示欢迎您来到该域的消息。
6. 单击 确定 返回到 计算机名 选项卡,然后单击 确定 完成。
7. 出现提示时,重新启动计算机
上述算是基本完成了Active Directory的创建和用户、计算机的添加。具有相应权限的用户还可以创建、删除、修改、移动锁定用户帐户、禁用用户帐户、重设密码、委派控制和设置存储在目录中的对象的权限。这些对象包括组织单位、用户、联系人、组、计算机、打印机和共享的文件对象。
域控制器发生硬件故障,需要更换。数据损坏在本文档中,我们假定数据是因为下列原因之一而损坏的:· Active Directory 数据损坏,而这些数据已经复制到其他的域控制器。· 错误删除 Active Directory 对象,而这些对象已经复制到该域/目录林的其他域控制器。现在这些对象必须在 Active Directory 中恢复。恢复 Active Directory恢复 Active Directory 的方法有两种。您可以重新安装 Windows 2000,然后通过正常复制过程,重新导入 Active Directory。另外一种方法就是从备份恢复 Active Directory。第一种方法是将 Active Directory 根据其当前复本伙伴的情况恢复为当前状态。第二种方法是将 Active Directory 恢复为前一个已知状态(前次备份时的状态)。通过重新安装和复制来恢复 Active Directory您可以在受损的系统上重新安装 Windows 2000 Server,把该服务器当作域控制器,然后在安装 Active Directory时,让正确信息自动复制,借此恢复域控制器。通过 WAN 来安装 Active Directory,可能会大量消耗可用的 WAN 带宽。如果 Active Directory 很大,还会耗费许多时间。若要解决这个问题,建议您在中央位置安装新的域控制器,然后将它运送到远程位置。对于分支机构环境来说,这可能不是很好的方法。因为它实质上是在远程位置安装新的域控制器,替代出故障的副本。但这需要新的域控制器在 Active Directory 中作为域控制器升级过程的一部分来进行复制,会用很长时间。接移和运送域控制器在进行 Active Directory 部署作业时,许多单位都在中央位置安装域控制器,待安装完毕之后,再将它们运送到远程位置。有关这一方法的详细信息,请参阅《Active Directory 分支机构规划指南》第 5 章“规划分支机构环境的接移站点”。从备份媒体恢复 Active Directory您也可以从备份媒体恢复“系统状态”数据,以恢复域控制器上的 Active Directory。这样可恢复 Active Directory 和 Active Directory 所依赖的“系统状态”组件。当您从备份媒体恢复 Active Directory 时,请注意下列几项:· 如果域控制器计算机因为故障而被替换,或者网络适配器已被换掉,您可能需要以手动方式重新配置网络设置。· 如果域控制器的硬件问题很严重,必须重新建立,则请务必确保磁盘卷的数目和大小必须大于或等于前一个系统。如果您必须从空的磁盘开始重建系统,请先把 Windows 2000 Server 安装到与以前相同的磁盘上,按照在损坏的系统上的原样重新创建分区和卷,然后再恢复 Active Directory。这意味着您手头上有该服务器配置的文档,才能重新创建它。系统密钥 (Syskey) 和 Active Directory 恢复过程域控制器上有安全敏感信息,例如,进行域身份验证所用的用户密钥副本。建议您最好将域控制器放置在物理安全地点,限制访问权限。物理访问域控制器会让入侵者取得加密的密码数据副本,用来进行脱机密码攻击。为了避免这种情况发生,Microsoft 提供了 Syskey 这个工具,它可以用 128 位的随机密钥,将所有的密钥加密。这个密钥可以存储在域控制器的本地注册表中,也可以存储在软盘上。为了保证最大程度的安全性,建议您将 Syskey 存储在软盘上。将 Active Directory 恢复到不同的硬件上您可以将 Active Directory 恢复到原计算机以外的计算机上,但是这部计算机的驱动器数量必须等于或多于原计算机的驱动器数量。“硬件抽象层”和 Boot.ini 文件也必须完全一样。同时,如果替换的域控制器有不同的视频适配器或多个网卡,请先将它们卸下,再恢复数据。当您重新启动计算机时,“即插即用”功能会进行相应的更新。
提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否管理员可以使用“Active Directory用户和计算机”管理单元中的高级“查找”对话Active Directory用户账户用于验证用户身份,指派用户的访问权限。用户必须使用用户账户登录到特定的计算机和域。登录到网络的每个用户应有自己的惟一账户和密码。用户账户也可用作某些应用程序的服务账户。
在域控制器上建立的是域用户账户,账户数据存储在AD中,用来登录域、访问域内的资源。非域控制器的计算机上还有本地账户。本地账户数据存储在本机中,不会发布到AD中,只能用来登录账户所在计算机,访问该计算机上的资源。本地账户主要用于工作组环境,对于加入域的计算机来说,一般不再建立和管理本地账户,除非要以本地账户登录。
Windows Server 2003提供了两个内置域用户账户:Administrator和Guest。Administrator是系统管理员账户,对域拥有最高权限,为安全起见,可将其重命名。Guest是来宾账户,主要供没有账户的用户使用,访问一些公开资源,为安全起见,系统默认禁用此账户。默认情况下,用户账户一般位于Users容器中,域控制器计算机上的原本地账户自动转入该容器。
为获得用户验证和授权的安全性,应为加入网络的每个用户创建单独的用户账户。每个用户账户又可添加到组以控制指派给账户的权限
添加用户账户
① 在"Active Directory用户和计算机"控制台树中,右键单击要添加用户的域、组织单位或其他容器(通常是Users),从快捷菜单中选择【新建】>【用户】命令。
② 打开【新建对象-用户】对话框,如图7.5所示,设置账户基本信息。
③ 输入用户的姓名信息。
④ 在【用户登录名】框中输入用户用于登录域的名称,从下拉列表中选择要附加到用户登录名称的UPN后缀(后面跟@号,决定要登录的域)。
⑤ 如果用户使用不同的名称从运行Windows NT、Windows 98、Windows 95的计算机登录,则把显示在"用户登录名(Windows 2000以前版本)"中的用户登录名称改为不同的名称。
在Active Directory中,每个用户账户都有一个用户登录名、一个Windows 2000以前版本的用户登录名(安全账户管理器的账户名)和一个用户主要名称后缀。在创建用户账户时,管理员输入其登录名并选择用户主要名称。微软建议Windows 2000以前版本的用户登录名使用此用户登录名的前20个字节。管理员可以随时更改Windows 2000以前版本的登录名。
⑥ 单击【下一步】按钮,设置密码以及其他账户选项。注意密码必须符合用户账户命名策略,请参见后面关于组策略的内容。
⑦ 单击【下一步】按钮,完成用户账户创建。
如果要进一步设置用户账户,应在控制台中双击相应的用户账户,打开如图7.6所示的对话框,进一步设置用户账户属性,这里提供很多选项卡,可根据需要设置。
可同时配置多个用户账户。同时选取多个账户,再打开属性对话框,可设置地址、账户、单位和配置文件等许多共同属性。
管理员还可执行用户账户管理,如删除、禁用、复制、重命名、重设密码、移动账户、发送邮件和打开主页等操作。右键单击账户,从弹出的快捷菜单中选择相应的命令即可。
管理Active Directory计算机账户
在Active Directory中,每个运行Windows NT、Windows 2000、Windows XP或Windows Server 2003的计算机都有一个计算机账户。与用户账户类似,计算机账户提供了一种验证和审核计算机访问网络以及域资源的方法。连接到网络上的每一台计算机都应有自己的惟一计算机账户。使用"Active Directory用户和计算机"控制台来创建和管理计算机账户。运行Windows 95和 Windows 98的计算机没有高级安全功能,不能被指派计算机账户。当将计算机加入到域时,该计算机相应的计算机账户自动添加。也可在域控制器上创建计算机账户,然后再将计算机添加到现有账户。两种方法的差别在于:前者总是在Computers容器中创建计算机账户,后者可以在任何组织单位中创建计算机账户,新加入域的计算机自动查找并使用该账户(必须使用相同的NetBIOS名称)。
在“Active Directory用户和计算机”控制台树中,右键单击要添加计算机账户的容器(域或组织单位),从快捷菜单中选择【新建】>【计算机】命令,打开相应的对话框,如图7.7所示,根据提示设置即可。
除了添加计算机账户外,还可执行禁用、重设和删除计算机账户等操作
