管理active directory中用户和计算机账户

Posted 2023-04-21

完整的问题是这个样子的：
我们通常把工作组中的windows server 2003 服务器称为什么服务器，把在active directory域中存放active directory数据库的windows server 2003 服务器称为什么？把加入到active directory域但是没有存放active directory数据库的windows server 2003服务器称为什么服务器，把欲行windows XP 等个人用户操作系统的计算机称为什么？

参考技术A 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否管理员可以使用“Active Directory用户和计算机”管理单元中的高级“查找”对话 参考技术B Active Directory用户账户用于验证用户身份，指派用户的访问权限。用户必须使用用户账户登录到特定的计算机和域。登录到网络的每个用户应有自己的惟一账户和密码。用户账户也可用作某些应用程序的服务账户。
在域控制器上建立的是域用户账户，账户数据存储在AD中，用来登录域、访问域内的资源。非域控制器的计算机上还有本地账户。本地账户数据存储在本机中，不会发布到AD中，只能用来登录账户所在计算机，访问该计算机上的资源。本地账户主要用于工作组环境，对于加入域的计算机来说，一般不再建立和管理本地账户，除非要以本地账户登录。
Windows Server 2003提供了两个内置域用户账户：Administrator和Guest。Administrator是系统管理员账户，对域拥有最高权限，为安全起见，可将其重命名。Guest是来宾账户，主要供没有账户的用户使用，访问一些公开资源，为安全起见，系统默认禁用此账户。默认情况下，用户账户一般位于Users容器中，域控制器计算机上的原本地账户自动转入该容器。
为获得用户验证和授权的安全性，应为加入网络的每个用户创建单独的用户账户。每个用户账户又可添加到组以控制指派给账户的权限
添加用户账户
① 在"Active Directory用户和计算机"控制台树中，右键单击要添加用户的域、组织单位或其他容器（通常是Users），从快捷菜单中选择【新建】>【用户】命令。
② 打开【新建对象-用户】对话框，如图7.5所示，设置账户基本信息。
③ 输入用户的姓名信息。
④ 在【用户登录名】框中输入用户用于登录域的名称，从下拉列表中选择要附加到用户登录名称的UPN后缀（后面跟@号，决定要登录的域）。
⑤ 如果用户使用不同的名称从运行Windows NT、Windows 98、Windows 95的计算机登录，则把显示在"用户登录名（Windows 2000以前版本）"中的用户登录名称改为不同的名称。
在Active Directory中，每个用户账户都有一个用户登录名、一个Windows 2000以前版本的用户登录名（安全账户管理器的账户名）和一个用户主要名称后缀。在创建用户账户时，管理员输入其登录名并选择用户主要名称。微软建议Windows 2000以前版本的用户登录名使用此用户登录名的前20个字节。管理员可以随时更改Windows 2000以前版本的登录名。
⑥ 单击【下一步】按钮，设置密码以及其他账户选项。注意密码必须符合用户账户命名策略，请参见后面关于组策略的内容。
⑦ 单击【下一步】按钮，完成用户账户创建。
如果要进一步设置用户账户，应在控制台中双击相应的用户账户，打开如图7.6所示的对话框，进一步设置用户账户属性，这里提供很多选项卡，可根据需要设置。
可同时配置多个用户账户。同时选取多个账户，再打开属性对话框，可设置地址、账户、单位和配置文件等许多共同属性。
管理员还可执行用户账户管理，如删除、禁用、复制、重命名、重设密码、移动账户、发送邮件和打开主页等操作。右键单击账户，从弹出的快捷菜单中选择相应的命令即可。
管理Active Directory计算机账户
在Active Directory中，每个运行Windows NT、Windows 2000、Windows XP或Windows Server 2003的计算机都有一个计算机账户。与用户账户类似，计算机账户提供了一种验证和审核计算机访问网络以及域资源的方法。连接到网络上的每一台计算机都应有自己的惟一计算机账户。使用"Active Directory用户和计算机"控制台来创建和管理计算机账户。运行Windows 95和 Windows 98的计算机没有高级安全功能，不能被指派计算机账户。当将计算机加入到域时，该计算机相应的计算机账户自动添加。也可在域控制器上创建计算机账户，然后再将计算机添加到现有账户。两种方法的差别在于：前者总是在Computers容器中创建计算机账户，后者可以在任何组织单位中创建计算机账户，新加入域的计算机自动查找并使用该账户（必须使用相同的NetBios名称）。
在“Active Directory用户和计算机”控制台树中，右键单击要添加计算机账户的容器（域或组织单位），从快捷菜单中选择【新建】>【计算机】命令，打开相应的对话框，如图7.7所示，根据提示设置即可。
除了添加计算机账户外，还可执行禁用、重设和删除计算机账户等操作

Active Directory管理

AD活动目录管理​

每位IT管理员都面临着许多活动目录(Active Directory)管理挑战，几乎每天在活动目录中管理用户帐户。手动配置用户属性极为耗时和容易出错，尤其是在大型、复杂的Windows网络中。活动目录管理员和IT管理员通常都必须执行重复的日常任务，最终通常会导致削弱其生产力。此外，使用本机工具或PowerShell完成这些任务也需要更深入的Active Directory管理知识。

目前需要的是可使这些繁琐任务自动化、简化AD管理和提供有关已完成任务及其状态的详尽报表的软件。ADManager Plus是一个可应对所有活动目录管理挑战的解决方案，只需点击几下鼠标即可安全地完成身份验证和执行所有操作。管理员可以使用这个管理工具来设计用于管理所有用户帐户创建和修改。此外，通过其基于Web的界面可视化管理，这个AD管理软件还让管理员可以完全控制其域环境。

ADManager Plus是一个基于Web的全面Microsoft Windows Active Directory管理软件，可简化用户配置和活动目录管理，具有完整的安全性和身份验证，以便仅允许授权用户执行管理操作。它为管理员和AD管理员提供全套活动目录管理工具，以便有效地管理。

此解决方案配备单个控制台，IT管理员可通过它来查看和管理活动目录用户、计算机、联系人、组、G Suite中的配置用户，并可从一个中心位置为环境中的所有域、服务器生成报表。管理员还可使用ADManager Plus以绝对安全的方式将重复、简单、耗时的任务指派给非管理用户/帮助台，也可让Active Directory实现可控的自动化。使用ADManager Plus可避免执行手动、易出错的活动目录管理活动，并可节省时间和成本。ADManager Plus现在为您提供通过电子邮件或短信发送定制通知的功能，以便让相关用户了解活动目录管理任务的完成情况。ADManager Plus的多个搜索选项让搜索AD变得轻而易举，并可帮助您轻松管理AD帐户。而且您可直接从此软件的Web界面完成所有这一切操作。

IT管理员可使用ADManager Plus在他们的活动目录上执行以下活动：

活动目录计算机管理

这个活动目录管理解决方案让您可以从任何地方一次性管理您的环境中的所有计算机。您可使用CSV和模板批量创建计算机对象、修改计算机的组和一般属性、在组织单位之间移动它们以及启用/禁用它们。

活动目录组管理

使用这个Active Directory管理软件的组管理模块，管理Windows组变得更灵活，您可使用该模块来创建和修改组（安全组和分发组）、使用模板将批量用户添加到组中/从组中删除批量用户以及一次性配置exchange属性。

活动目录联系人管理

使用此AD管理工具可导入您的所有活动目录联系人，也可在活动目录中更新。这样就简化了逐个选择各个联系人对象和更新其所有联系人属性的繁琐过程。

活动目录帮助台指派

使用此活动目录管理工具的指派功能，管理员可创建帮助台技术员并为他们指派所需的任务（例如，重置密码、解锁用户帐户、创建用户等）。活动目录用户、组、计算机和联系人的各种重复管理任务均可使用自定义设计的帐户创建和修改模块来指派。帮助台用户可分担管理员的工作并让他们将注意力集中在核心管理活动。

活动目录报表和管理

ADManager Plus将有关不同活动目录对象的信息编入报表中，并允许您直接从其Web界面查看、分析信息。

活动目录用户管理

ADManager Plus通过其批量用户操作和易于使用的界面让管理成千上万的Active Directory用户变得简单。ADManager Plus中的用户管理帮助您创建和修改用户、配置其一般属性、Exchange Server属性及应用Exchange策略、终端服务属性、远程用户登录权限、Lync Server/LCS/OCS属性等。此外，此工具还可帮助您在活动目录中创建新帐户时为Office 365和G Suite中的用户配置新帐户。此外，活动目录管理解决方案也允许AD管理员设计模板，从而让他们或其帮助台技术员能够通过一次操作就创建和修改用户帐户并配置所有必需的属性。

在Microsoft Active Directory中管理用户帐户是对每个IT管理员的公开挑战。使用本地Active Directory工具或类似PowerShell等其它选项对用户属性进行手动配置是非常耗时，令人厌烦，而且容易出错，特别是在大型复杂的windows网络中。此外，对Active Directory和Active Directory管理的深入了解是完成这些任务的必要条件。

ADManager Plus是一个基于web的软件，它允许您一次创建和管理活动目录中的多个用户帐户。它允许您创建包含标准用户属性值的多个模板，这些值可以在批量创建用户时应用。您可以从一个CSV文件中导入用户属性，同时创建用户帐户，从而最大限度地减少使用本机工具用于Active Directory用户配置时所需的时间和精力。

该工具还允许授权技术人员或非管理员的权限来创建用户。有了委派，你将有足够的时间专注于重要的任务，因为你可以从重复的和琐碎的任务中解脱出来。使用活跃的用户账户管理，您甚至可以在一个步骤中管理用户帐户的多个属性。此外，该特性甚至允许您设置规则，在执行用户管理任务时自动配置或更新某些用户属性。另外，使用自动报表生成工具，您不仅可以管理用户帐户，还可以主动和高效地管理整个活动目录。

使用ADManager Plus，您可以大量修改用户属性，包括Exchange Server(2003/2007/2010/2013)属性和应用的策略、Lync Server/LCS/OCS和终端服务属性。在试用版中，你可以尝试所有的用户管理，甚至这个软件的报表功能，提供了对所有功能的无限制访问。一些常见的活动目录管理功能、管理和属性更改可以快速、一致地执行，包括:

• 创建多个用户的用户账户
• 修改多个用户的属性
• 重置多个用户账户的密码
• 更改用户显示名称
• 创建Exchange邮箱和应用Exchange策略
• 创建Office 365和Google Apps账户
• 启用/禁用/删除域中不活跃的账户
• 在OU间移动用户
• 自动批量用户管理

批量用户管理流程

批量用户创建

ADManager Plus简化了创建和管理用户的过程。

• 通过指定用户配置模板中的所有属性在域中批量创建用户，其中包括Exchange(2003, 2007, 2010, 2013)、Lync/LCS/OCS、终端服务、Office 365和G Suite属性。
• 复制其它用户的属性添加用户。
• 从CSV文件导入用户属性，唯一的强制属性是用户名(givenName)。
• 创建并使用具有通用用户属性的模板。
• 在现有容器中创建用户，或在域中创建一个新的OU，并向其添加用户。

批量用户修改

可以使用ADManager Plus修改的一些重要属性包括:

常规属性

• 重置密码
• 修改名称、显示名称、登录名和SAM帐户名称格式。
• 启用/禁用用户，解锁用户，并设置用户帐户到期时间。
• 为用户设置主文件夹、概要文件和脚本路径。
• 将用户移动到不同的容器。了解如何移动用户帐户
• 更新组和通讯组成员。

Exchange属性

• 为用户创建Exchange Server 2003, 2007, 2010和2013邮箱。
• 为用户设置发送/接收消息大小和消息限制。
• 设置邮箱存储限制并限制用户的转发地址。
• 修改邮件存储限制和删除项保留策略。
• 启用/禁用Outlook Mobile access、Outlook Web access、IMAP4和POP3协议。

终端服务属性

• 为用户修改终端服务的主文件夹和配置文件路径。
• 从终端服务中修改用户登录的启动程序。
• 修改会话期间、活动会话限制、空闲会话限制等。
• 启用/禁用远程控制属性。

搜索AD对象

• 搜索域中的用户、组、计算机和OU。
• 限制搜索域中特定的OU。
• 在搜索条件中包含通用名称和描述的选项。

通过ADManager Plus“完全基于GUI的特性”简化了活动目录管理，无疑是对Active Directory管理的消耗任务的极大缓解，通过它的自动化功能自动执行所有关键和重复的任务。