Windows Server 2003活动目录:管理特征

简化管理:拖曳多重对象属性保存的查询命令行工具连接小型办公室:从副本创建DC 简化管理的目标:使每天的任务更容易使UI界面更友好更容易查找对象:你管理的用户和组更容易实现自动化:提供了一些工具使制作脚本更容易自动完成重复的任务简化管理-拖曳:拖曳功能是2003活动目录的新支持的功能:活动目录用户和计算机活动目录站点和服务友好的UI:更像其他的管理工具拖曳用户对象:到新的容器或者组织单元到新的组简化管理-拖曳使用场景场景:更新账户添加用户或组到新的组移动一个服务器到新的站点好处:不需要打开用户属性完成同样的任务只需要很少次的点击像其他标准的工具一样操作简化管理-多重对象属性:指可以同时编辑多个对象的属性:活动目录和计算机友好的UI:更像其他的管理工具简化管理-多重对象属性使用场景: 场景:需要让所有用户在第二天登录时修改密码需要为所有用户设置漫游配置文件 ......... .......... 好处:可以避免重复执行机同的任务

我提前新建了3个OU(组织单位) 它们分别叫做人事部财务部销售部并且在每个OU里面创建了一个组它们分别叫做人事部经理组财务部经理组销售部经理组人事部里面创建了一个叫做李俊的用户财务部里面创建了一个叫做李钢的用户销售部创建一个叫做李丽的用户假如李丽在销售部做得不好现在把她转到人事部了如果是Windows Server 2000的活动目录就对着李丽右键--选择移动--按人事部--按确定 Windows Server 2003也可以这样操作但是Windows Server 2003还有一个新功能可以支持拖曳就是说按住李丽这个用户不放直接拖曳到人事部就ok了

现在假设李丽这个人转到人事部以后工作做得非常不错公司决定把她提升为人事部的经理了这个时候它和李俊是并级的需要把李丽直接加入人事部经理组获得人事部经理组可以访问的文件资源或者是打印资源对着李丽右键--选择属性--按隶属于--按添加在输入对象名称来选择(示例)(E):里面输入人事部经理组按确定就可以了但是这样操作不方便如果有多个用户并且在不同的OU下面这样操作起来很麻烦的不过还有一种简单的方法可以用拖曳的方法在Active Directory 用户和计算机里面--按查看--按用户.组和计算机作为容器这个时候就可以把李丽这个人直接拖曳到人事部经理组了

现在李丽和李俊都是人事部的经理了公司要求从它们更改新密码我先在C盘里面创建一个叫做home的文件夹并且把它共享出来对着home这个文件夹右键--选择共享和安全共享名为home& home&表示是一个隐藏共享文件夹在Active Directory用户和计算机里面按查看--按用户.组和计算机作为容器先把它的沟去掉把李丽和李俊全部选定右键--选择属性可以看到多重项目的属性了按账户把用户下次登录时须更改密码沟上按应用按配置文件因为我现在使用的这台域控制器的计算机名称叫做London 所以在配置文件路径里面输入\\London\home&\%username% 沟上主文件夹在连接里面选择Q到\\London\home&\%username% 也就是说我现在要给他们映射一个网络驱动器叫做Q盘符就是说这些用户将映射一个Q盘符不管这些用户在域中的那一台计算机用户登录都可以看到一个叫做Q的网络驱动器了它们也可以在Q盘符里面存储东西了而这些东西都是存储到服务器里面如果你怕它们乱存储一些跟工作没相关的东西你也可以对它们的容量进行限制比如说我现在只想每个用户只有16M的空间就在域控制器里面对着C盘右键--选择属性--按配额把启用配额沟上把拒绝将磁盘空间给超过配额限制的用户沟上在将磁盘空间限制为那一项输入16MB 将警告等级设为15MB吧就是说当用户使用到15MB的时候就发出一个警告了按确定就ok了

现在假设李俊这个用户登录系统了输入用户和密码按确定后就可以看到提示第一次登录时必需更改密码按确定输入旧密码新密码按确定就可以了这个时候可以看到您的密码已更改按确定就进入系统了

现在可以看到李俊这个用户登录进来可以看到一个叫做"London\home&"上的李俊(Q)的网络驱动器了对着"London\home&"上的李俊(Q)这个网络驱动器右键--选择属性可以看到容量只有16MB 因为我刚才在域控制器里面已经限制网络驱动器空间的大小了

ADModify这个软件可以到网上下载通过它我们可以在Windows Server 2000活动目录里面去批量地修改用户账户的属性比如说要统一设置这些账户过期的属性什么时候过期这个工具也比较适合在Windows server 2003上使用为什么呢？Windows server 2003不是可以直接修改多重项目的属性吗？但是我们发现设置属性的时候能够设置的属性并不多只有常规账户配置文件单位这几个选项卡而已如果你要统一修改这些成批对象的属性比如说它们属于那些组你要修改的是其他属性只靠Windows server 2003多重对象属性去编辑是没办法的根本都没有这些选项卡给我们编辑我们还是非常有必要用 ADModify这个工具去统一修改它们按Next

因为这台计算机的名称叫做London 域名叫做yejunsheng.com 所以在Select Domain Controller那一项选择london.yejunsheng.com 展开OU=人事部按李俊李丽按Add To List把它们添加到右边按Shift键把它们全选按Next

大家可以看到现在可以编辑的属性特别多了常规地址用户配置文件夹电话组织等等比如我现在编辑账户属性把Passwork Never Expires那一项沟上也可以把下面那二项沟上按Change就ok了这个工具即使是在Windows Server 2003当中也是有必要使用的它能够帮助我们统一修改一些多重对象属性所不能编辑到的属性

简化管理-保存的查询:指保存在活动目录用户和计算机查询:可以像文件夹一样访问只显示基于查询条件的一个对象的集合例如-定义查询显示账户基于:用户/组的名称或者描述账户和密码状态上次登录以来的天数

简化管理-创建保存的查询:使用活动目录和计算机创建保存的查询新查询:定义查询的根:查询位置的开始查询用户,打印机,共享对象等等定义变量查询可以被导出可以导入到其他"活动目录用户和计算机"控制台

简化管理-保存的查询使用场景: 场景:显示你管理的用户和组显示用户账号那些被禁用那些密码设置为密码永不过期的那些一个月没有登录的好处:从保存的查询文件夹执行任务不需要遍历域组织单元和容器的层次结构查找对象

打开Active Directory用户和计算机后按在Active Directory中查找对象那个键来查找用户如果你想更快地查找用户你可以新建一个快捷方式对着桌面右键--新建--选择快捷方式在请键入项目的位置里面输入rundll32 dsquery.dll,OpenQueryWindow 接着按下一步按完成就ok了以后你想查用户的话就直接在桌面上双击rundll32.exe这个文件就可以了对着保存的查询右键--选择新建--按查询名称就叫做所有部门经理吧按定义查询在查找那一项选择用户联系人及组按高级按字段--按用户--选择工作职称在值那一项里面就输入部门经理吧按添加按确定后就可以看到它转换成一些LDAP的过滤器通过这样的方式可以查询不同OU里面的用户其实李丽李俊李钢是在不同的OU里面而现在我们就可以通过这样的方式把它们查出来并且可以把这个结果保存下来在查找里面选择自定义搜索范围选择整个目录按字段--按用户--选择名称在值里面输入李按开始查找后就可以看到李丽李俊李钢这三个用户了

简化管理:ldap过滤器语法:等式 <attr>=<value> (sn=Dan) 近似 <attr>~=<value> (sn~=Dann) 子串 <attr>=[<leading>] * [<any>] * [<trailing>] (sn=Da*) 语法 (续):大于等于: <attr>>=<value> (sn<=Dan) 小于等于:<attr><=<value> (sn<=Dan) 当前默认:<attr>=* (objectClass=*) 与 (&(<filter1>) (<filter2>)) (&(objectClass=user) (sn=Dan) 或 (l(<filter1>) (<filter2>)) (l(sn=Dan) (sn=T*) 非 (!(<filter1>)) (!(sn=Dan))

简化管理:ldap filter使用场景场景:查询所有被锁定的用户账号好处:更方便灵活随心所欲地查询活动目录对象

通过开始--程序--管理工具--选择域安全策略展开安全设置--按账户锁定策略双击账户锁定阈值设置为5次无效登录就锁定该账户了就是说在30分钟内输入5次错误密码该账户就被锁定了通过开始--运行--输入gpupdate /force按确定来刷新组策略

我现在来到一台Windowsxp客户端它是yejunsheng.com这个域中的一台客户机我用李丽这个用户登录前5次输入错误的密码第6次再输入正确的密码按确定这个时候可以看到你的账房已被锁定,你不能登录.请与系统管理员联系就是说只要你在30分钟之内输入5次错误密码该账户就已经被锁定了就算第6次输入正确的密码也没有用了

首先安装Windows Server 2003光盘里面的SUPPORT--TOOLS--双击SUPTOOLS.MSI这个软件通过开始--运行--输入adsiedit.msc按确定找到OU=人事部对着李丽李俊右键--选择属性找到lockoutTime那一项李俊Value那一项没有设置(Not Set) 而李丽Value那一项的值为128530585809531250表示该账户已经被账定了

打开Active Directory用户和计算机后对着保存的查询右键--选择新建--按查询新查询的名称就叫做所有被锁定的用户吧按定义查询在查找里面选择自定义搜索按高级在输入LDAP查询里面输入(&(objectcategory=person)(objectclass=user)(lockoutTime>1))按确定这个时候就可以就可以把李丽导出来了对着李丽右键--选择属性把账户锁定的沟去掉就ok了这样就可以完成解锁了

还有一种方法是李丽这个用户发现它的账户已经被锁定了她打电话过来叫你去帮她解锁你可以打开Active Directory用户和计算机对着李丽这个用户右键--选择属性按账户直接把账户已锁定的沟去掉按确定就ok了

大家看到了吗？我刚才已经帮李丽这个用户解锁了现在她可以用她的账户登录进来yejunsheng.com这个域中了

命令行活动目录工具:Dsadd:添加活动目录对象,例如用户,组,组织单元 Dsget:显示一个活动目录对象的属性 Dsmod:修改一个已经存在的活动目录对象 Dsmove:移动或者重命名一个活动目录对象 Dsquery:查询和列出活动目录对象 Dsrm:删除活动目录对象

简化管理:活动目录工具使用场景:批量创建用户批量查询满足条件的用户并删除批量修改用户对象的属性 ........ .......

连接小型办公室-从副本创建DC应用场景: 场景：远程办公室需要域控制器远程办公室使用很低的带宽好处:允许还原活动目录数据而不是跨广域网复制

转载于:https://blog.51cto.com/yejunsheng/162195

Windows Server 2003活动目录:管理特征相关推荐

《Windows Server 2012活动目录管理实践》目录15-28章
·· 467目录第15章管理只读域控制器471 15.1 只读域控制器基本知识·· 471 15.1.1 活动目录数据库复制方向·· 471 15.1.2 密码复制策略·· 472 15.1.3 R ...
Windows server 2012 活动目录回收站
Windows server 2012 活动目录回收站相比Windows 2008 R2活动目录回收站,Windows Server 2012活动目录回收站功能,操作更简单,更方便. 要求: 将林和 ...
windows server 2016 活动目录部署系列（七）活动目录的授权还原
一.问题描述如果域中存在多个域控制器,但每个域拥有的活动目录( Active Directory) 内容不相同,此时应该以哪个域控制器的活动目内容为准? 出现该问题的情形如:假如一个域控下存在多个域 ...
windows server 2016 活动目录部署系列（四）资源的权限分配
一.实现效果 1.1.前提客户端需要加入域且创建域用户: windows server 2016 活动目录部署系列(三)加入域且创建域用户https://coffeemilk.blog.csdn.n ...
windows server 2016 活动目录部署系列（五）域控制器的备份和还原
一.问题说明目前我们已经搭建好基础域环境内容,并且进行了域账号的创建和资源的权限分配:已经能够正常运行满足基础的业务需要. 但是,由于我们搭建的基础域模型是单一架构,并没有冗余设计,这样就会 ...
windows server 2016 活动目录部署系列（二）创建域控制器（AD DS）
一.准备内容 ①安装Windows Server 2016系统在VMware WorkStation中安装Windows Server 2016https://coffeemilk.blog.csd ...
windows server 2012 活动目录部署
windows server 2012安装活动目录总结安装windows server 2012 之后,再安装活动目录 1 先设置静态的IP地址,并且将DNS的地址指向本机,即本机IP地址或者127 ...
实战：Windows Server 2008 活动目录传送和争夺操作主控角色
实战:传送和争夺操作主控角色当创建Windows Server 2008域时,Windows Server 2008将自动配置所有的操作主控角色.不过,给目录林或域内的另一个域控制器重新分配操作主控 ...
Windows Server 2012活动目录基础配置与应用（新手教程）之4---域用户的基本管理...
下面分几种方式介绍域用户的创建. 1.图形化界面(前文已介绍) STEP1:以自己的名称新建一个账户(或者使用已存在的账户,以自己的名字命名),按如下示例修改该账户的属性: STEP2:每个人为自己所 ...

Windows Server 2003活动目录:管理特征

Windows Server 2003活动目录:管理特征相关推荐

最新文章

热门文章