域用户帐户和组的管理

域用户帐户和组的管理（以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP 操作系统可能会有所不同）很多企业都会用到域环境来实现管理，域

域用户帐户和组的管理

（以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP 操作系统可能会有所不同）

很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU 等对象。

一、域用户帐户的特点

和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。

附注：

在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。

本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。

二、管理工具

要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“ ”号展开该域

展开后可以找到“users ”管理单元，点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后，原来的本地用户和组帐号都没有了，这些对象会变成域用户帐号和域本地组，并被放在该“users ”管理单元内。

三、OU （组织单位）

在域中有很多的对象，包括用户帐户、组、共享文件夹和共享打印机等。这些对象都是集中存储在活动目录中并使用“AD 用户与计算机”管理工具来进行管理。但如果这些大量的对象都放在“users ”管理单元内进行管理，会带来一定的不便，例如不便于查找、难于设置策略等。

所以为了更好的组织和管理这些对象，引入的“OU ”的概念。OU 又叫组织单位，它是一个容器，主要的作用就是用来组织和管理这些对象的。为了便于日后的管理，我们一定的设计好OU 的结构。

OU 结构的划分有几种不同的方法，例如：

按对象类型来划分。该划分方法是创建几个OU ，不同的OU 放不同的对象，比如一个OU 放用户帐户，另一个OU 放计算机帐户等；

按企业的组织结构来划分。方法是为不同的部门创建不同的OU ，把属于每个部门的对象都放在一个OU 里，比如财务部的OU 放财务部的用户帐户、财务部的计算机帐户和组等，而业务部的OU 放业务部的用户帐户、业务部的计算机帐户和组等。这是一种常用的方法；

按地区来划分。该方法主要用在有分支机构的企业，分别为不同的分支机构创建不同的OU ，然后把属于该分支机构的所有对象都放在相应的OU 里。比如一个企业有广州总公司、上海分公司和北京分公司，那么就分别为这三个分公司建立三个OU ，一个OU 放广州总公司的对象，一个放上海分公司的对象，还有一个放北京分公司的对象；

混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合，先为不同分支机构创建OU ，再在不同的分支机构的OU 里按组织结构来创建子OU 。这也是一种常用的方法。

要创建一个OU ，在“AD 用户和计算机”管理工具里右击域名，在弹出的快捷菜单中选择新建，在子菜单中选择“组织单位”

在“新建对象 - 组织单位”对话框中输入组织单位的名称，例如：XXX 公司

按“确定”后完成了一个OU 的创建

要在该OU 里创建子OU ，右击该OU ，同样在弹出的快捷菜单中选择新建组织单位，分别为不同的部门创建不同的OU ，完成后如下图所示

四、为用户创建帐户

要在OU 里为域用户创建用户帐户，右击一个OU ，在弹出的快捷菜单中选择“新建”，并在子菜单中选择“用户”

在出现的“新建对象 - 用户”对话框中，为用户分别输入“姓”和“名”，并在“用户登录名”中输入用户用来登录系统的登录名，该登录名和电子邮件的地址非常象，如：。前面的姓名是用户的显示名，显示名在同一个OU 里必须是唯一的，而用户的登录名在同一个域里必须是唯一的。

按下一步后进入另一个对话框，该对话框要求为域用户输入一个初始密码，并确保勾选“用户下次登录时须更改密码”选项。

下一步后按“完成”按钮完成用户帐户的创建。

五、限制用户能登录的计算机

在域环境下，一个域用户帐户默认是可以登录到域中任意一台计算机的（DC 除外），这样为用户提供了方便。因为假设用户正在使用的计算机出现故障了，需要维修，那么该用户可以用他自己的域用户帐户在其它计算机上登录域，继续完成自己未完成的工作，继续使用域中的资源而不会受到影响，但工作组却没有提供这样的方便。

但是如果我们需要限制用户只能使用某些计算机来登录域，那么可以通过设置用户帐户的属性来实现。

打开要进行限制的用户帐户的属性，找到“帐户”选项卡，点击“登录到”按钮

在打开的“登录工作站”对话框中，可以看到默认的设置是用户可以登录到“所有计算机”，要进行限制，选择“下列计算机”单选按钮，并在“计算机名”文本框内输入只允许用户在其上登录的计算机名并点击“添加”按钮。如果有必要，可以添加多台计算机。

完成后，该用户只能在指定的计算机上登录，而不能在未指定的计算机上登录到域。

六、限制用户登录域的时间

在默认设置下，域用户可以在任何时间登录到域，但如果想限制用户只能在某些时间才允许登录到域，而其它时间不能登录到域，比如说公司规定只有在星期一到五的8：00到18：00这段时间可以登录到域，而其它时间不能登录到域，则可以通过设置用户帐户的属性来实现。

打开用户帐户的属性对话框，找到“帐户”选项卡，点击“登录时间... ”按钮

在打开的“XX 的登录时间”对话框中，选定特定的时间段，并选择“允许登录”或“拒绝登录”，确定。

七、设置漫游配置文件

1、什么是配置文件：

配置文件是用于保存特定用户工作环境的特殊文件（一组文件）。用户工作环境包括：用户的桌面设置、应用程序设置、用户的“我的文档”、收藏夹、开始菜单、临时文件等设置。每个用户都有属于自己的配置文件。

当一个用户在一台计