簡化管理:拖曳? 多重對象屬性? 保存的查詢? 命令行工具?? 連接小型辦公室:從副本創建DC?? 簡化管理的目標:使每天的任務更容易? 使UI界面更友好 更容易查找對象:你管理的用戶和組?? 更容易實現自動化:提供了一些工具使制作腳本更容易? 自動完成重復的任務? 簡化管理-拖曳:拖曳功能是2003活動目錄的新支持的功能:活動目錄用戶和計算機? 活動目錄站點和服務? 友好的UI:更像其他的管理工具? 拖曳用戶對象:到新的容器或者組織單元? 到新的組?? 簡化管理-拖曳使用場景? 場景:更新賬戶? 添加用戶或組到新的組 移動一個服務器到新的站點? 好處:不需要打開用戶屬性? 完成同樣的任務只需要很少次的點擊? 像其他標準的工具一樣操作?? 簡化管理-多重對象屬性:指可以同時編輯多個對象的屬性:活動目錄和計算機? 友好的UI:更像其他的管理工具?? 簡化管理-多重對象屬性使用場景:? 場景:需要讓所有用戶在第二天登錄時修改密碼? 需要為所有用戶設置漫游配置文件 .........?? ..........?? 好處:可以避免重復執行機同的任務? 我提前新建了3個OU(組織單位)? 它們分別叫做人事部? 財務部? 銷售部? 并且在每個OU里面創建了一個組?? 它們分別叫做人事部經理組? 財務部經理組? 銷售部經理組? 人事部里面創建了一個叫做李俊的用戶? 財務部里面創建了一個叫做李鋼的用戶? 銷售部創建一個叫做李麗的用戶 假如李麗在銷售部做得不好??? 現在把她轉到人事部了? 如果是Windows Server 2000的活動目錄就對著李麗右鍵--選擇移動--按人事部--按確定? Windows Server 2003也可以這樣操作? 但是Windows Server 2003還有一個新功能可以支持拖曳? 就是說按住李麗這個用戶不放 直接拖曳到人事部就ok了? 現在假設李麗這個人轉到人事部以后工作做得非常不錯 公司決定把她提升為人事部的經理了 這個時候它和李俊是并級的 需要把李麗直接加入人事部經理組 獲得人事部經理組可以訪問的文件資源或者是打印資源 對著李麗右鍵--選擇屬性--按隸屬于--按添加 在輸入對象名稱來選擇(示例)(E):里面輸入人事部經理組? 按確定就可以了? 但是這樣操作不方便? 如果有多個用戶并且在不同的OU下面 這樣操作起來很麻煩的 不過還有一種簡單的方法 可以用拖曳的方法 在Active Directory 用戶和計算機里面--按查看--按用戶.組和計算機作為容器?? 這個時候就可以把李麗這個人直接拖曳到人事部經理組了 現在李麗和李俊都是人事部的經理了 公司要求從它們更改新密碼? 我先在C盤里面創建一個叫做home的文件夾并且把它共享出來 對著home這個文件夾右鍵--選擇共享和安全? 共享名為home&?? home&表示是一個隱藏共享文件夾? 在Active Directory用戶和計算機里面按查看--按用戶.組和計算機作為容器 先把它的溝去掉? 把李麗和李俊全部選定右鍵--選擇屬性?? 可以看到多重項目的屬性了? 按賬戶 把用戶下次登錄時須更改密碼溝上?? 按應用 按配置文件? 因為我現在使用的這臺域控制器的計算機名稱叫做London? 所以在配置文件路徑里面輸入\\London\home&\%username%?? 溝上主文件夾? 在連接里面選擇Q到\\London\home&\%username%? 也就是說我現在要給他們映射一個網絡驅動器叫做Q盤符? 就是說這些用戶將映射一個Q盤符 不管這些用戶在域中的那一臺計算機用戶登錄都可以看到一個叫做Q的網絡驅動器了? 它們也可以在Q盤符里面存儲東西了 而這些東西都是存儲到服務器里面 如果你怕它們亂存儲一些跟工作沒相關的東西? 你也可以對它們的容量進行限制?? 比如說我現在只想每個用戶只有16M的空間? 就在域控制器里面對著C盤右鍵--選擇屬性--按配額? 把啟用配額溝上 把拒絕將磁盤空間給超過配額限制的用戶溝上 在將磁盤空間限制為那一項輸入16MB? 將警告等級設為15MB吧? 就是說當用戶使用到15MB的時候就發出一個警告了? 按確定就ok了 現在假設李俊這個用戶登錄系統了? 輸入用戶和密碼 按確定后就可以看到提示第一次登錄時必需更改密碼? 按確定? 輸入舊密碼 新密碼? 按確定就可以了 這個時候可以看到您的密碼已更改? 按確定就進入系統了 現在可以看到李俊這個用戶登錄進來可以看到一個叫做"London\home&"上的李俊(Q)的網絡驅動器了? 對著"London\home&"上的李俊(Q)這個網絡驅動器右鍵--選擇屬性? 可以看到容量只有16MB?? 因為我剛才在域控制器里面已經限制網絡驅動器空間的大小了? ADModify這個軟件可以到網上下載 通過它我們可以在Windows Server 2000活動目錄里面去批量地修改用戶賬戶的屬性 比如說要統一設置這些賬戶過期的屬性 什么時候過期 這個工具也比較適合在Windows server 2003上使用? 為什么呢？Windows server 2003不是可以直接修改多重項目的屬性嗎？? 但是我們發現設置屬性的時候能夠設置的屬性并不多 只有常規 賬戶配置文件 單位這幾個選項卡而已? 如果你要統一修改這些成批對象的屬性 比如說它們屬于那些組 你要修改的是其他屬性? 只靠Windows server 2003多重對象屬性去編輯是沒辦法的? 根本都沒有這些選項卡給我們編輯? 我們還是非常有必要用 ADModify這個工具去統一修改它們? 按Next 因為這臺計算機的名稱叫做London? 域名叫做yejunsheng.com??? 所以在Select Domain Controller那一項選擇london.yejunsheng.com????? 展開OU=人事部? 按李俊 李麗 按Add To List把它們添加到右邊? 按Shift鍵把它們全選? 按Next 大家可以看到現在可以編輯的屬性特別多了? 常規 地址? 用戶? 配置文件夾? 電話? 組織等等? 比如我現在編輯賬戶屬性? 把Passwork Never Expires那一項溝上? 也可以把下面那二項溝上 按Change就ok了 這個工具即使是在Windows Server 2003當中也是有必要使用的 它能夠幫助我們統一修改一些多重對象屬性所不能編輯到的屬性 簡化管理-保存的查詢:指保存在活動目錄用戶和計算機查詢:可以像文件夾一樣訪問? 只顯示基于查詢條件的一個對象的集合? 例如-定義查詢顯示賬戶基于:用戶/組的名稱或者描述? 賬戶和密碼狀態? 上次登錄以來的天數 簡化管理-創建保存的查詢:使用活動目錄和計算機創建保存的查詢? 新查詢:定義查詢的根:查詢位置的開始? 查詢用戶,打印機,共享對象等等? 定義變量? 查詢可以被導出? 可以導入到其他"活動目錄用戶和計算機"控制臺 簡化管理-保存的查詢使用場景:?? 場景:顯示你管理的用戶和組? 顯示用戶賬號? 那些被禁用? 那些密碼設置為密碼永不過期的? 那些一個月沒有登錄的? 好處:從保存的查詢文件夾執行任務? 不需要遍歷域 組織單元和容器的層次結構查找對象 打開Active Directory用戶和計算機后? 按在Active Directory中查找對象那個鍵來查找用戶? 如果你想更快地查找用戶? 你可以新建一個快捷方式? 對著桌面右鍵--新建--選擇快捷方式? 在請鍵入項目的位置里面輸入rundll32 dsquery.dll,OpenQueryWindow 接著按下一步 按完成就ok了?? 以后你想查用戶的話就直接在桌面上雙擊rundll32.exe這個文件就可以了? 對著保存的查詢右鍵--選擇新建--按查詢 名稱就叫做所有部門經理吧? 按定義查詢 在查找那一項選擇用戶 聯系人及組 按高級 按字段--按用戶--選擇工作職稱? 在值那一項里面就輸入部門經理吧 按添加? 按確定后就可以看到它轉換成一些LDAP的過濾器? 通過這樣的方式可以查詢不同OU里面的用戶? 其實李麗 李俊 李鋼是在不同的OU里面 而現在我們就可以通過這樣的方式把它們查出來并且可以把這個結果保存下來? 在查找里面選擇自定義搜索? 范圍選擇整個目錄? 按字段--按用戶--選擇名稱? 在值里面輸入李? 按開始查找后就可以看到 李麗? 李俊? 李鋼 這三個用戶了 簡化管理:ldap過濾器?? 語法:等式? <attr>=<value>? (sn=Dan)? 近似? <attr>~=<value>? (sn~=Dann)? 子串? <attr>=[<leading>] * [<any>] * [<trailing>]? (sn=Da*)??? 語法 (續):大于等于:? <attr>&gt;=<value>? (sn<=Dan) 小于等于:&lt;attr><=&lt;value> (sn<=Dan) 當前默認:&lt;attr>=* (objectClass=*)?? 與 (&(<filter1>) (<filter2>)) (&(objectClass=user) (sn=Dan)? 或 (l(<filter1>) (<filter2>))? (l(sn=Dan) (sn=T*)? 非 (!(<filter1>)) (!(sn=Dan)) 簡化管理:ldap filter使用場景?? 場景:查詢所有被鎖定的用戶賬號? 好處:更方便靈活 隨心所欲地查詢活動目錄對象? 通過開始--程序--管理工具--選擇域安全策略? 展開安全設置--按賬戶鎖定策略?? 雙擊賬戶鎖定閾值 設置為5次無效登錄就鎖定該賬戶了?? 就是說在30分鐘內輸入5次錯誤密碼該賬戶就被鎖定了? 通過開始--運行--輸入gpupdate /force按確定來刷新組策略 我現在來到一臺Windowsxp客戶端 它是yejunsheng.com這個域中的一臺客戶機 我用李麗這個用戶登錄 前5次輸入錯誤的密碼? 第6次再輸入正確的密碼?? 按確定? 這個時候可以看到你的賬房已被鎖定,你不能登錄.請與系統管理員聯系?? 就是說只要你在30分鐘之內輸入5次錯誤密碼該賬戶就已經被鎖定了 就算第6次輸入正確的密碼也沒有用了? 首先安裝Windows Server 2003光盤里面的SUPPORT--TOOLS--雙擊SUPTOOLS.MSI這個軟件? 通過開始--運行--輸入adsiedit.msc按確定 找到OU=人事部?? 對著李麗 李俊右鍵--選擇屬性?? 找到lockoutTime那一項?? 李俊Value那一項沒有設置(Not Set)? 而李麗Value那一項的值為128530585809531250表示該賬戶已經被賬定了?? 打開Active Directory用戶和計算機后? 對著保存的查詢右鍵--選擇新建--按查詢?? 新查詢的名稱就叫做所有被鎖定的用戶吧 按定義查詢? 在查找里面選擇自定義搜索?? 按高級?? 在輸入LDAP查詢里面輸入(&(objectcategory=person)(objectclass=user)(lockoutTime&gt;1))按確定?? 這個時候就可以就可以把李麗導出來了? 對著李麗右鍵--選擇屬性? 把賬戶鎖定的溝去掉就ok了 這樣就可以完成解鎖了 還有一種方法是李麗這個用戶發現它的賬戶已經被鎖定了? 她打電話過來叫你去幫她解鎖?? 你可以打開Active Directory用戶和計算機 對著李麗這個用戶右鍵--選擇屬性? 按賬戶? 直接把賬戶已鎖定的溝去掉? 按確定就ok了 大家看到了嗎？我剛才已經幫李麗這個用戶解鎖了?? 現在她可以用她的賬戶登錄進來yejunsheng.com這個域中了 命令行活動目錄工具:Dsadd:添加活動目錄對象,例如用戶,組,組織單元? Dsget:顯示一個活動目錄對象的屬性? Dsmod:修改一個已經存在的活動目錄對象? Dsmove:移動或者重命名一個活動目錄對象 Dsquery:查詢和列出活動目錄對象? Dsrm:刪除活動目錄對象? 簡化管理:活動目錄工具使用場景:批量創建用戶? 批量查詢滿足條件的用戶并刪除? 批量修改用戶對象的屬性 ........? ....... 連接小型辦公室-從副本創建DC應用場景: 場景：遠程辦公室需要域控制器? 遠程辦公室使用很低的帶寬? 好處:允許還原活動目錄數據而不是跨廣域網復制

轉載于:https://blog.51cto.com/yejunsheng/162195

總結

以上是生活随笔為你收集整理的Windows Server 2003活动目录:管理特征的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。