用戶是域中最小的獨立個體，用戶可以被包容在組、組織單位中。用戶是AD DS域服務(wù)的基礎(chǔ)，是AD DS域服務(wù)管理對象，用戶可以被組織單位中的策略管理，對管理員來說，管理用戶是最基礎(chǔ)也是最重要的工作。創(chuàng)建用戶之前，需要為用戶安排合適的位置，例如用戶A在某個組織單位及其子組織單位中的某個組中，該用戶的顯式身份應(yīng)該和企業(yè)的行政管理架構(gòu)相對應(yīng)。對用戶的管理將涉及組織單位的管理、組的管理以及用戶的管理。本章將從這3方面入手，介紹用戶的管理。

4.1 組織單位

組織單位主要用于在域中組織和管理對象（例如用戶賬號、計算機賬號等），以及發(fā)布管理策略。管理員可以根據(jù)企業(yè)的實際IT管理模型來創(chuàng)建組織單位架構(gòu)，然后將用戶賬號或其他相應(yīng)的被管理對象加入到組織單位，也可以為每個組織單位指派一名管理員來管理自己的組織單位，也可以根據(jù)不同部門的具體需求來為每個組織單位創(chuàng)建不同的組策略以簡化管理和提高安全性。善用組織單位，能盡量避免形成多域架構(gòu)，體現(xiàn)“分層負責、授權(quán)自治”的特點。

4.1.1 創(chuàng)建組織單位

部署組織單位之前，管理員可參考企業(yè)的行政管理架構(gòu)、業(yè)務(wù)架構(gòu)、地理位置等模型規(guī)劃組織單位。規(guī)劃基本原則是“簡單性+適用性=可持續(xù)性”。如果設(shè)計過于簡單，則它可能并不適用，因此將不得不過于頻繁地進行更改。如果設(shè)計適用性過強，則所有內(nèi)容都將被分類，

這會使情況變得過于復雜。

第1步，選擇“開始”→“管理工 具”→“Active Directory用戶和計算機”選項，顯示“Active Directory用戶和計算機”窗口。選擇“Active Directory用戶和計算機”→“book.com”選項，顯示如圖4-1所示的“Active Directory用戶和計算機”窗口。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“新建”選項，在彈出的級聯(lián)菜單中選擇“組織單位”命令，顯示如圖4-2所示的“新建對象-組織單位”對話框。在“名稱”文本框中，鍵入組織單位的名稱。

第3步，單擊“確定”按鈕，組織單位創(chuàng)建完成，如圖4-3所示。

第4步，組織單位支持嵌套功能，可以在新建的組織單位下面，使用同樣的方法再創(chuàng)建新的組織單位。創(chuàng)建完成的組織單位架構(gòu)如圖4-4所示。

4.1.2 移動組織單位

本節(jié)介紹如何將一個組織單位移動到其他的組織單位，或者容器中。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“辦公室”→“行政處”選項，如圖4-5所示。

第2步，右擊“行政處”，在彈出的快捷菜單中選擇“移動”命令，顯示如圖4-6所示的“移動”對話框。

第3步，選擇目標容器，單擊“確定”按鈕，即可將選擇的組織單位移動新的容器中，如圖4-7所示。

第4步，選擇“移動命令”后，顯示如圖4-8所示的“Active Directory域服務(wù)”對話框，選擇的組織單位不能被移動到目標容器中，原因是創(chuàng)建組織單位時選擇了“防止容器被意外刪除”選項。刪除設(shè)置為“防止容器被意外刪除”選項的組織單位，首先需要取消“防止容器被意外刪除”安全選項，然后正常移動即可。

提示

Windows Server 2008操作系統(tǒng)支持“拖曳”功能，鼠標左鍵選擇需要移動的組織單位，按住左鍵，將組織單位拖動到目標容器上，放開左鍵即可完成完成組織單位的移動。

4.1.3 刪除組織單位

本節(jié)介紹在一個組織單位完成管理任務(wù)時，如何刪除組織單位。建議，在實際工作中除非十分必要，否則不建議刪除組織單位，可以保留組織單位，禁用組織單位下的用戶。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“北京分公司”→“行政處”選項，如圖4-9所示。

第2步，右擊“行政處”，在彈出的快捷菜單中選擇“刪除”命令，顯示如圖4-10所示的“Active

Directory域服務(wù)”對話框。

第3步，單擊“是”按鈕，即可刪除選擇的組織單位。

第4步，如果顯示如圖4-11所示的“Active Directory域服務(wù)”對話框，將不能刪除選擇的組織單位。原因為創(chuàng)建

組織單位時選擇了“防止容器被意外刪除”選項。刪除設(shè)置為“防止容器被意外刪除”選項的組織單位，首先需要取消“防止容器被意外刪除”安全選項，然后正常刪除即可。

4.1.4 查找組織單位

當域內(nèi)的組織單位達到一定數(shù)量后，管理員可能忘記組織單位的正確位置，查找功能即可幫助管理員快速的定位到指定目標。

第1步，打開“Active Directory用戶和計算機”窗口，右擊“book.com”，在彈出的快捷菜單中選擇“查找”命令，顯示如圖4-12所示的“查找用戶、聯(lián)系人及組”窗口。

第2步，在“查找”下拉列表框中，選擇“組織單位”選項，在“范圍”下拉列表框中選擇查找的范圍，在“名稱”文本框中鍵入需要查找的組織單位名稱，如圖4-13所示。

第3步，單擊“開始查找”按鈕，在“搜索結(jié)果”列表中，顯示查找的結(jié)果，如圖4-14所示。

4.2 組

組是一批具有相同管理任務(wù)的用戶和計算機賬戶的集合。在Windows Server 2008 R2的AD DS域服務(wù)中，根據(jù)類型分為安全組和分發(fā)組，根據(jù)組作用域范圍又分為全局組、域本地組和通用組。組的類型決定組可以管理哪些類型的任務(wù)，組作用域決定組的應(yīng)用范圍。安全組主要用來管理對資源的訪問，分發(fā)組主要用來規(guī)劃用戶的電子郵件接收人列表。

4.2.1 組類型簡介

Windows Server 2008 R2提供了兩種組類型：安全組和分發(fā)組。

1. 安全組

顧名思義，安全組是用來設(shè)置有安全權(quán)限相關(guān)任務(wù)的用戶或者計算機賬戶集合。安全組中的成員會自動繼承其所屬安全組的所有權(quán)限。使用安全組可以執(zhí)行以下操作。

（1）分配用戶權(quán)限

將用戶權(quán)限分配給安全組，以確定該組成員在作用域內(nèi)可執(zhí)行的操作。在安裝AD DS域服務(wù)時會自動將用戶權(quán)限分配給某些安全組，并定義用戶在域中的管理角色。例如，添加到“備份操作員”組的用戶能夠備份和還原域中各個域控制器上的文件和目錄。

（2）將資源權(quán)限分配給安全組

資源權(quán)限確定可以訪問共享資源的對象，并確定訪問級別，例如“完全控制”權(quán)限，建議使用安全組來管理對共享資源的訪問和權(quán)限。

（3）發(fā)送電子郵件

安全組具有分發(fā)組的全部功能，也可用作電子郵件實體。當向安全組發(fā)送電子郵件時，會將郵件發(fā)給安全組的所有成員。

2. 分發(fā)組

顧名思義，分發(fā)組是用于用戶之間通信的組，使用分發(fā)組可以向一組用戶發(fā)送電子郵件，分發(fā)組典型應(yīng)用是Microsoft Exchange Server中的用戶組，可以向一組用戶發(fā)送電子郵件。分發(fā)組部分內(nèi)容，參考【用戶電子郵件】部分。

4.2.2 組作用域

Windows Server 2008中，根據(jù)組作用域不同，可以分為：全局組、通用組、域本地組。

1. 全局組

全局組屬于某個域，但是作用域是整個森林。全局組的成員只能是本地的域中的用戶或者計算機賬戶，可以訪問在森林任何域里的資源。全局組可以全局使用，即：可在本域和有信任關(guān)系的其他域中使用，體現(xiàn)的是全局性。

全局組的作用域，只能在創(chuàng)建該全局組的域上添加用戶、計算機賬戶和其他全局組，全局組可以嵌套在其他組中，支持全局組嵌套，即可以將某個全局組添加到同一個域上的另一個全局組中，或添加到同一個森林其他域的通用組和域本地組中（不能加入到同一個森林其他域的全局組中）。雖然可以利用全局組授予訪問任何域資源的權(quán)限，但一般不直接用它來進行權(quán)限管理。

2. 通用組

通用組不屬于任何域，通常用于域間訪問。通用組的成員可以訪問在森林任何域里的資源。通用組以從任何域中添加用戶和組，可以嵌套于其他域組中。通用組存儲在全局編錄（GC）中，通用組名稱必須在整個森林里是唯一的。由于GC中不僅包含通用組，還包含有通用組的成員信息，因此每次對通用組的修改（成員增加/刪除），都會引發(fā)GC復制流量。所以，通用組的成員不要經(jīng)常頻繁地發(fā)生變化，否則會帶來大量的復制流量。在Active Directory中的用戶在登錄時，需要向GC查詢用戶的通用組成員身份，所以在GC不可用時，活動目錄中的用戶有可能不能正常訪問網(wǎng)絡(luò)資源。

3. 域本地組

域本地組只能在本域的域控制器上使用，域本地組的成員只能訪問本地的資源。本地域組可以從域添加用戶、通用組和全局組。域本地組不能嵌套于其他組中，主要是用于授予訪問本域資源權(quán)限。本地域組的成員可以包括Windows Server 2003、Windows 2000 Server、Windows NT和Windows Server 2008域中的其他組和賬戶，僅能在域內(nèi)為這些組的成員分配權(quán)限。

4. 組類型更改

組有兩種類型安全組和分發(fā)組，組類型之間可以相互轉(zhuǎn)換。如果要更改組類型，必須是AD DS域服務(wù)中Account Operators組、Domain Admins組或Enterprise Admins組的成員，或者被委派適當?shù)臋?quán)限。Windows Server 2008的域功能級別設(shè)置為Windows 2000本機或更高。域功能級別被設(shè)置為Windows 2000混合時無法轉(zhuǎn)換組。

5. 更改組作用域

創(chuàng)建新組時，在默認情況下新組配置為具有全局安全組，與當前域功能級別無關(guān)。域功能級別設(shè)置為Windows 2000本地以上的功能級別中，允許進行下列轉(zhuǎn)換：

● 全局安全組到通用安全組，只有當要更改的組不是另一個全局的成員時，允許進行該轉(zhuǎn)換。

● 本地域組到通用安全組，只有當要更改的組沒有另一個“本地域組”作為其成員時，允許進行該轉(zhuǎn)換。

● 通用安全組到全局安全組，只有當要更改的組沒有另一個“通用組”作為其成員時，允許進行該轉(zhuǎn)換。

● 通用安全組到本地域組，該操作沒有限制。

6. 組部署原則

Windows Server 2008服務(wù)器操作系統(tǒng)中組功能十分強大，在部署資源訪問時，建議遵守AGDLP和AUDLP原則。

管理組的實質(zhì)是對用戶的管理，因此對用戶的規(guī)劃建議遵循以下原則：

● 相同部門的人在同一個組內(nèi)。

● 將對于某個資源（打印機、共享文件夾訪問等）具有相同使用權(quán)限的人員規(guī)劃成同一個組。

如果要在域林中實現(xiàn)對于資源（文件夾或打印機）的訪問授權(quán)，建議使用“AGDLP”原則和“AUDLP”原則。首先把用戶（Account）加入到全局組（Global Group）或者通用組（Universal Group）中，然后把全局組加入到域本地組（Domain Local Ggroup，可以是本域或其他域的域本地組），最后對于域本地組進行授權(quán)（Permissions）。“AGDLP”部署完成后，當給一個用戶賦予某一個權(quán)限時，只要把這個用戶加入到某一個全局組即可。

在單域網(wǎng)絡(luò)中，“全局組”與本地域組配合使用，遵循以下原則：

● 將用戶加入到“全局組”內(nèi)。

● 將此“全局組”加入到“本地域組”內(nèi)。

● 指派適當?shù)臋?quán)限給此“本地域組”。

4.2.3 創(chuàng)建組

創(chuàng)建“本地域組”、“安全組”以及“通用組”操作過程完全相同，下面以創(chuàng)建“全局組”為例說明。

第1步，選擇“開始”→“管理工具”→“Active Directory用戶和計算機”選項，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“北京分公司”選項，如圖4-15所示。

第2步，右擊“北京分公司”，在彈出的快捷菜單中選擇“新建”→“組”命令，顯示如圖4-16所示的“新建對象-組”對話框。在“組名”文本框中，鍵入組在當前域中唯一名稱。在“組作用域”區(qū)域中，選擇“全局”選項。在“組類型”區(qū)域中，選擇“安全組”選項。

第3步，單擊“確定”按鈕，完成新組的創(chuàng)建，如圖4-17所示。

如果用戶不再使用，就可以將其刪除。

在“Active Directory用戶和計算機”窗口中選擇欲刪除的組，右擊并在彈出的快捷菜單中選擇“刪除”命令，顯示如圖4-18所示的“Active Directory域服務(wù)”對話框，單擊“是”按鈕，將刪除選擇的組。

4.2.4 移動組

移動組，將組從一個組織單位移動到其他的組織單位。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“北京分公司”選項，右擊“新聞記者組”，在彈出的快捷菜單中選擇“移動組”命令，如圖4-19所示。

第2步，顯示如圖4-20所示的“移動”對話框，在“將對象移動到容器”列表中，選擇目標位置。

第3步，單擊“確定”按鈕，即可將選擇的組移動到目標位置，該組中的成員沒有變化，如圖4-21所示。

4.2.5 嵌套組

組嵌套，一個組是另外一個組的子集，即一個組包容其他的組。嵌套組可以包容多個組，如果包容的組包含其他組，則權(quán)限自動繼承到包含的組中。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“新聞部”選項，右擊“新聞記者組”，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖4-22所示的“新聞記者組 屬性”對話框。

第2步，切換到“成員”選項卡，顯示如圖4-23所示的“成員”對話框。

第3步，單擊“添加”按鈕，顯示如圖4-24所示的“選擇用戶、聯(lián)系人、計算機或組”對話框。

第4步，單擊“對象類型”按鈕，顯示如圖4-25所示的“對象類型”對話框。在“對象類型”列表中，僅選擇“組”選項即可。單擊“確定”按鈕，返回。

第5步，單擊“高級”按鈕，顯示“選擇用戶、聯(lián)系人、計算機或組”高級對話框。單擊“立即查找”按鈕，查找當前域中可用的組，搜索結(jié)果顯示在“搜索結(jié)果”列表中，如圖4-26所示。

第6步，選擇目標組，單擊“確定”按鈕，關(guān)閉“選擇用戶、聯(lián)系人、計算機或組”高級對話框，返回到“選擇用戶、聯(lián)系人、計算機或組”對話框，如圖4-27所示。

第7步，單擊“確定”按鈕，關(guān)閉“選擇用戶、聯(lián)系人、計算機或組”對話框，返回到“新聞記者組 屬性”對話框，在“成員”列表中顯示添加的成員，如圖4-28所示。

第8步，單擊“確定”按鈕，完成組嵌套。

4.2.6 組隸屬關(guān)系

組之間可以嵌套，一個組可以隸屬于多個組，下面介紹如何查看組的隸屬關(guān)系。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“book.com”→“北京分公司”選項，右擊“新聞記者組”，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖4-29所示的“新聞記者組”對話框。

第2步，切換到“隸屬于”選項卡，顯示如圖4-30所示的“隸屬于”對話框，在“隸屬于”文件列表中，顯示選擇的組所隸屬的組，即父組。

4.3 用戶

用戶是使用計算機的人登錄到計算機系統(tǒng)（個人計算機或者網(wǎng)絡(luò)）的身份。用戶的權(quán)限不同，對計算機及網(wǎng)絡(luò)控制的能力與范圍。有兩種不同類型的用戶：能訪問本地計算機（或使用遠程計算機訪問本計算機）的“本地用戶”和可以訪問網(wǎng)絡(luò)中所有計算機的“域用戶”。計算機中的用戶分為本地用戶和域用戶兩部分，本書中的用戶主要指的是域用戶。

4.3.1 用戶類型

在Active Directory中，域用戶可以分為以下幾種身份：域用戶、域管理員、企業(yè)管理員。

1. 域用戶

域用戶，是最基本的用戶管理單元。默認創(chuàng)建的域用戶被添加到“Users”組中。在不同的組織單位中創(chuàng)建的域用戶性質(zhì)相同，默認創(chuàng)建的用戶使用同一個默認的密碼策略。域用戶可以被添加到不同的組中，但是只能在一個組織單位中。

2. 域管理員

域管理員，是具備管理權(quán)限的特殊用戶。AD DS域服務(wù)部署完成后，默認的域管理員為“Administrator”。域管理員賬戶擁有網(wǎng)絡(luò)中較高的權(quán)限，擁有管理員權(quán)限，也就相當于基本擁有整個網(wǎng)絡(luò)的生殺大權(quán)。

3. 企業(yè)管理員

在Active Directory中，具備最高管理權(quán)限的用戶不是“Administrators”和“Dmain Admins”組中的成員，而是“Enterprise Admins”組中的成員。默認的管理員“Administrator”是“Enterprise Admins”組中的成員，也是唯一的成員。因此，默認的管理員賬戶“Administrator”具備企業(yè)的最高管理權(quán)限，由于眾所周知的原因，“Administrator”是一個不安全的因素，建議將“Administrator”管理員賬戶降級為普通的用戶，使其具備最低的權(quán)限，禁止或者重命名此賬戶。創(chuàng)建一個新的賬戶，使其具備Active Directory中最高的管理權(quán)限。

4.3.2 用戶作用

當企業(yè)的員工要從自己的計算機登錄到域時，該員工必須有一張被域控制器認可的“身份證”，這張身份證在域中就是用戶。在域中創(chuàng)建和管理用戶的操作必須在域控制器中進行。

用戶的用途主要有以下幾方面：

● 驗證用戶或計算機的身份：用戶使用戶能夠利用經(jīng)域驗證后的標識登錄到計算機和域。登錄到網(wǎng)絡(luò)的每個用戶應(yīng)有自己的唯一賬戶和密碼。為了獲得最高的安全性，應(yīng)避免多個用戶共享同一個賬戶。

● 授權(quán)或拒絕訪問域資源：一旦用戶已經(jīng)過身份驗證，那么就可以根據(jù)指派給該用戶的關(guān)于資源的顯式權(quán)限，授予或拒絕該用戶訪問域資源。

● 管理其他用戶：在本地域中可以使用委派控制，允許對某個用戶進行單獨的權(quán)限委派，例如：使某個用戶具備更改其他用戶密碼的權(quán)限。

● 審核使用用戶或計算機賬戶執(zhí)行的操作：審核有助于監(jiān)視賬戶的安全性。

4.3.3 用戶命名

在企業(yè)網(wǎng)絡(luò)中，使用計算機的每個人都擁有一個賬戶，計算機使用者使用他們自己的賬戶可以使用企業(yè)網(wǎng)絡(luò)中指定的資源，完成與其相對應(yīng)的任務(wù)。

在企業(yè)網(wǎng)絡(luò)中，除了每個人有一個用戶外，還可能有為此用戶對應(yīng)提供的一些服務(wù)如企業(yè)電子郵件服務(wù)、企業(yè)辦公自動化的登錄賬戶等。所以，通常情況下，都是使用統(tǒng)一的方式進行命名，一是讓計算機的使用者記住自己的用戶名，另外，通常用戶名還與企業(yè)為其提供的電子郵件相對應(yīng)（如用戶名為wsj，企業(yè)電子郵件是wsj@book.com）。

命名習慣通常如下：

● 對于每個使用者，通常都是使用其“姓”的全稱+“名”的簡稱，例如王淑江的用戶名為wangsj。

● 如果使用簡稱之后有“重名”的現(xiàn)象，可以對重名的用戶使用全稱或者加序號標識，例如wangsj01。

4.3.4 密碼設(shè)置

密碼是用戶登錄網(wǎng)絡(luò)的鑰匙，密碼是否安全直接影響到用戶的信息是否安全。賬戶密碼應(yīng)當定期修改，尤其是當發(fā)現(xiàn)有不良攻擊時，更應(yīng)及時修改復雜密碼，以免被破解。為避免密碼因過于復雜而忘記，可用筆記錄下來，并保存在安全的地方，或隨身攜帶避免丟失。

綜上所述，若欲保證密碼的安全，應(yīng)當遵循以下規(guī)則：

● 用戶密碼應(yīng)包含英文字母的大小寫、數(shù)字、可打印字符，甚至是非打印字符。建議將這些符號排列組合使用，以期達到最好的保密效果。

● 用戶密碼不要太規(guī)則，不要使用用戶姓名、生日、電話號碼以及常用單詞作為密碼。

● 根據(jù)Windows系統(tǒng)密碼的散列算法原理，密碼長度設(shè)置應(yīng)超過7位，最好位為14位或者更長。

● 密碼不得以明文方式存放在系統(tǒng)中，確保密碼以加密的形式寫在硬盤中，且包含密碼的文件是只讀的。

● 密碼應(yīng)定期修改，應(yīng)避免重復使用舊密碼，應(yīng)采用多套密碼的命名規(guī)則。

● 啟用賬號鎖定機制。一旦同一賬號密碼校驗錯誤若干次即斷開連接并鎖定該賬號，經(jīng)過一段時間才解鎖。

4.3.5 強密碼策略

在Windows Server 2008 R2系統(tǒng)中，默認的密碼策略為強密碼策略，對用戶的密碼設(shè)置有如下要求。

● 不包含全部或部分的用戶名。

● 長度至少為7個字符。

● 包含以下4種類型字符中的3種字符：英文大寫字母（從A到Z）；英文小寫字母（從a到z）；10 個基本數(shù)字（從0 到9）；非字母字符（例如，!、$、#、%）。

4.3.6 用戶權(quán)限

用戶權(quán)限應(yīng)用目標是操作。用戶權(quán)限體現(xiàn)在對網(wǎng)絡(luò)中資源訪問權(quán)限的設(shè)置。用戶必須獲得明確的授權(quán)后才能訪問資源，如果用戶賬號沒有被授予權(quán)限，就不能訪問相應(yīng)的資源。為了控制用戶對某個資源的訪問，就必須指定權(quán)限。當然，也可以為某個用戶設(shè)置定拒絕權(quán)限。最有代表性的權(quán)限應(yīng)用就是NTFS。常用的權(quán)限見附表3-1。

4.3.7 用戶權(quán)利

用戶權(quán)利應(yīng)用目標是授權(quán)。權(quán)限可以授權(quán)對不同對象的不同訪問，但是權(quán)利卻能給予一個用戶作特殊事情的能力。用戶權(quán)利定義了對資源的訪問能力。雖然用戶權(quán)利可以應(yīng)用于單個做用戶，但最好是在“組”基礎(chǔ)上管理。這樣可以確保作為組成員登錄的賬戶將自動繼承該組的相關(guān)權(quán)利。通過對組而不是對單個用戶指派用戶權(quán)利，可以簡化用戶管理的任務(wù)。當組中的用戶都需要相同的用戶權(quán)利時，可以一次對該組指派用戶權(quán)利，而不是重復地對每個單獨的用戶指派相同的用戶權(quán)利。

如果用戶是多個組的成員，則用戶權(quán)利是累積的，這意味著用戶有多組權(quán)利。要刪除用戶的權(quán)利，管理員只需簡單地從組中刪除用戶即可。

某些權(quán)利可以覆蓋在對象上設(shè)置的權(quán)限。例如，用戶作為備份操作員組的成員登錄到域賬戶時，具有對所有域服務(wù)器執(zhí)行備份操作的權(quán)利。但是，這要求能夠讀取這些服務(wù)器上的所有文件，甚至是文件所有者已經(jīng)明確設(shè)置對所有用戶（包括備份操作員組成員）都拒絕訪問的文件。在這種情況下，執(zhí)行備份的用戶權(quán)利優(yōu)先于所有的文件和目錄權(quán)限。

4.3.8 創(chuàng)建域用戶

在基于Active Directory架構(gòu)的網(wǎng)絡(luò)中，域用戶是最小的管理單位，域用戶是最容易管理同時又最難管理，如果賦予域用戶的權(quán)限過大，將對網(wǎng)絡(luò)安全帶來隱患，如果過小將限制域用戶的正常工作。同時域用戶的種類不同，管理任務(wù)也不同。

創(chuàng)建域用戶是最簡單的任務(wù)，需要注意域用戶的命名規(guī)則以及密碼規(guī)則。

第1步，以管理員身份登錄域控制器，打開“Active Directory用戶和計算機”窗口。選擇“Users”選項，列出當前所包含的用戶，如圖4-31所示。

第2步，右擊組織單位“Users”，在彈出的快捷菜單中選擇“新建”→“用戶”命令，顯示如圖4-32所示的“新建對象-用戶”對話框。必須鍵入“姓名”及“用戶登錄名”，其他根據(jù)需要選擇。

第3步，單擊“下一步”按鈕，顯示如圖4-33所示的“新建對象-用戶”對話框。在“密碼”與“確認密碼”文本框中鍵入用戶密碼（用戶密碼必須符合Windows密碼策略），根據(jù)需要設(shè)置用戶的登錄屬性。

第4步，單擊“下一步”按鈕，顯示如圖4-34所示的“新建對象-用戶”對話框。顯示新建用戶的詳細信息。

第5步，單擊“完成”按鈕，創(chuàng)建新的用戶。

4.3.9 添加用戶到組

利用“組”管理用戶，可以降低管理員的管理難度，只要對組賦予一次權(quán)限后，將具備同樣使用權(quán)限的用戶添加到組中，新添加的用戶將自動繼承組的權(quán)限，不需要對每個用戶單獨進行權(quán)限設(shè)置。一個用戶可以添加到不同的組，從而具備不同的權(quán)限，用戶權(quán)限可以疊加。組可以創(chuàng)建在任何組織單位下，也可以創(chuàng)建在默認組中。用戶可以在組織單位下創(chuàng)建，也可以在“Users”組中創(chuàng)建。本節(jié)介紹將用戶“王淑江”添加到“Administrators”組中。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，顯示如圖4-35所示。

第2步，在右側(cè)的用戶列表中，右擊需要添加的用戶，在彈出的快捷菜單中選擇“添加到組”命令，顯示如圖4-36所示的“選擇組”對話框。在“輸入對象名稱來選擇”文本框中，鍵入組名稱，單擊“檢查名稱”按鈕，檢測鍵入的組的合法性。單擊“確定”按鈕，關(guān)閉“選擇組”對話框。

第3步，單擊“確定”按鈕，用戶添加成功。

4.3.10 禁用/啟用賬戶

企業(yè)員工離職或者其他原因，需要禁止用戶的使用。本節(jié)介紹禁止賬戶的方法。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要禁用的用戶，顯示如圖4-37所示的快捷菜單。

第2步，在快捷菜單中選擇“禁用賬戶”命令，顯示如圖4-38所示的“Active Directory域服務(wù)”對話框，提示選擇的賬戶被禁用。

第3步，單擊“確定”按鈕，“Active Directory域服務(wù)”對話框，返回到“Active Directory用戶和計算機”窗口。被禁用的賬戶左側(cè)的圖標顯示向下的箭頭，說明該賬戶已經(jīng)被禁用，如圖4-39所示。

被禁用的賬戶并沒有從活動目錄中刪除掉，可以根據(jù)需要重新啟用禁用的賬戶。操作步驟如下。

第1步，在“Active Directory用戶和計算機”窗口，選擇需要啟用的用戶，右擊并在彈出的快捷菜單中選擇“啟用賬戶”命令，顯示如圖4-40所示的“Active Directory域服務(wù)”對話框，提示選擇的賬戶被重新啟用。

第2步，單擊“確定”按鈕，賬戶啟用成功。

4.3.11 重設(shè)用戶密碼

活動目錄中的每個用戶，都應(yīng)設(shè)置密碼，尤其是那些具有管理權(quán)限的賬戶，更應(yīng)設(shè)置安全密碼，以挫敗肆意和無意識的密碼攻擊。實際工作中用戶忘記密碼，在日常工作也經(jīng)常遇到。下面介紹重設(shè)用戶密碼的方法。

第1步，打開“Active Directory用戶和計算機”窗口，選擇 “Users”選項，在右側(cè)的用戶列表中，右擊需要重設(shè)密碼的用戶，在彈出的快捷菜單中選擇“重置密碼”命令，顯示如圖4-41所示的“重置密碼”對話框。在“新密碼”和“確認密碼”文本框中，鍵入新密碼。對于當前正在登錄的用戶，重新注銷并登錄，使新的密碼生效。

第2步，單擊“確定”按鈕，顯示如圖4-42所示的“Active Directory域服務(wù)”對話框，提示密碼已經(jīng)被更改。

第3步，單擊“確定”按鈕，重設(shè)用戶密碼成功。

4.3.12 刪除用戶

員工離職，將此員工從Active Directory數(shù)據(jù)庫中徹底刪除。建議員工剛離職時，選擇賬戶禁用功能，一段時間之后在刪除被禁用的賬戶。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要刪除的用戶，在彈出的快捷菜單中選擇“刪除”命令，顯示如圖4-43所示的“刪除”對話框。

第2步，單擊“是”按鈕，刪除選擇的用戶。

4.3.13 重命名用戶

賬戶重命名也是經(jīng)常遇到的管理任務(wù)，例如原來設(shè)置的英文名稱換成中文名稱。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要重命名的用戶，在彈出的快捷菜單中選擇“重命名”命令，高亮顯示選擇的用戶，用戶名稱處于可編輯狀態(tài)，直接更改用戶名稱即可，如圖4-44所示。

第2步，用戶名稱更改完成后，按Enter鍵，顯示如圖4-45所示的“更改用戶姓名”對話框。更改需要修改用戶其他信息。

第3步，單擊“確定”按鈕，用戶重命名成功。

4.3.14 移動用戶

員工工作調(diào)動，從一個部門調(diào)到另外一個部門，隨之其用戶賬號從一個部門移動到新的部門。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要移動的用戶，在彈出的快捷菜單中選擇“移動”命令，顯示如圖4-46所示的“移動”對話框。在“將對移到容器”列表中，選擇目標容器。

第2步，單擊“確定”按鈕，關(guān)閉“移動”對話框，用戶移動成功，如圖4-47所示。

4.3.15 恢復誤刪除的用戶

在Windows Server 2008的“Active Directory用戶和計算機”管理控制臺中，沒有提供對誤刪除的用戶恢復功能，可以到互聯(lián)網(wǎng)搜索“Adrestore.exe”工具，在命令行模式下恢復刪除的用戶，該工具支持Windows Server 2000/2003/2008搭建的活動目錄。在Windows Server 2008搭建的AD DS域服務(wù)中刪除了“Testuser”用戶，以恢復該用戶為例介紹“Adrestore.exe”工具恢復用戶的方法。

第1步，將該工具復制到運行AD DS域服務(wù)的計算機中，打開“命令提示符”窗口，并切換到存儲“Adrestore.exe”工具的文件夾中，如圖4-48所示。

第2步，在命令行提示符下，鍵入如下命令：

      Adrestore /r

按Enter鍵，命令成功執(zhí)行，顯示如圖4-49 所示的窗口，該命令枚舉活動目錄中刪除的對象，并顯示用戶完整的FQDN信息。

第3步，鍵入“Y”，恢復刪除的用戶信息，提示用戶被成功恢復，如圖4-50所示。使用同樣的方法可以恢復其他被刪除的Active Directory對象。

第4步，打開“Active Directory用戶和計算機”窗口，選擇“Active Directory用戶和計算機”→“book.com”→“Users”選項，顯示 “Active Directory用戶和計算機”窗口，Testuser被成功恢復，恢復的用戶狀態(tài)為“禁用”，如圖4-51所示。

第5步，恢復的賬戶需要重新設(shè)置密碼，啟用該賬戶即可完整恢復被刪除的用戶。

4.3.16 用戶主文件夾

用戶主文件夾為域用戶提供一個安全的數(shù)據(jù)存放位置，任何服務(wù)器都可以作為主文件夾的存儲目標，主文件夾就是允許用戶訪問的共享空間。如果所使用Windows Server 2008 R2服務(wù)器作為主服務(wù)器，建議在NTFS卷上創(chuàng)建用戶主文件夾，同時使用NTFS的文件安全訪問機制保護用戶的數(shù)據(jù)。

創(chuàng)建主文件夾包含兩方面的內(nèi)容：

● 創(chuàng)建主文件夾共享文件夾。

● 使用“Active Directory用戶和計算機”指派用戶的主文件夾位置。

1. 創(chuàng)建共享文件夾

在運行Windows Server 2008 R2服務(wù)器上創(chuàng)建共享文件夾“UserHome”，設(shè)置共享文件夾的訪問權(quán)限為“讀/寫”。創(chuàng)建完成的共享文件夾如圖4-52所示。

2. 指派用戶主文件夾

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要設(shè)置主文件夾的用戶，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖4-53所示的“張琦 屬性”對話框。

第2步，切換到“配置文件”選項卡，顯示如圖4-54所示的“配置文件”選項卡。在“主文件夾”分組區(qū)域，選擇“連接”選項，默認共享驅(qū)動器名稱為“Z：”，在“到”右側(cè)的文本框中，鍵入主文件夾對應(yīng)的目標文件夾，\\192.168.0.1\UserHome\%username%，“192.168.0.1”是域控制器的IP地址。

第3步，單擊“確定”按鈕，用戶主文件夾設(shè)置成功。

4.3.17 登錄目標

Windows Server 2008 R2默認設(shè)置允許網(wǎng)絡(luò)中的域用戶可以登錄到網(wǎng)絡(luò)中的任何一臺計算機，在AD DS域服務(wù)中提供限制用戶只能在網(wǎng)絡(luò)中唯一的一臺計算機中登錄功能，保證用戶和計算機邏輯綁定，增強網(wǎng)絡(luò)安全。通過以下操作，可以在Active Directory控制器上限制域用戶的登錄工作站。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要限制登錄的用戶，在彈出的快捷菜單中選擇“屬性”命令，打開用戶屬性對話框，切換到“賬戶”選項卡，顯示如圖4-55所示的“賬戶”選項卡。

第2步，單擊“登錄到”按鈕，顯示如圖4-56所示的“登錄工作站”對話框。默認選擇“所有計算機”選項，允許用戶登錄到網(wǎng)絡(luò)中的所有客戶端計算機。

第3步，選擇“下列計算機”選項，在“計算機名”文本框中鍵入允許登錄的工作站的NetBIOS名稱，單擊“添加”按鈕添加到列表中。添加多個客戶端計算機名稱，將允許該用戶在多個指定的工作站上登錄，如圖4-57所示。

第4步，單擊“確定”按鈕，登錄目標設(shè)置成功，該用戶只能在所允許的客戶端計算機中登錄。

4.3.18 登錄時間

AD DS域服務(wù)默認設(shè)置允許網(wǎng)絡(luò)中的用戶在任何時間登錄到網(wǎng)絡(luò)中。在重要的工作環(huán)境中，非工作時間不允許用戶訪問網(wǎng)絡(luò)中的資源。因此，限制用戶在休息時間不能訪問網(wǎng)絡(luò)資源，也是保護網(wǎng)絡(luò)安全的重要舉措，可以有效地防止在工作時間之外的密碼破解或者暴力攻擊。在AD DS域服務(wù)中，可以限制用戶的登錄時間，例如限制為只能在某個時間段登錄，其他時間不允許登錄，從而避免可能在非工作時間產(chǎn)生的惡意攻擊。

通過以下操作，可以限制用戶的登錄時間。本例將用戶“wangsj”限制為每周星期一到星期五的早上8點到下午5點允許登錄。

第1步，在“Active Directory用戶和計算機”窗口，打開要限制的用戶屬性對話框，切換到“賬戶”選項卡，單擊“登錄時間”按鈕，顯示如圖4-58所示登錄時間對話框，默認允許在任何時間登錄。

第2步，先選擇所有時間，然后單擊“拒絕登錄”選項，設(shè)置為所有時間都拒絕登錄，然后選擇星期一到星期五的8點至17點的范圍，單擊“允許登錄”選項，使該時間段變?yōu)樗{色，如圖4-59所示。

第3步，單擊“確定”按鈕，用戶登錄時間設(shè)置成功，該用戶只能在設(shè)定的時間內(nèi)登錄。

4.3.19 禁止刪除用戶

Windows Server 2008的AD DS域服務(wù)支持禁止刪除用戶功能，如果執(zhí)行刪除操作將不能刪除用戶，在用戶創(chuàng)建過程中不能設(shè)置該功能，只能在創(chuàng)建用戶完成后在屬性中設(shè)置。

第1步，打開“Active Directory用戶和計算機”窗口，選擇“Users”選項，在右側(cè)的用戶列表中，右擊需要禁止刪除的用戶，在彈出的快捷菜單中選擇“屬性”命令，切換到“對象”選項卡，如圖4-60所示。

第2步，選擇“防止對象被意外刪除”選項，單擊“確定”按鈕，即可設(shè)置該用戶被禁止刪除，即使是網(wǎng)絡(luò)管理員也不可能刪除該用戶，執(zhí)行刪除功能后，將顯示如圖4-61所示的“Active Directory域服務(wù)”對話框。

4.3.20 N周內(nèi)沒有登錄的用戶

AD DS域服務(wù)默認啟動強密碼策略。密碼最長有效期限是42天，如果用戶長期沒有登錄，密碼將會失效。安全的做法為，如果用戶超過42天沒有登錄則禁用賬戶。

第1步，選擇“開始”→“所有程序”→“附件”→“命令提示符”選項，打開“命令提示符”窗口。

第2步，在命令行提示符下，鍵入如下命令：

      dsquery user -inactive 6

按Enter鍵，命令成功執(zhí)行，將顯示6周內(nèi)沒有登錄的用戶，如圖4-62所示。

第3步，在命令行提示符下，鍵入如下命令：

      dsquery user -inactive 6 |dsmod user -disabled yes

按Enter鍵，命令成功執(zhí)行，將顯示并禁用6周內(nèi)沒有登錄的用戶。

第4步，在命令行提示符下，鍵入如下命令：

      dsquery user -disabled | dsrm

按Enter鍵，命令成功執(zhí)行，查詢出所有禁用的用戶，將其刪除。