域用戶帳戶和組的管理（以下操作均在Windows Server 2003系統(tǒng)中實現(xiàn)，客戶端也是使用2003來模擬，和實際中客戶端使用的XP 操作系統(tǒng)可能會有所不同）很多企業(yè)都會用到域環(huán)境來實現(xiàn)管理，域

域用戶帳戶和組的管理

（以下操作均在Windows Server 2003系統(tǒng)中實現(xiàn)，客戶端也是使用2003來模擬，和實際中客戶端使用的XP 操作系統(tǒng)可能會有所不同）

很多企業(yè)都會用到域環(huán)境來實現(xiàn)管理，域的實際應用非常廣泛。下面我們講解在域環(huán)境下如何管理用戶帳戶和組。在講解過程中我們會涉及到用戶帳戶、計算機帳戶、組和OU 等對象。

一、域用戶帳戶的特點

和本地用戶帳戶不同，域用戶帳戶保存在活動目錄中。由于所有的用戶帳戶都集中保存在活動目錄中，所以使得集中管理變成可能。同時，一個域用戶帳戶可以在域中的任何一臺計算機上登錄（域控制器除外），用戶可以不再使用固定的計算機。當計算機出現(xiàn)故障時，用戶可以使用域用戶帳戶登錄到另一臺計算機上繼續(xù)工作，這樣也使帳號的管理變得簡單。

附注：

在工作組環(huán)境中，所有計算機是獨立的，要讓用戶能夠登錄到計算機并使用計算機的資源，必須為每個用戶建立本地用戶帳戶。同時，為了方便實現(xiàn)用戶對網(wǎng)絡資源的訪問權限，我們可以使用本地組來實現(xiàn)。

本地用戶帳戶和組主要用在本地計算機。本地用戶帳戶只能登錄到本地計算機；本地用戶帳戶保存在本地計算機；本地用戶若需要訪問其它計算機，需要在其它計算機上有相應的用戶帳戶以便進行身份驗證。

二、管理工具

要對域中的用戶和計算機等對象進行管理，我們要使用“Active Directory用戶和計算機”管理工具。該工具在我們安裝了活動目錄后會被添加到管理工具中，我們可以在管理工具里找到它。

打開后如圖所示，在窗口的左邊，可以看到我們創(chuàng)建的域。按左邊的“ ”號展開該域

展開后可以找到“users ”管理單元，點擊后在右邊就可以看到一些內(nèi)置的用戶帳號和組。當系統(tǒng)安裝了活動目錄后，原來的本地用戶和組帳號都沒有了，這些對象會變成域用戶帳號和域本地組，并被放在該“users ”管理單元內(nèi)。

三、OU （組織單位）

在域中有很多的對象，包括用戶帳戶、組、共享文件夾和共享打印機等。這些對象都是集中存儲在活動目錄中并使用“AD 用戶與計算機”管理工具來進行管理。但如果這些大量的對象都放在“users ”管理單元內(nèi)進行管理，會帶來一定的不便，例如不便于查找、難于設置策略等。

所以為了更好的組織和管理這些對象，引入的“OU ”的概念。OU 又叫組織單位，它是一個容器，主要的作用就是用來組織和管理這些對象的。為了便于日后的管理，我們一定的設計好OU 的結構。

OU 結構的劃分有幾種不同的方法，例如：

按對象類型來劃分。該劃分方法是創(chuàng)建幾個OU ，不同的OU 放不同的對象，比如一個OU 放用戶帳戶，另一個OU 放計算機帳戶等；

按企業(yè)的組織結構來劃分。方法是為不同的部門創(chuàng)建不同的OU ，把屬于每個部門的對象都放在一個OU 里，比如財務部的OU 放財務部的用戶帳戶、財務部的計算機帳戶和組等，而業(yè)務部的OU 放業(yè)務部的用戶帳戶、業(yè)務部的計算機帳戶和組等。這是一種常用的方法；

按地區(qū)來劃分。該方法主要用在有分支機構的企業(yè)，分別為不同的分支機構創(chuàng)建不同的OU ，然后把屬于該分支機構的所有對象都放在相應的OU 里。比如一個企業(yè)有廣州總公司、上海分公司和北京分公司，那么就分別為這三個分公司建立三個OU ，一個OU 放廣州總公司的對象，一個放上海分公司的對象，還有一個放北京分公司的對象；

混合劃分方法。該方法是按組織結構劃分和按地區(qū)劃分兩種方法的結合，先為不同分支機構創(chuàng)建OU ，再在不同的分支機構的OU 里按組織結構來創(chuàng)建子OU 。這也是一種常用的方法。

要創(chuàng)建一個OU ，在“AD 用戶和計算機”管理工具里右擊域名，在彈出的快捷菜單中選擇新建，在子菜單中選擇“組織單位”

在“新建對象 - 組織單位”對話框中輸入組織單位的名稱，例如：XXX 公司

按“確定”后完成了一個OU 的創(chuàng)建

要在該OU 里創(chuàng)建子OU ，右擊該OU ，同樣在彈出的快捷菜單中選擇新建組織單位，分別為不同的部門創(chuàng)建不同的OU ，完成后如下圖所示

四、為用戶創(chuàng)建帳戶

要在OU 里為域用戶創(chuàng)建用戶帳戶，右擊一個OU ，在彈出的快捷菜單中選擇“新建”，并在子菜單中選擇“用戶”

在出現(xiàn)的“新建對象 - 用戶”對話框中，為用戶分別輸入“姓”和“名”，并在“用戶登錄名”中輸入用戶用來登錄系統(tǒng)的登錄名，該登錄名和電子郵件的地址非常象，如：。前面的姓名是用戶的顯示名，顯示名在同一個OU 里必須是唯一的，而用戶的登錄名在同一個域里必須是唯一的。

按下一步后進入另一個對話框，該對話框要求為域用戶輸入一個初始密碼，并確保勾選“用戶下次登錄時須更改密碼”選項。

下一步后按“完成”按鈕完成用戶帳戶的創(chuàng)建。

五、限制用戶能登錄的計算機

在域環(huán)境下，一個域用戶帳戶默認是可以登錄到域中任意一臺計算機的（DC 除外），這樣為用戶提供了方便。因為假設用戶正在使用的計算機出現(xiàn)故障了，需要維修，那么該用戶可以用他自己的域用戶帳戶在其它計算機上登錄域，繼續(xù)完成自己未完成的工作，繼續(xù)使用域中的資源而不會受到影響，但工作組卻沒有提供這樣的方便。

但是如果我們需要限制用戶只能使用某些計算機來登錄域，那么可以通過設置用戶帳戶的屬性來實現(xiàn)。

打開要進行限制的用戶帳戶的屬性，找到“帳戶”選項卡，點擊“登錄到”按鈕

在打開的“登錄工作站”對話框中，可以看到默認的設置是用戶可以登錄到“所有計算機”，要進行限制，選擇“下列計算機”單選按鈕，并在“計算機名”文本框內(nèi)輸入只允許用戶在其上登錄的計算機名并點擊“添加”按鈕。如果有必要，可以添加多臺計算機。

完成后，該用戶只能在指定的計算機上登錄，而不能在未指定的計算機上登錄到域。

六、限制用戶登錄域的時間

在默認設置下，域用戶可以在任何時間登錄到域，但如果想限制用戶只能在某些時間才允許登錄到域，而其它時間不能登錄到域，比如說公司規(guī)定只有在星期一到五的8：00到18：00這段時間可以登錄到域，而其它時間不能登錄到域，則可以通過設置用戶帳戶的屬性來實現(xiàn)。

打開用戶帳戶的屬性對話框，找到“帳戶”選項卡，點擊“登錄時間... ”按鈕

在打開的“XX 的登錄時間”對話框中，選定特定的時間段，并選擇“允許登錄”或“拒絕登錄”，確定。

七、設置漫游配置文件

1、什么是配置文件：

配置文件是用于保存特定用戶工作環(huán)境的特殊文件（一組文件）。用戶工作環(huán)境包括：用戶的桌面設置、應用程序設置、用戶的“我的文檔”、收藏夾、開始菜單、臨時文件等設置。每個用戶都有屬于自己的配置文件。

當一個用戶在一臺計