在计算机网络术语中,目录代表存储网络上对象信息的一种层次结构。网络上的对象包括共享资源(例如服务器、打印机、网络用户以及计算机帐号等)、域、应用程序、服务、安全方针等等的你的网络中的一切事物。一个最典型的例子就是一个网络目录存储一个用户帐号时,它存储了用户的姓名、密码、电子邮件地址、电话号码等等。
目录服务区别于目录的地方在于,目录服务能够把目录中存储的信息提供给管理员,用户,网络服务或应用程序。理想情况下,目录服务使网络的物理拓扑结构和协议对用户来说是透明的,用户可以进入任何资源而不用知道它们之间是怎样以及在哪里连接的。如上面提到的那个例子,正是目录服务才使得同一网络中的其它授权用户能够了解到该用户目录中存储的信息(如电子邮件地址)。
目录服务具有广泛的接受力,可以与 *** 作系统结合,也可以与应用程序结合。Windows2000成功的把目录服务与 *** 作系统结合在一起,生成了活动目录,它提供了对用户,计算机和共享资源的管理。就象Microsoft Exchange的email目录服务,它使用户能够查找其它用户的电子邮件地址以便于发送电子邮件。
活动目录,Windows2000服务器版 *** 作系统的一种新的目录服务,只能运在域控制器上,它除了能够提供存储信息的场所,提供服务以使信息可用外,还可以保护网络对象不被非授权用户进入,通过网络复制对象以便在域控制器崩溃时数据不会丢失。
Windows2000中的活动目录具有如下特点:
与DNS(域名服务器)紧密结合:Windows2000中的活动目录和DNS紧密结合在一起,这利于在TCP/IP网络中计算机之间的相互识别和通讯。
灵活的查询功能:管 或用户可以使用开始菜单中的查找命令,桌面上的我的网络位置图标,或活动目录用户和计算机插件查找网络上任何一个对象以及其属性。例如,你可以用姓,名,电子邮件,办公地点,或其它用户帐号的属性来查找一个用户。
可扩展性:Windows2000的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如,你可以给每一个用户对象增加一个购物授权属性,然后存储每一个用户购买权限作为用户帐号的一部分。
以策略为基础的管理:组策略是用户或计算机初始化时用到的配置设置。所有的组策略设置都包含在应用到活动目录,域,或组织单元的组策略对象(GPOs)中。GPOs设置决定目录对象和域资源的进入权,什么样的域资源可以被用户使用,以及这些域资源怎样使用等。
可升级性:活动目录中含有一个或多个域,每一个域又有多个域控制器,使你能够升级目录来满足任何网络要求。多个域可以合并为一个域树,多个域树可以合并为一个森林。在最简单的结构中,一个单域网络既是一个域树,同时又是一个森林。
信息的可复制性:活动目录采用多控制复制,这样可以使你在任何域控制器上更新目录。在一个域中使用多域控制器可以提供错误容差和负载平衡。如果单域中的一个域控制器变慢、停止,或出现错误时,同一个域中的其它域控制器可以提供必要的目录进入,因为它们含有同样的目录数据。
信息的安全性:用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows2000 *** 作系统的关键安全措施。活动目录集中控制用户授权,柯冀�肟刂撇恢荒茉诿恳桓瞿柯贾械亩韵笊隙ㄒ澹��一鼓茉诿恳桓龆韵蟮拿扛鍪粜陨隙ㄒ濉3�酥�猓�疃�柯蓟箍梢蕴峁┐娲⒑陀τ贸绦蜃饔糜虻陌踩�呗浴/p>
可互用性:因为活动目录是以标准目录进入协议为基础的,因此它可以与使用这些协议的的其它目录服务相互 *** 作。许多应用程序界面(API)都允许开发者进入这些协议,例如活动目录服务界面(ADSI)。
好了,活动目录的简要介绍就到此为止。需要告诉大家的是,如果大家想深入的了解Windows2000服务器版 *** 作系统的话,一定要先从活动目录开始,这样你才会领略到Windows2000的精髓。
微软在Windows NT Server 40中就已经贯彻了目录服务的思想。NT的"域(domain )"的概念是目录服务的一个基本单元。"一次登录,Single Logon"在Windows NT Server 的环境下有了具体的应用,比如Internet Information Server、Exchange Serv er、SQL Server等都可以与Windows NT Server的账号验证集成起来,用户一次登录就可以获得Web、Email和数据库等多种多样的网络服务。 Windows 2000 Server在Windows NT Server 40的基础上,进一步发展了"活动目录(Active Directory)"。活动目录充分体现了微软产品的"ICE",即集成性(Inte gration),深入性(Comprehensive),和易用性(Ease of Use)等优点。活动目录是一个完全可扩展,可伸缩的目录服务,既能满足商业ISP的需要,又能满足企业内部网和外联网的需要。添加文件服务器管理员用户。添加文件服务器管理员用户,在主域控上 *** 作用户组选择主要组domainadmins到这里,在主域控上 *** 作告一段落了。共享文件夹是指某个计算机用来和其它计算机间相互分享的文件夹,所谓的共享就是分享的意思。两台域控制器实现ad迁移的方法如下: AD用户账号、密码迁移步骤
前言
利用Microsoft Active Directory Migration Tool可以在两个独立的AD域之间迁移用户、组、计算机等账号,其中20版可以实现迁移用户账号密码,本文档描述了如何在两个独立的Win2K AD域之间实现迁移AD用户账户、密码的步骤。
*** 作步骤
1、 在目标域与源域之间建立双向的信任关系。
2、 在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。
3、 在目标域与源域的域控制器上分别安装Win2K的128位加密包。(这一部分不知道是否必需,但是我在实际 *** 作中安装了该加密包。而且根据微软的资料,在Win2K标准产品中已经包含了128位加密)
4、 在目标域的域控制器上安装ADMT Version 20。
5、 在目标域上查看系统内建组“Pre-Windows 2000 Compatible Access”的属性,检查“成员”中是否包括Everyone。如果没有,必须将Everyone加入,并且重启服务器。(缺省情况下该组已经包含Everyone)。
6、 检查目标域与源域之间的安全策略是否会影响到密码的迁移,如口令长度限制等。如果有,需要进行相应的调整。
7、 在目标域的域控制器的命令提示符下输入如下命令进行保存密码文件的保存:admt key SourceDomainName DriveLetter [Password]。
注意:
l 尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘),但是为了安全起见建议保存在软盘中。
l 如果你用星号“”代替密码,会提示你输入密码。
l SourceDomainName必需是源域的NetBIOS名称。
8、 建议在源域中选择一台BDC作为密码导出服务器。
9、 在源域的密码导出服务器中运行Pwdmigexe,然后在相应提示中选择步骤7所生成的密码文件(如插入软盘),如果步骤7中输入了密码,那么也必须输入密码。
10、 在源域的密码导出服务器上,打开并修改注册表,在HKEY_LOCAL_MACHINE/System/ CurrentControlSet/Control/Lsa下,将AllowPasswordExport:REG_DWORD的值从0改成1。然后重新启动计算机。
11、 在目标域的域控制器中运行ADMT Version 20,选择迁移用户账号,在密码选项中选择迁移密码,根据提示 *** 作则可以完成账号、密码的迁移。看你要让用户远程哪台计算机了,域控默认是关闭用户的本地远程权限的。
打个比方,如果你想让A用户远程B计算机,就在B计算机中的remote desktop user组里面加上A用户即可一、创建用户的方法创建用户的方法,常用的无外乎以下几种:
1 利用AD用户和计算机(ADUC)。
2 利用CSVDE批量建用户
3 利用LDIFDE批量建用户
4 利用脚本批量建用户
5 利用for…do…循环命令,批量建用户 以上是五种创建域用户的方法,但第一种只能创建单个域用户,其它四种是批量创建用户方法。在后四种指量创建用户方法中,哪一种更为简单呢? CSVDE与LDIFDE批量创建用户的方法,需要有一个很好(主要是文件格式)的文档支持,这个文档编辑起来,非常的困难。脚本批量创建用户,需要有大量的程序量,不是写程序的管理员,很难搞定。fordodsadd user命令,批量创建用户方法,简单、实用。
本文介绍的是最后一种For do循环命令,结合dsadd user命令批量创建用户。该简单、实用,推荐使用!
二、收集企业的通讯录:
三、编辑通讯录,并保存为Csv格式说明:
1、此文档保存格式为Csv格式;
2、各列数值不能为空;
3、命令执行时,删除第1、2、3、4行;
4、各列对应的字段与命令见表中; 四、创建For do循环命令(结合dsadd user命令) 命令格式: for /f "tokens=1,2,3,4,5,6,7,8,9,10,11 delims=," %a in (c:userscsv) do dsadd user "cn=%c,ou=UserTest,dc=techone,dc=com" -samid %d -upn %d -ln %a -fn %b -pwd %e -title %f -dept %g -company %h -tel %i -mobile %j -iptel %k -disabled yes
相关注明: 1、先用Excel表格做一个简单模版,将其保存为csv格式! 2、再用For命令结合dsadd 来完成批量创建用户! 3、tokens=1,2,3,4,5,6,7,8,9,10,11 :表示有11个变量(参数为表格内的11个参数,顺序为A/B/C/D/E/F/G/H/I/J/K 这11个参数见Csv表格)
delims=, :表示分隔符为“,”
%a in (c:userscsv) :表示变量从路径“c:userscsv”中取数据
dsadd :添加命令
cn=%c,ou=UserTest,dc=baidu,dc=com :表示所创建的用户名与创建位置
-samid %d -upn %d:表示登录名为变量d
-ln %a :设置用户姓为变量a
-fn %b :设置用户名为变量b
-pwd %e :设置密码为变量e -title %f :设置职务为变量f -dept %g :设置部门为变量g -company %h:设置公司为变量h -tel %i :设置电话为变量i -mobile %j :设置移动电话为变量j -iptel %k :设置IP电话为变量k
-disabled yes :表示导入以后为禁用状态 更多的参数,请参考dsadd user /
五、在AD服务器上,执行以下步骤:
1、在AD管理工具中,创建一个OU,名为UserTest;
2、在CMD命令下,键入上述命令:
六、在AD管理工具,上刷新UsersTest,看到创建的相关用户。全部选中,然后开启用户。
七、查看用户属性,相关属性值已存在。
八、抽样使用批量创建的域用户,登陆,结果正常。批量创建域用户
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)