通常我們都是用OU來對AD用戶進行分類管理。開始之前先對組織單位(OU)概念進行介紹。
組織單位:OU是一些ActiveDirectory容器,可以在其中放置用戶、組、計算機和其他OU。OU不能包含來自其他域中的對象。OU是可以向其分配組策略設置或委派管理權力的最小作用域或單位。使用OU可以在域中創建表示組織中的層次結構、邏輯結構的容器。然後可以根據組織模型管理帳戶和資源的配置和使用。
注意:OU不能用於爲資源分配權限。
相對於OU,還有一些默認容器是安裝ADDS是創建的。區分組OU和默認容器的方法看圖標即可。
這種圖標的是OU,
這種圖標是默認容器。默認容器是無法鏈接組策略,只有OU纔可以鏈接組策略,這也是爲什麼推薦大家使用OU來管理用戶和計算機賬號的原因,不建議大家直接把用戶和計算機賬號放在Users和Computers這兩個默認容器。
一、OU設計及委派控制
1.根據不同的賬號類型分別建立OU。
2.在用戶賬號OU下又可以按分別建立相應OU來管理各部門賬號,這樣也可以方便以後組策略的應用,因爲可能各部門需要應用不同的策略。
3.OU委派管理。
OU委派管理在企業中經常用到,比如:讓部門經理管理自己部門的賬號或Helpdesk來對AD賬號進行維護,如果直接給DomainAdmin這肯定是不合適,權限過大,這是OU的委派控制就能起到作用。被委派的用戶可以是DomainUser,他們可以使用遠程管理工具RSAT來對用戶進行管理。
RSATForWindows7SP1:http://www.microsoft.com/zh-cn/download/details.aspx?id=7887
RSATForWindows8:http://www.microsoft.com/zh-cn/download/details.aspx?id=28972
打開ActiveDirectory用戶和計算機,右擊需要委派的OU,選擇“委派控制”。
添加你想委派控制的用戶或組。
根據需求選擇需要委派的任務,如需委派更多權限可以選擇自定義任務,最後點擊“完成即可完成委派”
如果需要刪除委派的話,打開高級功能,右擊需要刪除委派的OU,選擇“屬性”,在“安全”頁面找到相應用戶刪除即可。
二.用戶管理
使用CSVDE導入用戶
CSVDE這個命令行工具,可以利用現用的csv文件,實現批量導入(導出)AD對象。
CSVDE命令的基本語法:
csvde-i-fc:\filename.csv–k
具體的命令參數說明請使用csvde/?查看
其中“-i”參數指定爲導入模式,不使用該參數默認爲導出模式。-f指定要導入或導出的路徑和文件名。-k可以忽略已經存在、限制衝突和屬性等錯誤。
首先在excel文件中設置好用戶信息,然後將文件保存爲csv格式文件。具體格式如圖:
然後在cmd命令中輸入csvde-i–fD:\users.csv–k,可以看到成功導入。
CSVDE命令是無法導入密碼的,所以導入的用戶都是禁用狀態。如果需要批量設置密碼、啓用賬號及設置首次登陸需要更改密碼,可以使用如下命令:
dsqueryuser"ou=users,ou=long,dc=lab,dc=com"|dsmoduser-pwdP@ssw0rd-mustchpwdyes–disableno
CSVDE導出用戶信息,這裏就不做演示,有興趣可以可以自己嘗試。使用Powershell來導出會比CSVDE更方便。
使用LDIFDE導入用戶
ldifde.exe這個工具也可以導入AD對象。ldifde所倒入的信息文件格式爲.ldf。ldifde和csvde一樣都是不可以導入用戶密碼,但是ldifde可以修改現有對象的屬性。
LDIFDE命令的基本語法:
ldifde-i-fc:\filename.ldf
具體的命令參數說明請使用ldifde/?查看。
LDIF文件格式:
DN:CN=RayWang,OU=long,dc=lab,dc=com
changetype:add
objectclass:user
samaccountname:ray.wang
userprincipalname:[email protected]
givenname:Ray
sn:Wang
將以上保存成.ldf文件即可導入,這裏就不演示了。
使用Poweshell導入導出用戶
I.導入用戶
Powershell對AD對象的管理功能遠比csvde和ldifde強,而且powershell可以導入用戶密碼。
使用Powershell新建AD用戶,可以使用New-ADUser,語法如下:
New-ADUser[-Name]<string>[-WhatIf][-Confirm][-AccountExpirationDate<datetime>][-AccountNotDelegated<bool>]
[-AccountPassword<securestring>][-AllowReversiblePasswordEncryption<bool>][-AuthType<ADAuthType>{Negotiate|
Basic}][-CannotChangePassword<bool>][-Certificates<X509Certificate[]>][-ChangePasswordAtLogon<bool>][-City<
string>][-Company<string>][-CompoundIdentitySupported<bool>][-Country<string>][-Credential<pscredential>][
-Department<string>][-Description<string>][-DisplayName<string>][-Division<string>][-EmailAddress<string>]
[-EmployeeID<string>][-EmployeeNumber<string>][-Enabled<bool>][-Fax<string>][-GivenName<string>][-HomeDi
rectory<string>][-HomeDrive<string>][-HomePage<string>][-HomePhone<string>][-Initials<string>][-Instance
<ADUser>][-KerberosEncryptionType<ADKerberosEncryptionType>{None|DES|RC4|AES128|AES256}][-LogonWorkstat
ions<string>][-Manager<ADUser>][-MobilePhone<string>][-Office<string>][-OfficePhone<string>][-Organizatio
n<string>][-OtherAttributes<hashtable>][-OtherName<string>][-PassThru][-PasswordNeverExpires<bool>][-Passw
ordNotRequired<bool>][-Path<string>][-POBox<string>][-PostalCode<string>][-PrincipalsAllowedToDelegateToAcc
ount<ADPrincipal[]>][-ProfilePath<string>][-SamAccountName<string>][-ScriptPath<string>][-Server<string>]
[-ServicePrincipalNames<string[]>][-SmartcardLogonRequired<bool>][-State<string>][-StreetAddress<string>][-
Surname<string>][-Title<string>][-TrustedForDelegation<bool>][-Type<string>][-UserPrincipalName<string>]
[<CommonParameters>]
創建單個用戶示例,注意其中紅色部分密碼設置的格式:
New-ADUser-Name"RayWang"[email protected]
enNameRay-SurnameWang-DisplayName"RayWang"-AccountPassword(ConvertTo-SecureString"P@ssw0rd"-AsPlainText-Force
)-ChangePasswordAtLogon$true-path"ou=it,ou=long,dc=lab,dc=com"-Enabled$true
注:如需增加更多屬性,請參考語法中的屬性字段。如果是系統是2008,則需要使用Import-ModuleActiveDirectory倒入AD模塊先,但在2012中會自動導入。
下面介紹使用powershell批量創建用戶。
1.首先創建.csv格式用戶信息表。
2.使用powershell命令導入csv中的用戶信息
Import-Csvd:\adduser.csv|foreach{New-ADUser-Name$_.name-SamAccountName$_.samaccountna
me-UserPrincipalName$_.userprincipalname-GivenName$_.givenname-Surname$_.surname-DisplayName$_.displayname-Path
$_.path-AccountPassword(ConvertTo-SecureString"P@ssw0rd"-AsPlainText-Force)-ChangePasswordAtLogon$true-Enabled
$true}
3.可以看到在IT和HR兩個OU分別都創建了用戶。
II.導出用戶信息
利用Powershell可以將用戶信息,比如最後一次登陸時間和修改密碼時間,登錄到等等信息
Get-ADUser這個命令就可以實現AD用戶信息的查詢
導出指定OU用戶的登錄到信息,最後一次登錄和修改密碼時間示例:
Get-ADUser-Filter*-Properties*-SearchBase"ou=it,ou=users,ou=long,dc=lab,dc=com"|Select-ObjectName,passwordlastset,logonworkstations,lastlogondate|Export-Csv-NoTypeInformation-EncodingUTF8-Path"d:\userinfo.csv"
其中信息空白是因爲這些用戶是新建的沒有進行過登陸及密碼修改.
至此,AD用戶的管理及創建介紹都已完成,相對於csvde和ldifde,powrshell在運維過程中可以帶來很大的便利,功能上也比csvde和ldifde更豐富。建議大家在平時學習下powershell的一些基本命令。
本文出自“蠟筆小牛”博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1259605