如何在ad伺服器中新建用戶
A. ad域怎樣用DOS添加用戶
現在說下DSADD批量創建用戶的方法,首先在使用DSADD之前先講下LDAP協議,目錄服務使用LDAP這個公用協議來查找和定位對象,LDAP可以描述對象在那個域,對象在那個OU,對象自己的名字。通常它的語法為「OU=OU對象,CN=非域非OU對象,DC=域對象」。比如:CN=Solo,OU=IT,OU=desktop,DC=china,DC=com.
接下來我們來看一看DSADD的語法:
dsadd computer - 將計算機添加到目錄
dsadd contact - 將聯系人添加到目錄
dsadd group - 將組添加到目錄。
dsadd ou - 將組織單位添加到目錄
dsadd user - 將用戶添加到目錄。
語法
dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd {Password | *}] [-desc Description] [-memberof Group;...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]
參數
UserDN
必需。指定要添加的用戶的可分辨名稱。如果省略可分辨名稱,則將從標准輸入 (stdin) 中獲取該名稱。
-samid SAMName
指定 SAM 名稱作為該用戶的唯一 SAM 帳戶名(例如,Linda)。如果未指定,dsadd 將嘗試使用 UserDN 的公用名 (CN) 值的至多前 20 個字元創建 SAM 帳戶名。
-upn UPN
指定要添加的用戶的用戶主體名稱(例如 )。
-fn FirstName
指定要添加的用戶的名字。
-mi Initial
指定要添加的用戶的中間名首字母。
-ln LastName
指定要添加的用戶的姓氏。
-display DisplayName
指定要添加的用戶的顯示名。
-empid EmployeeID
指定要添加的用戶的雇員 ID。
-pwd {Password | *}
指定將用戶密碼設置為 Password 或 *。如果設置為 *,將提示您輸入用戶密碼。
-desc Description
指定要添加的用戶的描述。
-memberof GroupDN ...
指定希望用戶加入的組的可分辨名稱。
-office Office
指定要添加的用戶的辦公室位置。
-tel PhoneNumber
指定要添加的用戶的電話號碼。
-email Email
指定要添加的用戶的電子郵件地址。
-hometel HomePhoneNumber
指定要添加的用戶的家庭電話號碼。
-pager PagerNumber
指定要添加的用戶的尋呼機號碼。
-mobile CellPhoneNumber
指定要添加的用戶的行動電話號碼。
-fax FaxNumber
指定要添加的用戶的傳真號碼。
-iptel IPPhoneNumber
指定要添加的用戶的 IP 電話號碼。
-webpg WebPage
指定要添加的用戶的 Web 頁的 URL。
-title Title
指定要添加的用戶的稱謂。
-dept Department
指定要添加的用戶的部門。
-company Company
指定要添加的用戶的公司信息。
-mgr ManagerDN
指定要添加的用戶的管理器的可分辨名稱。
-hmdir HomeDirectory
指定要添加的用戶的主目錄位置。如果 HomeDirectory 是作為通用命名約定 (UNC) 路徑給出,則必須使用 -hmdrv 參數指定要映射到此路徑的驅動器號。
-hmdrv DriveLetter:
指定要添加的用戶的主目錄驅動器號(例如,E:)。
-profile ProfilePath
指定要添加的用戶的配置文件路徑。
-loscr ScriptPath
指定要添加的用戶的登錄腳本路徑。
-mustchpwd {yes | no}
指定用戶是否必須在下次登錄時更改其密碼(yes 必須更改,no 不必更改)。默認情況下,用戶不必更改密碼 (no)。
-canchpwd {yes | no}
指定用戶是否可以更改其密碼(yes 可以更改,no 根本不能更改)。默認情況下,允許用戶更改密碼 (yes)。如果 -mustchpwd 參數的值為 yes,則該參數的值必須為 yes。
-reversiblepwd {yes | no}
指定是否應使用可逆加密來存儲用戶密碼(yes 表示應該,no 表示不應該)。默認情況下,用戶不能使用可逆加密 (no)。
-pwdneverexpires {yes | no}
指定用戶密碼是否永不過期(yes 表示是,no 表示不是)。默認情況下,用戶密碼會過期 (no)。
-acctexpires NumberOfDays
指定從今天算起用戶帳戶將到期的天數。0 值表示將今天的結束時間設置為到期時間。正值表示將將來的時間設置為到期時間。負值表示將以前的時間設置為到期時間。值 never 將帳戶設置為永不過期。例如,0 值表示該帳戶在今天結束時過期。值 -5 表示該帳戶 5 天前就已經到期,並將以前的時間設置為到期日期。值 5 表示該帳戶將在 5 天後到期。
-disabled {yes | no}
指定是否禁用用戶帳戶登錄(yes 禁用登錄,no 允許登錄)。默認情況下,啟用用戶帳戶登錄 (no)。
{-s Server | -d Domain}
連接到指定的遠程伺服器或域。默認情況下,計算機與登錄域中的域控制器相連接。
-u UserName
指定用戶要用於登錄到遠程伺服器的用戶名。默認情況下,-u 使用用戶登錄時的用戶名。您可以使用下列任一格式指定用戶名:
用戶名(例如 Linda)
域\用戶名(例如 widgets\Linda)
用戶主體名稱 (UPN)(例如 )
-p {Password | *}
指定使用密碼或 * 登錄到遠程伺服器。如果鍵入 *,將提示您輸入密碼。
-q
將所有輸出降低為標准輸出(安靜模式)。
Dsadd user的語法內容比較多大家可以參考自己的實際情況去跟相應的參數。
eg:添加工號test001到printer的OU,顯示名及說明都是Solo,並添加ippd-printer群組,密碼為China123,強制下次登錄修改密碼;
dsadd user "cn=test001,ou=printer,ou=desktop,dc=ecmms,dc=foxconn" -upn -desc Solo -display Solo -memberof "cn=ippdprinter,ou=user,ou=ippd,ou=rd,ou=ecmms,dc=ecmms,dc=foxconn" -pwd Foxconn123 -mustchpwd yes
B. 如何在AD中批量創建域用戶
AD安裝完成後,我們都要面對一個棘手的問題,那就是創建用戶!!如果一個企業中域的用戶有成百上千的放,那麼你的工作量可想而知……。況且讓
一個人
重復同一個操作成百上千次,難免不會出現疲勞而導致出現錯誤的可能,下面就介紹一種通過命令的方法一次批量添加用戶1、首先你需要搞到公司的人員表(這個一般都可以在人事部搞到手),然後對人員表做一下簡單的修改,修改後的格式如下,分成五個部分,分別是:姓、名、姓名、用戶名、登錄密碼。2、下面要做的就是把他保存成
CSV後綴名的文件,在「文件」中選擇「另存為」選擇CSV的格式3、然後把文件拷貝到域控的C盤根目錄下用記事本打開此文件,可以看到生成如下的格式以下是我的
域中
OU的情況現在我要用命令批量的把用戶添加到
名為「員工」的OU里。4、運行cmd進入命令行模式,先輸入以下命令,查看能否正常輸入變數C:\for
/f
"tokens=1,2,3,4,5
delims=,"
%a
in
(person.csv)
do
@echo
%a
%b
%c
%d
%e可以正常顯示如下5、接下來我們就要輸入完整的命令行來進行批量的用戶添加for
/f
"tokens=1,2,3,4,5
delims=,"
%a
in
(person.csv)
do
dsadd
user
"cn=%c,ou=員工,dc=myloverxhy,dc=com"
-samid
%d
-upn
%[email protected]
-ln
%a
-fn
%b
-pwd
%e
-disabled
yes其中ou
對應為你要添加到的OU名兩個dc按順序分別對應你的
域名
@myloverxhy.com對應你的後綴Disabled
yes定義添加完的用戶是禁用的
運行命令
後結果如下成功添加用戶。接下來我們到OU里查看用戶,已經全部出現,並且顯示為禁用我們可以選中所有用戶,然後右鍵「啟用賬戶」即可完成。我們可以測試使用賬號在域中登錄,是可以完成的。
C. 如何建立AD用戶
1、先把一台計算機提升AD,提升前要先設固定IP,DNS指向自己,然後運行dcpromo
2、安裝完重啟,打開AD用戶和計算機,展開到users那項,右鍵新建用戶,根據提示輸入就可以了
D. windows server 2008 r2 ad域怎樣添加用戶
直接點擊「下一步」,一般不需要「使用高級模式」。2.點擊「下一步」;3.因為是新建DC,所以選擇「在新林中新建域」;4.在目錄林根級域FQDN(F)一欄中,輸入想建立之網域名稱,如確定無誤後,按下「下一步」,稍後會進行檢查同網段上是否有無網域名稱重復;5.在「設置林功能級別」頁面,如林內網域控制站皆為WindowsServer2008擔任,則可將林功能等級提升至WindowsServer2008,但有些應用程序需綁AD,則暫不建議將網域等級升至WindowsServer2008。確定無誤後,則按下「下一步」,則會開啟「其它域控選項」頁面。6.選擇DNS,點擊「下一步」;7.在進行DNS伺服器角色安裝之前,會先行檢查該伺服器是否已設定固定IP地址。同時,會出現該警示提示(下圖),是因為IPv6預設是為啟動,而該Lab使用的是IPv4,故該警示可忽略,按下「是,該計算機將使用動態分配的IP地址(不推薦)」---當然,首先固定IP是最好了。8.出現此警示訊息則說明如該網域如為子網域時,則必須先升級問為父系網域,然後設定DNS伺服器委派的動作,因該Lab為的網域,故可忽略此警示訊息,按下「是」即可;9.下圖中的配置基本不用更改,前提是都是NTFS格式;10.設置還原密碼。(windowsserver2008對密碼格式有要求:包含大小寫字母和數字,長度大於8位)11.到這里就可以檢查一下前面的步驟有無錯誤,沒有就可以直接「下一步」;12.正在配置各種設定和服務,大約5~6分鍾;重啟即可.
E. 如何在win2008 r2 ad中大批量添加用戶賬號
第一種方法: 比較煩瑣,在用戶的屬性中設置 "登錄到... "選中他可以登錄的機器
這樣做工作量太大,在用戶數少時可以考慮
第二種方法:
1.在域級別上設置組策略,編輯組策略:找到用戶許可權指派,設置登錄到本地,將其中Domain Users ,Everyone這些組去掉.這樣所有的一般域用戶就有能登錄到這個域中的所有工作站了
2. 然後在OU上應用組策略,並選中 "阻斷繼承 ",編輯組策略:找到用戶許可權指派,設置登錄到本地...將需要登錄到此OU工作站的用戶及組增加到列表
當工作站重新啟動後就會應用這個組策略.
F. 如何在AD域添加組織單位與用戶
在「開始」——「所有程序」——「管理工具」中打開「Active Directory用戶計算機」,如下圖
通過上圖所知,AD域的域名為sun.com,右擊「sun.com」——「新建」——「組織單位」,如下圖
輸入組織單位名稱,如:信息部,默認勾選「防止容器被意外刪除」,這樣就可以防止組織單位被不小心刪除了,再「確定」,組織單位新建完成
新建域用戶,在剛剛新建的組織單位中新建域用戶,選擇右擊「信息部」——「新建」——「用戶」,如下圖
輸入域用戶名稱及用戶登陸名,如:張三,用戶登陸名為zhangsan,再點擊「下一步」
為域用戶設置密碼,如果要新建幾十上百的用戶,可以為所有用戶統一設置一個一樣的密碼,再由用戶登陸後自己去改,密碼類型習慣選擇「密碼永不過期」,再點「下一步」——「完成」,域用戶新建完成!
7
最終「組織單位」和「用戶」新建後的界面,如下圖
G. AD域控制器怎麼設置用戶加入域怎麼解決
AD域控制器一台往往都是不夠的,一般都是需要兩台或者兩台以上,這樣不至於一台AD域控制器癱瘓,導致整個架構無法運行,AD域是整個架構的核心;在上個文檔中已經說了如何創建一台AD域,接下來我們看看如何在現有的AD域中添加域控制器。
1、已經有一台AD域控制器,創建AD域
2、設置IP地址,DNS指向第一台域控制器
3、設置計算機名
在對等網模式下,任何一台電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。盡管對等網路上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows9x構成的對等網中,數據的傳輸是非常不安全的。
域控制器是指在「域」模式下,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(DomainController,簡寫為DC)」。
H. 如何建立 service user account in ad
可以使用RACF創建一個新的用戶。首先要有一個有許可權的用戶登陸到系統中,比如用p390登陸到系統中。
1,登陸後的ISPF的畫面
2,在Option後輸入M,再輸入3, 進入RACF
3,選擇4,USER PROFILES AND YOUR OWN PASSWORD,進入User profile service菜單
4,輸入要創建的用戶名,回車到下一步
5,在TO ADD OPTIONAL INFORMATION, ENTER YES處,輸入yes,進入下個畫面
6,把TSO PARAMETERS選上,然後回車,到下一步
7,ACCOUNT NUMBER處輸入一個帳號信息,可以指定一個系統中已經存在的ACCOUNT NUMBER,或者暫時先指定一個不存在的,然後再創建ACCOUNT NUMBER。
LOGON PROCEDURE NAME我們可以指定ISPFPROC,然後回車就可以把一個新用戶創建出來。
8,創建成功後,會跳到USER PROFILE SERVICE菜單畫面,並在畫面右上角顯示Profile added。
9,到第8步為止,用戶已經被成功創建。在第一次登陸的時候,會要求改密碼。
10,如果在第7步指定的ACCOUNT NUMBER不存在或者沒有授予給TEST1這個新建用戶使用的許可權,無法登陸。另外也要授予新建用戶使用在第7步中指定的LOGON PROCEDURE的許可權,否則無法使用ISPF功能。方法如下:
ACCOUNT NUMBER的設定
可以通過TSO命令(ISPF的選項=6),在系統中查找已經定義好的Account Numbe,執行 SEARCH CLASS(ACCTNUM),就可以看到前面第7部指定的Account Number是否是已經定義了的。
如果不存在第7部指定的Account Number,我們可以創建一個。執行 RDEFINE ACCTNUM acct123 。
授權用戶使用可以使用 acct123 。
PERMIT ACCT123 CLASS(ACCTNUM) ID(TEST1) ACCESS(READ)
授予用戶使用LOGON PROCEDURE的許可權。
PERMIT ISPFPROC CLASS(TSOPROC) ID(TEST1) ACCESS(READ)
刷新RACLIST,使授權起效。
SETROPTS REFRESH RACLIST(TSOPROC)
SETROPTS REFRESH RACLIST(ACCTNUM)
如果希望給新建的用戶添加JCL的SUBMIT許可權,執行如下命令:
PERMIT JCL CLASS(TSOAUTH) ID(TEST1)
I. 如何在AD中批量創建域用戶
一、創建用戶的方法創建用戶的方法,常用的無外乎以下幾種:
1. 利用AD用戶和計算機(ADUC)。
2. 利用CSVDE批量建用戶
3. 利用LDIFDE批量建用戶
4. 利用腳本批量建用戶
5. 利用for…..do…循環命令,批量建用戶 以上是五種創建域用戶的方法,但第一種只能創建單個域用戶,其它四種是批量創建用戶方法。在後四種指量創建用戶方法中,哪一種更為簡單呢? CSVDE與LDIFDE批量創建用戶的方法,需要有一個很好(主要是文件格式)的文檔支持,這個文檔編輯起來,非常的困難。腳本批量創建用戶,需要有大量的程序量,不是寫程序的管理員,很難搞定。for....do...dsadd user命令,批量創建用戶方法,簡單、實用。
本文介紹的是最後一種For... do循環命令,結合dsadd user命令批量創建用戶。該簡單、實用,推薦使用!
二、收集企業的通訊錄:
三、編輯通訊錄,並保存為.Csv格式說明:
1、此文檔保存格式為.Csv格式;
2、各列數值不能為空;
3、命令執行時,刪除第1、2、3、4行;
4、各列對應的欄位與命令見表中; 四、創建For... do循環命令(結合dsadd user命令) 命令格式: for /f "tokens=1,2,3,4,5,6,7,8,9,10,11 delims=," %a in (c:users.csv) do dsadd user "cn=%c,ou=UserTest,dc=techone,dc=com" -samid %d -upn %d -ln %a -fn %b -pwd %e -title %f -dept %g -company %h -tel %i -mobile %j -iptel %k -disabled yes
相關註明: 1、先用Excel表格做一個簡單模版,將其保存為.csv格式! 2、再用For命令結合dsadd 來完成批量創建用戶! 3、tokens=1,2,3,4,5,6,7,8,9,10,11 :表示有11個變數(參數為表格內的11個參數,順序為A/B/C/D/E/F/G/H/I/J/K 這11個參數見Csv表格)
delims=, :表示分隔符為「,」
%a in (c:users.csv) :表示變數從路徑「c:users.csv」中取數據
dsadd :添加命令
cn=%c,ou=UserTest,dc=,dc=com :表示所創建的用戶名與創建位置
-samid %d -upn %d:表示登錄名為變數d
-ln %a :設置用戶姓為變數a
-fn %b :設置用戶名為變數b
-pwd %e :設置密碼為變數e -title %f :設置職務為變數f -dept %g :設置部門為變數g -company %h:設置公司為變數h -tel %i :設置電話為變數i -mobile %j :設置行動電話為變數j -iptel %k :設置IP電話為變數k
-disabled yes :表示導入以後為禁用狀態 更多的參數,請參考dsadd user /?
五、在AD伺服器上,執行以下步驟:
1、在AD管理工具中,創建一個OU,名為UserTest;
2、在CMD命令下,鍵入上述命令:
六、在AD管理工具,上刷新UsersTest,看到創建的相關用戶。全部選中,然後開啟用戶。
七、查看用戶屬性,相關屬性值已存在。
八、抽樣使用批量創建的域用戶,登陸,結果正常。批量創建域用戶
J. Windows AD域通過GPO設置客戶端電腦本地管理員賬號密
0x01 介紹
在實際生產環境中,由於Windows AD域的限制,桌面對客戶端電腦進行軟體安裝或其他系統配置時,均需要管理員許可權,而網內客戶端眾多,不同客戶端電腦密碼可能都是不同的,也經常忘記本地管理員密碼,所以這時候就需要批量變更客戶端的本地管理員密碼。
0x02 環境介紹
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已經將客戶端加入域
0x03 操作步驟
1. 首先在DC上用於與計算機控制台,新建一個計算機OU,便於管理,將剛加入域的計算機移動到這個OU中。
2. 在DC上打開組策略管理工具,新建一條策略,命名自己能看懂即可
3. 並對此策略進行設置,依次展開 計算機配置— 策略 — Windows設置 —安全設置 — 安全選項 — 賬戶:重命名系統管理員賬戶 將administrator用戶重命名其他,此處修改為Local_admin。
4. 然後再回到Windows設置 — 腳本(啟動/關機),新建一條啟動腳本。
#啟動腳本內容:意思為新建administrator用戶,密碼設置為passwd1!,啟用此賬戶
net user administrator passwd1! /active:yes
將腳本內容復制到txt,另存為cmd後綴或者bat後綴文檔,然後點開啟動屬性,點開顯示文件,出來路徑,將腳本文件粘貼到路徑中,再點開編輯瀏覽到剛才路徑,選中寫好的開機腳本文件。
另外,有時候還有特殊需求,比如域中客戶端用戶由於一些特殊原因需要本地管理員許可權,有這個需求的時候又不可能每次到跑到客戶端操作電腦,因 此可以使用受限制的群組,設定,當域中某些特定用戶需要有本機管理員許可權的時候就可以直接在AD伺服器上操作即可。
5. 回到用戶和計算機管理工具,在Users中新建一個組,命名為Local-admins並將張三加入到此用戶組測試。
6. 再回到組策略管理工具中,此處依舊掛載在這條GPO策略上,找到計算機配置 — Windows設置 — 安全設置 — 受限制的組 新建Administrators 組,並將默認需要添加到客戶端本地管理員的用戶與用戶組添加進來。
7. 確定後關閉這條GPO編輯頁,回到組策略管理工具,找到之前新建的yeah-Computers計算機組的OU,右鍵鏈接到現有GPO找到剛新建的GPO,鏈接確定。
8. 此時,到DC伺服器中強制刷新組策略。
#強制刷新組策略命令
gpupdate /force
9. 找一台客戶端驗證策略是否生效,以本地管理員用戶Local_admin登錄,查看策略是否生效,因為應用的是計算機策略,只能在本地管理員賬號下看到策略是否應用。
#查看當前用戶計算生效gpo
gpresult/r
#如發現策略沒應用,可多執行幾次強制刷新策略命令
gpupdate /force
10. 可以看到策略已經應用,我們再切換用戶,以張三登錄客戶端,右鍵點擊計算機,計算機管理–本地用戶和組–組–administrators,可以發現當前已經有我們設定的用戶組位於本地管理組中了。
到此已經完成需求的所有操作,即通過GPO統一設置域內計算機本地管理員賬戶重命名為Local_admin,並在AD上新建一個Local-Admins用戶組,將這個組加入到客戶端本地管理員組中,後續需要用到本地管理員的域用戶只要在AD上將用戶加入到這個組即擁有本地管理員許可權