如何在AD域添加组织单位与用户

Active Diretory 全攻略（八）--组策略（1）(2008-09-10 14:12:00) 标签：it 分类：sever组策略与OU中的组没有关系，不要混淆了。系统管理员可利用组策略来管理AD数据库中的计算机与用户。例如：用户桌面环境、计算机启动/关机所执行脚本文件，用户登录/注销所执行的脚本文件、文件重定向、软件安装等。一、组策略的基本概念 1、组策略的设置数据保存在AD数据库中，因此必须在域控制器上设置组策略。 2、组策略只能够管理计算机与用户。也就是说组策略是无法管理打印机、共享文件夹等其它对象。 3、组策略不能应用到组，只能够应用到站点、域或组织单位（SDOU） 4、组策略不适用于WINDOWS9X/NT的计算机，所以应用卜逗到这些计算机上无效。 5、组策略不会影响未加入域灶大的计算机和用户，对于这些计算机和用户，应使用本地安全策略来管理。注意一下：本地安全策略与组策略很相似，但功能较少，仅能管理本机上的计算机设置与用户设置。 GPO的特性：组策略的设置数据都是保存在“组策略对象“（GPO）中，GPO具有以型辩卖下特性： 1、GPO利用ACL记录权限设置，可以修改个别GPO的ACL，指定哪些人对该GPO拥有何种权限。 2、用户只要有足够的权限，便能够添加或删除GPO，但无法复制GPO。当AD域刚建好时，默认仅有一个GPO--DEFAOLT DOMAIN POLICY。这个GPO可用来管理域中所有的计算机与用户。若要设置应用于组织单位的组策略，通常会再另行建立GPO，以方便管理。 GPO的内容：GPO有两大类策略：1、计算机设置：包含所有与计算机有关的策略设置，这些策略只会应用到计算机帐户。2、用户设置：包含所有与用户有关的策略设置，这些策略只会应用到用户帐户。

比较简单有效的方法是对整个域用户设置一个组策略，该组策略实现将Helpdesk用户组添加到本地计算机中，同时对肆迟庆该组策略的安全作出限制，对所有服务器计算机deny其“应用组策略”。具体 *** 作是这样的：

（1）在AD中新建Helpdesk用户组，添加相关的Helpdesk用户，新建ServerComputer组，将所有的服务器添加到该组中。

（2）在DC上打开“AD用户和计算机”，打开域的属性窗口，在组策略选项卡中单击“打开”按钮打开组策略管理，

新建一个组策略Helpdesk，并将该组策略链接到域上，对所有域用户生效，如图：

（3）右击“Helpdesk”，在d出式菜单中选择“编辑”，那么就可以d出我们熟悉的组策略编辑器了。

（4）依次展开“计算机设置”、“Windows设置”、“安全设置”、“受限制的组”，然后新建组“Helpdesk”，这个组隶属于“旦清Administrators”组，如图：

这样设置后所有域中的计算机在应用策略后都会将Helpdesk组添加到本地的Administrators组中。

（5）右击左侧控制栏的“Helpdesk[xxx.com]策略”，在d出式菜单中选裂握择“属性”选项，并切换到安全选项卡，添加服务器计算机组ServerComputer，然后在下面的权限中设置其拒绝应用组策略。

（6）“确定”，完成组策略的设置。这个时候在员工计算机上运行gpupdate

/force可以强制马上刷新组策略，看到Helpdesk已经添加到Administrators组中。但是现在如果登录服务器也可以看到，Helpdesk也会被加入到Administrators组中，为什么呢？

因为计算机被加入到组中后计算机如果没有重启，那么他是不知道自己在这个组中的，所以组中的计算机必须重启！重启后就可以看到Helpdesk是不会被添加到Administrators组中的。

服务器需要24小时运行，不允许重启怎么办？可以将服务器一台一台的添加到（5）步中的安全控制中，分别对每一台计算机设置拒绝应用组策略即可。

现在说下DSADD批量创建用户的方法，首先在野纤空使用DSADD之前先讲下LDAP协议，目录服务使用LDAP这个公用协议来查找和定位对象，LDAP可以描述对象在那个域,对象在那个OU,对象颂瞎自己的竖肢名字。通常它的语法为“OU=OU对象,CN=非域非OU对象,DC=域对象”。比如：CN=Solo,OU=IT,OU=desktop,DC=china,DC=com.

接下来我们来看一看DSADD的语法：

dsadd computer - 将计算机添加到目录

dsadd contact - 将联系人添加到目录

dsadd group - 将组添加到目录。

dsadd ou - 将组织单位添加到目录

dsadd user - 将用户添加到目录。

语法

dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd {Password | *}] [-desc Description] [-memberof Group...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]

参数

UserDN

必需。指定要添加的用户的可分辨名称。如果省略可分辨名称，则将从标准输入 (stdin) 中获取该名称。

-samid SAMName

指定 SAM 名称作为该用户的唯一 SAM 帐户名（例如，Linda）。如果未指定，dsadd 将尝试使用 UserDN 的公用名 (CN) 值的至多前 20 个字符创建 SAM 帐户名。

-upn UPN

指定要添加的用户的用户主体名称（例如 ）。

-fn FirstName

指定要添加的用户的名字。

-mi Initial

指定要添加的用户的中间名首字母。

-ln LastName

指定要添加的用户的姓氏。

-display DisplayName

指定要添加的用户的显示名。

-empid EmployeeID

指定要添加的用户的雇员 ID。

-pwd {Password | *}

指定将用户密码设置为 Password 或 *。如果设置为 *，将提示您输入用户密码。

-desc Description

指定要添加的用户的描述。

-memberof GroupDN ...

指定希望用户加入的组的可分辨名称。

-office Office

指定要添加的用户的办公室位置。

-tel PhoneNumber

指定要添加的用户的电话号码。

-email Email

指定要添加的用户的电子邮件地址。

-hometel HomePhoneNumber

指定要添加的用户的家庭电话号码。

-pager PagerNumber

指定要添加的用户的寻呼机号码。

-mobile CellPhoneNumber

指定要添加的用户的移动电话号码。

-fax FaxNumber

指定要添加的用户的传真号码。

-iptel IPPhoneNumber

指定要添加的用户的 IP 电话号码。

-webpg WebPage

指定要添加的用户的 Web 页的 URL。

-title Title

指定要添加的用户的称谓。

-dept Department

指定要添加的用户的部门。

-company Company

指定要添加的用户的公司信息。

-mgr ManagerDN

指定要添加的用户的管理器的可分辨名称。

-hmdir HomeDirectory

指定要添加的用户的主目录位置。如果 HomeDirectory 是作为通用命名约定 (UNC) 路径给出，则必须使用 -hmdrv 参数指定要映射到此路径的驱动器号。

-hmdrv DriveLetter:

指定要添加的用户的主目录驱动器号（例如，E:）。

-profile ProfilePath

指定要添加的用户的配置文件路径。

-loscr ScriptPath

指定要添加的用户的登录脚本路径。

-mustchpwd {yes | no}

指定用户是否必须在下次登录时更改其密码（yes 必须更改，no 不必更改）。默认情况下，用户不必更改密码 (no)。

-canchpwd {yes | no}

指定用户是否可以更改其密码（yes 可以更改，no 根本不能更改）。默认情况下，允许用户更改密码 (yes)。如果 -mustchpwd 参数的值为 yes，则该参数的值必须为 yes。

-reversiblepwd {yes | no}

指定是否应使用可逆加密来存储用户密码（yes 表示应该，no 表示不应该）。默认情况下，用户不能使用可逆加密 (no)。

-pwdneverexpires {yes | no}

指定用户密码是否永不过期（yes 表示是，no 表示不是）。默认情况下，用户密码会过期 (no)。

-acctexpires NumberOfDays

指定从今天算起用户帐户将到期的天数。0 值表示将今天的结束时间设置为到期时间。正值表示将将来的时间设置为到期时间。负值表示将以前的时间设置为到期时间。值 never 将帐户设置为永不过期。例如，0 值表示该帐户在今天结束时过期。值 -5 表示该帐户 5 天前就已经到期，并将以前的时间设置为到期日期。值 5 表示该帐户将在 5 天后到期。

-disabled {yes | no}

指定是否禁用用户帐户登录（yes 禁用登录，no 允许登录）。默认情况下，启用用户帐户登录 (no)。

{-s Server | -d Domain}

连接到指定的远程服务器或域。默认情况下，计算机与登录域中的域控制器相连接。

-u UserName

指定用户要用于登录到远程服务器的用户名。默认情况下，-u 使用用户登录时的用户名。您可以使用下列任一格式指定用户名：

用户名（例如 Linda）

域\用户名（例如 widgets\Linda）

用户主体名称 (UPN)（例如 ）

-p {Password | *}

指定使用密码或 * 登录到远程服务器。如果键入 *，将提示您输入密码。

-q

将所有输出降低为标准输出（安静模式）。

Dsadd user的语法内容比较多大家可以参考自己的实际情况去跟相应的参数。

eg:添加工号test001到printer的OU,显示名及说明都是Solo，并添加ippd-printer群组，密码为China123，强制下次登录修改密码；

dsadd user "cn=test001,ou=printer,ou=desktop,dc=ecmms,dc=foxconn" -upn -desc Solo -display Solo -memberof "cn=ippdprinter,ou=user,ou=ippd,ou=rd,ou=ecmms,dc=ecmms,dc=foxconn" -pwd Foxconn123 -mustchpwd yes

---