本文出自 “叶俊生” 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814

简化管理:拖曳  多重对象属性  保存的查询  命令行工具   连接小型办公室:从副本创建DC   简化管理的目标:使每天的任务更容易  使UI界面更友好 更容易查找对象:你管理的用户和组   更容易实现自动化:提供了一些工具使制作脚本更容易  自动完成重复的任务  简化管理-拖曳:拖曳功能是2003活动目录的新支持的功能:活动目录用户和计算机  活动目录站点和服务  友好的UI:更像其他的管理工具  拖曳用户对象:到新的容器或者组织单元  到新的组   简化管理-拖曳使用场景  场景:更新账户  添加用户或组到新的组 移动一个服务器到新的站点  好处:不需要打开用户属性  完成同样的任务只需要很少次的点击  像其他标准的工具一样操作   简化管理-多重对象属性:指可以同时编辑多个对象的属性:活动目录和计算机  友好的UI:更像其他的管理工具   简化管理-多重对象属性使用场景:  场景:需要让所有用户在第二天登录时修改密码  需要为所有用户设置漫游配置文件 .........   ..........   好处:可以避免重复执行机同的任务 
2003354
我提前新建了3个OU(组织单位)  它们分别叫做人事部  财务部  销售部  并且在每个OU里面创建了一个组   它们分别叫做人事部经理组  财务部经理组  销售部经理组  人事部里面创建了一个叫做李俊的用户  财务部里面创建了一个叫做李钢的用户  销售部创建一个叫做李丽的用户 假如李丽在销售部做得不好    现在把她转到人事部了  如果是Windows Server 2000的活动目录就对着李丽右键--选择移动--按人事部--按确定  Windows Server 2003也可以这样操作  但是Windows Server 2003还有一个新功能可以支持拖曳  就是说按住李丽这个用户不放 直接拖曳到人事部就ok了 
2003355
现在假设李丽这个人转到人事部以后工作做得非常不错 公司决定把她提升为人事部的经理了 这个时候它和李俊是并级的 需要把李丽直接加入人事部经理组 获得人事部经理组可以访问的文件资源或者是打印资源 对着李丽右键--选择属性--按隶属于--按添加 在输入对象名称来选择(示例)(E):里面输入人事部经理组  按确定就可以了  但是这样操作不方便  如果有多个用户并且在不同的OU下面 这样操作起来很麻烦的 不过还有一种简单的方法 可以用拖曳的方法 在Active Directory 用户和计算机里面--按查看--按用户.组和计算机作为容器   这个时候就可以把李丽这个人直接拖曳到人事部经理组了
2003356
现在李丽和李俊都是人事部的经理了 公司要求从它们更改新密码  我先在C盘里面创建一个叫做home的文件夹并且把它共享出来 对着home这个文件夹右键--选择共享和安全  共享名为home&   home&表示是一个隐藏共享文件夹  在Active Directory用户和计算机里面按查看--按用户.组和计算机作为容器 先把它的沟去掉  把李丽和李俊全部选定右键--选择属性   可以看到多重项目的属性了  按账户 把用户下次登录时须更改密码沟上   按应用 按配置文件  因为我现在使用的这台域控制器的计算机名称叫做London  所以在配置文件路径里面输入\\London\home&\%username%   沟上主文件夹  在连接里面选择Q到\\London\home&\%username%  也就是说我现在要给他们映射一个网络驱动器叫做Q盘符  就是说这些用户将映射一个Q盘符 不管这些用户在域中的那一台计算机用户登录都可以看到一个叫做Q的网络驱动器了  它们也可以在Q盘符里面存储东西了 而这些东西都是存储到服务器里面 如果你怕它们乱存储一些跟工作没相关的东西  你也可以对它们的容量进行限制   比如说我现在只想每个用户只有16M的空间  就在域控制器里面对着C盘右键--选择属性--按配额  把启用配额沟上 把拒绝将磁盘空间给超过配额限制的用户沟上 在将磁盘空间限制为那一项输入16MB  将警告等级设为15MB吧  就是说当用户使用到15MB的时候就发出一个警告了  按确定就ok了
2003358
现在假设李俊这个用户登录系统了  输入用户和密码 按确定后就可以看到提示第一次登录时必需更改密码  按确定  输入旧密码 新密码  按确定就可以了 这个时候可以看到您的密码已更改  按确定就进入系统了
2003357
  现在可以看到李俊这个用户登录进来可以看到一个叫做"London\home&"上的李俊(Q)的网络驱动器了  对着"London\home&"上的李俊(Q)这个网络驱动器右键--选择属性  可以看到容量只有16MB   因为我刚才在域控制器里面已经限制网络驱动器空间的大小了 
2003359
ADModify这个软件可以到网上下载 通过它我们可以在Windows Server 2000活动目录里面去批量地修改用户账户的属性 比如说要统一设置这些账户过期的属性 什么时候过期 这个工具也比较适合在Windows server 2003上使用  为什么呢?Windows server 2003不是可以直接修改多重项目的属性吗?  但是我们发现设置属性的时候能够设置的属性并不多 只有常规 账户配置文件 单位这几个选项卡而已  如果你要统一修改这些成批对象的属性 比如说它们属于那些组 你要修改的是其他属性  只靠Windows server 2003多重对象属性去编辑是没办法的  根本都没有这些选项卡给我们编辑  我们还是非常有必要用 ADModify这个工具去统一修改它们  按Next
2003360
因为这台计算机的名称叫做London  域名叫做yejunsheng.com    所以在Select Domain Controller那一项选择london.yejunsheng.com      展开OU=人事部  按李俊 李丽 按Add To List把它们添加到右边  按Shift键把它们全选  按Next
2003361
大家可以看到现在可以编辑的属性特别多了  常规 地址  用户  配置文件夹  电话  组织等等  比如我现在编辑账户属性  把Passwork Never Expires那一项沟上  也可以把下面那二项沟上 按Change就ok了 这个工具即使是在Windows Server 2003当中也是有必要使用的 它能够帮助我们统一修改一些多重对象属性所不能编辑到的属性
简化管理-保存的查询:指保存在活动目录用户和计算机查询:可以像文件夹一样访问  只显示基于查询条件的一个对象的集合  例如-定义查询显示账户基于:用户/组的名称或者描述  账户和密码状态  上次登录以来的天数
简化管理-创建保存的查询:使用活动目录和计算机创建保存的查询  新查询:定义查询的根:查询位置的开始  查询用户,打印机,共享对象等等  定义变量  查询可以被导出  可以导入到其他"活动目录用户和计算机"控制台
简化管理-保存的查询使用场景:   场景:显示你管理的用户和组  显示用户账号  那些被禁用  那些密码设置为密码永不过期的  那些一个月没有登录的  好处:从保存的查询文件夹执行任务  不需要遍历域 组织单元和容器的层次结构查找对象
2003362
打开Active Directory用户和计算机后  按在Active Directory中查找对象那个键来查找用户  如果你想更快地查找用户  你可以新建一个快捷方式  对着桌面右键--新建--选择快捷方式  在请键入项目的位置里面输入rundll32 dsquery.dll,OpenQueryWindow 接着按下一步 按完成就ok了   以后你想查用户的话就直接在桌面上双击rundll32.exe这个文件就可以了  对着保存的查询右键--选择新建--按查询 名称就叫做所有部门经理吧  按定义查询 在查找那一项选择用户 联系人及组 按高级 按字段--按用户--选择工作职称  在值那一项里面就输入部门经理吧 按添加  按确定后就可以看到它转换成一些LDAP的过滤器  通过这样的方式可以查询不同OU里面的用户  其实李丽 李俊 李钢是在不同的OU里面 而现在我们就可以通过这样的方式把它们查出来并且可以把这个结果保存下来  在查找里面选择自定义搜索  范围选择整个目录  按字段--按用户--选择名称  在值里面输入李  按开始查找后就可以看到 李丽  李俊  李钢 这三个用户了
简化管理:ldap过滤器   语法:等式  <attr>=<value>  (sn=Dan)  近似  <attr>~=<value>  (sn~=Dann)  子串  <attr>=[<leading>] * [<any>] * [<trailing>]  (sn=Da*)    语法 (续):大于等于:  <attr>&gt;=<value>  (sn<=Dan) 小于等于:&lt;attr><=&lt;value> (sn<=Dan) 当前默认:&lt;attr>=* (objectClass=*)   与 (&(<filter1>) (<filter2>)) (&(objectClass=user) (sn=Dan)  或 (l(<filter1>) (<filter2>))  (l(sn=Dan) (sn=T*)  非 (!(<filter1>)) (!(sn=Dan))
简化管理:ldap filter使用场景   场景:查询所有被锁定的用户账号  好处:更方便灵活 随心所欲地查询活动目录对象 
2003363
通过开始--程序--管理工具--选择域安全策略  展开安全设置--按账户锁定策略   双击账户锁定阈值 设置为5次无效登录就锁定该账户了   就是说在30分钟内输入5次错误密码该账户就被锁定了  通过开始--运行--输入gpupdate /force按确定来刷新组策略
2003364
我现在来到一台Windowsxp客户端 它是yejunsheng.com这个域中的一台客户机 我用李丽这个用户登录 前5次输入错误的密码  第6次再输入正确的密码   按确定  这个时候可以看到你的账房已被锁定,你不能登录.请与系统管理员联系   就是说只要你在30分钟之内输入5次错误密码该账户就已经被锁定了 就算第6次输入正确的密码也没有用了 
2003365
首先安装Windows Server 2003光盘里面的SUPPORT--TOOLS--双击SUPTOOLS.MSI这个软件  通过开始--运行--输入adsiedit.msc按确定 找到OU=人事部   对着李丽 李俊右键--选择属性   找到lockoutTime那一项   李俊Value那一项没有设置(Not Set)  而李丽Value那一项的值为128530585809531250表示该账户已经被账定了  
2003366
打开Active Directory用户和计算机后  对着保存的查询右键--选择新建--按查询   新查询的名称就叫做所有被锁定的用户吧 按定义查询  在查找里面选择自定义搜索   按高级   在输入LDAP查询里面输入(&(objectcategory=person)(objectclass=user)(lockoutTime&gt;1))按确定   这个时候就可以就可以把李丽导出来了  对着李丽右键--选择属性  把账户锁定的沟去掉就ok了 这样就可以完成解锁了
2003367
还有一种方法是李丽这个用户发现它的账户已经被锁定了  她打电话过来叫你去帮她解锁   你可以打开Active Directory用户和计算机 对着李丽这个用户右键--选择属性  按账户  直接把账户已锁定的沟去掉  按确定就ok了
2003368
   大家看到了吗?我刚才已经帮李丽这个用户解锁了   现在她可以用她的账户登录进来yejunsheng.com这个域中了
命令行活动目录工具:Dsadd:添加活动目录对象,例如用户,组,组织单元  Dsget:显示一个活动目录对象的属性  Dsmod:修改一个已经存在的活动目录对象  Dsmove:移动或者重命名一个活动目录对象 Dsquery:查询和列出活动目录对象  Dsrm:删除活动目录对象 
简化管理:活动目录工具使用场景:批量创建用户  批量查询满足条件的用户并删除  批量修改用户对象的属性 ........  .......
连接小型办公室-从副本创建DC应用场景: 场景:远程办公室需要域控制器  远程办公室使用很低的带宽  好处:允许还原活动目录数据而不是跨广域网复制