域系统管理员可以利用Active Directory管理中心或Active Directory用户和计算机控制台来建立与管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内的所有成员计算机,访问有权限访问的资源。就是说,域用户在一台域成员计算机上登录成功后,当他要连接域内的其他成员计算机时,并不需要再手动输入用户名与密码进行登录。
在服务器还没有升级成为域控制器之前,原本位于其本地安全数据库内的本地用户账户,会在升级成域控制器后被移动到AD DS数据库内,并且是被存储到Users容器内,可以通过Active Directory管理中心来查看,同时这台服务器的计算机账户会被存储到组织单位Domain Controllers内。其他加入域的计算机账户默认会被存储到Compouters容器内
也可以通过Active Directory用户和计算机来查看
只有在建立域内的第1台域控制器时,该服务器原来的本地账户才会被转移到AD DS数据库,其他域控制器原有的本地账户并不会被转移到AD DS数据库,而是被删除。
创建组织单位与域用户账户
可以将用户账户创建到任何一个容器或组织单位内,以下假设要先建立名称为"财务部"的组织单位,然后再其内创建域用户账户Dick
创建组织单位"财务部"的方法为:开始 -> Windows管理工具 -> Active Directory管理中心(或Active Directory用户和计算机) -> 选中域名并右击新建 -> 组织单位
注意:图中默认已经勾选了"防止意外删除",因此无法直接将此组织单位删除,除非取消勾选此选项。如果是使用Active Directory用户和计算机的话:选择"查看"菜单 -> 高级功能 -> 对着此组织单位并右击"属性"如图所示勾选"对象"选项卡之下的"防止对象被意外删除"
在组织单位"财务部"内建立用户账户"Dick"的方法为:选中组织单位"财务部"并右击 -> 新建 -> 用户
注意:
- 图中带星号的为必填项目,其余项目根据需要尽可能填写完善
- 域用户的密码默认需至少7个字符,且不能包含用户账户名称(指用户SamAccountName)或全名,还有至少包含A-Z、a-z、0-9、非字母数字(例如:!、$、#、%)等4组字符中的3组,例如DickHONG12@#是有效密码。而1234567是无效密码。
用户登录账户
域用户可以到域成员计算机上(域控制器除外)利用两种账户名称来登录域,它们分别是用户SamAccountName登录和用户UPN登录。普通的域用户默认是无法在域控制器上登录的
用户UPN登录:
- UPN(User Principal Name)的格式与电子邮件账户相同,如前面图中Dick@h2o.com,这个名称只能在隶属于域的计算机上登录域时使用。整个林内,这个名称必须是唯一的。
- UPN并不会随着账户被移动到其他域而改变。举例来说,用户Dick的用户账户位于域h2o.com内,其默认的UPN为Dick@h2o.com,之后即使此账户被移动到林中的另一个域内,例如域hwo.com,其UPN仍然是Dick@h2o.com,并没有被改变,因此Dick仍然可以继续使用原来的UPN登录
用户SamAccountName登录:
- h2o\Dick,这是旧格式的登录账户,Windows 2000之前版本的旧客户端需要使用这种格式的名称来登录域。在隶属于域的Windows 2000之后的计算机上也可以采用这种名称来登录。同一个域内,这个名称必须是唯一的
创建UPN后缀
用户账户的UPN后缀默认是账户所在域的域名,例如用户账户是被建立在域h2o.com内,则其UPN后缀为h2o.com。在某些情况下,用户可能希望能够改用其他替代后缀。例如:
- 因为UPN的格式与电子邮件账户相同,因此用户可能希望其UPN可以与电子邮件账户相同,以便让其不论是登录域或收发电子邮件,都可以使用同一个名称
- 如果域树状目录内有多层的子域,则域名会太长,例如sales.sh.h2o.com,如此UPN后缀也会太长,这将造成用户在登录时的不便
可以通过添加UPN后缀的方式让用户拥有替代后缀
Step1:单击左下角开始图标 -> Windows管理工具 -> Active Directory域和信任关系 -> 如图单击Active Directory域和信任后,单击上方的属性图标
Step2:输入替代的UPN后缀后单击"添加"按钮并单击"确定"按钮。后缀不一定需要DNS格式,例如可以是hwoo.com,也可以是hwoo
完成后,就可以通过Active Directory管理中心(或Active Directory用户和计算机)控制台来更改用户的UPN后缀