批量創(chuàng)建域普通賬戶

在創(chuàng)建普通域賬戶時(shí)，管理員需要打開Active Dirextory用戶和計(jì)算機(jī)窗口，在合適的OU中創(chuàng)建賬戶。但在大型網(wǎng)絡(luò)中，有時(shí)需要?jiǎng)?chuàng)建大量的賬戶，利用Csvde、PowerShell命 令，Ldifde以及Net命令，可以批量添加普通域賬戶。這里就以Ldifde工具為例進(jìn)行說明。使用該工具之前，需要?jiǎng)?chuàng)建所需的用戶配置文件。

例如，創(chuàng)建名為“pldr.txt”的文件，其中包含所需的賬戶信息，在其中逐 行 輸 入“DN:cn=用 戶甲,OU=depart1,DC=xxx,DC=com”，“changetype:add”，“objectclass:user”，“sAMAccountName:userjia”、“userPrincipalName:userjia@xxx.com”、“displayname:開發(fā)部某員工”、“userAccount control :514”、“physicalDeli very Name:某寫字樓某層某號(hào)”等，創(chuàng)建名為“userjia”的賬戶。

顯示名稱為“用戶甲”，隸屬于名為“dapart1”的 OU，用戶主體名稱USN為“userjia@xxx.com”，域名為“xxx.com”，工作地點(diǎn)為“某寫字樓某層某號(hào)”。同理，可以分別輸入其他賬戶的信息。注意，兩個(gè)賬戶之間需要存在空行。在CMD窗口中執(zhí)行“l(fā)difde -i -f d:pldr.txt -j d:”命 令，可以將上述用戶信息導(dǎo)入到活動(dòng)目錄數(shù)據(jù)庫中，同時(shí)在D盤下創(chuàng)建名為“l(fā)dfif”的日志文件。執(zhí)行“dsquery user”命令，可以查詢所有的域賬戶信息，可以看到已經(jīng)批量創(chuàng)建了所需的賬戶。注意，在默認(rèn)狀態(tài)下，批量創(chuàng)建的賬戶處于禁用狀態(tài)。

批量刪除和修改賬戶

對(duì)于上述批量創(chuàng)建賬戶，可以很輕松地進(jìn)行批量刪除。打開上述名為“pldr.txt”的文件，將不需要?jiǎng)h除的賬戶信息刪除，之后針對(duì)每個(gè)剩余的賬戶，只保留前兩行，第一行不變，將第二行修改為“changetype:delete”。 再次執(zhí)行“l(fā)difde -i -f d:pldr.txt -j d:”命令，就可以批量刪除了。如果是批量修改賬戶屬性，例如修改用戶名和USN信息，可以打開上述“pldr.txt”文件，只保留需要修改的賬戶，只保留前兩行，將第二行修改為修改為“changetype:modify”。

圖1 新建查詢窗口

之后輸入“replace:displayname”、“displayname:開發(fā)部主管”、“replace:user Principal Name”、“-”，“userPrincipalName：zhuguan@xxx.com”之 類 的語句。之后執(zhí)行以上命令，即可完成修改。當(dāng)然，使用系統(tǒng)自帶的“NET”命令，同樣可以批量創(chuàng)建和刪除賬戶，例如執(zhí)行“for /L %a in （1,1,50）do net user newzh%a passw@rd /add /domain”命令，可以創(chuàng)建名稱以“newzh”開頭的以數(shù)字編號(hào)的，密碼為“passw@rd”的50個(gè)賬戶。對(duì)應(yīng)的，執(zhí)行“for /L %a in （1,1,50）do net user newzh%a /del/domain”命令，可以批量刪除這些賬戶。

批量解鎖域賬戶

由于某些原因可能會(huì)造成有些賬戶被鎖定。在默認(rèn)情況下，鎖定的周期為30分鐘，在此期間被鎖定的賬戶是無法登錄域環(huán)境的。有時(shí)管理員需要快速找到這些被鎖定的賬戶，進(jìn)行批量解鎖。打開Active Directory用戶計(jì)算機(jī)窗口，在左側(cè)的“保存的查詢”項(xiàng)上點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“新建→查詢”項(xiàng)，在新查詢窗口（如圖1）中輸入名稱（例如“查找鎖定的賬戶”），選擇“包括子容器”項(xiàng)。

點(diǎn)擊“定義查詢”按鈕，在查找一般性查詢窗口中的“用戶”面板中選擇“禁用的賬戶”項(xiàng)，點(diǎn)擊“確定”，在“查詢的字符串”欄中顯示所需的查詢語句。執(zhí)行以上操作后，就會(huì)顯示所有被禁用的賬戶，選中后，在右鍵菜單上點(diǎn)擊“啟用賬戶”項(xiàng)，即可解除其鎖定狀態(tài)。當(dāng)然，也可以在CMD窗口中執(zhí)行“dsquery user -disabled |dsmod user-disabled no”命令，可以查找并解鎖所有被鎖定的賬戶。注意，對(duì)于Guest和Krbtgt賬戶，需要使其處于鎖定狀態(tài)。

批量更改客戶端管理員密碼

對(duì)于客戶端主機(jī)來說，使用者一般都具有管理員權(quán)限。但是，在域環(huán)境中，需要對(duì)客戶端的配置進(jìn)行統(tǒng)一管理，是不希望在本地使用管理員賬戶登錄的。解決的方法是，在域控上打開組策略管理器，在左側(cè)選擇“林→域→域名”，在“Default Domain Policy”項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”，在編輯窗口左側(cè)選擇“用戶配置→首選項(xiàng)→控制面板設(shè)置→本地用戶和組”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建→本地用戶”項(xiàng)，在打開窗口（如圖2）中的“用戶名”列表中選擇“administrator”，在“密碼”欄中輸入新的密碼，點(diǎn)擊“確定”，完成修改操作。

這樣，當(dāng)客戶機(jī)以管理員身份進(jìn)行本地登錄時(shí)，就會(huì)被系統(tǒng)攔截。為了立即生效，需要在客戶端執(zhí)行“gpeudate /force”刷新組策略。為了讓用戶在登錄時(shí)必須登錄到域環(huán)境，可以在上述組策略編輯窗口中打開“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”項(xiàng)，在右側(cè)雙擊“允許本地登錄”項(xiàng)，在打開窗口中刪除所需賬戶，這樣，該賬戶就無法在本地登錄了。

圖2 新建本地賬戶窗口

批量恢復(fù)誤刪的域賬戶

在Windows Server 2008之后的系統(tǒng)中，已內(nèi)置了禁止刪除域賬戶的功能，但如果管理員在創(chuàng)建域賬戶沒有開啟該功能，依然會(huì)出現(xiàn)誤刪的情況。賬戶恢復(fù)可以使用在線恢復(fù)和離線恢復(fù)功能。離線恢復(fù)需要在事先備份活動(dòng)目錄數(shù)據(jù)庫，而且需要讓域控暫停工作。在線恢復(fù)則沒有這些約束。

例 如，可 以 使 用ADRecycleBIn這款小工具在線恢復(fù)，在主界面中的“Load Filter（Object Types）”欄中選擇“User and Computers”，針對(duì)活動(dòng)目錄數(shù)據(jù)庫中的賬戶和計(jì)算機(jī)進(jìn)行恢復(fù)。在“Delete Objects”列表中顯示刪除的所有對(duì)象，在需要恢復(fù)賬戶的右鍵菜單上點(diǎn)擊“Restore Object”，可 以 恢 復(fù) 該賬戶。也可以批量選擇所有需要恢復(fù)的賬戶，點(diǎn)擊“Restore Checked Objects”來執(zhí)行批量恢復(fù)。

批量清理垃圾賬戶

及時(shí)清除垃圾賬戶，可以讓活動(dòng)目錄數(shù)據(jù)庫變得更精簡(jiǎn)。在CMD窗口中執(zhí)行“dsquery user -inactive 10”，可 以 顯 示 10周 內(nèi) 沒有登錄的用戶信息。執(zhí)行“dsquery user -inactive 10 | dsmod user -disabled yes”命令，可以禁用這些賬戶。執(zhí)行“dsquery user-disabled |dsrm”命令，來清理這些垃圾賬戶。

也可以使用上面的方法，批量查找和選擇這些禁用的賬戶。在右鍵菜單上點(diǎn)擊“刪除”，將其批量刪除即可。管理員可根據(jù)需要設(shè)置密碼最長(zhǎng)使用期限，打開上 述“Default Domain Policy”項(xiàng)的編輯窗口，選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→賬戶策略→密碼策略”項(xiàng)，在右側(cè)雙擊“密碼最長(zhǎng)使用期限”，可以將其設(shè)置為合適的時(shí)間值。這樣，就可以判斷哪些是長(zhǎng)期不使用的賬戶。

批量查看域賬戶密碼更新信息

管理員需要及時(shí)開啟密碼復(fù)雜性策略，讓用戶在規(guī)定的周期內(nèi)，按照復(fù)雜度要求更新密碼。管理員根據(jù)需要查看密碼更新信息。在域控上打開Active Directory用戶和計(jì)算機(jī)窗口，點(diǎn)擊“查看→高級(jí)功能”，選擇某個(gè)賬戶，在屬性窗口中的“屬性編輯器”面板中的“pwdLastSet”欄中顯示最近修改密碼的事件。批量查詢，可以在PowerShell窗口中執(zhí) 行“Get-ADUser -Filter* -Properties * |select name,pwdlastset”命令，顯示所有賬戶最近修改密碼的事件信息。

圖3 集中修改賬戶信息

批量映射網(wǎng)絡(luò)驅(qū)動(dòng)器

在網(wǎng)絡(luò)中部署了文件服務(wù)器后，可以共享目錄映射為網(wǎng)絡(luò)驅(qū)動(dòng)器，方便客戶端使用。手工映射比較繁瑣，我們可以使用自動(dòng)映射。對(duì)于單個(gè)用戶，可以使用多種方法來實(shí)現(xiàn)。例如目標(biāo)共享路徑為“filesrvdata”，可 以 在 PowerShell窗 口 中 執(zhí) 行“Set-ADUser -HomeDirectory:"\filesrvdata" -HomeDrive: "K:" -Identity user1”命，可以針對(duì)“User1”賬戶將上述共享路徑映射為網(wǎng)絡(luò)驅(qū)動(dòng)器K盤。如果想批量映射，可以執(zhí)行“dsquery user -name new*| demod user -hmdrv k: -hndir\filesrvdata”，這 樣，可以針對(duì)所有名稱以“new”開頭的賬戶進(jìn)行映射。當(dāng)這些賬戶登錄域環(huán)境時(shí)，可以自動(dòng)得到該網(wǎng)絡(luò)驅(qū)動(dòng)器。

批量更新賬戶屬性

域賬戶擁有很多屬性，創(chuàng)建域賬戶時(shí)，屬性信息是不完整的，需要根據(jù)情況不斷地完善。除Ldifde批量更新賬戶屬性外，還可以在Active Directory用戶和計(jì)算機(jī)窗口中選擇多個(gè)賬戶，在右鍵菜單上點(diǎn)擊“屬性”，在打開窗口（如圖3）中的“常規(guī)”、“賬戶”、“地 址”、“配 置文件”和“組織”面板中統(tǒng)一更新屬性信息。如在“賬戶”面板中可以針對(duì)UPN后綴、登錄事件、計(jì)算機(jī)限制以及各種賬戶選型等進(jìn)行統(tǒng)一調(diào)整。如果是修改批量單一的賬戶屬性，也可以使用命令行來實(shí)現(xiàn)。如在CMD窗口中執(zhí)行“dsquery user ou=kaifa,dc=xxx,dc=com |dsmod user -pwd qwe@.com”，針對(duì)名為“kaifa”的OU中的所有賬戶統(tǒng)一修改密碼為“qwe@.com”。