域知识深入学习三:域用户与组账户的管理

3.1 管理域用户账户
域用户单点登录的概念 
第一台域控的本地账户会被存到AD DS数据库的Users容器内,同时这台计算机会被放到组织单位Domain Controller
其他加入域的计算机末日呢会放到Computer容器
3.1.1 创建组织单位与域用户账户
组织单位,防止意外删除选项
域用户的密码默认需要至少七个字符,还至少包含大写字母,小写字母,数字,非数字字母等4组字符中的三组。
3.1.2 用户登录账户
域用户有两种账户名登录
1 用户UPN登录  mary@sayms.local
2 用户SamAccountName登录 sayms\mary
 
普通域用户默认是无法登录域控的
UPN不会随着账户被移动到其他域而改变
3.1.3 创建UPN后缀
可以在 Windows 管理工具 - Active Directory域和信任关系 中添加其他UPN后缀
3.1.4 账户的常规管理工作
新建用户账户后,系统会建立一个唯一的安全标识符SID,权限设置都是通过SID记录
3.1.5 域用户账户的属性设置
1 组织信息的设置
2 账户过期的设置
    默认是从不过期
3 登录时间的设置
    默认是任何时段都可以登录
4 限制用户只能通过某些计算机登录
    默认是普通域用户可以登录任何一台域成员计算机
3.1.6 搜索用户账户
除了在域内搜索外,还可以指定在全局编录搜索整个林的对象
在没有安装Active Directory管理中心的成员服务器上也可以搜索,比如win10
 文件资源管理器 - 网络 - 搜索Active Directory
3.1.7 域控制器之间数据的复制
查看当前所连接的其他域控制器
Active Directory管理中心 - 更改域控制器 
 
3.2 一次同时新建多个用户账户
需要指明用户的存储路径DN
需要指定类型
需要包含 用户SamAccountName登录 账户
应该包含 用户UPN登录 账户
可以包含其他用户信息
无法设置密码
由于建立的用户都没有密码,最好禁用账户
3.2.1 利用csvde.exe来新建用户账户
可以用来新建账户或其他类型的对象,事先将数据输入到纯文本文件,然后一次导入到AD DS数据库
csvde -i -f c:\test\users1.txt
514 表示禁用,512表示启用
3.2.2 利用ldifde.exe来新建,修改与删除用户账户
可以新建,删除,修改