用户是域中最小的独立个体，用户可以被包容在组、组织单位中。用户是AD DS域服务的基础，是AD DS域服务管理对象，用户可以被组织单位中的策略管理，对管理员来说，管理用户是最基础也是最重要的工作。创建用户之前，需要为用户安排合适的位置，例如用户A在某个组织单位及其子组织单位中的某个组中，该用户的显式身份应该和企业的行政管理架构相对应。对用户的管理将涉及组织单位的管理、组的管理以及用户的管理。本章将从这3方面入手，介绍用户的管理。

4.1 组织单位

组织单位主要用于在域中组织和管理对象（例如用户账号、计算机账号等），以及发布管理策略。管理员可以根据企业的实际IT管理模型来创建组织单位架构，然后将用户账号或其他相应的被管理对象加入到组织单位，也可以为每个组织单位指派一名管理员来管理自己的组织单位，也可以根据不同部门的具体需求来为每个组织单位创建不同的组策略以简化管理和提高安全性。善用组织单位，能尽量避免形成多域架构，体现“分层负责、授权自治”的特点。

4.1.1 创建组织单位

部署组织单位之前，管理员可参考企业的行政管理架构、业务架构、地理位置等模型规划组织单位。规划基本原则是“简单性+适用性=可持续性”。如果设计过于简单，则它可能并不适用，因此将不得不过于频繁地进行更改。如果设计适用性过强，则所有内容都将被分类，

这会使情况变得过于复杂。

第1步，选择“开始”→“管理工 具”→“Active Directory用户和计算机”选项，显示“Active Directory用户和计算机”窗口。选择“Active Directory用户和计算机”→“book.com”选项，显示如图4-1所示的“Active Directory用户和计算机”窗口。

第2步，右击“book.com”，在弹出的快捷菜单中选择“新建”选项，在弹出的级联菜单中选择“组织单位”命令，显示如图4-2所示的“新建对象-组织单位”对话框。在“名称”文本框中，键入组织单位的名称。

第3步，单击“确定”按钮，组织单位创建完成，如图4-3所示。

第4步，组织单位支持嵌套功能，可以在新建的组织单位下面，使用同样的方法再创建新的组织单位。创建完成的组织单位架构如图4-4所示。

4.1.2 移动组织单位

本节介绍如何将一个组织单位移动到其他的组织单位，或者容器中。

第1步，打开“Active Directory用户和计算机”窗口，选择“book.com”→“办公室”→“行政处”选项，如图4-5所示。

第2步，右击“行政处”，在弹出的快捷菜单中选择“移动”命令，显示如图4-6所示的“移动”对话框。

第3步，选择目标容器，单击“确定”按钮，即可将选择的组织单位移动新的容器中，如图4-7所示。

第4步，选择“移动命令”后，显示如图4-8所示的“Active Directory域服务”对话框，选择的组织单位不能被移动到目标容器中，原因是创建组织单位时选择了“防止容器被意外删除”选项。删除设置为“防止容器被意外删除”选项的组织单位，首先需要取消“防止容器被意外删除”安全选项，然后正常移动即可。

提示

Windows Server 2008操作系统支持“拖曳”功能，鼠标左键选择需要移动的组织单位，按住左键，将组织单位拖动到目标容器上，放开左键即可完成完成组织单位的移动。

4.1.3 删除组织单位

本节介绍在一个组织单位完成管理任务时，如何删除组织单位。建议，在实际工作中除非十分必要，否则不建议删除组织单位，可以保留组织单位，禁用组织单位下的用户。

第1步，打开“Active Directory用户和计算机”窗口，选择“book.com”→“北京分公司”→“行政处”选项，如图4-9所示。

第2步，右击“行政处”，在弹出的快捷菜单中选择“删除”命令，显示如图4-10所示的“Active

Directory域服务”对话框。

第3步，单击“是”按钮，即可删除选择的组织单位。

第4步，如果显示如图4-11所示的“Active Directory域服务”对话框，将不能删除选择的组织单位。原因为创建

组织单位时选择了“防止容器被意外删除”选项。删除设置为“防止容器被意外删除”选项的组织单位，首先需要取消“防止容器被意外删除”安全选项，然后正常删除即可。

4.1.4 查找组织单位

当域内的组织单位达到一定数量后，管理员可能忘记组织单位的正确位置，查找功能即可帮助管理员快速的定位到指定目标。

第1步，打开“Active Directory用户和计算机”窗口，右击“book.com”，在弹出的快捷菜单中选择“查找”命令，显示如图4-12所示的“查找用户、联系人及组”窗口。

第2步，在“查找”下拉列表框中，选择“组织单位”选项，在“范围”下拉列表框中选择查找的范围，在“名称”文本框中键入需要查找的组织单位名称，如图4-13所示。

第3步，单击“开始查找”按钮，在“搜索结果”列表中，显示查找的结果，如图4-14所示。

4.2 组

组是一批具有相同管理任务的用户和计算机账户的集合。在Windows Server 2008 R2的AD DS域服务中，根据类型分为安全组和分发组，根据组作用域范围又分为全局组、域本地组和通用组。组的类型决定组可以管理哪些类型的任务，组作用域决定组的应用范围。安全组主要用来管理对资源的访问，分发组主要用来规划用户的电子邮件接收人列表。

4.2.1 组类型简介

Windows Server 2008 R2提供了两种组类型：安全组和分发组。

1. 安全组

顾名思义，安全组是用来设置有安全权限相关任务的用户或者计算机账户集合。安全组中的成员会自动继承其所属安全组的所有权限。使用安全组可以执行以下操作。

（1）分配用户权限

将用户权限分配给安全组，以确定该组成员在作用域内可执行的操作。在安装AD DS域服务时会自动将用户权限分配给某些安全组，并定义用户在域中的管理角色。例如，添加到“备份操作员”组的用户能够备份和还原域中各个域控制器上的文件和目录。

（2）将资源权限分配给安全组

资源权限确定可以访问共享资源的对象，并确定访问级别，例如“完全控制”权限，建议使用安全组来管理对共享资源的访问和权限。

（3）发送电子邮件

安全组具有分发组的全部功能，也可用作电子邮件实体。当向安全组发送电子邮件时，会将邮件发给安全组的所有成员。

2. 分发组

顾名思义，分发组是用于用户之间通信的组，使用分发组可以向一组用户发送电子邮件，分发组典型应用是Microsoft Exchange Server中的用户组，可以向一组用户发送电子邮件。分发组部分内容，参考【用户电子邮件】部分。

4.2.2 组作用域

Windows Server 2008中，根据组作用域不同，可以分为：全局组、通用组、域本地组。

1. 全局组

全局组属于某个域，但是作用域是整个森林。全局组的成员只能是本地的域中的用户或者计算机账户，可以访问在森林任何域里的资源。全局组可以全局使用，即：可在本域和有信任关系的其他域中使用，体现的是全局性。

全局组的作用域，只能在创建该全局组的域上添加用户、计算机账户和其他全局组，全局组可以嵌套在其他组中，支持全局组嵌套，即可以将某个全局组添加到同一个域上的另一个全局组中，或添加到同一个森林其他域的通用组和域本地组中（不能加入到同一个森林其他域的全局组中）。虽然可以利用全局组授予访问任何域资源的权限，但一般不直接用它来进行权限管理。

2. 通用组

通用组不属于任何域，通常用于域间访问。通用组的成员可以访问在森林任何域里的资源。通用组以从任何域中添加用户和组，可以嵌套于其他域组中。通用组存储在全局编录（GC）中，通用组名称必须在整个森林里是唯一的。由于GC中不仅包含通用组，还包含有通用组的成员信息，因此每次对通用组的修改（成员增加/删除），都会引发GC复制流量。所以，通用组的成员不要经常频繁地发生变化，否则会带来大量的复制流量。在Active Directory中的用户在登录时，需要向GC查询用户的通用组成员身份，所以在GC不可用时，活动目录中的用户有可能不能正常访问网络资源。

3. 域本地组

域本地组只能在本域的域控制器上使用，域本地组的成员只能访问本地的资源。本地域组可以从域添加用户、通用组和全局组。域本地组不能嵌套于其他组中，主要是用于授予访问本域资源权限。本地域组的成员可以包括Windows Server 2003、Windows 2000 Server、Windows NT和Windows Server 2008域中的其他组和账户，仅能在域内为这些组的成员分配权限。

4. 组类型更改

组有两种类型安全组和分发组，组类型之间可以相互转换。如果要更改组类型，必须是AD DS域服务中Account Operators组、Domain Admins组或Enterprise Admins组的成员，或者被委派适当的权限。Windows Server 2008的域功能级别设置为Windows 2000本机或更高。域功能级别被设置为Windows 2000混合时无法转换组。

5. 更改组作用域

创建新组时，在默认情况下新组配置为具有全局安全组，与当前域功能级别无关。域功能级别设置为Windows 2000本地以上的功能级别中，允许进行下列转换：

● 全局安全组到通用安全组，只有当要更改的组不是另一个全局的成员时，允许进行该转换。

● 本地域组到通用安全组，只有当要更改的组没有另一个“本地域组”作为其成员时，允许进行该转换。

● 通用安全组到全局安全组，只有当要更改的组没有另一个“通用组”作为其成员时，允许进行该转换。

● 通用安全组到本地域组，该操作没有限制。

6. 组部署原则

Windows Server 2008服务器操作系统中组功能十分强大，在部署资源访问时，建议遵守AGDLP和AUDLP原则。

管理组的实质是对用户的管理，因此对用户的规划建议遵循以下原则：

● 相同部门的人在同一个组内。

● 将对于某个资源（打印机、共享文件夹访问等）具有相同使用权限的人员规划成同一个组。

如果要在域林中实现对于资源（文件夹或打印机）的访问授权，建议使用“AGDLP”原则和“AUDLP”原则。首先把用户（Account）加入到全局组（Global Group）或者通用组（Universal Group）中，然后把全局组加入到域本地组（Domain Local Ggroup，可以是本域或其他域的域本地组），最后对于域本地组进行授权（Permissions）。“AGDLP”部署完成后，当给一个用户赋予某一个权限时，只要把这个用户加入到某一个全局组即可。

在单域网络中，“全局组”与本地域组配合使用，遵循以下原则：

● 将用户加入到“全局组”内。

● 将此“全局组”加入到“本地域组”内。

● 指派适当的权限给此“本地域组”。

4.2.3 创建组

创建“本地域组”、“安全组”以及“通用组”操作过程完全相同，下面以创建“全局组”为例说明。

第1步，选择“开始”→“管理工具”→“Active Directory用户和计算机”选项，打开“Active Directory用户和计算机”窗口，选择“book.com”→“北京分公司”选项，如图4-15所示。

第2步，右击“北京分公司”，在弹出的快捷菜单中选择“新建”→“组”命令，显示如图4-16所示的“新建对象-组”对话框。在“组名”文本框中，键入组在当前域中唯一名称。在“组作用域”区域中，选择“全局”选项。在“组类型”区域中，选择“安全组”选项。

第3步，单击“确定”按钮，完成新组的创建，如图4-17所示。

如果用户不再使用，就可以将其删除。

在“Active Directory用户和计算机”窗口中选择欲删除的组，右击并在弹出的快捷菜单中选择“删除”命令，显示如图4-18所示的“Active Directory域服务”对话框，单击“是”按钮，将删除选择的组。

4.2.4 移动组

移动组，将组从一个组织单位移动到其他的组织单位。

第1步，打开“Active Directory用户和计算机”窗口，选择“book.com”→“北京分公司”选项，右击“新闻记者组”，在弹出的快捷菜单中选择“移动组”命令，如图4-19所示。

第2步，显示如图4-20所示的“移动”对话框，在“将对象移动到容器”列表中，选择目标位置。

第3步，单击“确定”按钮，即可将选择的组移动到目标位置，该组中的成员没有变化，如图4-21所示。

4.2.5 嵌套组

组嵌套，一个组是另外一个组的子集，即一个组包容其他的组。嵌套组可以包容多个组，如果包容的组包含其他组，则权限自动继承到包含的组中。

第1步，打开“Active Directory用户和计算机”窗口，选择“book.com”→“新闻部”选项，右击“新闻记者组”，在弹出的快捷菜单中选择“属性”命令，显示如图4-22所示的“新闻记者组 属性”对话框。

第2步，切换到“成员”选项卡，显示如图4-23所示的“成员”对话框。

第3步，单击“添加”按钮，显示如图4-24所示的“选择用户、联系人、计算机或组”对话框。

第4步，单击“对象类型”按钮，显示如图4-25所示的“对象类型”对话框。在“对象类型”列表中，仅选择“组”选项即可。单击“确定”按钮，返回。

第5步，单击“高级”按钮，显示“选择用户、联系人、计算机或组”高级对话框。单击“立即查找”按钮，查找当前域中可用的组，搜索结果显示在“搜索结果”列表中，如图4-26所示。

第6步，选择目标组，单击“确定”按钮，关闭“选择用户、联系人、计算机或组”高级对话框，返回到“选择用户、联系人、计算机或组”对话框，如图4-27所示。

第7步，单击“确定”按钮，关闭“选择用户、联系人、计算机或组”对话框，返回到“新闻记者组 属性”对话框，在“成员”列表中显示添加的成员，如图4-28所示。

第8步，单击“确定”按钮，完成组嵌套。

4.2.6 组隶属关系

组之间可以嵌套，一个组可以隶属于多个组，下面介绍如何查看组的隶属关系。

第1步，打开“Active Directory用户和计算机”窗口，选择“book.com”→“北京分公司”选项，右击“新闻记者组”，在弹出的快捷菜单中选择“属性”命令，显示如图4-29所示的“新闻记者组”对话框。

第2步，切换到“隶属于”选项卡，显示如图4-30所示的“隶属于”对话框，在“隶属于”文件列表中，显示选择的组所隶属的组，即父组。

4.3 用户

用户是使用计算机的人登录到计算机系统（个人计算机或者网络）的身份。用户的权限不同，对计算机及网络控制的能力与范围。有两种不同类型的用户：能访问本地计算机（或使用远程计算机访问本计算机）的“本地用户”和可以访问网络中所有计算机的“域用户”。计算机中的用户分为本地用户和域用户两部分，本书中的用户主要指的是域用户。

4.3.1 用户类型

在Active Directory中，域用户可以分为以下几种身份：域用户、域管理员、企业管理员。

1. 域用户

域用户，是最基本的用户管理单元。默认创建的域用户被添加到“Users”组中。在不同的组织单位中创建的域用户性质相同，默认创建的用户使用同一个默认的密码策略。域用户可以被添加到不同的组中，但是只能在一个组织单位中。

2. 域管理员

域管理员，是具备管理权限的特殊用户。AD DS域服务部署完成后，默认的域管理员为“Administrator”。域管理员账户拥有网络中较高的权限，拥有管理员权限，也就相当于基本拥有整个网络的生杀大权。

3. 企业管理员

在Active Directory中，具备最高管理权限的用户不是“Administrators”和“Dmain Admins”组中的成员，而是“Enterprise Admins”组中的成员。默认的管理员“Administrator”是“Enterprise Admins”组中的成员，也是唯一的成员。因此，默认的管理员账户“Administrator”具备企业的最高管理权限，由于众所周知的原因，“Administrator”是一个不安全的因素，建议将“Administrator”管理员账户降级为普通的用户，使其具备最低的权限，禁止或者重命名此账户。创建一个新的账户，使其具备Active Directory中最高的管理权限。

4.3.2 用户作用

当企业的员工要从自己的计算机登录到域时，该员工必须有一张被域控制器认可的“身份证”，这张身份证在域中就是用户。在域中创建和管理用户的操作必须在域控制器中进行。

用户的用途主要有以下几方面：

● 验证用户或计算机的身份：用户使用户能够利用经域验证后的标识登录到计算机和域。登录到网络的每个用户应有自己的唯一账户和密码。为了获得最高的安全性，应避免多个用户共享同一个账户。

● 授权或拒绝访问域资源：一旦用户已经过身份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。

● 管理其他用户：在本地域中可以使用委派控制，允许对某个用户进行单独的权限委派，例如：使某个用户具备更改其他用户密码的权限。

● 审核使用用户或计算机账户执行的操作：审核有助于监视账户的安全性。

4.3.3 用户命名

在企业网络中，使用计算机的每个人都拥有一个账户，计算机使用者使用他们自己的账户可以使用企业网络中指定的资源，完成与其相对应的任务。

在企业网络中，除了每个人有一个用户外，还可能有为此用户对应提供的一些服务如企业电子邮件服务、企业办公自动化的登录账户等。所以，通常情况下，都是使用统一的方式进行命名，一是让计算机的使用者记住自己的用户名，另外，通常用户名还与企业为其提供的电子邮件相对应（如用户名为wsj，企业电子邮件是wsj@book.com）。

命名习惯通常如下：

● 对于每个使用者，通常都是使用其“姓”的全称+“名”的简称，例如王淑江的用户名为wangsj。

● 如果使用简称之后有“重名”的现象，可以对重名的用户使用全称或者加序号标识，例如wangsj01。

4.3.4 密码设置

密码是用户登录网络的钥匙，密码是否安全直接影响到用户的信息是否安全。账户密码应当定期修改，尤其是当发现有不良攻击时，更应及时修改复杂密码，以免被破解。为避免密码因过于复杂而忘记，可用笔记录下来，并保存在安全的地方，或随身携带避免丢失。

综上所述，若欲保证密码的安全，应当遵循以下规则：

● 用户密码应包含英文字母的大小写、数字、可打印字符，甚至是非打印字符。建议将这些符号排列组合使用，以期达到最好的保密效果。

● 用户密码不要太规则，不要使用用户姓名、生日、电话号码以及常用单词作为密码。

● 根据Windows系统密码的散列算法原理，密码长度设置应超过7位，最好位为14位或者更长。

● 密码不得以明文方式存放在系统中，确保密码以加密的形式写在硬盘中，且包含密码的文件是只读的。

● 密码应定期修改，应避免重复使用旧密码，应采用多套密码的命名规则。

● 启用账号锁定机制。一旦同一账号密码校验错误若干次即断开连接并锁定该账号，经过一段时间才解锁。

4.3.5 强密码策略

在Windows Server 2008 R2系统中，默认的密码策略为强密码策略，对用户的密码设置有如下要求。

● 不包含全部或部分的用户名。

● 长度至少为7个字符。

● 包含以下4种类型字符中的3种字符：英文大写字母（从A到Z）；英文小写字母（从a到z）；10 个基本数字（从0 到9）；非字母字符（例如，!、$、#、%）。

4.3.6 用户权限

用户权限应用目标是操作。用户权限体现在对网络中资源访问权限的设置。用户必须获得明确的授权后才能访问资源，如果用户账号没有被授予权限，就不能访问相应的资源。为了控制用户对某个资源的访问，就必须指定权限。当然，也可以为某个用户设置定拒绝权限。最有代表性的权限应用就是NTFS。常用的权限见附表3-1。

4.3.7 用户权利

用户权利应用目标是授权。权限可以授权对不同对象的不同访问，但是权利却能给予一个用户作特殊事情的能力。用户权利定义了对资源的访问能力。虽然用户权利可以应用于单个做用户，但最好是在“组”基础上管理。这样可以确保作为组成员登录的账户将自动继承该组的相关权利。通过对组而不是对单个用户指派用户权利，可以简化用户管理的任务。当组中的用户都需要相同的用户权利时，可以一次对该组指派用户权利，而不是重复地对每个单独的用户指派相同的用户权利。

如果用户是多个组的成员，则用户权利是累积的，这意味着用户有多组权利。要删除用户的权利，管理员只需简单地从组中删除用户即可。

某些权利可以覆盖在对象上设置的权限。例如，用户作为备份操作员组的成员登录到域账户时，具有对所有域服务器执行备份操作的权利。但是，这要求能够读取这些服务器上的所有文件，甚至是文件所有者已经明确设置对所有用户（包括备份操作员组成员）都拒绝访问的文件。在这种情况下，执行备份的用户权利优先于所有的文件和目录权限。

4.3.8 创建域用户

在基于Active Directory架构的网络中，域用户是最小的管理单位，域用户是最容易管理同时又最难管理，如果赋予域用户的权限过大，将对网络安全带来隐患，如果过小将限制域用户的正常工作。同时域用户的种类不同，管理任务也不同。

创建域用户是最简单的任务，需要注意域用户的命名规则以及密码规则。

第1步，以管理员身份登录域控制器，打开“Active Directory用户和计算机”窗口。选择“Users”选项，列出当前所包含的用户，如图4-31所示。

第2步，右击组织单位“Users”，在弹出的快捷菜单中选择“新建”→“用户”命令，显示如图4-32所示的“新建对象-用户”对话框。必须键入“姓名”及“用户登录名”，其他根据需要选择。

第3步，单击“下一步”按钮，显示如图4-33所示的“新建对象-用户”对话框。在“密码”与“确认密码”文本框中键入用户密码（用户密码必须符合Windows密码策略），根据需要设置用户的登录属性。

第4步，单击“下一步”按钮，显示如图4-34所示的“新建对象-用户”对话框。显示新建用户的详细信息。

第5步，单击“完成”按钮，创建新的用户。

4.3.9 添加用户到组

利用“组”管理用户，可以降低管理员的管理难度，只要对组赋予一次权限后，将具备同样使用权限的用户添加到组中，新添加的用户将自动继承组的权限，不需要对每个用户单独进行权限设置。一个用户可以添加到不同的组，从而具备不同的权限，用户权限可以叠加。组可以创建在任何组织单位下，也可以创建在默认组中。用户可以在组织单位下创建，也可以在“Users”组中创建。本节介绍将用户“王淑江”添加到“Administrators”组中。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，显示如图4-35所示。

第2步，在右侧的用户列表中，右击需要添加的用户，在弹出的快捷菜单中选择“添加到组”命令，显示如图4-36所示的“选择组”对话框。在“输入对象名称来选择”文本框中，键入组名称，单击“检查名称”按钮，检测键入的组的合法性。单击“确定”按钮，关闭“选择组”对话框。

第3步，单击“确定”按钮，用户添加成功。

4.3.10 禁用/启用账户

企业员工离职或者其他原因，需要禁止用户的使用。本节介绍禁止账户的方法。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要禁用的用户，显示如图4-37所示的快捷菜单。

第2步，在快捷菜单中选择“禁用账户”命令，显示如图4-38所示的“Active Directory域服务”对话框，提示选择的账户被禁用。

第3步，单击“确定”按钮，“Active Directory域服务”对话框，返回到“Active Directory用户和计算机”窗口。被禁用的账户左侧的图标显示向下的箭头，说明该账户已经被禁用，如图4-39所示。

被禁用的账户并没有从活动目录中删除掉，可以根据需要重新启用禁用的账户。操作步骤如下。

第1步，在“Active Directory用户和计算机”窗口，选择需要启用的用户，右击并在弹出的快捷菜单中选择“启用账户”命令，显示如图4-40所示的“Active Directory域服务”对话框，提示选择的账户被重新启用。

第2步，单击“确定”按钮，账户启用成功。

4.3.11 重设用户密码

活动目录中的每个用户，都应设置密码，尤其是那些具有管理权限的账户，更应设置安全密码，以挫败肆意和无意识的密码攻击。实际工作中用户忘记密码，在日常工作也经常遇到。下面介绍重设用户密码的方法。

第1步，打开“Active Directory用户和计算机”窗口，选择 “Users”选项，在右侧的用户列表中，右击需要重设密码的用户，在弹出的快捷菜单中选择“重置密码”命令，显示如图4-41所示的“重置密码”对话框。在“新密码”和“确认密码”文本框中，键入新密码。对于当前正在登录的用户，重新注销并登录，使新的密码生效。

第2步，单击“确定”按钮，显示如图4-42所示的“Active Directory域服务”对话框，提示密码已经被更改。

第3步，单击“确定”按钮，重设用户密码成功。

4.3.12 删除用户

员工离职，将此员工从Active Directory数据库中彻底删除。建议员工刚离职时，选择账户禁用功能，一段时间之后在删除被禁用的账户。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要删除的用户，在弹出的快捷菜单中选择“删除”命令，显示如图4-43所示的“删除”对话框。

第2步，单击“是”按钮，删除选择的用户。

4.3.13 重命名用户

账户重命名也是经常遇到的管理任务，例如原来设置的英文名称换成中文名称。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要重命名的用户，在弹出的快捷菜单中选择“重命名”命令，高亮显示选择的用户，用户名称处于可编辑状态，直接更改用户名称即可，如图4-44所示。

第2步，用户名称更改完成后，按Enter键，显示如图4-45所示的“更改用户姓名”对话框。更改需要修改用户其他信息。

第3步，单击“确定”按钮，用户重命名成功。

4.3.14 移动用户

员工工作调动，从一个部门调到另外一个部门，随之其用户账号从一个部门移动到新的部门。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要移动的用户，在弹出的快捷菜单中选择“移动”命令，显示如图4-46所示的“移动”对话框。在“将对移到容器”列表中，选择目标容器。

第2步，单击“确定”按钮，关闭“移动”对话框，用户移动成功，如图4-47所示。

4.3.15 恢复误删除的用户

在Windows Server 2008的“Active Directory用户和计算机”管理控制台中，没有提供对误删除的用户恢复功能，可以到互联网搜索“Adrestore.exe”工具，在命令行模式下恢复删除的用户，该工具支持Windows Server 2000/2003/2008搭建的活动目录。在Windows Server 2008搭建的AD DS域服务中删除了“Testuser”用户，以恢复该用户为例介绍“Adrestore.exe”工具恢复用户的方法。

第1步，将该工具复制到运行AD DS域服务的计算机中，打开“命令提示符”窗口，并切换到存储“Adrestore.exe”工具的文件夹中，如图4-48所示。

第2步，在命令行提示符下，键入如下命令：

      Adrestore /r

按Enter键，命令成功执行，显示如图4-49 所示的窗口，该命令枚举活动目录中删除的对象，并显示用户完整的FQDN信息。

第3步，键入“Y”，恢复删除的用户信息，提示用户被成功恢复，如图4-50所示。使用同样的方法可以恢复其他被删除的Active Directory对象。

第4步，打开“Active Directory用户和计算机”窗口，选择“Active Directory用户和计算机”→“book.com”→“Users”选项，显示 “Active Directory用户和计算机”窗口，Testuser被成功恢复，恢复的用户状态为“禁用”，如图4-51所示。

第5步，恢复的账户需要重新设置密码，启用该账户即可完整恢复被删除的用户。

4.3.16 用户主文件夹

用户主文件夹为域用户提供一个安全的数据存放位置，任何服务器都可以作为主文件夹的存储目标，主文件夹就是允许用户访问的共享空间。如果所使用Windows Server 2008 R2服务器作为主服务器，建议在NTFS卷上创建用户主文件夹，同时使用NTFS的文件安全访问机制保护用户的数据。

创建主文件夹包含两方面的内容：

● 创建主文件夹共享文件夹。

● 使用“Active Directory用户和计算机”指派用户的主文件夹位置。

1. 创建共享文件夹

在运行Windows Server 2008 R2服务器上创建共享文件夹“UserHome”，设置共享文件夹的访问权限为“读/写”。创建完成的共享文件夹如图4-52所示。

2. 指派用户主文件夹

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要设置主文件夹的用户，在弹出的快捷菜单中选择“属性”命令，显示如图4-53所示的“张琦 属性”对话框。

第2步，切换到“配置文件”选项卡，显示如图4-54所示的“配置文件”选项卡。在“主文件夹”分组区域，选择“连接”选项，默认共享驱动器名称为“Z：”，在“到”右侧的文本框中，键入主文件夹对应的目标文件夹，\\192.168.0.1\UserHome\%username%，“192.168.0.1”是域控制器的IP地址。

第3步，单击“确定”按钮，用户主文件夹设置成功。

4.3.17 登录目标

Windows Server 2008 R2默认设置允许网络中的域用户可以登录到网络中的任何一台计算机，在AD DS域服务中提供限制用户只能在网络中唯一的一台计算机中登录功能，保证用户和计算机逻辑绑定，增强网络安全。通过以下操作，可以在Active Directory控制器上限制域用户的登录工作站。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要限制登录的用户，在弹出的快捷菜单中选择“属性”命令，打开用户属性对话框，切换到“账户”选项卡，显示如图4-55所示的“账户”选项卡。

第2步，单击“登录到”按钮，显示如图4-56所示的“登录工作站”对话框。默认选择“所有计算机”选项，允许用户登录到网络中的所有客户端计算机。

第3步，选择“下列计算机”选项，在“计算机名”文本框中键入允许登录的工作站的NetBIOS名称，单击“添加”按钮添加到列表中。添加多个客户端计算机名称，将允许该用户在多个指定的工作站上登录，如图4-57所示。

第4步，单击“确定”按钮，登录目标设置成功，该用户只能在所允许的客户端计算机中登录。

4.3.18 登录时间

AD DS域服务默认设置允许网络中的用户在任何时间登录到网络中。在重要的工作环境中，非工作时间不允许用户访问网络中的资源。因此，限制用户在休息时间不能访问网络资源，也是保护网络安全的重要举措，可以有效地防止在工作时间之外的密码破解或者暴力攻击。在AD DS域服务中，可以限制用户的登录时间，例如限制为只能在某个时间段登录，其他时间不允许登录，从而避免可能在非工作时间产生的恶意攻击。

通过以下操作，可以限制用户的登录时间。本例将用户“wangsj”限制为每周星期一到星期五的早上8点到下午5点允许登录。

第1步，在“Active Directory用户和计算机”窗口，打开要限制的用户属性对话框，切换到“账户”选项卡，单击“登录时间”按钮，显示如图4-58所示登录时间对话框，默认允许在任何时间登录。

第2步，先选择所有时间，然后单击“拒绝登录”选项，设置为所有时间都拒绝登录，然后选择星期一到星期五的8点至17点的范围，单击“允许登录”选项，使该时间段变为蓝色，如图4-59所示。

第3步，单击“确定”按钮，用户登录时间设置成功，该用户只能在设定的时间内登录。

4.3.19 禁止删除用户

Windows Server 2008的AD DS域服务支持禁止删除用户功能，如果执行删除操作将不能删除用户，在用户创建过程中不能设置该功能，只能在创建用户完成后在属性中设置。

第1步，打开“Active Directory用户和计算机”窗口，选择“Users”选项，在右侧的用户列表中，右击需要禁止删除的用户，在弹出的快捷菜单中选择“属性”命令，切换到“对象”选项卡，如图4-60所示。

第2步，选择“防止对象被意外删除”选项，单击“确定”按钮，即可设置该用户被禁止删除，即使是网络管理员也不可能删除该用户，执行删除功能后，将显示如图4-61所示的“Active Directory域服务”对话框。

4.3.20 N周内没有登录的用户

AD DS域服务默认启动强密码策略。密码最长有效期限是42天，如果用户长期没有登录，密码将会失效。安全的做法为，如果用户超过42天没有登录则禁用账户。

第1步，选择“开始”→“所有程序”→“附件”→“命令提示符”选项，打开“命令提示符”窗口。

第2步，在命令行提示符下，键入如下命令：

      dsquery user -inactive 6

按Enter键，命令成功执行，将显示6周内没有登录的用户，如图4-62所示。

第3步，在命令行提示符下，键入如下命令：

      dsquery user -inactive 6 |dsmod user -disabled yes

按Enter键，命令成功执行，将显示并禁用6周内没有登录的用户。

第4步，在命令行提示符下，键入如下命令：

      dsquery user -disabled | dsrm

按Enter键，命令成功执行，查询出所有禁用的用户，将其删除。