如何在ad服务器中新建用户
A. ad域怎样用DOS添加用户
现在说下DSADD批量创建用户的方法,首先在使用DSADD之前先讲下LDAP协议,目录服务使用LDAP这个公用协议来查找和定位对象,LDAP可以描述对象在那个域,对象在那个OU,对象自己的名字。通常它的语法为“OU=OU对象,CN=非域非OU对象,DC=域对象”。比如:CN=Solo,OU=IT,OU=desktop,DC=china,DC=com.
接下来我们来看一看DSADD的语法:
dsadd computer - 将计算机添加到目录
dsadd contact - 将联系人添加到目录
dsadd group - 将组添加到目录。
dsadd ou - 将组织单位添加到目录
dsadd user - 将用户添加到目录。
语法
dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd {Password | *}] [-desc Description] [-memberof Group;...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]
参数
UserDN
必需。指定要添加的用户的可分辨名称。如果省略可分辨名称,则将从标准输入 (stdin) 中获取该名称。
-samid SAMName
指定 SAM 名称作为该用户的唯一 SAM 帐户名(例如,Linda)。如果未指定,dsadd 将尝试使用 UserDN 的公用名 (CN) 值的至多前 20 个字符创建 SAM 帐户名。
-upn UPN
指定要添加的用户的用户主体名称(例如 )。
-fn FirstName
指定要添加的用户的名字。
-mi Initial
指定要添加的用户的中间名首字母。
-ln LastName
指定要添加的用户的姓氏。
-display DisplayName
指定要添加的用户的显示名。
-empid EmployeeID
指定要添加的用户的雇员 ID。
-pwd {Password | *}
指定将用户密码设置为 Password 或 *。如果设置为 *,将提示您输入用户密码。
-desc Description
指定要添加的用户的描述。
-memberof GroupDN ...
指定希望用户加入的组的可分辨名称。
-office Office
指定要添加的用户的办公室位置。
-tel PhoneNumber
指定要添加的用户的电话号码。
-email Email
指定要添加的用户的电子邮件地址。
-hometel HomePhoneNumber
指定要添加的用户的家庭电话号码。
-pager PagerNumber
指定要添加的用户的寻呼机号码。
-mobile CellPhoneNumber
指定要添加的用户的移动电话号码。
-fax FaxNumber
指定要添加的用户的传真号码。
-iptel IPPhoneNumber
指定要添加的用户的 IP 电话号码。
-webpg WebPage
指定要添加的用户的 Web 页的 URL。
-title Title
指定要添加的用户的称谓。
-dept Department
指定要添加的用户的部门。
-company Company
指定要添加的用户的公司信息。
-mgr ManagerDN
指定要添加的用户的管理器的可分辨名称。
-hmdir HomeDirectory
指定要添加的用户的主目录位置。如果 HomeDirectory 是作为通用命名约定 (UNC) 路径给出,则必须使用 -hmdrv 参数指定要映射到此路径的驱动器号。
-hmdrv DriveLetter:
指定要添加的用户的主目录驱动器号(例如,E:)。
-profile ProfilePath
指定要添加的用户的配置文件路径。
-loscr ScriptPath
指定要添加的用户的登录脚本路径。
-mustchpwd {yes | no}
指定用户是否必须在下次登录时更改其密码(yes 必须更改,no 不必更改)。默认情况下,用户不必更改密码 (no)。
-canchpwd {yes | no}
指定用户是否可以更改其密码(yes 可以更改,no 根本不能更改)。默认情况下,允许用户更改密码 (yes)。如果 -mustchpwd 参数的值为 yes,则该参数的值必须为 yes。
-reversiblepwd {yes | no}
指定是否应使用可逆加密来存储用户密码(yes 表示应该,no 表示不应该)。默认情况下,用户不能使用可逆加密 (no)。
-pwdneverexpires {yes | no}
指定用户密码是否永不过期(yes 表示是,no 表示不是)。默认情况下,用户密码会过期 (no)。
-acctexpires NumberOfDays
指定从今天算起用户帐户将到期的天数。0 值表示将今天的结束时间设置为到期时间。正值表示将将来的时间设置为到期时间。负值表示将以前的时间设置为到期时间。值 never 将帐户设置为永不过期。例如,0 值表示该帐户在今天结束时过期。值 -5 表示该帐户 5 天前就已经到期,并将以前的时间设置为到期日期。值 5 表示该帐户将在 5 天后到期。
-disabled {yes | no}
指定是否禁用用户帐户登录(yes 禁用登录,no 允许登录)。默认情况下,启用用户帐户登录 (no)。
{-s Server | -d Domain}
连接到指定的远程服务器或域。默认情况下,计算机与登录域中的域控制器相连接。
-u UserName
指定用户要用于登录到远程服务器的用户名。默认情况下,-u 使用用户登录时的用户名。您可以使用下列任一格式指定用户名:
用户名(例如 Linda)
域\用户名(例如 widgets\Linda)
用户主体名称 (UPN)(例如 )
-p {Password | *}
指定使用密码或 * 登录到远程服务器。如果键入 *,将提示您输入密码。
-q
将所有输出降低为标准输出(安静模式)。
Dsadd user的语法内容比较多大家可以参考自己的实际情况去跟相应的参数。
eg:添加工号test001到printer的OU,显示名及说明都是Solo,并添加ippd-printer群组,密码为China123,强制下次登录修改密码;
dsadd user "cn=test001,ou=printer,ou=desktop,dc=ecmms,dc=foxconn" -upn -desc Solo -display Solo -memberof "cn=ippdprinter,ou=user,ou=ippd,ou=rd,ou=ecmms,dc=ecmms,dc=foxconn" -pwd Foxconn123 -mustchpwd yes
B. 如何在AD中批量创建域用户
AD安装完成后,我们都要面对一个棘手的问题,那就是创建用户!!如果一个企业中域的用户有成百上千的放,那么你的工作量可想而知……。况且让
一个人
重复同一个操作成百上千次,难免不会出现疲劳而导致出现错误的可能,下面就介绍一种通过命令的方法一次批量添加用户1、首先你需要搞到公司的人员表(这个一般都可以在人事部搞到手),然后对人员表做一下简单的修改,修改后的格式如下,分成五个部分,分别是:姓、名、姓名、用户名、登录密码。2、下面要做的就是把他保存成
CSV后缀名的文件,在“文件”中选择“另存为”选择CSV的格式3、然后把文件拷贝到域控的C盘根目录下用记事本打开此文件,可以看到生成如下的格式以下是我的
域中
OU的情况现在我要用命令批量的把用户添加到
名为“员工”的OU里。4、运行cmd进入命令行模式,先输入以下命令,查看能否正常输入变量C:\for
/f
"tokens=1,2,3,4,5
delims=,"
%a
in
(person.csv)
do
@echo
%a
%b
%c
%d
%e可以正常显示如下5、接下来我们就要输入完整的命令行来进行批量的用户添加for
/f
"tokens=1,2,3,4,5
delims=,"
%a
in
(person.csv)
do
dsadd
user
"cn=%c,ou=员工,dc=myloverxhy,dc=com"
-samid
%d
-upn
%[email protected]
-ln
%a
-fn
%b
-pwd
%e
-disabled
yes其中ou
对应为你要添加到的OU名两个dc按顺序分别对应你的
域名
@myloverxhy.com对应你的后缀Disabled
yes定义添加完的用户是禁用的
运行命令
后结果如下成功添加用户。接下来我们到OU里查看用户,已经全部出现,并且显示为禁用我们可以选中所有用户,然后右键“启用账户”即可完成。我们可以测试使用账号在域中登录,是可以完成的。
C. 如何建立AD用户
1、先把一台计算机提升AD,提升前要先设固定IP,DNS指向自己,然后运行dcpromo
2、安装完重启,打开AD用户和计算机,展开到users那项,右键新建用户,根据提示输入就可以了
D. windows server 2008 r2 ad域怎样添加用户
直接点击“下一步”,一般不需要“使用高级模式”。2.点击“下一步”;3.因为是新建DC,所以选择“在新林中新建域”;4.在目录林根级域FQDN(F)一栏中,输入想建立之网域名称,如确定无误后,按下“下一步”,稍后会进行检查同网段上是否有无网域名称重复;5.在“设置林功能级别”页面,如林内网域控制站皆为WindowsServer2008担任,则可将林功能等级提升至WindowsServer2008,但有些应用程序需绑AD,则暂不建议将网域等级升至WindowsServer2008。确定无误后,则按下“下一步”,则会开启“其它域控选项”页面。6.选择DNS,点击“下一步”;7.在进行DNS服务器角色安装之前,会先行检查该服务器是否已设定固定IP地址。同时,会出现该警示提示(下图),是因为IPv6预设是为启动,而该Lab使用的是IPv4,故该警示可忽略,按下“是,该计算机将使用动态分配的IP地址(不推荐)”---当然,首先固定IP是最好了。8.出现此警示讯息则说明如该网域如为子网域时,则必须先升级问为父系网域,然后设定DNS服务器委派的动作,因该Lab为的网域,故可忽略此警示讯息,按下“是”即可;9.下图中的配置基本不用更改,前提是都是NTFS格式;10.设置还原密码。(windowsserver2008对密码格式有要求:包含大小写字母和数字,长度大于8位)11.到这里就可以检查一下前面的步骤有无错误,没有就可以直接“下一步”;12.正在配置各种设定和服务,大约5~6分钟;重启即可.
E. 如何在win2008 r2 ad中大批量添加用户账号
第一种方法: 比较烦琐,在用户的属性中设置 "登录到... "选中他可以登录的机器
这样做工作量太大,在用户数少时可以考虑
第二种方法:
1.在域级别上设置组策略,编辑组策略:找到用户权限指派,设置登录到本地,将其中Domain Users ,Everyone这些组去掉.这样所有的一般域用户就有能登录到这个域中的所有工作站了
2. 然后在OU上应用组策略,并选中 "阻断继承 ",编辑组策略:找到用户权限指派,设置登录到本地...将需要登录到此OU工作站的用户及组增加到列表
当工作站重新启动后就会应用这个组策略.
F. 如何在AD域添加组织单位与用户
在“开始”——“所有程序”——“管理工具”中打开“Active Directory用户计算机”,如下图
通过上图所知,AD域的域名为sun.com,右击“sun.com”——“新建”——“组织单位”,如下图
输入组织单位名称,如:信息部,默认勾选“防止容器被意外删除”,这样就可以防止组织单位被不小心删除了,再“确定”,组织单位新建完成
新建域用户,在刚刚新建的组织单位中新建域用户,选择右击“信息部”——“新建”——“用户”,如下图
输入域用户名称及用户登陆名,如:张三,用户登陆名为zhangsan,再点击“下一步”
为域用户设置密码,如果要新建几十上百的用户,可以为所有用户统一设置一个一样的密码,再由用户登陆后自己去改,密码类型习惯选择“密码永不过期”,再点“下一步”——“完成”,域用户新建完成!
7
最终“组织单位”和“用户”新建后的界面,如下图
G. AD域控制器怎么设置用户加入域怎么解决
AD域控制器一台往往都是不够的,一般都是需要两台或者两台以上,这样不至于一台AD域控制器瘫痪,导致整个架构无法运行,AD域是整个架构的核心;在上个文档中已经说了如何创建一台AD域,接下来我们看看如何在现有的AD域中添加域控制器。
1、已经有一台AD域控制器,创建AD域
2、设置IP地址,DNS指向第一台域控制器
3、设置计算机名
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows9x构成的对等网中,数据的传输是非常不安全的。
域控制器是指在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为DC)”。
H. 如何建立 service user account in ad
可以使用RACF创建一个新的用户。首先要有一个有权限的用户登陆到系统中,比如用p390登陆到系统中。
1,登陆后的ISPF的画面
2,在Option后输入M,再输入3, 进入RACF
3,选择4,USER PROFILES AND YOUR OWN PASSWORD,进入User profile service菜单
4,输入要创建的用户名,回车到下一步
5,在TO ADD OPTIONAL INFORMATION, ENTER YES处,输入yes,进入下个画面
6,把TSO PARAMETERS选上,然后回车,到下一步
7,ACCOUNT NUMBER处输入一个帐号信息,可以指定一个系统中已经存在的ACCOUNT NUMBER,或者暂时先指定一个不存在的,然后再创建ACCOUNT NUMBER。
LOGON PROCEDURE NAME我们可以指定ISPFPROC,然后回车就可以把一个新用户创建出来。
8,创建成功后,会跳到USER PROFILE SERVICE菜单画面,并在画面右上角显示Profile added。
9,到第8步为止,用户已经被成功创建。在第一次登陆的时候,会要求改密码。
10,如果在第7步指定的ACCOUNT NUMBER不存在或者没有授予给TEST1这个新建用户使用的权限,无法登陆。另外也要授予新建用户使用在第7步中指定的LOGON PROCEDURE的权限,否则无法使用ISPF功能。方法如下:
ACCOUNT NUMBER的设定
可以通过TSO命令(ISPF的选项=6),在系统中查找已经定义好的Account Numbe,执行 SEARCH CLASS(ACCTNUM),就可以看到前面第7部指定的Account Number是否是已经定义了的。
如果不存在第7部指定的Account Number,我们可以创建一个。执行 RDEFINE ACCTNUM acct123 。
授权用户使用可以使用 acct123 。
PERMIT ACCT123 CLASS(ACCTNUM) ID(TEST1) ACCESS(READ)
授予用户使用LOGON PROCEDURE的权限。
PERMIT ISPFPROC CLASS(TSOPROC) ID(TEST1) ACCESS(READ)
刷新RACLIST,使授权起效。
SETROPTS REFRESH RACLIST(TSOPROC)
SETROPTS REFRESH RACLIST(ACCTNUM)
如果希望给新建的用户添加JCL的SUBMIT权限,执行如下命令:
PERMIT JCL CLASS(TSOAUTH) ID(TEST1)
I. 如何在AD中批量创建域用户
一、创建用户的方法创建用户的方法,常用的无外乎以下几种:
1. 利用AD用户和计算机(ADUC)。
2. 利用CSVDE批量建用户
3. 利用LDIFDE批量建用户
4. 利用脚本批量建用户
5. 利用for…..do…循环命令,批量建用户 以上是五种创建域用户的方法,但第一种只能创建单个域用户,其它四种是批量创建用户方法。在后四种指量创建用户方法中,哪一种更为简单呢? CSVDE与LDIFDE批量创建用户的方法,需要有一个很好(主要是文件格式)的文档支持,这个文档编辑起来,非常的困难。脚本批量创建用户,需要有大量的程序量,不是写程序的管理员,很难搞定。for....do...dsadd user命令,批量创建用户方法,简单、实用。
本文介绍的是最后一种For... do循环命令,结合dsadd user命令批量创建用户。该简单、实用,推荐使用!
二、收集企业的通讯录:
三、编辑通讯录,并保存为.Csv格式说明:
1、此文档保存格式为.Csv格式;
2、各列数值不能为空;
3、命令执行时,删除第1、2、3、4行;
4、各列对应的字段与命令见表中; 四、创建For... do循环命令(结合dsadd user命令) 命令格式: for /f "tokens=1,2,3,4,5,6,7,8,9,10,11 delims=," %a in (c:users.csv) do dsadd user "cn=%c,ou=UserTest,dc=techone,dc=com" -samid %d -upn %d -ln %a -fn %b -pwd %e -title %f -dept %g -company %h -tel %i -mobile %j -iptel %k -disabled yes
相关注明: 1、先用Excel表格做一个简单模版,将其保存为.csv格式! 2、再用For命令结合dsadd 来完成批量创建用户! 3、tokens=1,2,3,4,5,6,7,8,9,10,11 :表示有11个变量(参数为表格内的11个参数,顺序为A/B/C/D/E/F/G/H/I/J/K 这11个参数见Csv表格)
delims=, :表示分隔符为“,”
%a in (c:users.csv) :表示变量从路径“c:users.csv”中取数据
dsadd :添加命令
cn=%c,ou=UserTest,dc=,dc=com :表示所创建的用户名与创建位置
-samid %d -upn %d:表示登录名为变量d
-ln %a :设置用户姓为变量a
-fn %b :设置用户名为变量b
-pwd %e :设置密码为变量e -title %f :设置职务为变量f -dept %g :设置部门为变量g -company %h:设置公司为变量h -tel %i :设置电话为变量i -mobile %j :设置移动电话为变量j -iptel %k :设置IP电话为变量k
-disabled yes :表示导入以后为禁用状态 更多的参数,请参考dsadd user /?
五、在AD服务器上,执行以下步骤:
1、在AD管理工具中,创建一个OU,名为UserTest;
2、在CMD命令下,键入上述命令:
六、在AD管理工具,上刷新UsersTest,看到创建的相关用户。全部选中,然后开启用户。
七、查看用户属性,相关属性值已存在。
八、抽样使用批量创建的域用户,登陆,结果正常。批量创建域用户
J. Windows AD域通过GPO设置客户端电脑本地管理员账号密
0x01 介绍
在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已经将客户端加入域
0x03 操作步骤
1. 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理,将刚加入域的计算机移动到这个OU中。
2. 在DC上打开组策略管理工具,新建一条策略,命名自己能看懂即可
3. 并对此策略进行设置,依次展开 计算机配置— 策略 — Windows设置 —安全设置 — 安全选项 — 账户:重命名系统管理员账户 将administrator用户重命名其他,此处修改为Local_admin。
4. 然后再回到Windows设置 — 脚本(启动/关机),新建一条启动脚本。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件。
另外,有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限,有这个需求的时候又不可能每次到跑到客户端操作电脑,因 此可以使用受限制的群组,设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可。
5. 回到用户和计算机管理工具,在Users中新建一个组,命名为Local-admins并将张三加入到此用户组测试。
6. 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上,找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来。
7. 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定。
8. 此时,到DC服务器中强制刷新组策略。
#强制刷新组策略命令
gpupdate /force
9. 找一台客户端验证策略是否生效,以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10. 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了。
到此已经完成需求的所有操作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中,后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限