批量創(chuàng)建域普通賬戶(hù)

在創(chuàng)建普通域賬戶(hù)時(shí)，管理員需要打開(kāi)Active Dirextory用戶(hù)和計(jì)算機(jī)窗口，在合適的OU中創(chuàng)建賬戶(hù)。但在大型網(wǎng)絡(luò)中，有時(shí)需要?jiǎng)?chuàng)建大量的賬戶(hù)，利用Csvde、PowerShell命 令，Ldifde以及Net命令，可以批量添加普通域賬戶(hù)。這里就以L(fǎng)difde工具為例進(jìn)行說(shuō)明。使用該工具之前，需要?jiǎng)?chuàng)建所需的用戶(hù)配置文件。

例如，創(chuàng)建名為“pldr.txt”的文件，其中包含所需的賬戶(hù)信息，在其中逐 行 輸 入“DN:cn=用 戶(hù)甲,OU=depart1,DC=xxx,DC=com”，“changetype:add”，“objectclass:user”，“sAMAccountName:userjia”、“userPrincipalName:userjia@xxx.com”、“displayname:開(kāi)發(fā)部某員工”、“userAccount control :514”、“physicalDeli very Name:某寫(xiě)字樓某層某號(hào)”等，創(chuàng)建名為“userjia”的賬戶(hù)。

顯示名稱(chēng)為“用戶(hù)甲”，隸屬于名為“dapart1”的 OU，用戶(hù)主體名稱(chēng)USN為“userjia@xxx.com”，域名為“xxx.com”，工作地點(diǎn)為“某寫(xiě)字樓某層某號(hào)”。同理，可以分別輸入其他賬戶(hù)的信息。注意，兩個(gè)賬戶(hù)之間需要存在空行。在CMD窗口中執(zhí)行“l(fā)difde -i -f d:pldr.txt -j d:”命 令，可以將上述用戶(hù)信息導(dǎo)入到活動(dòng)目錄數(shù)據(jù)庫(kù)中，同時(shí)在D盤(pán)下創(chuàng)建名為“l(fā)dfif”的日志文件。執(zhí)行“dsquery user”命令，可以查詢(xún)所有的域賬戶(hù)信息，可以看到已經(jīng)批量創(chuàng)建了所需的賬戶(hù)。注意，在默認(rèn)狀態(tài)下，批量創(chuàng)建的賬戶(hù)處于禁用狀態(tài)。

批量刪除和修改賬戶(hù)

對(duì)于上述批量創(chuàng)建賬戶(hù)，可以很輕松地進(jìn)行批量刪除。打開(kāi)上述名為“pldr.txt”的文件，將不需要?jiǎng)h除的賬戶(hù)信息刪除，之后針對(duì)每個(gè)剩余的賬戶(hù)，只保留前兩行，第一行不變，將第二行修改為“changetype:delete”。 再次執(zhí)行“l(fā)difde -i -f d:pldr.txt -j d:”命令，就可以批量刪除了。如果是批量修改賬戶(hù)屬性，例如修改用戶(hù)名和USN信息，可以打開(kāi)上述“pldr.txt”文件，只保留需要修改的賬戶(hù)，只保留前兩行，將第二行修改為修改為“changetype:modify”。

圖1 新建查詢(xún)窗口

之后輸入“replace:displayname”、“displayname:開(kāi)發(fā)部主管”、“replace:user Principal Name”、“-”，“userPrincipalName：zhuguan@xxx.com”之 類(lèi) 的語(yǔ)句。之后執(zhí)行以上命令，即可完成修改。當(dāng)然，使用系統(tǒng)自帶的“NET”命令，同樣可以批量創(chuàng)建和刪除賬戶(hù)，例如執(zhí)行“for /L %a in （1,1,50）do net user newzh%a passw@rd /add /domain”命令，可以創(chuàng)建名稱(chēng)以“newzh”開(kāi)頭的以數(shù)字編號(hào)的，密碼為“passw@rd”的50個(gè)賬戶(hù)。對(duì)應(yīng)的，執(zhí)行“for /L %a in （1,1,50）do net user newzh%a /del/domain”命令，可以批量刪除這些賬戶(hù)。

批量解鎖域賬戶(hù)

由于某些原因可能會(huì)造成有些賬戶(hù)被鎖定。在默認(rèn)情況下，鎖定的周期為30分鐘，在此期間被鎖定的賬戶(hù)是無(wú)法登錄域環(huán)境的。有時(shí)管理員需要快速找到這些被鎖定的賬戶(hù)，進(jìn)行批量解鎖。打開(kāi)Active Directory用戶(hù)計(jì)算機(jī)窗口，在左側(cè)的“保存的查詢(xún)”項(xiàng)上點(diǎn)擊右鍵，在彈出菜單中點(diǎn)擊“新建→查詢(xún)”項(xiàng)，在新查詢(xún)窗口（如圖1）中輸入名稱(chēng)（例如“查找鎖定的賬戶(hù)”），選擇“包括子容器”項(xiàng)。

點(diǎn)擊“定義查詢(xún)”按鈕，在查找一般性查詢(xún)窗口中的“用戶(hù)”面板中選擇“禁用的賬戶(hù)”項(xiàng)，點(diǎn)擊“確定”，在“查詢(xún)的字符串”欄中顯示所需的查詢(xún)語(yǔ)句。執(zhí)行以上操作后，就會(huì)顯示所有被禁用的賬戶(hù)，選中后，在右鍵菜單上點(diǎn)擊“啟用賬戶(hù)”項(xiàng)，即可解除其鎖定狀態(tài)。當(dāng)然，也可以在CMD窗口中執(zhí)行“dsquery user -disabled |dsmod user-disabled no”命令，可以查找并解鎖所有被鎖定的賬戶(hù)。注意，對(duì)于Guest和Krbtgt賬戶(hù)，需要使其處于鎖定狀態(tài)。

批量更改客戶(hù)端管理員密碼

對(duì)于客戶(hù)端主機(jī)來(lái)說(shuō)，使用者一般都具有管理員權(quán)限。但是，在域環(huán)境中，需要對(duì)客戶(hù)端的配置進(jìn)行統(tǒng)一管理，是不希望在本地使用管理員賬戶(hù)登錄的。解決的方法是，在域控上打開(kāi)組策略管理器，在左側(cè)選擇“林→域→域名”，在“Default Domain Policy”項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”，在編輯窗口左側(cè)選擇“用戶(hù)配置→首選項(xiàng)→控制面板設(shè)置→本地用戶(hù)和組”項(xiàng)，在右側(cè)窗口的右鍵菜單上點(diǎn)擊“新建→本地用戶(hù)”項(xiàng)，在打開(kāi)窗口（如圖2）中的“用戶(hù)名”列表中選擇“administrator”，在“密碼”欄中輸入新的密碼，點(diǎn)擊“確定”，完成修改操作。

這樣，當(dāng)客戶(hù)機(jī)以管理員身份進(jìn)行本地登錄時(shí)，就會(huì)被系統(tǒng)攔截。為了立即生效，需要在客戶(hù)端執(zhí)行“gpeudate /force”刷新組策略。為了讓用戶(hù)在登錄時(shí)必須登錄到域環(huán)境，可以在上述組策略編輯窗口中打開(kāi)“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→本地策略→用戶(hù)權(quán)限分配”項(xiàng)，在右側(cè)雙擊“允許本地登錄”項(xiàng)，在打開(kāi)窗口中刪除所需賬戶(hù)，這樣，該賬戶(hù)就無(wú)法在本地登錄了。

圖2 新建本地賬戶(hù)窗口

批量恢復(fù)誤刪的域賬戶(hù)

在Windows Server 2008之后的系統(tǒng)中，已內(nèi)置了禁止刪除域賬戶(hù)的功能，但如果管理員在創(chuàng)建域賬戶(hù)沒(méi)有開(kāi)啟該功能，依然會(huì)出現(xiàn)誤刪的情況。賬戶(hù)恢復(fù)可以使用在線(xiàn)恢復(fù)和離線(xiàn)恢復(fù)功能。離線(xiàn)恢復(fù)需要在事先備份活動(dòng)目錄數(shù)據(jù)庫(kù)，而且需要讓域控暫停工作。在線(xiàn)恢復(fù)則沒(méi)有這些約束。

例 如，可 以 使 用ADRecycleBIn這款小工具在線(xiàn)恢復(fù)，在主界面中的“Load Filter（Object Types）”欄中選擇“User and Computers”，針對(duì)活動(dòng)目錄數(shù)據(jù)庫(kù)中的賬戶(hù)和計(jì)算機(jī)進(jìn)行恢復(fù)。在“Delete Objects”列表中顯示刪除的所有對(duì)象，在需要恢復(fù)賬戶(hù)的右鍵菜單上點(diǎn)擊“Restore Object”，可 以 恢 復(fù) 該賬戶(hù)。也可以批量選擇所有需要恢復(fù)的賬戶(hù)，點(diǎn)擊“Restore Checked Objects”來(lái)執(zhí)行批量恢復(fù)。

批量清理垃圾賬戶(hù)

及時(shí)清除垃圾賬戶(hù)，可以讓活動(dòng)目錄數(shù)據(jù)庫(kù)變得更精簡(jiǎn)。在CMD窗口中執(zhí)行“dsquery user -inactive 10”，可 以 顯 示 10周 內(nèi) 沒(méi)有登錄的用戶(hù)信息。執(zhí)行“dsquery user -inactive 10 | dsmod user -disabled yes”命令，可以禁用這些賬戶(hù)。執(zhí)行“dsquery user-disabled |dsrm”命令，來(lái)清理這些垃圾賬戶(hù)。

也可以使用上面的方法，批量查找和選擇這些禁用的賬戶(hù)。在右鍵菜單上點(diǎn)擊“刪除”，將其批量刪除即可。管理員可根據(jù)需要設(shè)置密碼最長(zhǎng)使用期限，打開(kāi)上 述“Default Domain Policy”項(xiàng)的編輯窗口，選擇“計(jì)算機(jī)配置→策略→Windows設(shè)置→安全設(shè)置→賬戶(hù)策略→密碼策略”項(xiàng)，在右側(cè)雙擊“密碼最長(zhǎng)使用期限”，可以將其設(shè)置為合適的時(shí)間值。這樣，就可以判斷哪些是長(zhǎng)期不使用的賬戶(hù)。

批量查看域賬戶(hù)密碼更新信息

管理員需要及時(shí)開(kāi)啟密碼復(fù)雜性策略，讓用戶(hù)在規(guī)定的周期內(nèi)，按照復(fù)雜度要求更新密碼。管理員根據(jù)需要查看密碼更新信息。在域控上打開(kāi)Active Directory用戶(hù)和計(jì)算機(jī)窗口，點(diǎn)擊“查看→高級(jí)功能”，選擇某個(gè)賬戶(hù)，在屬性窗口中的“屬性編輯器”面板中的“pwdLastSet”欄中顯示最近修改密碼的事件。批量查詢(xún)，可以在PowerShell窗口中執(zhí) 行“Get-ADUser -Filter* -Properties * |select name,pwdlastset”命令，顯示所有賬戶(hù)最近修改密碼的事件信息。

圖3 集中修改賬戶(hù)信息

批量映射網(wǎng)絡(luò)驅(qū)動(dòng)器

在網(wǎng)絡(luò)中部署了文件服務(wù)器后，可以共享目錄映射為網(wǎng)絡(luò)驅(qū)動(dòng)器，方便客戶(hù)端使用。手工映射比較繁瑣，我們可以使用自動(dòng)映射。對(duì)于單個(gè)用戶(hù)，可以使用多種方法來(lái)實(shí)現(xiàn)。例如目標(biāo)共享路徑為“filesrvdata”，可 以 在 PowerShell窗 口 中 執(zhí) 行“Set-ADUser -HomeDirectory:"\filesrvdata" -HomeDrive: "K:" -Identity user1”命，可以針對(duì)“User1”賬戶(hù)將上述共享路徑映射為網(wǎng)絡(luò)驅(qū)動(dòng)器K盤(pán)。如果想批量映射，可以執(zhí)行“dsquery user -name new*| demod user -hmdrv k: -hndir\filesrvdata”，這 樣，可以針對(duì)所有名稱(chēng)以“new”開(kāi)頭的賬戶(hù)進(jìn)行映射。當(dāng)這些賬戶(hù)登錄域環(huán)境時(shí)，可以自動(dòng)得到該網(wǎng)絡(luò)驅(qū)動(dòng)器。

批量更新賬戶(hù)屬性

域賬戶(hù)擁有很多屬性，創(chuàng)建域賬戶(hù)時(shí)，屬性信息是不完整的，需要根據(jù)情況不斷地完善。除Ldifde批量更新賬戶(hù)屬性外，還可以在Active Directory用戶(hù)和計(jì)算機(jī)窗口中選擇多個(gè)賬戶(hù)，在右鍵菜單上點(diǎn)擊“屬性”，在打開(kāi)窗口（如圖3）中的“常規(guī)”、“賬戶(hù)”、“地 址”、“配 置文件”和“組織”面板中統(tǒng)一更新屬性信息。如在“賬戶(hù)”面板中可以針對(duì)UPN后綴、登錄事件、計(jì)算機(jī)限制以及各種賬戶(hù)選型等進(jìn)行統(tǒng)一調(diào)整。如果是修改批量單一的賬戶(hù)屬性，也可以使用命令行來(lái)實(shí)現(xiàn)。如在CMD窗口中執(zhí)行“dsquery user ou=kaifa,dc=xxx,dc=com |dsmod user -pwd qwe@.com”，針對(duì)名為“kaifa”的OU中的所有賬戶(hù)統(tǒng)一修改密碼為“qwe@.com”。