1.4 OU的规划
包含在域中的特别有用的目录对象类型就是组织单位(OU)。组织单位是一种Active Directory容器,可以将用户、组、计算机和其他组织单位放入其中,但不能容纳来自其他域的对象。组织单位可以指派组策略设置,或者委派管理权限。组织单位代表了域的逻辑层次结构,以根据组织的模型管理账户和资源的配置及使用。不过,不推荐在“Users容器”中创建用户和用户组,而是在域中创建组织单位并添加用户。
1.4.1 创建OU
打开“Active Directory用户和计算机”窗口,选择当前的域,如图1-30所示,右击,从快捷菜单中选择“新建”→“组织单位”命令,显示新建组织单位对话框,如图1-31所示。输入组织单位名称(本例为“信息技术学院”),单击“确定”按钮完成创建。
图1-30 新建OU 图1-31 设置OU名称
选择新建的组织单位,在右侧的空白窗格中右击,可以继续在组织单位中再创建子组织单位,如图1-32和图1-33所示。
图1-32 新建OU 图1-33 创建子OU
按照企业结构创建完组织单位后,就可以将以前创建的用户“移动”到其相应的组织单位中以利于管理。Windows Server 2008正是依靠组织单位及组策略,才能实现许多“自动化”的高级管理功能的。
1.4.2 创建大量用户的方法
作为管理员,一个基本的任务就是“创建用户”。虽然创建用户的步骤很简单,但如果需要创建几十个、几百个甚至上千个用户时,就会非常麻烦了。在本节中,将介绍批量创建用户的方法。net是一个很常用的网络命令,使用net user命令就可以创建大量用户。net user命令的语法如下:
NET USER
[username [password | *] [options]] [/DOMAIN]
username {password | *} /ADD [options] [/DOMAIN]
username [/DELETE] [/DOMAIN]
其各参数的意义如下。
l NET USER:用于创建和修改计算机上的用户账户。当不带选项使用本命令时,它会列出计算机上的用户账户。
l username:指需要进行添加、删除、修改或者浏览的用户账户的名字。用户账户的名字不能超过 20 个字符。
l password:分配或改变用户账户的密码。密码必须满足 NET ACCOUNTS 命令的/MINPWLEN 选项指定的最小长度的要求。它至多可以具有 14 个字符。 * 表示提示输入密码。当用户在密码提示符下输入时,密码是不会显示的。
l /DOMAIN:在当前域的主域控制器上执行操作。
l /ADD:将用户账户添加到用户账户数据库中。
l /DELETE:从用户账户数据库中删除用户账户。
options选项如下。
? /ACTIVE:{YES | NO}:激活或停用账户。如果账户处于停用状态,用户就不能访问该服务器。该选项的默认值是 YES。
? /COMMENT:"text":提供关于用户账户的一个描述性注释。需要将文本括在引号中。
? /COUNTRYCODE:nnn:使用操作系统的国家/地区代码来实施用户的帮助和错误消息的特定语言文件。0 表示默认的国家/地区代码。
? /EXPIRES:{date | NEVER}:如果日期被设置,就会引起账户过期。设置NEVER,对账户就没有时间上的限制。根据国家/地区代码的不同,有效日期的格式可以是月/日/年或日/月/年。月可以是一个数字、拼写完整的或3个字母的缩写。年可以是两位或四位数字。使用斜线(/,没有空格)来分隔日期的各个部分。
? /FULLNAME:"name":是一个用户的完整名字(而不是用户名)。需要把名字用引号括起来。
? /HOMEDIR:pathname:设置用户的主目录的路径。路径必须已经存在。
? /PASSWORDCHG:{YES | NO}:指定用户是否可以改变自己的密码。其默认值是YES。
? /PASSWORDREQ:{YES | NO}:指定用户的账户是否必须具有密码。其默认值是YES。
? /PROFILEPATH[:path]:为用户的登录配置文件设置路径。
? /SCRIPTPATH:pathname:指用户的登录文件所在的位置。
? /TIMES:{times | ALL}:指用户可以登录的时间。TIMES 的表达方式是day[-day][,day[-day]], time[-time][,time[-time]],增量限制在 1 小时。天可以是全部拼写或缩写。小时可以是十二小时制或二十四小时制。对于十二小时制,可以使用AM、PM。ALL 表示用户总是可以登录。空值表示用户永远不能登录。可以使用逗号分隔天和时间项,并用分号分隔多个天和时间项。
? /USERCOMMENT:"text":让管理人员添加或改变账户的用户注释。/WORKSTATIONS: {computername[,...] | *}列出至多8个用户可以登录到网络上的计算机。如果 /WORKSTATIONS 没有列表或列表是 *,用户就可以从任何一台计算机上登录。
? NET HELP command | MORE:用于逐屏显示帮助。
【注意】该命令必须注意空格的使用。各个参数之间(username也是一个参数)要有空格;同一个参数内不能用空格隔断,除非空格在引号内。
如果要在没有升级到域控制器的Windows Server 2008、Windows 7、Windows Server 2003、Windows XP中创建3个用户,最简单的方法是创建如下的批处理文件:
net user w11 /add
net user ab2 /add
net user ce3 /add
然后运行这个批处理文件,将创建3个用户。
如果要在域控制器上使用net user命令创建用户,则需要为用户指定密码。例如,创建ws11~ws13共3个用户,设置用户密码为a1b2c3D4,代码如下:
net user ws11 a1b2c3D4 /add /domain
net user ws12 a1b2c3D4 /add /domain
net user ws13 a1b2c3D4 /add /domain
执行命令的结果如图1-34所示。
图1-34 使用net user创建用户
在使用net user创建命令之后,返回到“Active Directory用户和计算机”窗口,在Users组织单位中选中创建的用户,并“移动”到合适的OU中即可,如图1-35所示。
图1-35 移动用户