一步一步創建Windows Server 2012 R2 AD域之用戶電腦加入域管理、創建域用戶
前言
公司電腦之前用的是工作組管理,沒有用域管理,每個人都有管理員權限,有了管理員權限,隨便更改IP位址,隨便裝隨身wifi給自己用,隨便設置個共享文件夾,隨便安裝軟體,隨便插U盤帶來病毒等等情況時有發生,離職人員走了沒有留下windows密碼還得用U盤破。AD伺服器建立起來後,下一步就要把用戶端的電腦加入域來統一管理了。除非用戶有特殊原因需要用管理員權限,否則一律給users權限,本地用戶只保留administrator,設置為統一的管理員密碼,只有運維人員知道密碼。以前用工作組的時候,整天處理些小問題忙得團團轉,用域管理之後,問題少了很多,因為他們沒有管理員權限了,而且很多軟體的事情可以遠程操作解決。
下面操作為簡單的域管理。
1、 創建域用戶,用於在用戶電腦登錄。
1、 從儀錶板的工具選項進入Active Directory用戶和計算機,或運行"dsa.msc"進入。
2、 為方便以後管理,新建一個OU,即組織單位top,在組織單位里創建各部門,再在各部門裡創建用戶帳號。
3、填寫名稱,"防止容器被意外刪除"打勾。
4、按照創建top組織的方法,選中top後繼續創建各部門。
如果想刪除某個部門提示沒有權限刪除怎麼辦?沒有足夠的權限刪除,或該對象受保護,以防止意外刪除,我是用域中的Administrator登錄的,為什麼還沒有權限?請看下面操作。
如果在域控制器的右鍵屬性里沒有"對象"選項卡.應該是沒有打開高級選項造成的.請按照以下方法:
a. 點"查看"
b. 選擇 "高級功能"
c. 右鍵要刪除的test點 "屬性"
d. 把"對象"的選項卡"防止對象被意外刪除"的勾去掉,再去嘗試刪除。
5、給各部門建立用戶
密碼設置太簡單了,不符合複雜性會彈出這個提示。
如果不需要複雜的密碼,可按下面方法設置。
從儀錶板/工具進入"組策略管理"。
編輯組策略
修改密碼策略,根據自己的需要修改密碼長度最少值、期限等。
CMD運行命令:gpupdate /force後更改立即生效。
返回到創建用戶那個介面,下一步成功創建了用戶。
繼續按需要創建其他部門的用戶。關於用戶帳號:創建用戶名時,如果按照每個人的姓名拼音創建,好處是按照此規律創建的用戶名可快速地知道每個人的域帳號,不好的地方是如果此人離職,頂替者要重新開帳號,重新設置桌面、郵件之類,如果繼續用此帳號時間久了也不記得。如果設置為固定的帳號,只更改中文姓名,帳號可根據電腦名來創建。比如IT部有個人叫張學友,電腦名為IT01,創建域帳號it01,這台電腦以後基本不用再新開帳號了,只需要在AD修改用戶名字就行。
2、 把用戶電腦加入域
1、 加域:在桌面/計算機/屬性/更改設置
2、 默認用任意域帳號都能加域,但每個普通用戶帳號只有10次加域權限,超出次數加域時會報錯(可用adsiedit.msc工具修改次數,但一般沒修改的必要)
3、 成功加入後重啟電腦。
4、 加入域後默認已經是登錄域帳號
5、設置了第一次登錄時需更改密碼
5、 進入到桌面了
6、 由於是users權限,所以不能安裝卸載軟體,更改系統設置等,如果有些用戶需要給管理員權限,則按下面方法設置,先註銷當面用戶,切換到本地管理員帳號,注意:這裡要輸入.\再輸入本地管理員帳號才會登錄,或輸入"電腦名\本地管理員"如top1\administrator,這樣才登錄本地帳號。
7、這裡可用任意一個域帳號
7、 搜索要設為管理員的域帳號
8、 一路確定,把帳號添加上去。再註銷,切換用戶以域帳號zhangxueyou登錄,這時有管理員權限了。
9、 張學友離職了,劉德華頂替,更改中文用戶名,但域帳號還是zhangxueyou,上邊說的不按姓名創建帳號的原因就是這個了。