一步一步创建Windows Server 2012 R2 AD域之用户电脑加入域管理、创建域用户
前言
公司电脑之前用的是工作组管理,没有用域管理,每个人都有管理员权限,有了管理员权限,随便更改IP地址,随便装随身wifi给自己用,随便设置个共享文件夹,随便安装软件,随便插U盘带来病毒等等情况时有发生,离职人员走了没有留下windows密码还得用U盘破。AD服务器建立起来后,下一步就要把用户端的电脑加入域来统一管理了。除非用户有特殊原因需要用管理员权限,否则一律给users权限,本地用户只保留administrator,设置为统一的管理员密码,只有运维人员知道密码。以前用工作组的时候,整天处理些小问题忙得团团转,用域管理之后,问题少了很多,因为他们没有管理员权限了,而且很多软件的事情可以远程操作解决。
下面操作为简单的域管理。
1、 创建域用户,用于在用户电脑登录。
1、 从仪表板的工具选项进入Active Directory用户和计算机,或运行"dsa.msc"进入。
2、 为方便以后管理,新建一个OU,即组织单位top,在组织单位里创建各部门,再在各部门里创建用户帐号。
3、填写名称,"防止容器被意外删除"打勾。
4、按照创建top组织的方法,选中top后继续创建各部门。
如果想删除某个部门提示没有权限删除怎么办?没有足够的权限删除,或该对象受保护,以防止意外删除,我是用域中的Administrator登录的,为什么还没有权限?请看下面操作。
如果在域控制器的右键属性里没有"对象"选项卡.应该是没有打开高级选项造成的.请按照以下方法:
a. 点"查看"
b. 选择 "高级功能"
c. 右键要删除的test点 "属性"
d. 把"对象"的选项卡"防止对象被意外删除"的勾去掉,再去尝试删除。
5、给各部门建立用户
密码设置太简单了,不符合复杂性会弹出这个提示。
如果不需要复杂的密码,可按下面方法设置。
从仪表板/工具进入"组策略管理"。
编辑组策略
修改密码策略,根据自己的需要修改密码长度最少值、期限等。
CMD运行命令:gpupdate /force后更改立即生效。
返回到创建用户那个界面,下一步成功创建了用户。
继续按需要创建其他部门的用户。关于用户帐号:创建用户名时,如果按照每个人的姓名拼音创建,好处是按照此规律创建的用户名可快速地知道每个人的域帐号,不好的地方是如果此人离职,顶替者要重新开帐号,重新设置桌面、邮件之类,如果继续用此帐号时间久了也不记得。如果设置为固定的帐号,只更改中文姓名,帐号可根据电脑名来创建。比如IT部有个人叫张学友,电脑名为IT01,创建域帐号it01,这台电脑以后基本不用再新开帐号了,只需要在AD修改用户名字就行。
2、 把用户电脑加入域
1、 加域:在桌面/计算机/属性/更改设置
2、 默认用任意域帐号都能加域,但每个普通用户帐号只有10次加域权限,超出次数加域时会报错(可用adsiedit.msc工具修改次数,但一般没修改的必要)
3、 成功加入后重启电脑。
4、 加入域后默认已经是登录域帐号
5、设置了第一次登录时需更改密码
5、 进入到桌面了
6、 由于是users权限,所以不能安装卸载软件,更改系统设置等,如果有些用户需要给管理员权限,则按下面方法设置,先注销当面用户,切换到本地管理员帐号,注意:这里要输入.再输入本地管理员帐号才会登录,或输入"电脑名本地管理员"如top1administrator,这样才登录本地帐号。
7、这里可用任意一个域帐号
7、 搜索要设为管理员的域帐号
8、 一路确定,把帐号添加上去。再注销,切换用户以域帐号zhangxueyou登录,这时有管理员权限了。
9、 张学友离职了,刘德华顶替,更改中文用户名,但域帐号还是zhangxueyou,上边说的不按姓名创建帐号的原因就是这个了。
1413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
