微軟活動目錄的應用研究

何敏

摘 要：Active Directory（活動目錄）是微軟Windows server操作系統平臺的核心組件，在網絡的環境中，Active Directory 提供組織、管理與控制網絡資源的各種功能，Active存儲了有關網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。文章闡述了在大規模局域網中，在Windows server 2008環境下，Activer Directory的部署與應用。

關鍵詞：Active Directory（活動目錄）；域；OU（組織單位）

引言

在Active Directory（活動目錄）部署實施與日常應用管理中經常需要做大量的重復工作，尤其是在用戶數量龐大的網絡中，給管理人員帶來了巨大的工作負擔。Active Directory（活動目錄）部署實施與日常應用管理工作中結合Windows批處理命令的使用，可以極大減輕管理人員的工作負擔，提高工作效率。文中舉出的例子均是實際環境中應用使用過的，故障解決辦法也是長期工作中總結出來的經驗，可供借鑒與參考。

1 Active Directory（活動目錄）服務器部署

Active Directory（活動目錄）部署時需要理解許多相關概念，如：用戶、OU、域、域樹、林等等概念。本文描述的環境是一個單位內的局域網絡，所以文中所有示例均為一個域內的管理，不涉及域樹、林等概念。部署過程簡單描述如下：

1.1 安裝Window2008 server操作系統

Active Directory（活動目錄）是Windows serve 2008的組件，必須先安裝Windows serve 2008操作系統，關于安裝操作系統，可以參考微軟手冊與相關書籍，此處不再詳述。安裝好兩臺服務器。

1.2 安裝配置域控制器

單擊開始菜單選擇“運行”執行“dcpromo”命令，將普通服務器提升為Active Directory Domain Services（AD DS），根據安裝提示進行安裝，依次選擇：“高級模式”-“在新林中新建域”，然后輸入域名“hmtest.com”， 在設置林功能級別時選擇“Window server 2008”，設置域功能級別時選擇“Window server 2008”，在其他域控制選項時勾選“DNS服務器”，直到完成安裝。

完成第一臺服務器后，再按上述過程安裝另一臺服務器，第一臺作為主域控制器，另一臺作為額外域控制器，防止單點故障。

2 計算機終端加入域

2.1 添加域用戶

部署完服務器，需要將所有用戶和計算機終端加入到域中，如果使用手動添加用戶信息，對于用戶數量大的網絡是一件費時費力的事情，所以用批處理程序去自動添加是非常有必要的。

步驟1：在域中添加各單位和部門的OU（組織單位）。在hetest.com 域中添加名為“hm公司”的OU，在“hm公司”下添加部門的OU。

步驟2：編寫如下的批處理程序并保存為adduser1.bat文件。

for /f "tokens=1，2，3，4，5，6，7 delims=，" %a in （c：＼user1.txt） do @dsadd user "cn=%c，ou=%f，ou=%g，dc=hmtest，dc=com" -samid %d -upn %d@hmtest.com -ln %a -fn %b -pwd %e -display %c -disabled no 2>>c：＼erroruser1.txt

步驟3：在excel表格中按照如下格式編輯單位所有人員信息，編輯好以后另存為user1.csv文件，使用記事本打開此文件將文件另存為user1.txt。

步驟4：將上述兩個文件放到域控制器c盤根目錄下，雙擊運行adduser1.bat，程序會將user1中所有的用戶自動創建的域中，并且可以在erroruser1.txt文件中查看錯誤信息。

2.2 計算機加入域

編寫加域的批處理程序，且在加入時提示用戶更改正確的計算機名稱。例如本單位要求計算機名稱必須和單位資產編號一直，加域時提示用戶輸入資產編號進行校驗，如果和計算機名稱不符則提示更改計算機名稱。

步驟一：在域控制器上創建一個用戶用于加域程序使用，本用戶擁有計算機加入域的權限。創建用戶auser，密碼為123456。

步驟二：編寫如下批處理程序，保存為jiayu.bat，為了防止用戶名和密碼的泄露，可以使用工具軟件將jiayu.bat轉換為jiayu.exe。如果將來不想讓用戶加域使用了，將創建的auser用戶刪除即可。

步驟三：將jiayu.exe程序發布在園區網，用戶只需要下載到本地，雙擊即可執行。

加域程序可以方便用戶加入域中，但如果在加域過程中出現故障和問題，系統將不會給出提示信息，那么就需要我們使用普通的方式加域了。

2.3 完成綁定關系

經過上面兩個過程，計算機和用戶已經加入域中，可以使用域用戶登錄計算機了，但用戶和計算機之間未建立綁定關系，可以在任何計算機上使用任何用戶名登錄，無法滿足我們的安全要求。手動綁定工作量巨大，我們可以通過下述方法完成此項工作。

步驟一：在域控中建立一個共享空間，如：D：＼clientinfo，給everyone讀寫、執行、修改權限。（本例域控IP地址為192.168.1.1）

步驟二：編寫如下批處理程序，保存為user-computer.bat。

echo net user %username% /domain workstations：%computername% >＼＼192.168.1.1＼clientinfo＼%username%-%computername%.bat

步驟三：將此批處理文件作為登錄腳本，通過組策略下發給所有計算機（此處不再詳述）。則所有用戶登錄計算機時將會在域控的共享目錄中產生一條批處理命令。

步驟四：登錄域控制器，只要在域控中雙擊執行上一步產生的批處理命令就可以將用戶綁定到計算機上了。

3 活動目錄日常管理及應用實例

3.1 為用戶添加管理員權限

因為管理的需要，本單位給所有用戶的權限均為user權限。用戶需要安裝軟件、調整計算機設置時需要申請開放管理員權限。如果在域控中手動給用戶添加權限，容易忘記回收權限，且比較麻煩，最好使用批處理命令完成。

步驟三：當需要將某個用戶添加為管理員時，只需要雙擊運行批處理，輸入該用戶的登錄名稱并回車，程序會自動將用戶加入Localadmin組中獲得管理員權限。同時，在該文件夾下會生成一個批處理文件，可以很方便地查看給哪個用戶開放了管理員權限，以及開放的時間等信息。當需要取消用戶的管理員權限時，只需要雙擊該批處理文件即可。該批處理執行完畢后會將自己刪除，非常便于日常管理。

3.2 批量更改用戶登錄名稱

因為某些特殊原因，需要更改全公司的5000多用戶的登錄名稱，如果使用手動依次更改，工作量大，且容易出現手誤，使用批處理命令來完成此項工作既快速又不容易出錯。

步驟一：將原用戶登錄名與現需要使用的用戶登錄名整理成以下示例的格式，保存為username.txt（中間的逗號必須使用英文符號，否則會出錯）。

示例：

Olduser1，newuser1

Olduser2，newuser2

Olduser3，newuser3

步驟二：編寫如下的批處理命令，保存為changename.bat。

for /f "tokens=1，2 delims=，" %%a in （username.txt） do dsquery user -upn %%a@hmtest.com | dsmod user -upn %%b@hmtest.com >>err.txt

步驟三：將username.txt與changename.bat放到同一個目錄下面，雙擊運行changename.bat，將自動更改用戶登錄名稱。執行時發生的錯誤可以在err.txt中查看。

在域中用戶存在兩個登錄名稱，UPN與SAMID。本程序更改的是用戶的UPN名稱，微軟沒有提供更改SAMID的命令，如果需要更改用戶SAMID，可以使用第三方的程序，例如：adfind和admod，這兩個程序可以很方便地在網上找到，使用時可以參考本節所講內容。

4 活動目錄常見故障處理

4.1 加域時，彈出窗口提示“拒絕訪問域控制器”

遇到此問題，多數情況為計算機已經加入過域，只需要在域控制器中刪除該主機即可。

4.2 加域時域選項為灰色不可選

系統中workstation服務沒有啟用，在系統服務中啟動該服務即可。如果系統中沒有workstation服務，需要在“網絡配置”中安裝“Microsoft 網絡客戶端”。

4.3 加域時提示“找不到網絡路徑”

出現此問題的原因有如下幾種：

（1）網卡的設置上沒有選擇“Microsoft網絡客戶端”。

（2）克隆安裝的操作系統SID重復，可以使用軟件來修改操作系統的SID。修改操作系統SID的軟件在互聯網上可以下載到。

（3）缺少相關的系統服務，查看并啟動下列相關服務。

tcp/ip netbios help

Remote registry

Windows Time

4.4 登錄域時提示“域控制器不可用”

出現此問題的原因及解決辦法有如下幾種：

（1）Windows防火墻或相關防火墻軟件影響。關閉相關軟件進行嘗試。

（2）計算機時鐘出現錯誤，與正常時間相差過大。正確設置系統時鐘即可。

（3）計算機與域控連接異常，例如：計算機長時間未登錄域就會造成連接異常。此時需要將計算機退域，并重新加域。

5 結束語

Active Directory（活動目錄）是微軟的Windows操作系統最核心的組件，便于網絡管理員對整改網絡資源的管理。本文中所有的對Active Directory（活動目錄）管理的例子均在實際應用中發揮了重要的作用，極大地減輕了管理人員的工作量，具有很強的實用價值。