15、活动目录账户管理与组织单位维护指南

活动目录账户管理与组织单位维护指南

1. 活动目录资源访问管理概述

在管理活动目录资源时，有不同的认证机制来保障活动目录基础设施的安全。根据用户连接环境的方式，需选择合适的认证方法。

2. 账户类型创建与属性编辑

存在两种不同的账户类型：
- 安全主体账户 ：包括用户、安全组和计算机账户。
- 非安全主体账户 ：包括联系人与分发组。

例如，公司开展新的营销活动，营销组现有五名员工，新招聘了三名内部员工和四名外部合同员工。此时需要创建新账户并创建邮件列表，以便所有用户进行沟通，同时外部用户不应有任何网络资源访问权限。

3. 账户管理工具的使用

活动目录域服务（AD DS）包含许多管理和配置用户、组和计算机账户的工具和实用程序。此外，还有许多可下载的微软实用程序和第三方工具可用于账户管理。

若要向域中添加100个新用户，创建时需填充部门、电话号码、经理和位置等信息。假设创建了一个名为Users的新组织单位（OU），系统文件安装在D盘的WINNT文件夹中，域名为zygort.lcl，可使用以下命令：

d:\winnt\system32\redirusr ou=users,dc=zygort,dc=lcl

默认情况下，除域控制器外，计算机账户的默认位置是Computers容器。若要创建一个新的OU作为默认位置，需使用redircmp实用程序。例如，在zygort.lcl域中创建一个名