微软活动目录的应用研究

何敏

摘 要：Active Directory（活动目录）是微软Windows server操作系统平台的核心组件，在网络的环境中，Active Directory 提供组织、管理与控制网络资源的各种功能，Active存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。文章阐述了在大规模局域网中，在Windows server 2008环境下，Activer Directory的部署与应用。

关键词：Active Directory（活动目录）；域；OU（组织单位）

引言

在Active Directory（活动目录）部署实施与日常应用管理中经常需要做大量的重复工作，尤其是在用户数量庞大的网络中，给管理人员带来了巨大的工作负担。Active Directory（活动目录）部署实施与日常应用管理工作中结合Windows批处理命令的使用，可以极大减轻管理人员的工作负担，提高工作效率。文中举出的例子均是实际环境中应用使用过的，故障解决办法也是长期工作中总结出来的经验，可供借鉴与参考。

1 Active Directory（活动目录）服务器部署

Active Directory（活动目录）部署时需要理解许多相关概念，如：用户、OU、域、域树、林等等概念。本文描述的环境是一个单位内的局域网络，所以文中所有示例均为一个域内的管理，不涉及域树、林等概念。部署过程简单描述如下：

1.1 安装Window2008 server操作系统

Active Directory（活动目录）是Windows serve 2008的组件，必须先安装Windows serve 2008操作系统，关于安装操作系统，可以参考微软手册与相关书籍，此处不再详述。安装好两台服务器。

1.2 安装配置域控制器

单击开始菜单选择“运行”执行“dcpromo”命令，将普通服务器提升为Active Directory Domain Services（AD DS），根据安装提示进行安装，依次选择：“高级模式”-“在新林中新建域”，然后输入域名“hmtest.com”， 在设置林功能级别时选择“Window server 2008”，设置域功能级别时选择“Window server 2008”，在其他域控制选项时勾选“DNS服务器”，直到完成安装。

完成第一台服务器后，再按上述过程安装另一台服务器，第一台作为主域控制器，另一台作为额外域控制器，防止单点故障。

2 计算机终端加入域

2.1 添加域用户

部署完服务器，需要将所有用户和计算机终端加入到域中，如果使用手动添加用户信息，对于用户数量大的网络是一件费时费力的事情，所以用批处理程序去自动添加是非常有必要的。

步骤1：在域中添加各单位和部门的OU（组织单位）。在hetest.com 域中添加名为“hm公司”的OU，在“hm公司”下添加部门的OU。

步骤2：编写如下的批处理程序并保存为adduser1.bat文件。

for /f "tokens=1，2，3，4，5，6，7 delims=，" %a in （c：＼user1.txt） do @dsadd user "cn=%c，ou=%f，ou=%g，dc=hmtest，dc=com" -samid %d -upn %d@hmtest.com -ln %a -fn %b -pwd %e -display %c -disabled no 2>>c：＼erroruser1.txt

步骤3：在excel表格中按照如下格式编辑单位所有人员信息，编辑好以后另存为user1.csv文件，使用记事本打开此文件将文件另存为user1.txt。

步骤4：将上述两个文件放到域控制器c盘根目录下，双击运行adduser1.bat，程序会将user1中所有的用户自动创建的域中，并且可以在erroruser1.txt文件中查看错误信息。

2.2 计算机加入域

编写加域的批处理程序，且在加入时提示用户更改正确的计算机名称。例如本单位要求计算机名称必须和单位资产编号一直，加域时提示用户输入资产编号进行校验，如果和计算机名称不符则提示更改计算机名称。

步骤一：在域控制器上创建一个用户用于加域程序使用，本用户拥有计算机加入域的权限。创建用户auser，密码为123456。

步骤二：编写如下批处理程序，保存为jiayu.bat，為了防止用户名和密码的泄露，可以使用工具软件将jiayu.bat转换为jiayu.exe。如果将来不想让用户加域使用了，将创建的auser用户删除即可。

步骤三：将jiayu.exe程序发布在园区网，用户只需要下载到本地，双击即可执行。

加域程序可以方便用户加入域中，但如果在加域过程中出现故障和问题，系统将不会给出提示信息，那么就需要我们使用普通的方式加域了。

2.3 完成绑定关系

经过上面两个过程，计算机和用户已经加入域中，可以使用域用户登录计算机了，但用户和计算机之间未建立绑定关系，可以在任何计算机上使用任何用户名登录，无法满足我们的安全要求。手动绑定工作量巨大，我们可以通过下述方法完成此项工作。

步骤一：在域控中建立一个共享空间，如：D：＼clientinfo，给everyone读写、执行、修改权限。（本例域控IP地址为192.168.1.1）

步骤二：编写如下批处理程序，保存为user-computer.bat。

echo net user %username% /domain workstations：%computername% >＼＼192.168.1.1＼clientinfo＼%username%-%computername%.bat

步骤三：将此批处理文件作为登录脚本，通过组策略下发给所有计算机（此处不再详述）。则所有用户登录计算机时将会在域控的共享目录中产生一条批处理命令。

步骤四：登录域控制器，只要在域控中双击执行上一步产生的批处理命令就可以将用户绑定到计算机上了。

3 活动目录日常管理及应用实例

3.1 为用户添加管理员权限

因为管理的需要，本单位给所有用户的权限均为user权限。用户需要安装软件、调整计算机设置时需要申请开放管理员权限。如果在域控中手动给用户添加权限，容易忘记回收权限，且比较麻烦，最好使用批处理命令完成。

步骤三：当需要将某个用户添加为管理员时，只需要双击运行批处理，输入该用户的登录名称并回车，程序会自动将用户加入Localadmin组中获得管理员权限。同时，在该文件夹下会生成一个批处理文件，可以很方便地查看给哪个用户开放了管理员权限，以及开放的时间等信息。当需要取消用户的管理员权限时，只需要双击该批处理文件即可。该批处理执行完毕后会将自己删除，非常便于日常管理。

3.2 批量更改用户登录名称

因为某些特殊原因，需要更改全公司的5000多用户的登录名称，如果使用手动依次更改，工作量大，且容易出现手误，使用批处理命令来完成此项工作既快速又不容易出错。

步骤一：将原用户登录名与现需要使用的用户登录名整理成以下示例的格式，保存为username.txt（中间的逗号必须使用英文符号，否则会出错）。

示例：

Olduser1，newuser1

Olduser2，newuser2

Olduser3，newuser3

步骤二：编写如下的批处理命令，保存为changename.bat。

for /f "tokens=1，2 delims=，" %%a in （username.txt） do dsquery user -upn %%a@hmtest.com | dsmod user -upn %%b@hmtest.com >>err.txt

步骤三：将username.txt与changename.bat放到同一个目录下面，双击运行changename.bat，将自动更改用户登录名称。执行时发生的错误可以在err.txt中查看。

在域中用户存在两个登录名称，UPN与SAMID。本程序更改的是用户的UPN名称，微软没有提供更改SAMID的命令，如果需要更改用户SAMID，可以使用第三方的程序，例如：adfind和admod，这两个程序可以很方便地在网上找到，使用时可以参考本节所讲内容。

4 活动目录常见故障处理

4.1 加域时，弹出窗口提示“拒绝访问域控制器”

遇到此问题，多数情况为计算机已经加入过域，只需要在域控制器中删除该主机即可。

4.2 加域时域选项为灰色不可选

系统中workstation服务没有启用，在系统服务中启动该服务即可。如果系统中没有workstation服务，需要在“网络配置”中安装“Microsoft 网络客户端”。

4.3 加域时提示“找不到网络路径”

出现此问题的原因有如下几種：

（1）网卡的设置上没有选择“Microsoft网络客户端”。

（2）克隆安装的操作系统SID重复，可以使用软件来修改操作系统的SID。修改操作系统SID的软件在互联网上可以下载到。

（3）缺少相关的系统服务，查看并启动下列相关服务。

tcp/ip netbios help

Remote registry

Windows Time

4.4 登录域时提示“域控制器不可用”

出现此问题的原因及解决办法有如下几种：

（1）Windows防火墙或相关防火墙软件影响。关闭相关软件进行尝试。

（2）计算机时钟出现错误，与正常时间相差过大。正确设置系统时钟即可。

（3）计算机与域控连接异常，例如：计算机长时间未登录域就会造成连接异常。此时需要将计算机退域，并重新加域。

5 结束语

Active Directory（活动目录）是微软的Windows操作系统最核心的组件，便于网络管理员对整改网络资源的管理。本文中所有的对Active Directory（活动目录）管理的例子均在实际应用中发挥了重要的作用，极大地减轻了管理人员的工作量，具有很强的实用价值。