1. 共享域用户账号

在前面提到过,域的优点之一就是可以在所有已加入到域的服务器中共享域用户账号,现在我们已经搭建好了一个基本的域环境,下面就来体验一下如何共享域用户账号。
首先我们在域控制器 DC上为公司员工王五创建一个域用户账号。
打开“ Active Directory用户和计算机”,在“Users”容器上单击右键,执行“新建\用户”,为王五创建域用户账号[email protected],如下图所示。

活动目录服务的配置与管理(4) 管理域用户账号_第1张图片

然后在文件服务器FS上登录到域,创建一个共享文件夹,使用户王五具有读取和写入权限。

此时在 FS服务器上就可以直接调用DC域控制器上创建好的域用户账号。

活动目录服务的配置与管理(4) 管理域用户账号_第2张图片

2 域用户账号和本地用户账号的比较

域模型下的域用户账户与工作组模型下的本地用户帐户有着本质的区别。
本地用户帐户是在本地计算机上创建,帐户的所有信息都存储在本地计算机的 SAM文件中。利用本地用户账户只能登录到本机,在登录时要到SAM文件中进行身份验证,其作用范围也仅限于本地计算机。
域用户账户只能在域控制器上创建,所有的域用户账户信息都存放在域控制器 的活动目录中。使用域用户账户可以在任何一台已经加入到域中的计算机上登录,在登录时要到域控制器上进行身份验证,然后可以根据相应的权限使用域中的资源。普通的域用户账户对本地计算机只拥有本地users组成员的权限。域用户的安全性要求比较高,所有的域用户必须要设置密码,而且密码要符合复杂性要求。
需要注意的是,当一台服务器在被配置为域控制器之后,将自动禁用所有的本地用户账户,目的是为了禁止从本地登录,以提高系统安全性。(打开“服务器管理器 \配置”界面,可以发现其中已经没有了“本地用户和组”的设置选项。)
 
3 新建组织单位与域用户账号
 
将客户端计算机加入到域中之后,我们还需要为企业内的每名员工都在 Active Directory中创建一个相关联的用户账户。默认的用户账户和用户组都存放在“Users”OU中,为了更清晰地体现出企业的组织架构,方便对用户的管理,一般应先根据公司的部门设置创建出相应的组织单位(OU),然后在组织单位里创建相应的用户账户。
打开 Active Directory用户和计算机,选择新建组织单位。

活动目录服务的配置与管理(4) 管理域用户账号_第3张图片

输入组织单位的名称,点击确定后一个组织单位就创建完成了。(如果选中“防止容器被意外删除”复选框,可防止该容器被意外删除,不过也将无法删除该OU,所以通常可取消勾选该复选框。)

活动目录服务的配置与管理(4) 管理域用户账号_第4张图片

创建了组织单位后,就可以在组织单位中创建用户账户了。如图所示,在人事部OU中选择新建一个用户。

活动目录服务的配置与管理(4) 管理域用户账号_第5张图片

 为员工李四创建一个名为lisi的账号,然后便可以在任何一台已加入到域中的计算机上用该账号登录。

活动目录服务的配置与管理(4) 管理域用户账号_第6张图片

4 设置用户属性

在域模式下,对域用户账户可以实现很多本地用户账户所不具备的管理功能。下面是几种比较常用的域用户账户属性设置。
 
4.1 设置登录时间
打开域用户账户的属性设置界面,在“账户”标签中点击“登录时间”, 可以用来设置允许用户登录到域的时段,比如只允许该账户在工作时间即从周一到周五的9:00~17:00的时间段内登录。

活动目录服务的配置与管理(4) 管理域用户账号_第7张图片

打开“登录时间”设置界面后,其中蓝色的格子代表允许登录的时间段,默认情况下用户可以在任意的时间内登录到域中。先将所有的格子选中,然后点击“拒绝登录”,将所有的格子设成白色。再选中允许登录的时间段内的格子,点击“允许登录”,将格子设成蓝色。这样这个域用户就只能在周一到周五的9:00~17:00的时间段内登录到域中了。

活动目录服务的配置与管理(4) 管理域用户账号_第8张图片

4.2 设置域用户可以登录的计算机

在“账户”标签中的“登录到”,可以用来设置允许用户登录到域的计算机,系统默认用户可以从任何一台客户端计算机登录域,也可以限制用户只能从某些计算机登录域。
点击“登录到”按钮,打开“登录工作站”对话框,如只允许该账户在名为“ client1”的客户端计算机上登录,选择“下列计算机”,输入客户端计算机的名字“client1”,点击“添加”按钮即可。

活动目录服务的配置与管理(4) 管理域用户账号_第9张图片