网络管理员＆MCSE2003之7：第3章 管理用户和计算机帐户（下）

每个运行 Windows NT、Windows 2000、Windows XP 的计算机或运行 Windows Server 2003 的服务器都有一个计算机账户，在Active Directory中，计算机账户也有自己的账户和密码，不过计算机账户的密码不需要用户来设置和管理，它由系统来完成。每个计算机账户在同一个网络内必须是唯一的。计算机帐户来自于计算机名，可以通过系统属性→计算机名来查看当前的计算机名和所在工作组或域，通过其下的“更改”按钮来修改计算机名、加入域或工作组。

在CMD的命令窗口中输入：systeminfo命令，可以查看当前系统主要信息。

计算机帐户与用户帐户相似，它提供了一种验证和审核计算机访问网络和域资源的方法。计算机帐户负责执行关键任务，如验证用户登录、分配IP地址、IPSec加密IP通信,Active Directory中针对计算机帐户的策略部署和管理如：安全策略、软件部署、桌面管理，通过SMS管理硬件和软件清单。

计算机加入域后，会在“Computers”容器中创建计算机账户，计算机帐户可以移动到其它组织单位中，或者在其它组织单位中创建。

打开Active Directory 用户和计算机“查看”菜单的“高级功能”可以显示更多容器出来，而且在对象的属性中也会多出几个选项卡。

查看计算机帐户的属性，可以了解当前计算机的各种信息。

可以对计算机账户实行远程管理，如设置计算机的共享资源、帐户、设备管理、磁盘管理、服务和应用程序管理等。

对计算机帐户创建并发布共享资源到域中。

设备查看。

磁盘操作，甚至远程格式化。

服务程序管理。

在策略中，有针对计算机帐户的策略部署和管理，可以进行安全策略、软件部署、桌面管理等。

在实际工作中，为了便于部门的资产管理和清点，各部门的资产都是按单位放置，在“Active Directory用户和计算机”管理中自然希望一个部门的用户和计算机账户都集中到部门的组织单位中来管理。

例如：把“Computers”容器中加入的计算机账户“Glasgow”移动到组织单位“生产部”中。

因为加入域的计算机帐户都是在“Computers”容器中自动创建的，为了便于管理又要把计算机账户移动到相应的组织单位，这样比较麻烦，而且把计算机账户加入到域要求用户有相应的权力或者有委派管理的权力才可以，经常要管理员来参与，解决这个问题的最佳方法就是：用预定义计算机帐户的方法把计算机账户建立在指定的组织单位中，并把计算机账户的激活交给指定用户。

例如：生产部来了一个新员工，她的名字叫何菲菲，使用其名子的拼音做登陆用户名，公司为她配置了一台电脑，已经安装好了系统，本地自动登陆，计算机名为Shanghai，要求她自己就能把计算机加入域并且计算机账户放置在“生产部”组织单位中（假设公司网络中有DHCP服务为每台电脑指定了网络相关的地址）。

1、在“生产部”中创建用户何菲菲。

2、在生产部创建计算机名“shanghai”。

单击“更改”，添加“hefeifei”用户，以允许她可以将此计算机加入到域。

然后交给何菲菲一张纸条，让她按上面的步骤把计算机加入域：

在桌面“我的电脑”右击选“属性”，在属性窗口中单击“计算机名”选择卡，单击此选项卡中的“更改”按钮。确认计算机名为：shanghai，“隶属于”中选择“域”，并输入“nwtraders.msft”，单击确定按钮。稍等一会后出来的对话框中输入用户名：hefeifei，密码：p@ssw0rd，然后单击确定按钮，等一会后出现“欢迎加入nwtraders.msft域”的提示，单击确定，系统提示要重新启动，重新启动计算机后，进入登陆界面，同时按键盘上的Ctrl、Shift、Delete三键，户名名输入hefeifei，密码：p@ssw0rd，登陆到：NWTRADERS，单击确定，第一次登陆要修改密码，登陆成功后，本次设置完成。

计算机账户禁用账户：和用户账户禁用一样，禁止此计算机登陆域。

计算机账户重设账户：相当于用户账户的重设密码，都称为复位。被重设账户的计算机会断开计算机与域的连接，需要管理员重新把计算机加入到域中。

被复位计算机登录域时的消息，这时无论如何也登陆不到域。

要恢复正常登陆入域，需要使用本地管理员账户登陆到本地计算机，然后把计算机“隶属于”改为工作组方式，再重新改回域方式，重新启动后才可以正常登陆入域。具体这样：在“我的电脑”右击选“属性”，在属性窗口中单击“计算机名”选择卡，单击此选项卡中的“更改”按钮，把“隶属于”中选项改为“工作组”，并随便输入一个组名，确定后在弹出对话框中乱输入一个用户名和密码，把它改到工作组，此时电脑提示需重启，不要理会，重新进入“更改”，把“隶属于”改为域，并正确输入域名，确定后在弹出对话框中输入用户名hefeifei(具有把计算机加入域权力的用户)，和她的密码，此计算机重新加入域。

之所以要复位计算机账户，是因为计算机在域中不能被验证不能登陆或密码需要同步，比如你的系统崩溃了，你把几个月前的备份系统拿出来还原系统，这时系统就不能登陆到域，（虽然你以前可以），这是因为你的计算机密码过期，需要复位重新加入域。

【作为域成员的每一个Windows 2000/XP/03工作站或服务器都与域控制器有一个离散的通讯通道，也叫安全通道。安全通道的密码与计算机帐户一道，储存在所有的域控制器中。
对于 Windows 2000/XP/03，默认计算机帐户密码的更换周期为 30 天。如果你重新恢复了系统，该计算机帐户的密码与 LSA 机密不同步，登录时就会出现出错提示】

值得一提的是，重设用户密码后，也会带来一些不便，用户不能访问：经过用户公钥加密的电子邮件、保存在计算机上的 Internet 密码、经过用户加密的文件。

查找Active Directory中的用户和计算机及其它对象。

1、对域名右击，打开“查找”。

可以查找各位类型，功能类似资源管理器中的查找。

2、保存查询：在“保存的查询”中右击选“新建”中的“查询”。

命名一个查询名字，然后单击“定义查询”。

什么都不输，表示查询所有计算机，然后单击“确定”。

再单击次确定。

以后只要在“保存的查询”中单击上次命名的查询，就可以直接开始查询设置好的内容。

【说明：不能为运行 Microsoft Windows 95、Microsoft Windows 98、Microsoft Windows Millennium Edition 以及 Windows XP Home Edition 的计算机创建计算机账户，因为这些操作系统不符合 Active Directory 的安全要求。】

本文出自 “坚强的技术交流blog” 博客，转载请与作者联系！