域用户及组账户的管理
域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。

系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。

本章的主要内容包括：
》域用户账户
》一次同时添加多个用户账户
》域组账户
》提升域功能级别
》组的使用准则
３.１域用户账户
作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。

当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。

换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。

这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。

本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。

非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以
通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。

３.１.１组织单位
组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。

你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。

应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。

３.１.２用户登录账户
在Windows Server 2003或Windows 2000 Ｓerver域中，用户可以利用”用户登录名称（Windows 2000以前版本）“来登录域（见图３-１）：
》用户登录名称（user principal name, UPN）它的格式与电子邮件账户相同，例如图3-1中的test@yu.local，这个名称只能在Windows Server 2003, Windows XP Professional, Windows 2000计算机上登录域时使用（如图３-2）。

在整个林内，这个名称必须是唯一的。

UPN并不会随着账户的转移而改变，举例来说，用户”王乔治“的用户账户位于域 内，若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域，如域,，其UPN仍然是test@yu.local，用户王乔泽仍然可以继续使用原来的UPN登录。

图３-１
图３-２
》用户登录名称（Windows 2000以前的版本）图３-１所示中的YU\test是旧格式的登录账户。

Windows NT、Windows 98等Windows 2000之前版本的旧用户必须以这种格
式的名称来登录域，也就是用户在这些计算机上登录时，必须使用这个名称。

Windows Server 2003，Windows XP Professional，Windows 2000计算机也可也采用这种锟名称来登录，如图３-３所示。

但是在同一个域内，这个名称必须是唯一的。

图３-３
３.1.3 建立UPN的后缀
默认的UPN的后缀是用户账户所在域的域名称，如用户账户建立在域yu.local内，则其UPN的后缀为yu.local，在某些情况之下，用户可以希望使用其他替代的后缀（altemativesuffix），例如：
》由于UPN的格式与电子邮件账户相同，因此用户可能希望他的UPN可以与电子邮件账户相同，让用户不论是登录域或收发电子邮件，都可以使用一致的名称。

》如果域内有较多层的子域，则域名称会太长，如sales.north.yu.local，因而子域内的用户的UPN后缀也会太长，给用户登录造成不便。

建立UPN后缀的步骤为：
步骤1：执行命令“开始”-》“管理工具”-》“Active Direcotry域和信任关系”-》右击如图3-4所示的“Active Directory域和信任关系”-》“属性”。

图3-4
步骤2 在图3-5所示对话框中输入替代的UPN后缀，并单击“添加”按键。

后缀不一定要符合DNS格式，可以是，也可以是yu.
图3-5
完成后，就可以通过“Active Directory用户和计算机”控制台来改变用户的UPN后缀，如图3-6所示。

图3-6
3.1.4 账户的一般管理工作
本节将介绍圆谎账户的一般管理工作，例如更改域用户的账户名称，删除账户、禁用账户、启用账户、移动账户、修改密码与解除锁定账户等。

右击欲修改的用户账户，弹出的快捷菜
单如图3-7所示。

图3-7
》禁用账户和启用账户如果某个用户因故在一段时间内无法来上班，则可以先将该用户的账户禁用，待该用户回来上班后，再将其重新启用即可。

例如，图3-7中空间菜单所显示是“禁用账户”的字样，如果该账户已被禁用了，则此处的字样为“启用账户”。

若用户账户已被禁用，则该用户账户图形上会有一个红色的×符号，如图3-7中的用户“李小洋”》重命名重新命名以后，该用户账户原来所拥有权限、权利与组关系都不会受到影响。

例如当某员工离职时，你可以暂时先将其用户账户禁用，等到新员工来接替他工作时，再将此账户改为新员工的名称，重设密码并修改相关的个人数据，然后再重新启用账户。

在每一个用户账户添加完成之后，系统都会为其建立一个唯一的安全标识符（security identifier，SID），而系统内部是以这个SID来代表该用户，并限定权限的。

例如，在某个文件的权限清单内，记录着哪一些SID具备着哪些的权限，而不是哪些账户名称拥有哪些权限。

由于用户账户名称更改后，其安全识别码（SID）并没有改变，因此账户的内容、权利与权限等设置都不变。

》删除如果这个账户以后不用了，则可以将此账户删除，以免占用Active Directory数据库的空间。

注意：账户删除以后，当添加一个相同名称的账户时，这个新账户并不会继承原账户的权限，权利与组关系，因为Windows Server 2003会给予这个新账户一个新的安全识别码（SID），而系统是利用SID来记录用户的权限的。

因此对Windows Server 2003而言，这是两个不同的账户，也就不会继承原来账户的权利、权限与组关系了。

》重设密码当用户忘记密码或密码使用期限到期时，系统管理员可以重新替用户设定一个新的密码。

》解除被锁定的账户域的“账户策略”内设定，如果用户输入密码失败多次，就将此账户锁定。

用户账户被锁定后，系统管理员可以通过：右击用户账户-》“属性”-》“账户”-》撤选图3-8所示对话框中的“账户已锁定”选项，来解除锁定。

图3-8
》移动账户如果要将账户移动到同一个域内的其他OU内，则可以执行命令：右击转账户-》“移动”-》“选择新目的地”，或按住此账户，将其拖放到新目的地（drag-and-drop）的方法来实现。

提示：如果要将账户移动到另一个域，则可以使用“Active Directory迁移工具”，它位于Windows Server 2003安装光盘的/I386\ADMT资料夹内，程序名称为
ADMIG-RATION.MSI，也可以利用Movetree.exe程序，它位于Windows Server 2003安装光盘的\SUPPORT\TOOLS\SUPTOOLS.MSI文件内。