通过组策略将用户权限一次性分配给组来进行委派 管理。然后可以向组添加那些希望和组具有相同权 利的成员。
创建电子邮件分发列表。
在域中，组的类型有两种，分别是“安全组”和 “通讯组”。安全组即可以设置权限，也可以收发 电子邮件；而通讯组不能设置权限，只能收发电子 邮件。 根据组的作用范围不同，组又分为“本地域组”、 “全局组”和“通用组”三种。
本地域组：
作用范围是该组所在的域内 可以包含的成员包括：所有域的用户帐户、全局组、通用组，
以及本域的域本地组。
全局组：
作用范围是所有受信任的域 可以包含的成员有：本域的用户帐户和全局组。
通用组：
作用范围是所有受信任的域 可以包含的成员有：所有域的用户帐户、全局组和通用组。
这些重要的元素不同于各个用户。我们希望这些元素与登 录联系起来，当用户登录到其它系统时可用。或当用户的 系统损坏必须重装时，也可用。
默认，用户文件被存储在系统本地。 %Systemdrive% \Documents and Settings\%Username% 文件夹中
有以下特征： 当用户第一次登录到一个系统。系统为该用户新建用户文 件。新的用户文件夹名，会与登录的名字类似。 所有对用户桌面或软件环境所做修改，都会被保存在本地 用户文件夹中（ Local User Profiles ） 用户的环境由All users文件夹扩展，其中可以包括桌面或 开始菜单中的shortcuts，网上邻居，甚至应用程序数据。 All users中的元素与用户文件夹中的内容结合产生用户环 境。默认，只有Administrators group 的用户才可以更改 All users文件夹。 如果用户登录到其它系统， documents and settings 中的 内容不会跟随用户。系统会重新为用户生成一个用户文件 夹
在AD域服务中的组都是存储在域和OU中的。使 用且可以一次给一组用户指定权限，而不必单 独地给每一个用户重复指定权限，从而简化管 理。
使用 AD DS 中的组可以执行以下操作：
通过将共享资源的权限分配给组而不是单个用户来 简化管理。将权限分配给组会将对资源使用同一个用户文件夹。方法如上。 在复制文件到目的地时。访问权限设置为一个组都能访 问。
既然有多个用户都可以访问同一个用户文件夹，自然不 希望该文件夹中的内容，被修改。这时可以配置强制文 件(Mandatory Profile )
一个Mandatory Profile 不允许用户更改profile环境。即 使用户在本机上做了修改，但下次用户登录时，这些修 改将不会被保存。
利用命令行工具CSVDE
CSVDE是一个命令行工具，可以将AD中的对象导出 成一个后缀名为.csv或.txt的文件；也可以将这样 的文件导入成AD，作为对象。
comma-separated value text file，逗号分隔文件， 可以在Excel或文件编辑器中被打开查看。
导出ou中 的记录
导入账号
Dsquery的例子： dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” –disabled 查询在指定ou内的被禁用的账号
Dsmod的例子： dsquery user “ou=students,ou=rjgc,ou=jsj,dc=czu,dc=internal” –disabled | dsmod user –disabled no –pwd !@345czu 将查询结果导入给dsmod命令，启用账号，修改密码
同时，一个域用户帐户可以在域中的任何一台 计算机上登录，用户可以不再使用固定的计算 机。当计算机出现故障时，用户可以使用域用 户帐户登录到另一台计算机上继续工作，这样 也使帐号的管理变得简单。
OU（组织单位） 在域中有很多的对象，包括用户帐户、组、共享文件夹和共享打印机等。这 些对象都是集中存储在活动目录中并使用“AD用户与计算机”管理工具来进 行管理。但如果这些大量的对象都放在“users”管理单元内进行管理，会带 来一定的不便，例如不便于查找、难于设置策略等。
全局组属于某个域，但作用范围是整个森林， 主要用来组织对网络访问具有相同要求的用 户
全局组的成员只包括组所在域的其他组和帐 户
使用具有全局作用域的组来管理需要进行日 常维护的目录对象，如用户和计算机帐户。 由于具有全局作用域的组在自已的域外不会 被复制，因此您可以经常更改具有全局作用 域的组中的帐户，且不会对全局编录产生重 复流量。
按企业的组织结构来划分。方法是为不同的部门创建不同的OU，把属于每个部门的 对象都放在一个OU里，比如财务部的OU放财务部的用户帐户、财务部的计算机帐户 和组等，而业务部的OU放业务部的用户帐户、业务部的计算机帐户和组等。这是一 种常用的方法；
按地区来划分。该方法主要用在有分支机构的企业，分别为不同的分支机构创建不 同的OU，然后把属于该分支机构的所有对象都放在相应的OU里。比如一个企业有广 州总公司、上海分公司和北京分公司，那么就分别为这三个分公司建立三个OU，一 个OU放广州总公司的对象，一个放上海分公司的对象，还有一个放北京分公司的对 象；
选择文件，点击“复制”。键入 路径，格式为： \\<server>\<share>\<username> 可以点击“更改”，修改可访问 文件夹的人。
最后，打开用户账号的”属性 “对话框，在配置文件页中， 输入同样的文件路径。
漫游文件可以为多个用户建立标准的桌面环境。但是不 同的用户在今后会对自己的桌面环境做不同的修改。
通过对Active Directory 中的组进行管理，可以实
现如下功能： （1）简化管理
将shism域账号添加到本地 administrators组后，shism账号 拥有管理员权限
（2）委派管理
和本地用户帐户不同，域用户帐户保存在活动 目录中。由于所有的用户帐户都集中保存在活 动目录中，所以使得集中管理变成可能
XP中用于 管理本地 账号的工
具
组织单元（OU，Organizational Unit）是组 织、管理一个域内对象的容器，它能包容用户 账户、用户组、计算机、打印机和其他的组织 单元。
组是用户和计算机账户、联系人以及其他可作 为单个单元管理的集合，属于特定组的用户和 计算机称为组成员。
混合划分方法。该方法是按组织结构划分和按地区划分两种方法的结合，先为不同 分支机构创建OU，再在不同的分支机构的OU里按组织结构来创建子OU。这也是一 种常用的方法。
利用账号模板
可以创建一个账号模板，预先设置相关的共同属
禁用
通过账号模板进行复制
复制时，仍然要求你 输入姓名，登录姓名 和密码。但会发现这 个新帐号有一些属性 是从模板中复制得到 的。
稍作计划之后，通过创建具有本地域作用域的组并 为其分配访问打印机的权限，即可简化此日常管理 任务。
将这五个用户帐户放在具有全局作用域的组中，并将此 组添加到具有本地域作用域的组。若要授予这五个用户 访问新打印机的权限，可以为具有本地域作用域的组分 配新打印机的访问权限。具有全局作用域的组的所有成 员都会自动获得对新打印机的访问权限。
你可以建立一个自定义的用户文件，提供设计 好的桌面和软件环境。
建立自定义的用户文件，不需要特别的工具， 只要新建一个帐户，以该账号，登录到系统， 正确修改桌面和软件设置。
当用户文件修改成功 后，以管理员身份登 录到系统，打开系统 “属性”，在高级页 中，点击用户配置文 件中的“设置”按钮。
如果用户需要在多台计算机上工作，你可以配 置漫游用户文件（ roaming user profiles ， RUPs）。以此保证无论在什么地方登录，他们 的documents and settings 保持一致。
RUPs将文件存放在服务器上，也意味着，文件 可以被备份，扫描viruses，被集中控制。即使 用户不用移动， RUPs也可以在用户系统损坏时， 保证用户文件与系统恢复前一致。
Mandatory Profile可以用于锁住桌面。尤其是多个用户 共享一个用户配置文件时。
将用户配置文件变成Mandatory 的，只要重命名文件夹 中Ntuser.dat文件为Ntuser.man。
组（group）是多个具有相同管理任务的用户和 计算机账号的集合单元。属于特定组的用户和 计算机被称为组成员。
作用域
组类型
通常为本域的资源创建本地域组 帮助用户定义和管理单一域内的资源访问权
限 本地域组的成员可以是
同一个域的本地域组 任何域内的账户 具有全局作用域的域组 具有通用域的组
他们能访问的资源只是该本地域组所在域中的 资源
例如，若要授予五个用户访问特定打印机的权限， 您可以在打印机权限列表中添加五个用户帐户。但 是，如果您以后要授予这五个用户访问新打印机的 权限，则必须重新在新打印机权限列表中指定这五 个帐户。
注意：rups文件夹权限的设置 （1）共享 （2）NTFS权限 （3）共享权限
当用户注销时，系统会将用户文件上传至服务
器。用户只要是登录到域，无论是哪个系统，
或哪台计算机，用户文件都以RUP形式，从服
务器上下载到本地。（the system copies only
files that have changed)
如果用户登录后，不能访问他的IE收藏夹，或 不能见到熟悉的快捷方式或桌面的文档。这些 内容都与用户文件的组件相关。
一个用户文件包括文件夹和数据文件。数据文件中有用户 特定的桌面环境。
设置包括： 开始菜单，桌面，以及快速启动栏中的快捷方式(Shortcuts) 桌面上的文件。在My Documents 中的文件 IE收藏夹和Cookies 程序的特殊文件，如office用户字典，用户模板等。 网上邻居 桌面的显示设置，如外观，墙纸和屏保