查看:5867|回复：30
我是一只小小小小牛
一、创建计算机账号
在使用AD账号登陆之前，电脑必须加入域。计算机账号和用户账号类似，也有登录名(sAMAccountName)和密码(这个密码由服务器自动维护)及安全标示符(SID)。有了这些凭据，计算机可以在AD中进行身份验证，并创建安全关系，AD用户才能登陆到这些计算机。如果计算机和AD之间的凭据出现问题，用户在登录时则会提示“此工作站与主域之间的信任关系失败”。
1.创建计算机OU
安装好AD后会有2个默认有2个地方可以计算机账号：一个为Computer，计算机及成员服务器加入域后都会默认在该容器，但是不建议使用这个默认容易，因为这个系统默认容器无法链接组策略。另一个为Domain Controller，这个OU是放所有域控制器(DC)，这个建议保持默认不变。一般建议大家至少为计算机账号创建至少两个OU：一个放客户端计算机账号，一个放服务器账号。方便今后组策略的链接，因为客户端和服务器可能需要链接不同的GPO。
如果是使用基于站点的管理方式，并且台式机和笔记本分开管理，建议按站点的物理位置进行划分，具体如图：
注：当计算机加入域时，如果AD中不存在该计算机账号时，会默认在Computer容器中自动创建计算机对象，如果需要改变这个目录，则可以使用 redircmp这个命令进行重定向。使用语法： redircmp “ou=xxx,dc=contoso,dc=com”
2.创建计算机账号
在“Active Directory用户和计算机”中创建计算机账号，输入计算机名称即可。
使用dsadd创建计算机，语法示例： dsadd computer “cn=desktop002,ou=xxx,dc=contoso,dc=com”
使用csvde批量创建计算机账号。
将需要创建的计算机账号信息按如下格式保存成csv格式文件
使用csvde –i –f “d:\computerinfo.csv”-k& &命令批量创建计算机账号，如果所示成功创建。
使用powershell导入计算机账号语法& &&&
& & New-ADComputer [-Name] &string& [-WhatIf] [-Confirm] [-AccountExpirationDate &datetime&] [-AccountNotDelegated &bool&] [-AccountPassword &securestring&] [-AllowReversiblePasswordEncryption &bool&] [-AuthType &ADAuthType& {Negotiate | Basic}] [-CannotChangePassword &bool&] [-Certificates &X509Certificate[]&] [-ChangePasswordAtLogon &bool&] [-CompoundIdentitySupported &bool&] [-Credential &pscredential&] [-Description &string&] [-DisplayName &string&] [-DNSHostName &string&] [-Enabled &bool&] [-HomePage &string&] [-Instance &ADComputer&] [-KerberosEncryptionType &ADKerberosEncryptionType& {None | DES | RC4 | AES128 | AES256}] [-Location &string&] [-ManagedBy &ADPrincipal&] [-OperatingSystem &string&] [-OperatingSystemHotfix &string&] [-OperatingSystemServicePack &string&] [-OperatingSystemVersion &string&] [-OtherAttributes &hashtable&] [-PassThru] [-PasswordNeverExpires &bool&] [-PasswordNotRequired &bool&] [-Path &string&] [-PrincipalsAllowedToDelegateToAccount &ADPrincipal[]&] [-SAMAccountName &string&][-Server &string&] [-ServicePrincipalNames &string[]&] [-TrustedForDelegation &bool&] [-UserPrincipalName &string&]&&[&CommonParameters&]
创建单个计算机账号示例：
New-ADComputer –Name pc001 –SAMAccountName pc001 –Path “ou=xxx,dc=contoso,dc=com”
批量创建计算机账号，&&将需要创建的计算机账号信息按如下格式保存成csv格式文件：
使用命令导入csv文件中的信息
Import-Csv &d:\computerinfo2.csv& | ForEach-Object {New-ADComputer -Name $_.name -SAMAccountName $_.samaccountname -Path $_.path}
二、导出AD中计算机账号的信息
如果我们需要查询AD中电脑安装的操作系统版本、最后一次登录时间等信息，也可以使用powershell的Get-ADComputer进行导出。
示例命令：
Get-ADComputer -Filter * -Property * –Searchbase “ou=workstation,ou=long,dc=lab,dc=com”&&| Select-Object Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion,LastLogonDate | Export-CSV&&-NoTypeInformation -Encoding UTF8 –Path “d:\cmpinfo.csv”
三、将计算机加入域
加入域前，首先确保客户端DNS设置正确，DNS指向环境中的DNS服务器。确保客户端能ping通域。
1.在计算机属性中更该成域模式即可，这是最常用的一种方法，相信大家基本都会，这里就不做说明了。
2.使用netdom命令将计算机加入域。
示例命令：
netdom join computername / /userd:contoso\administrator /passwordd:123@#abc /reboot:5
3.默认设置下，普通用户也是有权限将计算机加入域的，最多可以将10台计算机加入域。处于安全考虑，建议关闭这一设置。开始--运行—adsiedit.msc，打开ADSI编辑器。右击“ADSI编辑器”选择“连接到…”。在连接设置中选择“默认命名上下文”。
右击“DC=Lab,DC=Com”,选择“属性”，在属性对话框中找到“ms-DS-MachineAccountQuota”将值修改为0。
完成上述步骤后，只有域管理员或委派权限的用户才可以将计算机加入域。
四、计算机的登录和安全通道
与用户账号类似，计算机账号也有登录名(sAMAccountName)和密码。计算机会将自己的密码以本地安全机构(LSA)密文形式保存，并每30天联系AD修改密码。这个过程不需要人为参与。Netlogon服务将使用该凭据登录到AD，并与DC建立安全通道。
如果安全通道失败，则必须将其重置。可以直接右击计算机账号，选择“重置账户”。不建议大家通过将计算机删除，然后新建一个同名的方式来重置。因为这种方法会导致计算机账号及SID彻底删除，即时新建一个同名的计算机账号SID也是不一样的，如果该计算机有资源权限分配也会丢失。
总结：很多管理在AD账号管理过程中可能会忽略计算机账号的管理，更多的时间花在用户账号及组的维护上。其实不然，计算机账号的管理和用户账号同等重要，客户端开机首先是使用计算机账号凭据进行验证的，如果计算机凭据出现问题，用户也是无法登陆。
本帖最后由 wfax0425 于
20:58 编辑
小牛这次编辑的格式没上次好看啊
感谢建议，已经更正！
&&职场人生交流QQ群
客户端和AD失去联系后，我重新手动新建计算机帐号，客户端联网状态下还是无法登陆，还是拔掉网线才可以登录。
在客户端不要重新退域，重新加域的前提下，需如何修复？？
我是一只小小小小牛
引用:原帖由 ping 于
16:26 发表
客户端和AD失去联系后，我重新手动新建计算机帐号，客户端联网状态下还是无法登陆，还是拔掉网线才可以登录。
在客户端不要重新退域，重新加域的前提下，需如何修复？？ ... 删除手动新建肯定是登陆不了 因为计算机账号的SID不同了， 拔掉网线可以登录，因为是使用缓存登陆的
你可以尝试重置计算机账号
热衷微软技术，技术成就梦想！
我的博客：
引用:原帖由 wfax0425 于
16:51 发表
删除手动新建肯定是登陆不了 因为计算机账号的SID不同了， 拔掉网线可以登录，因为是使用缓存登陆的
你可以尝试重置计算机账号 计算机帐号已经搜索不到了。
我是一只小小小小牛
引用:原帖由 ping 于
20:33 发表
计算机帐号已经搜索不到了。 那就只有重新加入域才可以
热衷微软技术，技术成就梦想！
我的博客：
高级工程师
域里面计算机业要，不是加入到域就有了吗？？
我是一只小小小小牛
引用:原帖由 as900 于
14:33 发表
域里面计算机业要，不是加入到域就有了吗？？ 建议的做法是现在指定的OU中做预留先& &因为有时候电脑加域后会忘记把计算机账号从computer容器中移走
热衷微软技术，技术成就梦想！
我的博客：
初级工程师
:)1 版主发文经典啊，必须来顶起！
高级工程师
引用:原帖由 wfax0425 于
14:41 发表
建议的做法是现在指定的OU中做预留先& &因为有时候电脑加域后会忘记把计算机账号从computer容器中移走 加入域，计算机不是出现在computer容器中吗？怎么是移走？？
我是一只小小小小牛
引用:原帖由 as900 于
19:13 发表
加入域，计算机不是出现在computer容器中吗？怎么是移走？？ 客户端加域是默认在computer容器中，但是这个容器是无法链接组策略的&&所以企业中一般另建OU对计算机账号进行管理
直接拖到指定ou或 右击 选择“移动”即可
热衷微软技术，技术成就梦想！
我的博客：
助理工程师
辛苦辛苦，怎么不早写呢。。。。摸索了好一阵
我是一只小小小小牛
引用:原帖由 布乃贤 于
20:06 发表
辛苦辛苦，怎么不早写呢。。。。摸索了好一阵 :(1 前段时间有点忙
热衷微软技术，技术成就梦想！
我的博客：
助理工程师
引用:原帖由 wfax0425 于
20:07 发表
:(1 前段时间有点忙 开玩笑啦，，继续加油
最有价值午饭
好东西。我喜欢。刚刚在找这方面的资料，你就送来了。真是雪中送碳啊。
助理工程师
看看再说& &&&········
我是一只小小小小牛
引用:原帖由 dml 于
18:20 发表
看看再说& &&&········ :)1&&欢迎指正！
热衷微软技术，技术成就梦想！
我的博客：
还是先看看吧:)1
中级工程师
小牛的文章必须支持，话说这个还是挺有作用的。
一个人的生命应当这样度过，当他回首往事时，不因虚度年华而悔恨，也不因碌碌无为而羞愧！HTML5实战与剖析之焦点管理(activeElement和hasFocus)
　　现在的网站越来越注重残障人士了，很多网站都开始有专为视力不好的人们制作一些便捷通道，方便他们进行浏览网页。下面就为大家介绍一下有关焦点管理和盲人网站方面的事儿，希望能对大家有所帮助。
　　21世纪的网站，越来越注重残障人士了，其他伤残类型还好说一些，要是视力方面不太好的人们去浏览网站，基本上是不知道怎么浏览。视力不好的人们去浏览基本上是靠获取焦点来浏览网站的，主要是靠获取焦点以后读取内容来浏览网站的。所以焦点管理在为视力不好的人们制作网站的时候是尤为重要的。
　　正因为考虑到视力不好的人们是客观存在的，所以HTML5添加了辅助管理DOM焦点的功能。
　　1、document.activeElement属性
　　Document.activeelement属性始终会引用DOM中当前获得了焦点的元素。元素获得焦点的方式有用户输入(通常是按Tab键)、在代码中调用focus()方法和页面加载。先来看个小例子。
　　HTML代码
　　Script代码
window.onload = function(){
var btn = document.getElementById("btn");
//页面加载获取焦点
alert(document.activeElement.id) // body
//调用focus()方法获取焦点
btn.focus();
alert(document.activeElement.id) // btn
　　默认情况下，文档刚刚加载完成的时候，document.activeelement中保存的是document.body元素的引用。文档加载期间，document.activeelement的值为null。通过document.activeelement可以判断文档是否加载完成。
　　2、document.hasFocus()方法
　　HTML5除了新添加了document.activeelement属性，还添加了document.hasfocus()方法。这个方法用于确定文档是否获得了焦点。先来看个小例子。
　　HTML代码
window.onload = function(){
var btn = document.getElementById("btn");
alert(document.hasFocus())
　　有了hasFocus()方法，我们就可以检测文档是否获得了焦点，可以知道用户是不是在与页面交互。
　　查询文档获知哪个元素获得了焦点，以及确定文档是否获得了焦点，这两个功能最重要的用途是提供Web应用的无障碍性。无障碍Web应用的一个主要标志就是恰当的焦点管理，而确切知道哪个元素获得了焦点是一个极大的进步，至少我们不用像过去一样靠猜测了。先来看个小例子。
　　hasFocus()应用小例子
　　HTML代码
鼠标放上来
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'君，已阅读到文档的结尾了呢~~
广告剩余8秒
文档加载中
如何管理Active_Directory用户和计算机
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
如何管理Active_Directory用户和计算机
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口jsjwdgy 的BLOG
用户名：jsjwdgy
文章数：98
评论数：22
访问量：215734
注册日期：
阅读量：5863
阅读量：12276
阅读量：389171
阅读量：1080193
51CTO推荐博文
最近正在梳理关于win7和server2008的基础知识，觉得有一些&雕虫小技&虽然简单但是解决的时候还得去去搜索，原因就是kb号记不住。大家都知道，在win7中无法安装以前可以运行在xp中的服务器管理工具。为解决这个为题微软为win7发布了一个补丁也就是kb658830。
&&&&&&&&&&&&&&& 关于win7中安装远程服务器管理工具的描述。
介绍：这篇文档描述可以安装在win7上作为远程管理服务器的工具。安装文件中包括的工具可以用来管理运行在windows server 2008 R2以及windwows server 2003 R2中的技术产品。
Remote Server Administration Tools technology
Description
Manages technology on Windows Server 2003
Manages technology on Windows Server 2008
Active Directory Certificate Services Tools
Active Directory Certificate Services Tools includes the Certification Authority, Certificate Templates, Enterprise PKI, and Online Responder Management snap-ins.
&, except Online Certificate Status Protocol (OCSP)
Active Directory Domain Services (AD DS) Tools and Active Directory Lightweight Directory Services (AD LDS) Tools
Active Directory Domain Services includes Active Directory Users and Computers, Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Administrative Center (ADAC), Server for Network Information Service (NIS) tools, the Windows PowerShell module for Active Directory, and other snap-ins and command-line tools for remotely managing Active Directory Domain Services.
- Active Directory Lightweight Directory Services Tools includes Active Directory Sites and Services, ADSI Edit, Schema Manager, and other snap-ins and command-line tools for managing Active Directory Lightweight Directory Services.
- Server for NIS Tools includes an extension to the Active Directory Users and Computers snap-in, and the Ypclear.exe command-line tool.
&, Windows PowerShell and ADAC remote management require the Active Directory Web Service download package.
&, PowerShell and ADAC remote management require the Active Directory Web Service download package.
BitLocker Active Directory Recovery Password Viewer
The BitLocker Active Directory Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. Using this tool, you can open a computer object's Properties dialog box to view the corresponding BitLocker recovery passwords.
Not available
Not available
DHCP Server Tools
DHCP Server Tools includes the DHCP Management Console and the Netsh command-line tool.
DNS Server Tools
DNS Server Tools include the DNS Manager snap-in and the Ddnscmd.exe command-line tool.
Failover Clustering Tools
Failover Clustering Tools include Failover Cluster Manager, Windows PowerShell tools for managing Failover Clustering, and the Cluster.exe command-line tool.
Not available
File Services Tools
File Services Tools include the following:
- Distributed File System Tools include the DFS Management snap-in, and the Dfsradmin.exe, Dfsrdiag.exe, Dfscmd.exe, Dfsdiag.exe, and Dfsutil.exe command-line tools.
- File Server Resource Manager tools include the File Server Resource Manager snap-in, and the Dirquota.exe, Filescrn.exe, and Storrept.exe command line tools.
- Share and Storage Management Tools include the Share and Storage Management snap-in.
Not available
Group Policy Management Tools
Group Policy Management Tools include Group Policy Management Console, Group Policy Management Editor, and Group Policy Starter GPO Editor.
Hyper-V Tools
Hyper-V Tools include the Hyper-V Manager snap-in and the Virtual Machine Connection remote access tool.
Not available
Network Load Balancing Tools
Network Load Balancing Tools include the Network Load Balancing Manager snap-in, Windows PowerShell tools for managing Network Load Balancing, and the Nlb.exe and Wlbs.exe command-line tools.
Remote Desktop Services Tools
Remote Desktop Services Tools include the Remote Desktop Services Manager and Remote Desktop snap-ins.
Server Manager
Server Manager includes the Server Manager console.
Remote management with Server Manager is available only in Windows Server 2008 R2.
Not available
Not available
SMTP Server Tools
SMTP Server Tools include the Simple Mail Transfer Protocol (SMTP) snap-in.
Storage Explorer Tools
Storage Explorer Tools include the Storage Explorer snap-in.
Not available
Storage Manager for Storage Area Networks (SANs) Tools
Storage Manager for SANs Tools include the Storage Manager for SANs snap-in and the Provisionstorage.exe command-line tool.
Storage Manager for SANs is available in Windows Server 2003 R2 and later versions.
Windows System Resource Manager Tools
Windows System Resource Manager Tools include the Windows System Resource Manager snap-in and the Wsrmc.exe command-line tool.
Not available
打补丁之后，添加删除程序里面就会出现，&远程服务器管理工具&这一项。
点击安装后，就可以利用这里面的工具管理远程服务器了。
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)