通过

在 Active Directory 用户和计算机中管理用户帐户

可以在 Active Directory 用户和计算机控制台中创建、删除和管理安全主体,包括用户帐户。 当远程服务器管理工具的 Active Directory 域服务(AD DS)和 Active Directory 轻型目录服务(AD LDS)工具组件安装在 Windows Server 或客户端计算机上时,可以使用此控制台。 若要创建、删除和管理安全权限,需要具有相应的权限。 默认情况下,域管理员和企业管理员组的成员可以管理用户、组和计算机帐户。 帐户作员组的成员能够创建、修改和删除用户帐户,但无法管理组或权限。

先决条件

若要在 Active Directory 用户和计算机中管理用户帐户,需要满足以下先决条件:

  • 运行 Windows Server 或 Windows 客户端作系统的计算机,其中安装了远程服务器管理工具的 Active Directory 域服务(AD DS)和 Active Directory 轻型目录服务(AD LDS)工具组件。

  • 计算机必须加入域,并且所使用的用户帐户必须具有管理该域中用户帐户的适当权限。

管理用户帐户

本页的以下部分提供有关管理服务器上的用户帐户的信息:

创建用户帐户

添加用户帐户时,分配的用户可以登录已加入域的计算机。 可以授予用户访问网络资源(如共享文件夹、打印机和应用程序)的权限。 若要使用 Active Directory 用户和计算机创建用户帐户,请执行以下步骤:

  1. 在 Active Directory 用户和计算机控制台中,展开域树,然后选择要托管用户帐户的容器或组织单位。
  2. 在“作”菜单上,选择“新建”,然后选择“用户”。
  3. 在“新建对象 - 用户”对话框中提供以下信息,然后选择“下一步” :
    • 名字:用户的名字(可选字段)
    • 缩写:用户的缩写(可选字段)
    • 姓氏:用户的姓氏(可选字段)
    • 全名:用户的全名(必填字段)
    • 用户登录名:用户帐户名称(必填字段)
  4. 在“新建对象 - 用户”对话框的第二页上,提供以下信息,然后选择“下一步” :
    • 密码:可以是用户下次登录时更改的已分配密码或临时密码
    • 确认:分配的密码或临时密码的副本
    • 用户必须在下次登录时更改密码。 可以启用的复选框,以强制用户在下次登录时更改密码。 可以启用或留空。
    • 用户无法更改密码。 可以启用的复选框,以限制用户更改其密码。 可以启用或留空。
    • 密码永不过期。 一个复选框,可以启用该复选框以使帐户免受密码策略的约束。 可以启用或留空。
    • 帐户已禁用。 允许您创建处于禁用状态的帐户的复选框。 可以启用或保留为空。
  5. 查看“新建对象 - 用户”对话框的摘要页,然后选择“完成”以创建帐户。

管理组成员资格

安全权限(例如共享文件夹)通常分配给安全组,而不是分配给单个用户帐户。 通过管理用户所属的组,通常会管理用户帐户有权访问的资源。 若要管理帐户的组成员身份,请执行以下步骤。

  1. 在 Active Directory 用户和计算机控制台中,找到并选择要管理其成员身份的用户帐户。
  2. 从“操作”菜单中选择“属性”。
  3. 在“用户帐户属性”对话框中,选择“成员”选项卡。
  4. 如果要从组中删除用户帐户,请选择列出的组,然后选择“删除”,然后选择“确定”关闭用户帐户属性对话框。
  5. 如果要将用户帐户添加到组,请选择“添加”。
  6. 在“选择组”对话框中,输入要向其添加帐户的组的名称,然后选择“确定”。 如果不确定组名,请使用“高级”按钮搜索域内的组,然后使用“检查名称”按钮来核对正确的名称。
  7. 选择“确定”关闭用户帐户属性对话框并应用更改。

重置用户密码

若要使用 Active Directory 用户和计算机控制台重置用户帐户密码,请执行以下步骤:

  1. 在 Active Directory 用户和计算机控制台中,找到要为其重置密码的用户帐户。
  2. 在“作”菜单中,选择“重置密码”。
  3. 在“重置密码”对话框中,提供以下信息,然后选择“确定”。
    • 新密码:用户的新密码
    • 确认密码:重新输入相同的密码进行确认
    • 用户必须在下次登录时更改密码。 一个复选框,可以强制用户在下次登录时更改密码。
    • 解锁用户帐户。 如果帐户因输入密码不正确而被锁定,请启用此复选框以解锁帐户。

禁用用户帐户

若要使用 Active Directory 用户和计算机控制台禁用用户帐户,请执行以下步骤:

  1. 在 Active Directory 用户和计算机控制台中,找到要禁用的用户帐户。
  2. 在“作”菜单中,选择“禁用帐户”。
  3. 在“Active Directory 域服务”对话框中,选择“确定”。 帐户已禁用。

禁用帐户后,已登录的帐户仍会保持登录状态,但无法进行新的登录操作。

启用用户帐户

若要使用 Active Directory 用户和计算机控制台启用用户帐户,请执行以下步骤:

  1. 在 Active Directory 用户和计算机控制台中,找到要启用的用户帐户。
  2. 在“作”菜单中,选择“启用帐户”。
  3. 在“Active Directory 域服务”对话框中,选择“确定”。 帐户已启用。

删除用户帐户

从 Active Directory 中删除帐户会删除该帐户。 最佳做法是在删除帐户之前禁用帐户,以防帐户有权访问无法使用其他方法访问的资源。 若要使用 Active Directory 用户和计算机控制台删除帐户,请执行以下步骤:

  1. 在 Active Directory 用户和计算机控制台中,找到要启用的用户帐户。
  2. 在“作”菜单中,选择“启用帐户”。
  3. 在“Active Directory 域服务”对话框中,选择“确定”。 帐户已启用。

如果在删除帐户之前启用 Active Directory 回收站,则可以使用 Active Directory 回收站恢复已删除的帐户。 如果未启用 Active Directory 回收站,则需要使用包含帐户的 AD DS 备份执行 AD DS 的授权还原。

用户帐户属性

以下列表包括“用户帐户属性”页上的所有选项卡,包括选项卡仅在启用“高级功能”选项时才可见。 可以在 Active Directory 用户和计算机控制台的“视图”菜单上启用此选项。 此信息作为 AD DS 帐户对象的属性存储于该帐户中。

常规地址帐户配置文件电话组织远程桌面服务配置文件COM+属性编辑器安全环境会话远程控制已发布证书成员密码复制拨入对象

概况

“用户帐户属性”页的“常规”选项卡包含以下与用户名和说明相关的字段:

  • 名字
  • Initials
  • Last name
  • 显示名称
  • DESCRIPTION
  • 办公室
  • 电话号码
  • 网页

地址

“用户帐户属性”页的“地址”选项卡允许你使用帐户存储位置信息,并包含以下字段:

  • 街道
  • 邮政信箱
  • 城市
  • 省/市/自治区:
  • 邮政编码
  • 国家/地区

帐户

“用户帐户属性”页的“帐户”选项卡允许配置各种帐户设置。 其中包括登录小时数、帐户可以登录的特定计算机以及帐户支持的加密类型。 还可以设置是否可以委托帐户,并指定帐户是否应过期。 此选项卡包括以下设置:

  • 用户登录名,包括用户登录域
  • 用户登录名 (Windows 2000 前)
  • 登录时间
  • 登录到
  • 解锁帐户
  • 用户必须在下次登录时更改密码
  • 用户无法更改密码
  • 密码永不过期
  • 使用可逆加密存储密码
  • 帐户已禁用
  • 交互式登录需要智能卡
  • 帐户敏感且无法委派
  • 仅对此帐户使用 Kerberos DES 加密类型
  • 此帐户支持 Kerberos AES 128 位加密
  • 此帐户支持 Kerberos AES 256 位加密
  • 不需要 Kerberos 预身份验证
  • 帐户过期

个人资料

“用户帐户属性”页的“配置文件”选项卡允许你配置漫游配置文件信息、登录脚本和主页文件夹设置。 本选项卡包含以下字段:

  • 配置文件路径
  • 登录脚本
  • 主页文件夹

电话

“用户帐户属性”页的“电话”选项卡允许你使用用户帐户存储电话号码信息,并包含以下字段:

  • 首页
  • Pager
  • 手机
  • 传真
  • IP 电话
  • 注释

组织

“用户帐户属性”页的“组织”选项卡允许你存储有关用户的信息,包括职务和部门。 还可以使用此选项卡来指定经理,并查看哪些用户帐户被列为直接报表。 本选项卡包含以下字段:

  • 职务
  • 部门
  • 公司
  • 经理
  • 直接下属

远程桌面服务配置文件

“用户帐户属性”页的“远程桌面服务配置文件”选项卡允许配置远程桌面服务用户配置文件。 本选项卡包含以下字段:

  • 远程桌面服务用户配置文件路径
  • 远程桌面服务主文件夹
  • 拒绝此用户登录到远程桌面会话主机服务器的权限

COM+

通过用户帐户属性页的 COM+ 选项卡,可以指定与哪个 COM+ 分区设置用户帐户相关联。

属性编辑器

用户帐户属性页的“属性编辑器”选项卡允许你直接编辑每个帐户属性。 属性编辑器还显示未通过用户属性页界面公开的属性。

安全

“用户帐户属性”页的“安全”选项卡允许查看应用于该帐户的安全权限。 通过选择“高级”按钮,还可以配置对这些权限的使用情况的审核。

环境

“用户帐户属性”页的“环境”选项卡允许配置特定程序以在登录远程桌面服务环境时开始,以及是否在登录时连接客户端驱动器、打印机和主客户端打印机。

会议

“用户帐户属性”页的“会话”选项卡允许配置远程桌面服务超时和重新连接设置。 可以在此选项卡上配置以下设置:

  • 结束已断开的会话
  • 活动会话限制
  • 空闲会话限制
  • 达到会话限制或连接中断时要执行的操作
  • 是允许从任何客户端重新连接还是仅允许原始客户端重新连接

遥控

“用户帐户属性”页的“远程控制”选项卡允许配置远程桌面服务远程控制设置。 本选项卡包含以下字段:

  • 启用远程控制
  • 要求用户的权限
  • 控制级别(查看/互动)

已发布的证书

用户帐户属性页的“已发布证书”选项卡列出了为用户帐户发布的所有 X509 证书,并存储在 Active Directory 中。

隶属于

“用户帐户属性”页的“成员”选项卡允许管理安全组成员身份。 可以使用用户帐户属性页的此选项卡添加或删除组成员身份。

密码复制

“用户帐户属性”页的密码复制选项卡允许你管理用户帐户的密码是否缓存在只读域控制器上。 可以使用此选项卡指定哪些只读域控制器存储用户帐户密码的缓存副本。

拨入

“用户帐户属性”页的“拨入”选项卡允许配置以下网络策略服务器网络访问权限:

  • 允许访问
  • 拒绝访问
  • 通过 NPS 网络策略控制访问
  • 验证调用方 ID
  • 无回调
  • 由调用方设置
  • 始终回调到
  • 分配静态 IP 地址
  • 应用静态路由

对象

用户帐户属性页的“对象”选项卡允许你查看有关安全主体对象的信息,并配置“防止意外删除的对象”设置。