活动目录管理--复制用户帐户
近日看了一篇关于《委派控制》的文章,除了讲述功能如何实现以外还提到在大型企业或人员变动非常频繁的公司,用户信息应该由人事部门来维护。作为管理员,只需要对相应的OU(仅包含用户账户)作出委派即可。我不由的感叹自己每次要接收到人事部门的纸面通知后再去开帐户,不但多此一举,还浪费纸张。如果让人事部门来管理AD中的用户帐户好处还是很多的:
1、减轻IT管理员的压力,在这么频繁的人员变动的情况下。(不停地有人辞职,哎)
2、利用AD加强对用户属性的维护,可以方便的查询该用户的电话、传真、部门等等,而不是靠每个月去修改一个word文档来更新通讯簿。(如此更新通讯簿或许才能体现500强公司的强悍吧,哈哈)
3、不需要等到人事部门授权后,IT管理员再去开帐户,不但浪费时间,而且姓名说不定也会有出入造成重复劳动。(禁用账户也是如此)
当对用户帐户属性的规范、完善后,复制用户账户的功能也有了用武之地。由于从来不使用该功能(公司的账户只需要用户名和密码,够简陋吧,呵呵。)也没去想过他究竟复制了一些什么?是不是我所需要的属性都能复制?
通常我们会以公司名创建一个OU,然后以部门名在该OU下创建一系列的子OU.如图1
www.ad119.cn/bbs/attachments/computer/20090102/2009121133399377801.jpg
图1
在总经办这个OU内创建了一个名为xp2的用户,在这个部门内有至少3个信息可以统一设置,办公室、部门、传真。图2 显示了办公室的值,另外两个省略了抓图。
www.ad119.cn/bbs/attachments/computer/20090102/20091211333912577802.jpg
图2
各项的值分别为
办公室:1917
部门:总经办
传真:12345678
<
好,现在通过复制xp2用户账户创建出xp3用户帐户。令人意外的事情发生了,原以为那么基本的三个项目总能复制的吧,结果除了部门这一项被复制以外,其余两个都没有被复制。
原来在默认情况下,如登录时间、工作站限制、帐户过期限制等才传递给复制的用户。这的确是少了点,那就从搞定 办公室 这个选项开始咯。
注册AD架构,单击开始,在 运行 内输入:regsvr32 schmmgmt.dll 确定。
再次在 运行 内输入:MMC,添加AD架构,如图3
www.ad119.cn/bbs/attachments/computer/20090102/20091211333917177803.jpg
图3
从图4中可以看到Physical-Delivery-Office-Name(办公室选项)的“复制用户时复制属性”的复选框并没有勾选,更麻烦的是还无法勾选。这个时候可以顺便看一下Department(部门)的属性,可以发现该选项是被勾选的,当然也是无法设置的。
www.ad119.cn/bbs/attachments/computer/20090102/20091211333920377804.jpg
图4
安装Windows Server 2003 光盘内的 SUPPORT\TOOLS\SUPTOOLS.MSI,完成后在 运行 内输入:ADSIedit.msc 确定。
如图5打开ADSI Edit,找到CN-Physical-Delivery-Office-Name,双击。找到searchFlags,双击,将值5改成21,确定,退出。
www.ad119.cn/bbs/attachments/computer/20090102/20091211333925077805.jpg
图5
从图6和图4的区别就可以知道修改成功,再次复制用户账户确认办公室选项已经可以复制,至于其他属性的修改也就不再赘述。
注:在searchFlags的原始值上加16就表示启用选项,减16就表示禁用选项。
www.ad119.cn/bbs/attachments/computer/20090102/20091211333928177806.jpg
图6
<
附录:用户帐户属性
“常规”标签
姓 Sn
名 Givename
英文缩写 Initials
显示名称 displayName
描述 Description
办公室 physicalDeliveryOfficeName
电话号码 telephoneNumber
电话号码:其它 otherTelephone 多个以英文分号分隔
电子邮件 Mail
网页 wWWHomePage
网页:其它 url 多个以英文分号分隔
“地址”标签
国家/地区 C 如:中国CN,英国GB
省/自治区 St
市/县 L
街道 streetAddress
邮政信箱 postOfficeBox
邮政编码 postalCode
“帐户”标签
用户登录名 userPrincipalName 形如:jk@sinochem.com
用户登录名(以前版本) sAMAccountName 形如:S1
登录时间 logonHours
登录到 userWorkstations 多个以英文逗号分隔
用户帐户控制 userAccountControl (启用:512,禁用:514, 密码永不过期:66048)
帐户过期 accountExpires
“配置文件”标签
配置文件路径 profilePath
登录脚本 scriptPath
主文件夹:本地路径 homeDirectory
连接 homeDrive
到 homeDirectory
“电话”标签
家庭电话 homePhone (若是其它,在前面加other.)
寻呼机 Pager 如:otherhomePhone.
移动电话 mobile 若多个以英文分号分隔。
传真 FacsimileTelephoneNumber
IP电话 ipPhone
注释 Info
“单位”标签
职务 Title
部门 Department
公司 Company
“隶属于”标签
隶属于 memberOf 用户组的DN不需使用引号, 多个用分号分隔
“拨入”标签 远程访问权限(拨入或VPN) msNPAllowDialin
允许访问 值:TRUE
拒绝访问 值:FALSE
回拨选项 msRADIUSServiceType
由呼叫方设置或回拨到 值:4
总是回拨到 msRADIUSCallbackNumber
“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM ”标签 <
页:
[1]