在 Active Directory 用户和计算机中管理用户帐户

可以在 Active Directory 用户和计算机控制台中创建、删除和管理安全主体，包括用户帐户。 当远程服务器管理工具的 Active Directory 域服务（AD DS）和 Active Directory 轻型目录服务（AD LDS）组件安装在 Windows Server 或客户端计算机上时，可以使用此控制台。 若要创建、删除和管理安全权限，需要具有适当的权限。 默认情况下，域管理员和企业管理员组的成员可以管理用户、组和计算机帐户。 帐户操作员组的成员可以创建、修改和删除用户帐户，但无法管理组或权限。

先决条件

• 运行 Windows Server 或 Windows 客户端作系统的计算机，其中安装了远程服务器管理工具的 AD DS 和 AD LDS 组件。

• 计算机必须加入域，并且所使用的用户帐户必须具有管理该域中用户帐户的适当权限。

管理用户帐户

本文的以下部分提供有关在服务器上管理用户帐户的信息：

• 创建用户帐户
• 管理组成员资格
• 重置用户密码
• 禁用用户帐户
• 启用用户帐户
• 删除用户帐户
• 用户帐户属性

创建用户帐户

添加用户帐户时，分配的用户可以登录到已加入域的计算机。 可以授予用户访问网络资源（如共享文件夹、打印机和应用程序）的权限。 若要使用 Active Directory 用户和计算机创建用户帐户，请执行以下步骤：

1. 在 Active Directory 用户和计算机控制台中，展开域树，然后选择要托管用户帐户的容器或组织单位。
2. 在 “作 ”菜单上，选择“ 新建 ”，然后选择“ 用户”。
3. 在 “新建对象 - 用户 ”对话框中，提供以下信息，然后选择“ 下一步” ：
   • 名字：用户的名字（可选）
   • 缩写：用户的缩写（可选）
   • 姓氏：用户的姓氏（可选）
   • 全名：用户的全名（必需）
   • 用户登录名：用户帐户名（必需）
4. 在 “新建对象 - 用户 ”对话框的第二页上，提供以下信息，然后选择“ 下一步” ：
   • 密码：可以是用户下次登录时更改的已分配密码或临时密码。
   • 确认：分配的密码或临时密码的副本。
   • 用户必须在下次登录时更改密码。 如果要强制用户在下次登录时更改密码，请选中此复选框。
   • 用户无法更改密码。 如果要限制用户更改密码，请选中此复选框。
   • 密码永不过期。 如果要从密码策略中免除帐户，请选中此复选框。
   • 帐户已禁用。 如果要创建处于禁用状态的帐户，请选中此复选框。
5. 查看 “新建对象 - 用户 ”对话框的摘要页。 选择 “完成 ”以创建帐户。

管理组成员资格

安全权限（例如共享文件夹）通常分配给安全组，而不是分配给单个用户帐户。 通过管理用户所属的组，通常会管理用户帐户有权访问的资源。 若要管理帐户的组成员身份，请执行以下步骤。

1. 在 Active Directory 用户和计算机控制台中，找到并选择要管理其成员身份的用户帐户。
2. 在 “作 ”菜单上，选择“ 属性”。
3. 在用户的帐户属性对话框中，选择“ 成员 成员”选项卡。
4. 如果要从组中删除用户帐户，请选择列出的组，选择“ 删除”，然后选择“ 确定 ”以关闭用户帐户属性对话框。
5. 如果要将用户帐户添加到组，请选择“ 添加”。
6. 在 “选择组 ”对话框中，输入要将帐户添加到的组的名称，然后选择“ 确定”。 如果不确定组名称，请使用 “高级 ”按钮搜索组的域和 “检查名称 ”按钮来验证名称。
7. 选择 “确定” 关闭用户帐户属性对话框并应用更改。

重置用户密码

若要使用 Active Directory 用户和计算机控制台重置用户帐户密码，请执行以下步骤：

1. 在 Active Directory 用户和计算机控制台中，找到要为其重置密码的用户帐户。
2. 在 “作 ”菜单上，选择“ 重置密码”。
3. 在 “重置密码 ”对话框中，提供以下信息，然后选择“ 确定”。
   • 新密码：用户的新密码。
   • 确认密码：重新输入相同的密码。
   • 用户必须在下次登录时更改密码。 如果要强制用户在下次登录时更改密码，请选中此复选框。
   • 解锁用户帐户。 如果帐户因用户输入的密码过多而被锁定，请选中此复选框以解锁帐户。

禁用用户帐户

若要使用 Active Directory 用户和计算机控制台禁用用户帐户，请执行以下步骤：

1. 在 Active Directory 用户和计算机控制台中，找到要禁用的用户帐户。
2. 在 “作 ”菜单上，选择“ 禁用帐户”。
3. 在 “Active Directory 域服务 ”对话框中，选择“ 确定”。 帐户已禁用。

禁用帐户后，已登录的用户将保持登录状态，但无法执行新的登录。

启用用户帐户

若要使用 Active Directory 用户和计算机控制台启用用户帐户，请执行以下步骤：

1. 在 Active Directory 用户和计算机控制台中，找到要启用的用户帐户。
2. 在 “作 ”菜单上，选择“ 启用帐户”。
3. 在 “Active Directory 域服务 ”对话框中，选择“ 确定”。 帐户已启用。

删除用户帐户

从 Active Directory 中删除帐户会删除该帐户。 最佳做法是在删除帐户之前禁用这些帐户，以防帐户有权访问无法通过其他方法访问的资源。 若要使用 Active Directory 用户和计算机控制台删除帐户，请执行以下步骤：

1. 在 Active Directory 用户和计算机控制台中，找到要启用的用户帐户。
2. 在 “作 ”菜单上，选择“ 删除”。
3. 在 “Active Directory 域服务 ”对话框中，选择“ 确定”。 帐户已删除。

如果在删除帐户之前启用回收站，则可以使用 Active Directory 回收站恢复已删除的帐户。 如果未启用回收站，则需要使用包含帐户的 AD DS 备份来执行 AD DS 的权威还原。

用户帐户属性

以下列表包括 “用户帐户属性 ”页上的所有选项卡，包括仅在启用 “高级功能 ”选项时才可见的选项卡。 可以在 Active Directory 用户和计算机控制台的 “视图 ”菜单上启用此选项。 此信息作为 AD DS 帐户对象的属性存储于该帐户中。

• 常规
• 地址
• 帐户
• 轮廓
• 电话
• 组织
• 远程桌面服务配置文件
• COM+
• 属性编辑器
• Security
• 环境
• 会话
• 遥控
• 已发布的证书
• 成员
• 密码复制
• 拨入
• 对象

概况

“用户帐户属性”页的“ 常规 ”选项卡包含以下与用户名和说明相关的字段：

• 名字
• Initials
• 姓氏
• 显示名称
• DESCRIPTION
• Office
• 电话号码
• 网页

地址

“用户帐户属性”页的 “地址 ”选项卡允许你使用帐户存储位置信息，并包含以下字段：

• 街道
• 邮政信箱
• 城市
• 省/市/自治区:
• 邮政编码
• 国家/地区

帐户

“用户帐户属性”页的“ 帐户 ”选项卡允许配置各种帐户设置。 其中包括登录小时数、帐户可以登录的特定计算机以及帐户支持的加密类型。 还可以设置是否可以委托帐户，并指定帐户是否应过期。 此选项卡包括以下设置：

• 用户登录名，包括用户登录域
• 用户登录名 （Windows 2000 前）
• 登录时间
• 登录到
• 解锁帐户
• 用户必须在下次登录时更改密码
• 用户无法更改密码
• 密码永不过期
• 使用可逆加密存储密码
• 帐户已禁用
• 交互式登录需要智能卡
• 帐户敏感且无法委派
• 仅对此帐户使用 Kerberos DES 加密类型
• 此帐户支持 Kerberos AES 128 位加密
• 此帐户支持 Kerberos AES 256 位加密
• 不需要 Kerberos 预身份验证
• 帐户过期

个人资料

“用户帐户属性”页的“ 配置文件 ”选项卡允许你配置漫游配置文件信息、登录脚本和主页文件夹设置。 本选项卡包含以下字段：

• 配置文件路径
• 登录脚本
• 主页文件夹

电话

“用户帐户属性”页的“ 电话 ”选项卡允许你使用用户帐户存储电话号码信息。 其中包括以下字段：

• 主
• Pager
• 手机
• 传真
• IP 电话
• 注释

组织

“用户帐户属性”页的 “组织 ”选项卡允许存储有关用户的信息，包括职务和部门。 还可以使用此选项卡来指定经理，并查看哪些用户帐户被列为直接报表。 本选项卡包含以下字段：

• 职务
• 部门
• 公司
• 经理
• 直接下属

远程桌面服务配置文件

“用户帐户属性”页的 “远程桌面服务配置文件 ”选项卡允许配置远程桌面服务用户配置文件。 此选项卡包括以下设置：

• 远程桌面服务用户配置文件路径
• 远程桌面服务主文件夹
• 拒绝此用户登录到远程桌面会话主机服务器的权限

COM+

通过用户帐户属性页的 COM+ 选项卡，可以指定与哪个 COM+ 分区设置用户帐户相关联。

属性编辑器

用户帐户属性页的“ 属性编辑器 ”选项卡允许你直接编辑每个帐户属性。 属性编辑器还显示未通过用户属性页界面公开的属性。

安全性

“用户帐户属性”页的“ 安全 ”选项卡允许查看应用于该帐户的安全权限。 通过选择 “高级 ”按钮，还可以配置对这些权限的使用情况的审核。

环境

“用户帐户属性”页的“ 环境 ”选项卡允许配置特定程序以在登录远程桌面服务环境时开始，以及是否在登录时连接客户端驱动器、打印机和主客户端打印机。

会议

“用户帐户属性”页的“ 会话 ”选项卡允许配置远程桌面服务超时和重新连接设置。 可以在此选项卡上配置以下设置：

• 结束已断开的会话
• 活动会话限制
• 空闲会话限制
• 达到会话限制或连接中断时要执行的操作
• 是允许从任何客户端重新连接还是仅允许原始客户端重新连接

遥控

“用户帐户属性”页的 “远程控制 ”选项卡允许配置远程桌面服务远程控制设置。 本选项卡包含以下字段：

• 启用远程控制
• 要求用户的权限
• 控制级别（查看/互动）

已发布的证书

“用户帐户属性”页的“ 已发布证书 ”选项卡列出了为用户帐户发布的所有 X509 证书，并存储在 Active Directory 中。

隶属于

“用户帐户属性”页的“ 成员 ”选项卡允许添加或删除安全组成员身份。

密码复制

“用户帐户属性”页的密码 复制 选项卡允许指定哪些只读域控制器存储用户帐户密码的缓存副本。

拨入

“用户帐户属性”页的 “拨入 ”选项卡允许配置以下网络策略服务器网络访问权限：

• 允许访问
• 拒绝访问
• 通过 NPS 网络策略控制访问
• 验证调用方 ID
• 无回调
• 由调用方设置
• 始终回调到
• 分配静态 IP 地址
• 应用静态路由

对象

用户帐户属性页的 “对象 ”选项卡允许你查看有关安全主体对象的信息，以及配置 保护对象免受意外删除 设置的影响。