批量创建域用户账户

单个用户账户的创建方法很简单，但对于新建、升级或者迁移的域网络来说，通常不 是采用一个个用户账户创建的方法，而是采用批量导入的方法进行的。

在本级认证教材中的《金牌网管师——中小型企业网络组建、配置与管理》一书中介 绍了 ldifde.exe 和 csvde.exe 两种域用户账户批量导入的方法，但相比而言，csvde.exe 命令 更适合于大批量用户账户的导入，因为它使用的导入文件可以是 Excel 表格格式的，更容 易编制。本实验项目将采用 csvde.exe 命令批量导入域用户账户。

现以在 test.com 域主域控制器中的“工程部”组织单位中添加 alice、winda、sally、

cindy、shelly、hellen、lycb、russy、cathy 和 bob 这 10 个域用户账户为例，一次性批量导 入这 10 个域用户账户。至于账户属性只需要配置常见的 DN（域名称）、objectClasss（对 象类型）、sAMAccountName（登录账户名）、displayName（显示名）。这些属性的详细说明 参见本系列丛书的《金牌网管师——中小型企业网络组建、配置与管理》的第 8 章。

在导入前，无论是 ldifde.exe 命令还是 csvde.exe 命令，在导入用户账户时默认是不能 配置用户账户密码的（可以通过添加属性实现密码的导入，但比较复杂，在此不作介绍），

实验一 中小型企业域网络构建综合实验 65

"CN=cathy,OU=工程部,DC=test,DC=com",USER,cathy, 李佳佳

"CN=bob,OU=工程部,DC=test,DC=com",USER,bob, 刘虹

图 1-137 在 Excel 程序中显示的用户账户导入内容

在主域控制器的命令提示符下输入（假设账户导入文件 user.csv 是保存在 c:\根目 录下）：

csvde -i -f c:\user.csv

最终出现 10 个用户账户导入成功的提示，如图 1-138 所示。有关 csvde.exe 命令的详 细使用方法参见本级别认证教材《金牌网管师——中小型企业网络组建、配置与管理》一 书。此时可以在主域控制器上的“Active Directory 用户和计算机”管理单元控制台“工程 部”组织单位下见到刚导入的 10 个域用户账户，如图 1-139 所示。

图 1-138 域用户账户导入成功的提示框

图 1-139 新导入的 10 个域用户账户

此时 10 个用户账户都是默认没有启用（可以在导入时通过添加 userAccountControl 属 性来实现导入后即启用的目的，但对于空密码用户账户的导入，这样做比较危险，可能被 一些非法人员趁机入侵），在各用户账户上右击，在弹出菜单中选择“启用账户”选项（如 图 1-140 所示）启用账户，然后通知用户可以使用账户了。这时在用户第一次使用该账户 时密码为空，同时因为域用户账户属性选项中默认选择了“用户下次登录时须更改密码”

选项（如图 1-141 所示），所以在用户使用这些新创建的域账户登录域网络时会自动提示用 户必须修改密码（这时要求按密码复杂性策略要求配置新密码）。然后管理员在主域控制器 上修改上面提到的密码策略，启用密码复杂性策略。

图 1-140 “启用账户”快捷菜单

图 1-141 用户账户选项配置对话框

实验一 中小型企业域网络构建综合实验 67 Server 2003 域新的组账户类型。Windows 2000 混合模式不能创建通用组。

 全局组（Global Group）：可以配置在本地域和信任域中使用，成员只能是本地域

至于组类型方面，可以分为“安全组”和“通讯组”两大类。安全组是指可以配置安 全属性的组，通讯组是专用于像电子邮件通信的组。对于要配置权限的组账户来说，一定 是安全组，这也是默认的组类型。

（2）在“组名”文本框中输入组账户名称，单击“确定”按钮即可完成一个本地域安 全组账户的创建。创建好的本地域安全组如图 1-143 所示。

图 1-143 新创建的本地域安全组

（3）创建好域组账户后，还需要向其中添加成员，只有这样，这个组才有意义。添加 成员的方法是在组上右击，在弹出菜单中选择“属性”选项，在打开的对话框中选择“成 员”选项卡。新创建的组一开始是没有任何成员的，如图 1-144 所示。

图 1-144 组属性对话框的“成员”选项卡

（4）单击“添加”按钮，打开如图 1-145 所示对话框。单击“对象类型”按钮，打开 如图 1-146 所示对话框。从中可以看出，在安全组中不仅可以添加用户账户、其他组账 户，还可以添加计算机账户和联系人，只是默认情况下只选择“组”和“用户”两个复选 项，所以只能添加用户和组成员。实际上还是可以添加计算机和联系人账户的。可以根据 需要选择所需的对象类型复选项。

实验一 中小型企业域网络构建综合实验 69 图 1-145 选择用户、联系人、计算机或组对象对话框

图 1-146 “对象类型”对话框

（5）选择好对象类型选项后单击“确定”按钮，返回到图 1-145 所示对话框中。在这 里输入要添加的成员账户（其实只需要输入账户前面几个字母，单击“检查名称”按钮，

会自动把匹配已输入字母的对象账户全部列出来，在其中选择要添加的对象账户即可），然 后单击“确定”按钮即可把一个对象添加到组成员中。用同样的方法可以添加其他对象到 组中，使它们成为该组的成员。

（6）添加好成员后，如果想要为组中成员配置统一权限，可在图 1-144 所示对话框中 单击打开“隶属于”选项卡，如图 1-147 所示。

图 1-147 组属性对话框的“隶属于”选项卡

（7）单击“添加”按钮，打开如图 1-148 所示对话框。这个对话框与前面的图 1-145 非常类似，但这里的图 1-148 所示对话框中只能选择组账户对象，不能选择用户、计算机 或者联系人对象。输入要隶属的组账户（通常是隶属于自带特定管理权限的内置组）后，

单击“确定”按钮，就使当前新建组成为隶属于的组成员。这样做的目的是可以使当前新 建组中的所有成员具有现有组的权限，避免了大量的单个用户、计算机或者组对象的权限 配置工作。

图 1-148 选择组对象对话框

当然，可以不把安全组隶属于其他组中，创建安全组的目的可以只是以一个账户代表 组成员的所有账户，以方便在组策略中的各种权限配置。

在主域控制器上创建好 OU、用户和组账户后，开启额外域控制器，过 15 分钟就会自 动从主域控制器上复制这些 AD 数据，完成 AD 数据的同步了。

OU、用户和组账户创建好后，一个基本的域网络就组建、配置完成了，本实验也就 最终完成了。至于域网络管理方面参见本书的另一个实验——中小型企业域网络管理综 合实验。