批量管理域賬戶

批量創建域普通賬戶

在創建普通域賬戶時，管理員需要打開Active Dirextory用戶和計算機窗口，在合適的OU中創建賬戶。但在大型網絡中，有時需要創建大量的賬戶，利用Csvde、PowerShell命 令，Ldifde以及Net命令，可以批量添加普通域賬戶。這里就以Ldifde工具為例進行說明。使用該工具之前，需要創建所需的用戶配置文件。

例如，創建名為“pldr.txt”的文件，其中包含所需的賬戶信息，在其中逐 行 輸 入“DN:cn=用 戶甲,OU=depart1,DC=xxx,DC=com”，“changetype:add”，“objectclass:user”，“sAMAccountName:userjia”、“userPrincipalName:userjia@xxx.com”、“displayname:開發部某員工”、“userAccount control :514”、“physicalDeli very Name:某寫字樓某層某號”等，創建名為“userjia”的賬戶。

顯示名稱為“用戶甲”，隸屬于名為“dapart1”的 OU，用戶主體名稱USN為“userjia@xxx.com”，域名為“xxx.com”，工作地點為“某寫字樓某層某號”。同理，可以分別輸入其他賬戶的信息。注意，兩個賬戶之間需要存在空行。在CMD窗口中執行“ldifde -i -f d:pldr.txt -j d:”命 令，可以將上述用戶信息導入到活動目錄數據庫中，同時在D盤下創建名為“ldfif”的日志文件。執行“dsquery user”命令，可以查詢所有的域賬戶信息，可以看到已經批量創建了所需的賬戶。注意，在默認狀態下，批量創建的賬戶處于禁用狀態。

批量刪除和修改賬戶

對于上述批量創建賬戶，可以很輕松地進行批量刪除。打開上述名為“pldr.txt”的文件，將不需要刪除的賬戶信息刪除，之后針對每個剩余的賬戶，只保留前兩行，第一行不變，將第二行修改為“changetype:delete”。 再次執行“ldifde -i -f d:pldr.txt -j d:”命令，就可以批量刪除了。如果是批量修改賬戶屬性，例如修改用戶名和USN信息，可以打開上述“pldr.txt”文件，只保留需要修改的賬戶，只保留前兩行，將第二行修改為修改為“changetype:modify”。

圖1 新建查詢窗口

之后輸入“replace:displayname”、“displayname:開發部主管”、“replace:user Principal Name”、“-”，“userPrincipalName：zhuguan@xxx.com”之 類 的語句。之后執行以上命令，即可完成修改。當然，使用系統自帶的“NET”命令，同樣可以批量創建和刪除賬戶，例如執行“for /L %a in （1,1,50）do net user newzh%a passw@rd /add /domain”命令，可以創建名稱以“newzh”開頭的以數字編號的，密碼為“passw@rd”的50個賬戶。對應的，執行“for /L %a in （1,1,50）do net user newzh%a /del/domain”命令，可以批量刪除這些賬戶。

批量解鎖域賬戶

由于某些原因可能會造成有些賬戶被鎖定。在默認情況下，鎖定的周期為30分鐘，在此期間被鎖定的賬戶是無法登錄域環境的。有時管理員需要快速找到這些被鎖定的賬戶，進行批量解鎖。打開Active Directory用戶計算機窗口，在左側的“保存的查詢”項上點擊右鍵，在彈出菜單中點擊“新建→查詢”項，在新查詢窗口（如圖1）中輸入名稱（例如“查找鎖定的賬戶”），選擇“包括子容器”項。

點擊“定義查詢”按鈕，在查找一般性查詢窗口中的“用戶”面板中選擇“禁用的賬戶”項，點擊“確定”，在“查詢的字符串”欄中顯示所需的查詢語句。執行以上操作后，就會顯示所有被禁用的賬戶，選中后，在右鍵菜單上點擊“啟用賬戶”項，即可解除其鎖定狀態。當然，也可以在CMD窗口中執行“dsquery user -disabled |dsmod user-disabled no”命令，可以查找并解鎖所有被鎖定的賬戶。注意，對于Guest和Krbtgt賬戶，需要使其處于鎖定狀態。

批量更改客戶端管理員密碼

對于客戶端主機來說，使用者一般都具有管理員權限。但是，在域環境中，需要對客戶端的配置進行統一管理，是不希望在本地使用管理員賬戶登錄的。解決的方法是，在域控上打開組策略管理器，在左側選擇“林→域→域名”，在“Default Domain Policy”項的右鍵菜單上點擊“編輯”，在編輯窗口左側選擇“用戶配置→首選項→控制面板設置→本地用戶和組”項，在右側窗口的右鍵菜單上點擊“新建→本地用戶”項，在打開窗口（如圖2）中的“用戶名”列表中選擇“administrator”，在“密碼”欄中輸入新的密碼，點擊“確定”，完成修改操作。

這樣，當客戶機以管理員身份進行本地登錄時，就會被系統攔截。為了立即生效，需要在客戶端執行“gpeudate /force”刷新組策略。為了讓用戶在登錄時必須登錄到域環境，可以在上述組策略編輯窗口中打開“計算機配置→策略→Windows設置→安全設置→本地策略→用戶權限分配”項，在右側雙擊“允許本地登錄”項，在打開窗口中刪除所需賬戶，這樣，該賬戶就無法在本地登錄了。

圖2 新建本地賬戶窗口

批量恢復誤刪的域賬戶

在Windows Server 2008之后的系統中，已內置了禁止刪除域賬戶的功能，但如果管理員在創建域賬戶沒有開啟該功能，依然會出現誤刪的情況。賬戶恢復可以使用在線恢復和離線恢復功能。離線恢復需要在事先備份活動目錄數據庫，而且需要讓域控暫停工作。在線恢復則沒有這些約束。

例 如，可 以 使 用ADRecycleBIn這款小工具在線恢復，在主界面中的“Load Filter（Object Types）”欄中選擇“User and Computers”，針對活動目錄數據庫中的賬戶和計算機進行恢復。在“Delete Objects”列表中顯示刪除的所有對象，在需要恢復賬戶的右鍵菜單上點擊“Restore Object”，可 以 恢 復 該賬戶。也可以批量選擇所有需要恢復的賬戶，點擊“Restore Checked Objects”來執行批量恢復。

批量清理垃圾賬戶

及時清除垃圾賬戶，可以讓活動目錄數據庫變得更精簡。在CMD窗口中執行“dsquery user -inactive 10”，可 以 顯 示 10周 內 沒有登錄的用戶信息。執行“dsquery user -inactive 10 | dsmod user -disabled yes”命令，可以禁用這些賬戶。執行“dsquery user-disabled |dsrm”命令，來清理這些垃圾賬戶。

也可以使用上面的方法，批量查找和選擇這些禁用的賬戶。在右鍵菜單上點擊“刪除”，將其批量刪除即可。管理員可根據需要設置密碼最長使用期限，打開上 述“Default Domain Policy”項的編輯窗口，選擇“計算機配置→策略→Windows設置→安全設置→賬戶策略→密碼策略”項，在右側雙擊“密碼最長使用期限”，可以將其設置為合適的時間值。這樣，就可以判斷哪些是長期不使用的賬戶。

批量查看域賬戶密碼更新信息

管理員需要及時開啟密碼復雜性策略，讓用戶在規定的周期內，按照復雜度要求更新密碼。管理員根據需要查看密碼更新信息。在域控上打開Active Directory用戶和計算機窗口，點擊“查看→高級功能”，選擇某個賬戶，在屬性窗口中的“屬性編輯器”面板中的“pwdLastSet”欄中顯示最近修改密碼的事件。批量查詢，可以在PowerShell窗口中執 行“Get-ADUser -Filter* -Properties * |select name,pwdlastset”命令，顯示所有賬戶最近修改密碼的事件信息。

圖3 集中修改賬戶信息

批量映射網絡驅動器

在網絡中部署了文件服務器后，可以共享目錄映射為網絡驅動器，方便客戶端使用。手工映射比較繁瑣，我們可以使用自動映射。對于單個用戶，可以使用多種方法來實現。例如目標共享路徑為“filesrvdata”，可 以 在 PowerShell窗 口 中 執 行“Set-ADUser -HomeDirectory:"\filesrvdata" -HomeDrive: "K:" -Identity user1”命，可以針對“User1”賬戶將上述共享路徑映射為網絡驅動器K盤。如果想批量映射，可以執行“dsquery user -name new*| demod user -hmdrv k: -hndir\filesrvdata”，這 樣，可以針對所有名稱以“new”開頭的賬戶進行映射。當這些賬戶登錄域環境時，可以自動得到該網絡驅動器。

批量更新賬戶屬性

域賬戶擁有很多屬性，創建域賬戶時，屬性信息是不完整的，需要根據情況不斷地完善。除Ldifde批量更新賬戶屬性外，還可以在Active Directory用戶和計算機窗口中選擇多個賬戶，在右鍵菜單上點擊“屬性”，在打開窗口（如圖3）中的“常規”、“賬戶”、“地 址”、“配 置文件”和“組織”面板中統一更新屬性信息。如在“賬戶”面板中可以針對UPN后綴、登錄事件、計算機限制以及各種賬戶選型等進行統一調整。如果是修改批量單一的賬戶屬性，也可以使用命令行來實現。如在CMD窗口中執行“dsquery user ou=kaifa,dc=xxx,dc=com |dsmod user -pwd qwe@.com”，針對名為“kaifa”的OU中的所有賬戶統一修改密碼為“qwe@.com”。