近日看了一篇关于《委派控制》的文章除了讲述功能如何实现以外还提到在大型企业或人员变动非常频繁的公司用户信息应该由人事部门来维护作为管理员只需要对相应的OU(仅包含用户账户)作出委派即可我不由的感歎自己每次要接收到人事部门的纸面通知后再去开帐户不但多此一举还浪费纸张 如果让人事部门来管理AD中的用户帐户好处还是很多的 减轻IT管理员的压力在这么频繁的人员变动的情况下(不停地有人辞职哎) 利用AD加强对用户属性的维护可以方便的查询该用户的电话传真部门等等而不是靠每个月去修改一个word文档来更新通讯簿(如此更新通讯簿或许才能体现强公司的强悍吧哈哈) 不需要等到人事部门授权后IT管理员再去开帐户不但浪费时间而且姓名说不定也会有出入造成重复劳动(禁用账户也是如此) 当对用户帐户属性的规范完善后复制用户账户的功能也有了用武之地由于从来不使用该功能(公司的账户只需要用户名和密码够简陋吧呵呵)也没去想过他究竟复制了一些什么?是不是我所需要的属性都能复制? 通常我们会以公司名创建一个OU然后以部门名在该OU下创建一系列的子OU如图 图 在总经办这个OU内创建了一个名为xp的用户在这个部门内有至少个信息可以统一设置办公室部门传真图 显示了办公室的值另外两个省略了抓图 图 各项的值分别为 办公室 部门总经办 传真 好现在通过复制xp用户账户创建出xp用户帐户令人意外的事情发生了原以为那么基本的三个项目总能复制的吧结果除了部门这一项被复制以外其余两个都没有被复制 原来在默认情况下如登录时间工作站限制帐户过期限制等才传递给复制的用户这的确是少了点那就从搞定 办公室 这个选项开始咯 注册AD架构单击开始在 运行 内输入regsvr schmmgmtdll 确定 再次在 运行 内输入MMC添加AD架构如图 图 从图中可以看到PhysicalDeliveryOfficeName(办公室选项)的复制用户时复制属性的复选框并没有勾选更麻烦的是还无法勾选这个时候可以顺便看一下Department(部门)的属性可以发现该选项是被勾选的当然也是无法设置的 图 安装Windows Server 光盘内的 SUPPORT\TOOLS\SUPTOOLSMSI完成后在 运行 内输入ADSIeditmsc 确定 如图打开ADSI Edit找到CNPhysicalDeliveryOfficeName双击找到searchFlags双击将值改成确定退出 图 从图和图的区别就可以知道修改成功再次复制用户账户确认办公室选项已经可以复制至于其他属性的修改也就不再赘述 注在searchFlags的原始值上加就表示启用选项减就表示禁用选项 附录用户帐户属性 常规标签 姓 Sn 名 Givename 英文缩写 Initials 显示名称 displayName 描述 Description 办公室 physicalDeliveryOfficeName 电话号码 telephoneNumber 电话号码其它 otherTelephone 多个以英文分号分隔 电子邮件 Mail 网页 wWWHomePage 网页其它 url 多个以英文分号分隔 地址标签 国家/地区 C 如中国CN英国GB 省/自治区 St 市/县 L 街道 streetAddress 邮政信箱 postOfficeBox 邮政编码 postalCode 帐户标签 用户登录名 userPrincipalName 形如 用户登录名(以前版本) sAMAccountName 形如S 登录时间 logonHours 登录到 userWorkstations 多个以英文逗号分隔 用户帐户控制 userAccountControl (启用禁用 密码永不过期) 帐户过期 accountExpires 配置文件标签 配置文件路径 profilePath 登录脚本 scriptPath 主文件夹本地路径 homeDirectory 连接 homeDrive 到 homeDirectory 电话标签 家庭电话 homePhone (若是其它在前面加other) 寻呼机 Pager 如otherhomePhone 移动电话 mobile 若多个以英文分号分隔 传真 FacsimileTelephoneNumber IP电话 ipPhone 注释 Info 单位标签 职务 Title 部门 Department 公司 Company 隶属于标签 隶属于 memberOf 用户组的DN不需使用引号 多个用分号分隔 拨入标签 远程访问权限(拨入或VPN) msNPAllowDialin 允许访问 值TRUE 拒绝访问 值FALSE 回拨选项 msRADIUSServiceType 由呼叫方设置或回拨到 值 总是回拨到 msRADIUSCallbackNumber 环境会话远程控制终端服务配置文件COM+标签 |