【Windows Server 2019】活动目录 (Active Directory) ——创建、删除和管理对象、容器和组织单位（OU）

9. 创建、删除和管理对象、容器和组织单位（OU）

本次实验操作没有特殊说明，均在DNS1中进行。

9.1 创建对象、容器和组织单位

9.1.1 创建名为【fjnu_user】的组织单位

在Windows Server 2019中，创建组织单位的方法有两种。

方法 1

（1）使用【Active Directory管理中心】新建【组织单位】

打开【Active Directory管理中心】，找到左侧的【fjnu(本地)】，点击鼠标右键，在弹出的菜单中选择【新建】——>【组织单位】。

（2）进入【创建 组织单位】界面

• 在【名称】中输入：fjnu_user。
• 默认勾选【防止意外删除】，表示不能直接删除该组织单位。若想删除该组织单位，先将默认勾选去除即可删除。
• 其余默认为空，点击【确定】，即可常见组织单位【fjnu_user】。

（3）查看新创建的【组织单位】

在【Active Directory管理中心】，点击【fjnu(本地)】，在右侧的显示栏中看到fjnu_user已被创建。

方法 2

（1）使用【Active Directory用户和计算机】新建【组织单位】

打开【Active Directory用户和计算机】——>【服务器管理器】——>【工具】——>【Active Directory用户和计算机】。

右键点击【fjnu.local】——>【新建】——>【组织单位】。

（2）进入【新建对象 - 组织单位】界面

输入名称：fjnu_user，默认勾选【防止容器被意外删除】，点击【确定】。

（3）查看新创建的【组织单位】

返回【Active Directory用户和计算机】，右键点击【fjnu.local】选择【刷新】。在右侧的显示栏中看到fjnu_user已被创建。

9.1.2 在组织单位中创建【用户账户】对象

目的：在组织单位【fjnu_user】创建用户对象。这里的用户对象即fjnu.local域用户。

在Windows Server 2019中，创建【用户】对象的方法有两种。

方法 1

（1）使用【Active Directory管理中心】新建【用户】

打开【Active Directory管理中心】，点击【fjnu(本地)】，找到【fjun_user】，点击右键——>【新建】——>【用户】。

（2）进入【创建 用户】界面

• 红色*代表必填选项。
• 在【全名】中输入：student1。
• 在【用户SamAccountName…】的红色*后输入：student1。表示使用用户student1登录时，用户格式为fjnu\student1。
• 【全名】和【用户SamAccountName…】可以不相同，但是为了方便记录，一般两者输入的字符是一样的。
• 输入【密码】和【确认密码】，密码需要符合复杂性要求，即密码要有】大写字母【，】小写字母【，】数字【和】符号【中的任意3种。
• 为了方便接下来的操作，在【密码选项】中勾选【其他密码选项】，勾选【密码永不过期】。
• 账户默认永不过期。可以在【账户过期】中更改用户过期时间。

设置完成后点击【确认】。

（3）查看新创建的用户

返回到【Active Directory管理中心】中，双击【fjnu_user】，在中间的显示栏中看到student1已经被创建。

方法 2

（1）使用Active Diretory用户和计算机新建用户

打开【Active Directory用户和计算机】——>【服务器管理器】——>【工具】——>【Active Directory用户和计算机】。

双击【fjnu.local】，找到【fjnu_user】，右键点击【fjnu_user】，选择【新建】，选择【用户】。

（2）进入【新建对象 - 用户】界面

• 在【姓名】中输入：student1。
• 在第一个【用户登录名】中输入：student1。点击【下一步】。

输入【密码】和【确认密码】，并勾选【密码永不过期】，点击【下一步】。

确认信息无误后，点击【完成】。

（3）查看新创建的用户

返回【Active Diretory用户和计算机】，双击【fjnu_user】，在右侧的显示栏中看到student1已经被创建。

9.1.3 在组织单位中创建【计算机】对象

目的：在组织单位【fjnu_user】创建计算机对象。这里的计算机对象即fjnu.local域内的计算机。

在Windows Server 2019中，创建【计算机】对象的方法有两种。

方法 1

（1）使用【Active Directory管理中心】新建【计算机】

打开【Active Directory管理中心】，点击【fjnu(本地)】，找到【fjun_user】，点击右键——>【新建】——>【计算机】。

（2）进入】创建 计算机【界面

• 红色*代表必填选项。
• 在【计算机名】中输入Server1，计算机（NetBIOS）名称自动更改为SERVER1。
• 计算机对象也拥有【防止意外删除】选项框，默认不勾选。
• 默认情况下，新建的计算机所在用户或组是域管理员。我们将它修改为在9.1.2节中创建的student1账户。点击【更改】。
  

弹出【选择用户或组】对话框，在【输入要选择的对象名称】下输入：student1，然后点击【检查名称】，系统自动匹配到用户student1，点击【确定】。

返回【创建 计算机】界面，这时候Server1的用户或组已经发生了改变。其他选项默认不填即可，点击【确定】。

（3）查看新创建的计算机

返回到【Active Directory管理中心】中，双击【fjnu_user】，在中间的显示栏中看到Server1已经被创建。

方法 2

（1）使用】Active Diretory用户和计算机【新建】计算机】

打开【Active Directory用户和计算机】——>【服务器管理器】——>【工具】——>【Active Directory用户和计算机】。

双击【fjnu.local】，找到【fjnu_user】，右键点击【fjnu_user】，选择【新建】，选择【计算机】。

（2）进入【新建对象 - 计算机】界面

• 在【计算机名】中输入：Server1，【计算机名(Windows 2000以前版本)】会自动给改为SERVER1。
• 默认情况下，新建的计算机所在用户或组是域管理员。我们将它修改为在9.1.2节中创建的student1账户。点击【更改】。
• 弹出【选择用户或组】对话框，在【输入要选择的对象名称】下输入：student1，然后点击【检查名称】，系统自动匹配到用户student1。点击【确定】。

返回【新建对象 - 计算机】界面，这时候Server1的用户或组已经发生了改变，点击【确定】。

（3）查看新创建的计算机

返回【Active Diretory用户和计算机】，双击【fjnu_user】，在右侧的显示栏中看到Server1已经被创建。

9.1.4 使用student1将Server1加入域fjnu.local

启用一台全新的Windows Server 2019服务器。

（1）配置Server1的IP地址

（2）修改计算机名和加入域fjnu.local

打开【控制面板】——>【系统和安全】——>【系统】——>【更改】

更改计算机名为Server1。勾选【隶属于】下的【域】，并输入：fjnu.local，点击【确认】。在弹出的对话框中输入9.1.2节中创建的域用户名（student1）和密码，点击【确认】。

输入的用户名和密码被发送到域控制器DNS1中校验，验证通过后，弹出【欢迎加入fjnu.local域】的消息框。点击【确定】后，系统提示必须重新启动计算机才能应用这些更改，点击【确定】，并重启计算机。

（3）重启计算机

在登录界面中，选择【其他用户】，输入域用户账户和密码，即student1。验证无误后，即可使用域用户账户登录到系统。

9.1.5 将【计算机】对象移到【组织单位】

目的：将PC1从容器computer中移动到组织单位fjnu_user中。

场景回顾：在第8节中我们将PC1加入到fjnu.local域中，AD服务默认将它加入到容器computer中。假设该计算机是fjnu的计算机，需要将PC1移动到组织单位fjnu_user中，以方便管理。

具体步骤：（1）打开【Active Diretory管理中心】——>【fjnu(本地)】——>【Computer】，右键点击PC1，选择【移动】。

（2）在弹出的对话框中，中间栏找到 fjnu_user，单机，然后点击【确定】。

（3）返回【computer】界面，发现PC1已经消失，打开【fjnu_user】，发现PC1已经被移到该组织单位中。

9.1.6 管理域用户

在AD域中，域管理员可以对域中的用户进行登录时间和登录地点的管理。

在Windows Server 2019中，管理【用户】对象的方法有两种。使用Active Diretory管理中心或者Active Diretory用户和计算机均可以，下面以使用Active Diretory管理中心为例。

（1）设置域用户登录的时间

打开【Active Diretory管理中心】——>【fjnu(本地)】——>【fjnu_user】，双击用户student1。

在student1账户中，找到【登录小时】并单击。

在弹出的【登录小时数】对话框中，域管理员可以对用户student1登录的具体时间进行控制。

• 蓝色方块是允许登录；白色方块是拒绝登录。

默认所有域用户随时可以登录fjnu.local域的计算机中。

在设置具体登录时间时，我们先做一个对比实验：打开PC1，使用用户student1登录到fjnu.local域中。现在时间时点是【东京时间：0:19分】。

回到域控制器DNS1中的对话框“登录小时数”。修改用户studen1的允许登录时间。只允许用户student1在每天9:00 ——17:00间登录。设置完点击【确定】

返回PC1，注销用户student1，重新进行登录，系统提示：您的帐户有时间限制，无法在此时登录。请稍后再试。

说明设置管理域用户登录时间成功。在本次实验过后，将用户student1的登录时间还原为默认时间。方便接下来的实验。

（2）设置域用户允许登录的计算机。

场景回顾：目前fjnu.local域中存在两台计算机，Server1和PC1。一位普通域用户student1。

目的：只允许域用户student1访问PC1，禁止其访问Server1。

具体步骤：打开【Active Diretory管理中心】——>【fjnu(本地)】——>【fjnu_user】，双击用户student1。

在student1账户中，找到【登录到】并单击。

在弹出的【登录到】对话框中，域管理员可以对用户student1登录地点进行控制。

• 登录地点即是加入fjnu.local域中的任意计算机
• 默认域用户可以登录fjnu.local域中所有的计算机。

在设置具体登录计算机前，我们先做一个对比实验：打开PC1和Server1，使用用户student1登录到fjnu.local域中。

Server1：

PC1：

回到域控制器DNS1中的对话框【登录到】。勾选【下列计算机】，在【计算机的NetBIOS或域名系统名称】中输入PC，点击【添加】，然后点击【确定】。

回到PC1和Server1中，注销用户，重新使用域用户student1登录。可以发现在Server1中，系统禁止student1登录该服务器。并提示您的帐户已配置为阻止您使用此PC。 请尝试另一个PC。

而在PC1中，仍然可以正常登录。

9.3 删除对象、容器和织单位

9.3.1 删除组织单位：fjnu_user

删除特定的组织单位前，需要到【Active Directory管理中心】——>fjnu(本地)中找到该组织单位，右键点击属性，去掉【防止意外删除】，否则不能直接删除，系统会提示没有权限。

当【防止意外删除】没有被勾选后，可以在“Active Directory管理中心”删除组织单位，也可以在“Active Directory用户和计算机”中右键点击删除。

9.3.2删除用户：student1

方法 1

打开“Active Directory管理中心”——>fjnu(本地)——>student1。右键点击删除即可。

方法 2

打开【Active Diretory用户和计算机】——>fjnu_user——>student1。右键点击删除即可。

9.3.3 删除计算机Server1

方法 1

打开【Active Directory管理中心】——>【fjnu(本地】——>【Server1】。右键点击删除即可。

假如Server1在创建的时，勾选了【防止意外删除】选项，删除前需要在属性中去掉才能删除该计算机对象。

方法 2

打开【Active Diretory用户和计算机】——>【fjnu_user】——>【Server1】。右键点击删除即可。

假如Server1在创建的时，勾选了【防止意外删除】选项，删除前需要在属性中去掉才能删除该计算机对象。只有在【Active Directory管理中心】才能去掉该选项。

参考资料

• 戴有炜，《2016 Windows Server 系统配置指南》，清华出版社，2018
• Microsoft Docs：AD DS Installation and Removal Wizard Page Descriptions
• Microsoft Docs：Forest and Domain Functional Levels