共用方式為

管理 Active Directory 使用者和電腦中的使用者帳戶

您可以在 Active Directory 使用者和電腦控制台中建立、刪除和管理安全性主體,包括用戶帳戶。 當遠端伺服器管理工具的 Active Directory 網域服務 (AD DS) 和 Active Directory 輕量型目錄服務 (AD LDS) 元件安裝在 Windows Server 或用戶端電腦上時,此主控台可供使用。 若要建立、刪除和管理安全性權限,您必須具有適當的權限。 根據預設,Domain Admins 和 Enterprise Admins 群組的成員可以管理使用者、群組和電腦帳戶。 Account Operators 群組的成員可以建立、修改和刪除使用者帳戶,但無法管理群組或權限。

先決條件

  • 執行 Windows Server 或 Windows 用戶端作業系統的電腦,並安裝了遠端伺服器管理工具的 AD DS 和 AD LDS 元件。

  • 電腦必須加入網域,而且您使用的使用者帳戶必須具有適當的許可權,才能管理該網域中的使用者帳戶。

管理用戶帳戶

本文的下列各節提供管理伺服器上使用者帳戶的相關資訊:

建立使用者帳戶

當您新增使用者帳戶時,指派的使用者可以登入已加入網域的電腦。 您可以授與使用者存取網路資源的許可權,例如共用資料夾、印表機和應用程式。 若要使用 Active Directory 使用者和電腦建立使用者帳戶,請執行下列步驟:

  1. 在 Active Directory 使用者和電腦主控台中,展開網域樹狀結構,然後選取您要裝載使用者帳戶的容器或組織單位。
  2. [動作] 功能表上,選取 [新增],然後選取 [使用者]。
  3. [新增物件 - 使用者 ] 對話方塊中,提供下列資訊,然後選取 [ 下一步]:
    • 名字:使用者的名字(選用)
    • 姓名縮寫:使用者的姓名縮寫(選用)
    • 姓氏:使用者的姓氏(選用)
    • 全名:使用者的全名(必填)
    • 使用者登入名稱:使用者帳戶名稱 (必要)
  4. [新增物件 - 使用者 ] 對話方塊的第二頁上,提供下列資訊,然後選取 [ 下一步]:
    • 密碼:可以是指派的密碼,也可以是使用者下次登入時變更的暫存密碼。
    • 確認:指派的密碼或臨時密碼的副本。
    • 使用者必須在下次登入時變更密碼。 如果您想要強制使用者在下次登入時變更密碼,請選取此核取方塊。
    • 使用者無法變更密碼。 如果您想要限制使用者變更密碼,請選取此核取方塊。
    • 密碼永不過期。 如果您想要將帳戶從密碼原則中免除,請選取此核取方塊。
    • 帳戶已停用。 如果您想要建立處於停用狀態的帳戶,請選取此核取方塊。
  5. 檢閱「 新建物件 - 使用者 」對話方塊的摘要頁面。 選取 [完成] 以建立帳戶。

管理群組成員資格

安全性許可權,例如共用資料夾的安全性許可權,最常指派給安全組,而不是指派給個別用戶帳戶。 藉由管理使用者所屬的群組,您通常會管理用戶帳戶可存取的資源。 若要管理帳戶的群組成員資格,請執行下列步驟。

  1. 在 Active Directory 使用者和電腦主控台中,找出並選取您要管理其成員資格的使用者帳戶。
  2. 在 [動作] 功能表中,選擇 [屬性]。
  3. 在使用者的帳戶屬性對話方塊中,選取 [成員] 索引標籤。
  4. 如果您想要從群組中移除使用者帳戶,請選取列出的群組,選取 [ 移除],然後選取 [ 確定 ] 以關閉使用者帳戶屬性對話方塊。
  5. 如果您想要將使用者帳戶新增至群組,請選取 [新增]。
  6. [ 選取群組 ] 對話方塊中,輸入您要新增帳戶的群組名稱,然後選取 [ 確定]。 如果您不確定群組名稱,請使用 進 按鈕在網域中搜尋群組,並使用 檢查 名稱 按鈕來驗證名稱。
  7. 選取 [ 確定 ] 以關閉使用者帳戶屬性對話方塊並套用變更。

重設使用者密碼

若要使用 Active Directory 使用者和電腦主控台重設使用者帳戶密碼,請執行下列步驟:

  1. 在 Active Directory 使用者和電腦主控台中,找出您要重設密碼的使用者帳戶。
  2. [動作] 功能表上,選取 [重設密碼]。
  3. [重設密碼 ] 對話方塊中,提供下列資訊,然後選取 [ 確定]。
    • 新密碼:使用者的新密碼。
    • 確認密碼:重新輸入相同的密碼。
    • 使用者必須在下次登入時變更密碼。 如果您想要強制使用者下次登入時變更密碼,請選取此核取方塊。
    • 解鎖用戶帳戶。 如果帳戶因為使用者輸入太多錯誤的密碼而被鎖定,請選取此核取方塊以解除鎖定帳戶。

停用用戶帳戶

若要使用 Active Directory 使用者和電腦主控台停用使用者帳戶,請執行下列步驟:

  1. 在 Active Directory 使用者和電腦主控台中,找出您要停用的使用者帳戶。
  2. [動作] 功能表上,選取 [停用帳戶]。
  3. [Active Directory 網域服務] 對話方塊中,選取 [ 確定]。 帳戶已停用。

停用帳戶時,登入的使用者會保持登入狀態,但無法執行新的登入。

啟用用戶帳戶

若要使用 Active Directory 使用者和電腦主控台啟用使用者帳戶,請執行下列步驟:

  1. 在 Active Directory 使用者和電腦主控台中,找出您要啟用的使用者帳戶。
  2. [動作] 功能表上,選取 [啟用帳戶]。
  3. [Active Directory 網域服務] 對話方塊中,選取 [ 確定]。 帳戶已啟用。

移除使用者帳戶

從 Active Directory 移除帳戶會刪除帳戶。 最佳實務是在刪除帳戶之前先停用帳戶,以防帳戶具有無法透過其他方法存取的資源許可權。 若要使用 Active Directory 使用者和電腦主控台刪除帳戶,請執行下列步驟:

  1. 在 Active Directory 使用者和電腦主控台中,找出您要啟用的使用者帳戶。
  2. [動作] 功能表上,選取 [刪除]。
  3. [Active Directory 網域服務] 對話方塊中,選取 [ 確定]。 帳戶會移除。

如果您在刪除帳戶之前啟用資源回收筒,則可以使用 Active Directory 資源回收筒來復原已刪除的帳戶。 如果未啟用資源回收筒,您必須使用包含帳戶的 AD DS 備份來執行 AD DS 的授權還原。

用戶帳戶屬性

下列清單包含「 使用者帳戶屬性 」頁面上的所有索引標籤,包括只有在啟用「 進階功能 」選項時才會顯示的索引標籤。 您可以在 Active Directory 使用者和電腦主控台的 檢視 功能表上啟用此選項。 此資訊會與帳戶一起儲存為 AD DS 帳戶物件的屬性。

一般

使用者帳戶屬性頁面 的 General 索引 標籤包含下列與使用者名稱和描述相關的欄位:

  • 名字
  • 首字母
  • 姓氏
  • 顯示名稱
  • 說明
  • Office
  • 電話號碼
  • 網頁

位址

使用者帳戶屬性頁面的 地址 索引標籤可讓您儲存帳戶的位置資訊,並包含下列欄位:

  • 街道
  • 郵政信箱
  • 城市
  • 州/省
  • 郵遞區號
  • 國家/地區

帳戶

使用者帳戶屬性頁面的 Account 索引標籤可讓您設定各種帳戶設定。 其中包括登入時數、帳戶可登入的特定計算機,以及帳戶支援的加密類型。 您也可以設定是否可以委派帳戶,並指定帳戶何時到期。 此索引標籤包含下列設定:

  • 使用者登入名稱,包括使用者登入網域
  • 使用者登入名稱 (Windows 2000 前)
  • 登入時數
  • 登入
  • 解除鎖定帳戶
  • 用戶必須在下次登入時變更密碼
  • 用戶無法變更密碼
  • 密碼永不過期
  • 使用可逆加密儲存密碼
  • 帳戶已停用
  • 互動式登錄需要智慧卡
  • 帳戶很敏感,無法委派
  • 只針對此帳戶使用 Kerberos DES 加密類型
  • 此帳戶支援 Kerberos AES 128 位加密
  • 此帳戶支援 Kerberos AES 256 位加密
  • 不需要 Kerberos 預先驗證
  • 帳戶到期

個人檔案

使用者帳戶屬性頁面的 設定檔 索引標籤可讓您設定漫遊設定檔資訊、登入指令碼和主資料夾設定。 此索引標籤包含下列欄位:

  • 配置文件路徑
  • 登入腳本
  • 主資料夾

電話

使用者帳戶屬性頁面的 [電話] 索引標籤可讓您使用使用者帳戶儲存電話號碼資訊。 其包含下列欄位:

  • 常用
  • 傳呼機
  • 行動裝置
  • 傳真
  • IP 電話
  • 備註

組織

使用者帳戶屬性頁面的 組織 索引標籤可讓您儲存使用者的相關資訊,包括職稱和部門。 您也可以使用此索引標籤來指定管理員,並查看哪些使用者帳戶會列為直接報告。 此索引標籤包含下列欄位:

  • 職稱
  • 部門
  • 公司
  • 經理
  • 直接報告

遠端桌面服務設定檔

使用者帳戶屬性頁面的 [遠端桌面服務設定檔] 索引標籤可讓您設定遠端桌面服務使用者設定檔。 此索引標籤包含下列設定:

  • 遠端桌面服務使用者配置檔路徑
  • 遠端桌面服務主資料夾
  • 拒絕此使用者登入遠端桌面會話主機伺服器的許可權

COM+

使用者帳戶屬性頁面的 [COM+ ] 索引標籤可讓您指定使用者帳戶與哪個 COM+ 分割區集相關聯。

屬性編輯器

使用者帳戶內容頁面的 「屬性編輯器 」標籤可讓您直接編輯每個帳戶屬性。 屬性編輯器也會顯示未透過使用者內容頁面介面公開的屬性。

安全性

使用者帳戶屬性頁面的 [安全性 ] 索引標籤可讓您查看套用至帳戶的安全性權限。 透過選取 進階 按鈕,您也可以設定這些權限使用情況的稽核。

環境

使用者帳戶屬性頁面的 [環境] 索引標籤可讓您將特定程式設定為在登入遠端桌面服務環境時啟動,以及是否在登入時連線用戶端磁碟機、印表機和主要用戶端印表機。

會議

使用者帳戶屬性頁面的 [工作階段 ] 索引標籤可讓您設定遠端桌面服務逾時和重新連線設定。 您可以在此索引標籤上設定下列設定:

  • 結束中斷連線的會話
  • 作用中會話限制
  • 閑置會話限制
  • 達到會話限制或連線中斷時要採取的動作
  • 是否允許從任何用戶端重新連線,還是只允許原始用戶端重新連線

遙控

使用者帳戶屬性頁面的 [ 遠端控制 ] 索引標籤可讓您設定遠端桌面服務遠端控制設定。 此索引標籤包含下列欄位:

  • 啟用遠端控制
  • 需要用戶的許可權
  • 控制層級 (檢視/互動)

已發佈的憑證

使用者帳戶屬性頁面的 [已發佈的憑證 ] 索引標籤會列出針對使用者帳戶發佈並儲存在 Active Directory 中的所有 X509 憑證。

成員隸屬

使用者帳戶屬性頁面的 [成員] 索引標籤可讓您新增或移除安全性群組成員資格。

密碼複寫

使用者帳戶屬性頁面的 [密碼複寫 ] 索引標籤可讓您指定哪些唯讀網域控制站會儲存使用者帳戶密碼的快取複本。

撥入

使用者帳戶屬性頁面的 [撥號] 索引標籤可讓您設定下列網路原則伺服器網路存取權限:

  • 允許存取
  • 拒絕存取
  • 透過 NPS 網路原則控制存取
  • 確認 Caller-ID
  • 無回呼
  • 由呼叫者設定
  • 一律回撥至
  • 指派靜態 IP 位址
  • 套用靜態路由

物體

使用者帳戶屬性頁面的 [物件] 索引標籤可讓您檢視安全性主體物件的相關資訊,以及設定 [保護物件免於意外刪除] 設定。

  • Last updated on