一、前提准备
- 已部署AD 域服务 (AD DS),本机为域控制器
- 登录账号:Domain Admins权限
- 打开控制台:服务器管理器→工具→Active Directory 用户和计算机 (dsa.msc)
- 建议先按部门建组织单位 (OU),便于权限与策略管控
二、AD 域用户创建(图形界面)
- 展开域名→右键目标OU/Users→新建→用户
- 填写信息:姓名、用户登录名 (UPN)、SAM 账号名→下一步
- 设置密码,按需勾选:
- 用户下次登录须更改密码(推荐)
- 用户不能更改密码 / 密码永不过期(服务账号专用)
- 账户已禁用(暂不启用)
- 完成创建;右键用户→属性可补全部门、电话、账户选项等
- 批量建议:用模板用户右键→复制快速创建
三、AD 域用户创建(PowerShell)
powershell
# 导入AD模块
Import-Module ActiveDirectory
# 新建用户
New-ADUser -Name "张三" -GivenName "三" -Surname "张" `
-SamAccountName "zhangsan" -UserPrincipalName "zhangsan@contoso.com" `
-Path "OU=技术部,DC=contoso,DC=com" `
-AccountPassword (ConvertTo-SecureString "Pass@2025" -AsPlainText -Force) `
-Enabled $true -ChangePasswordAtLogon $true
四、AD 安全组创建与成员管理
1. 组作用域与类型(必选对)
- 作用域:全局(本域用户→全林授权,最常用);本地域(跨域授权本域资源);通用(多域统一授权)
- 类型:安全组(权限分配);通讯组(仅邮件)
2. 图形创建组
- 右键目标 OU→新建→组
- 输入组名→选全局 + 安全组→确定
- 右键组→属性→成员→添加,输入用户 / 组名→检查名称→确定
3. PowerShell 创建组与加成员
powershell
# 新建安全组
New-ADGroup -Name "技术部-读写" -SamAccountName "Tech-RW" `
-GroupCategory Security -GroupScope Global `
-Path "OU=技术部,DC=contoso,DC=com"
# 添加成员
Add-ADGroupMember -Identity "Tech-RW" -Members "zhangsan","lisi"
五、共享文件夹权限分配(核心:共享权限 + NTFS 权限)
步骤 1:创建并共享文件夹
- 新建文件夹→右键属性→共享→高级共享
- 勾选共享此文件夹→设置共享名→权限
- 移除 Everyone,添加目标组→允许完全控制 / 更改 / 读取
- 建议:共享权限给Authenticated Users 完全控制,用 NTFS 精细管控
步骤 2:NTFS 安全权限
- 文件夹属性→安全→编辑→添加,加入 AD 组
- 配置权限(常用):
- 读取和执行:只读
- 修改:可增删改(不可删顶层)
- 完全控制:管理员(慎用)
- 高级→禁用继承→选择转换,清理冗余权限
步骤 3:验证访问
- 域客户端:
\\域控制器IP\共享名,用域用户登录验证权限
六、AD 域权限委派(给普通用户管理权限)
- dsa.msc 中右键目标OU→委派控制
- 下一步→添加被委派组 / 用户→下一步
- 选择任务:创建用户、重置密码、修改组成员等
- 完成;该账号可在本 OU 执行指定操作,无全域管理员权限
七、常见问题与最佳实践
- 权限不生效:gpupdate /force刷新;检查组成员与继承
- 最小权限:用户入组、组授权、不直接给用户授权
- 密码策略:AD 默认强密码,可在组策略→密码策略调整
- 批量管理:用 CSV+PowerShell 批量新建 / 启用 / 禁用用户
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
