近日看了一篇关于《委派控制》的文章,除了讲述功能如何实现以外还提到在大型企业或人员变动非常频繁的公司,用户信息应该由人事部门来维护。作为管理员,只需要对相应的OU(仅包含用户账户)作出委派即可。我不由的感叹自己每次要接收到人事部门的纸面通知后再去开帐户,不但多此一举,还浪费纸张。
如果让人事部门来管理AD中的用户帐户好处还是很多的:
1、 减轻IT管理员的压力,在这么频繁的人员变动的情况下。(不停地有人辞职,哎)
2、 利用AD加强对用户属性的维护,可以方便的查询该用户的电话、传真、部门等等,而不是靠每个月去修改一个word文档来更新通讯簿。(如此更新通讯簿或许才能体现500强公司的强悍吧,哈哈)
3、 不需要等到人事部门授权后,IT管理员再去开帐户,不但浪费时间,而且姓名说不定也会有出入造成重复劳动。(禁用账户也是如此)
当对用户帐户属性的规范、完善后,复制用户账户的功能也有了用武之地。由于从来不使用该功能(公司的账户只需要用户名和密码,够简陋吧,呵呵。)也没去想过他究竟复制了一些什么?是不是我所需要的属性都能复制?
通常我们会以公司名创建一个OU,然后以部门名在该OU下创建一系列的子OU.如图1
图1
在总经办这个OU内创建了一个名为xp2的用户,在这个部门内有至少3个信息可以统一设置,办公室、部门、传真。图2 显示了办公室的值,另外两个省略了抓图。
图2
各项的值分别为
办公室:1917
部门:总经办
传真:12345678
附录:用户帐户属性
“常规”标签
姓 Sn
名 Givename
英文缩写 Initials
显示名称 displayName
描述 Description
办公室 physicalDeliveryOfficeName
电话号码 telephoneNumber
电话号码:其它 otherTelephone 多个以英文分号分隔
电子邮件 Mail
网页 wWWHomePage
网页:其它 url 多个以英文分号分隔
“地址”标签
国家/地区 C 如:中国CN,英国GB
省/自治区 St
市/县 L
街道 streetAddress
邮政信箱 postOfficeBox
邮政编码 postalCode
“帐户”标签
用户登录名 userPrincipalName 形如:jk@sinochem.com
用户登录名(以前版本) sAMAccountName 形如:S1
登录时间 logonHours
登录到 userWorkstations 多个以英文逗号分隔
用户帐户控制 userAccountControl (启用:512,禁用:514, 密码永不过期:66048)
帐户过期 accountExpires
“配置文件”标签
配置文件路径 profilePath
登录脚本 scriptPath
主文件夹:本地路径 homeDirectory
连接 homeDrive
到 homeDirectory
“电话”标签
家庭电话 homePhone (若是其它,在前面加other.)
寻呼机 Pager 如:otherhomePhone.
移动电话 mobile 若多个以英文分号分隔。
传真 FacsimileTelephoneNumber
IP电话 ipPhone
注释 Info
“单位”标签
职务 Title
部门 Department
公司 Company
“隶属于”标签
隶属于 memberOf 用户组的DN不需使用引号, 多个用分号分隔
“拨入”标签 远程访问权限(拨入或VPN) msNPAllowDialin
允许访问 值:TRUE
拒绝访问 值:FALSE
回拨选项 msRADIUSServiceType
由呼叫方设置或回拨到 值:4
总是回拨到 msRADIUSCallbackNumber
“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签
