Windows Server 2003 Active Directory(AD) 四.新增網域使用者

想使用網域內的任何資源，都必須先登入網域才能使用，但登入網域就須要帳號。因此這邊就來介紹一下如何建立帳號、設定、管理以及各項應用

新增網域使用者帳號

首先在創立帳號之前一定要先知道創立好的帳號會存放在那個位置。

網域控制站會將帳號資料存放在AD資料庫中。網域資料庫的路徑為網域控制站的\%systemroot%/NTDS/NTDS.DIT(其中的【%systemroot%】表示安裝Windows Server 2003的資料夾，預設為Windows)

非網域控制站的獨立伺服器，則將帳號資料存於Security Accounts Manager (SAM)資料庫。路徑為: \%systemroot%/system32/congfig/SAM

當新增一個使用者帳號，系統會自動給予一個Security Idenitfer (SID)給此帳號，SID是Windows Server 2003用來辯別使用者的依據，因此他是獨一無二的。就算是帳號重心命名或是重設密碼，就算是重新建立一個一模一樣的帳號，在新舊SID是不會一樣的。

接下來就介紹如何建立使用者帳號

首先開起Active Directory 使用者及電腦

【開始】→【系統管理工具】→【Active Directory 使用者及電腦】

打開【Active Directory 使用者及電腦】後會看到下圖

在左邊的紅框內為AD安裝時的5種預設

Builtin : 用來存放內建的本機群組

Computers : 用來存放網域內電腦帳戶，當Windows 2000 / 2003 / xp / vista / 7的使用者加入到網域時，這些電腦的帳戶就會存放於此。

Domain Controllers : 用來存放網域控制站。也就是說，在網域內若有多個網域控制站的話都會顯示在這裡。

ForeignSecurityPrincipals : 儲存來自有信任關係網域的物件

Users : 用來存放網域內的使用者帳戶及群組

而在右邊的紅框內則是顯示Users 現有的使用者帳戶和群組

再來我們要新增帳戶

【User】→【新增(N)】→【使用者】

在新增物件-使用者

姓氏(L)和名字(F) : 請輸入姓名

全名(A) : 此部份預設會自動填入姓氏與名字的組合，成為帳戶顯示的名稱

使用者登入名稱(U) : 設定使用者要登入時的名稱

使用者登入名稱(Windows 2000 前版)(W) : 保留預設就可以了

設定帳戶密碼

密碼最多128個字元，請注意大小有別

在這邊請先勾選【使用者必須在下次登入時變更密碼】

下圖中上方的紅框表示的為，此帳戶所在的位置(Users)

而在下方的紅框表示的為，有關此帳戶的設定摘要

確定無誤就可按下完成

如果出現下圖畫面的話，表示在設定密碼的部份沒有設定完全

在設定密碼時會有幾個需要注意的地方。

以下是一些密碼設定規則提供參考

最少需要 8 個(含)字元。
必須含至少各一個英文字母大、小寫及數字混用。
- 須包含至少一個大寫英文字元 (A-Z)
- 須包含至少一個小寫英文字元 (a-z)
- 須包含至少一個數字 (0-9)
- 英文大、小寫須區分清楚
最好再穿插特殊符號 (鍵盤上的符號鍵)。
( 如： ~ ! @ # $ % ^ & * ( ) _ + { } | : < > ? ` = [ ] ; , . / )
不能含有 – (減號) ' (單引號) " (雙引號) \ (反斜線) 及空白鍵。
不能含有超過兩個連號或重複的字元碼。
(查ASCII表，如：abc、456、ZYX、>?@、bbb、222 等)
不能與帳號之拼字有相關性 (包含大小寫)。
(如帳號：s0920123，密碼：aS0920123 )
不能與自己帳號以往已設定成功過的密碼相同。 (系統會記錄下來)
應避免使用英文字典內可查到的英文單字。
應避免使用鍵盤上的橫列或直排的排列。