使用者群組管理

接下來介紹有關單機使用者群組，以及網絡使用者群組的管理技巧。首先如果想要查看目前本機的使用者名單，只要執行net user即可。如果要快速新增一位使用者，則執行net user 新用戶名稱 * /add，接著系統將會提示設定該用戶的密碼兩次，完成輸入之后即可成功建立。當需要將某一位現行的使用者加入到某本地組時，只要執行net localgroup組名 使用者名稱 /add 即可。要想將某一位使用者刪除所屬的群組呢？很簡單，只要將/add參數改成/delete即可。

查詢使用者群組

若是想要查詢某一個本地組下有哪一些成員，則只要如圖8所示執行net localgroup組名。示例中可以看到查詢的Administrators群組中，目前僅有預設的Administrator賬戶以及后來加入的JoviKu賬戶。

如果想要查詢某一位用戶的完整配置文件內容，只要執行net user 使用者名稱，便可以查看到這位使用者的全名、批注、是否在使用中或是已經到期、密碼到期日、是否允許變更密碼、允許使用的工作站、上次登入時間、目前所屬的群組清單等。身為系統管理員的您，如果想要隨時幫某一位本機用戶修改密碼，只要執行net user 用戶名稱 * ，執行后只要輸入兩次的新密碼即可完成變更。

查詢網域使用者與群組

看完了Windows Server 2012在單機使用者與群組的管理之后，緊接著來了解一下有關網絡使用者與群組的管理技巧。首先您可以嘗試執 行Get-ADUser -Filter* -SearchBase "OU=業務部,DC=lab01,DC=local" |FT Name,SID –AutoSize命令，來查詢所有位于指定局域網以及組織容器下的用戶列表與相對的SID。然而當使用者相當多時，您可能只想查詢某一個姓氏開頭，或是以某一個名字結尾的用戶清單，這時候便可以參考使用命令Get-ADUser -Filter 'Name -like"顧*"' | FT Name,SID –AutoSize。范例中的-Filter'Name -like "顧*"'是關鍵的參數，即表示要查詢所有姓顧的用戶名單，由此范例中得知，您可以善用引號中的通配符來進行篩選。

新增用戶管理

接著您可以通過命令參數New-ADUser-SamAccountName AndyLu-AccountPassword (readhost "Set user password"-assecurestring) -name"AndyLu" -enabled $true-PasswordNeverExpires $true-ChangePasswordAtLogon$false，來新增一位網絡用戶并且完成初始密碼設定以新增一個名為AndyLu的用戶賬為例。如果想要把前面步驟所建立的AndyLu使用者加入到指定的群組中，例如系統內建的Domain Admins網域群組，則可以執行命令參數Add-ADPrincipalGroup Membership -Identity"CN=AndyLu,CN=Use rs,DC=lab01,DC=local"-MemberOf "CN=Domain Admins,CN=Users,DC=la b01,DC=local"即可。

留職停薪人員的賬戶管理

當完成以PowerShell命令來新增使用者與設定群組之后，您可以嘗試在“Active Directory使用者和群組”的接口中開啟相對的群組內容頁面，來查看目前新使用者是否已出現在“成員”的清單之中。針對企業內一些停薪留職的工作人員，您可能需要暫時停用他的賬戶，請執行命令參數Disable-ADAccount-Identity Amy，然 后 再 執行Get-ADUser Amy便可查看Amy這位用戶賬戶是否已停用（Enabled=False）。等到Amy又回來復職之后，再執行命令參數Enable-ADAccount Amy即可繼續使用此賬戶。

在批量管理需求部分，如果我們要將業務部的OU所有用戶賬戶停用，可以如圖9所示執行Get-ADUser-Filter 'Name -like "*"'-SearchBase "OU=業務部,DC=lab01,DC=local"| Disable-ADAccount，其中'Name -like "*"'是可以用*來取代的，如果是要針對所有特定的賬戶，例如姓顧的人員，則可以執行 'Name -like "顧*"'。

鎖定賬戶管理

最后，如果因密碼原則因素，讓AD中的Amy賬戶因為密碼錯誤多次，被暫時鎖定了賬戶而無法登錄，管理員便可以執行Unlock-ADAccount -Identity Amy來解鎖。至于手動鎖定賬戶的方法，則是使用lock-ADAccount命令即可。