若利用域來管理企業網絡的話，則最直接的一個好處就是能夠實現“單一登陸功能”。若沒有采用域的情況下，我們若需要訪問網絡上的其他計算機的話需要登陸兩次。首先，必須利用本機的帳戶登陸到本機，然后再利用對方為你建立的用戶名與密碼去訪問他的電腦。如此的話，很顯然用戶使用起來會比較反感。而若利用域控制器來管理網絡訪問的話，則用戶只需要使用域控制器分配的用戶，就可以在登陸本機電腦的時候，同時具有網絡資源的訪問權限。

　　利用域來管理企業網絡，另外一個直接的好處就是有了一個帳戶的統一管理平臺。網絡管理員擁有域控制器之后，就不需要為每位員工在單機上獨立的分配帳戶，而只需要在域控制器上為其建立帳戶即可。在統一的平臺上建立用戶帳戶，則就可以為期分配統一的組策略，等等。

　　在闡述如何通過域來管理網絡資源之前，我要強調一個概念，就是本機登陸帳戶與域登陸帳戶的區別。如果一個員工利用本機管理帳戶登陸到自己的電腦上后，則其如果需要訪問網絡上的其他主機的話，則在訪問的時候還必須要再次利用域帳戶與密碼進行登陸。而如果利用域帳戶登陸本機電腦的話，則后續訪問其他電腦主機的話，只要這個帳戶名域密碼具有訪問的權限，則就不需要再次重復的輸入域用戶名與密碼。了解這個域用戶名與本機用戶名之間的差異，對于理解后續的內容很重要。

　　其實，建立域管理帳戶的方法也很簡單，都可以通過圖形化界面進行設置。

　　第一步：建立UPN后綴

　　UPN中文的意識就是用戶登陸名稱。域帳戶在形式上跟本機帳戶有一個非常明顯的區別，就是域帳戶是以電子郵件的形式給出的，如pengliang@dtm.cn等等。這么做的好處就是可以把域用戶名跟郵件地址進行統一，這對于把域控制器跟郵件服務器進行集成，具有非常大的幫助。

　　默認情況下，用戶帳戶所采用的后綴名是用戶所在域的域名稱。但是在一些特殊的情況下，如為了就簡化輸入或者提高工作效率的情況下，會對這個域名進行更改，

　　在活動目錄域與信任關系中可以更改這個后綴名。

　　筆者工作經驗之談

　　若遇到如下情況，則筆者建議更改這個UPN后綴。

　　一是當域的后綴名跟企業的郵箱服務器后綴名不一樣的時候。如筆者認識一個朋友，他們公司在網絡規劃的時候，由于缺乏統一性 ，在域名設計的時候，沒有考慮域名與郵箱服務器的統一性。如公司的郵箱后綴為dtme.com，而域控制器的域名為dtmabc.com。如此的話，若不對用戶名的后綴進行更改的話，在就會導致域用戶名與郵件地址不符，也就是說，用戶無法直接通過域用戶名來發送郵件。這直接的結果，就是在利用EXCHANGE軟件建立郵箱服務器的時候，無法跟域控制器進行很好的集成，無法直接利用域帳戶來作為用戶的郵件地址。這對于網絡管理員來說，后續就要管理兩套用戶帳戶，一是域用戶帳戶，二是郵件系統帳戶，這無疑就增加了一倍的工作量。所以遇到這種情況的話，筆者建議網絡管理員在建立域帳戶之前，先更改這個域的后綴名，讓其跟郵箱服務器的后綴名保持一致。

　　二是若對域管理的比較細的話，如對于不同的分公司、不同的部門都采取不同的域名的話，也就是說，有分級域名的話，則用戶在輸入帳戶的時候，就會非常的麻煩。為此，為了提高用戶登陸時候的效率，可能需要對域名進行簡化。如在域層次管理上，仍然采用分層管理;而對域用戶帳戶進行命名的時候，則可以采用自定義的、簡化了的域名，如直接采用一級域名等等。

　　第二步：建立用戶名

　　筆者再次強調一遍，域用戶名的格式必須符合電子郵件的帳戶格式，也就是說，利用@號進行分割。在建立域用戶名的時候，需要注意以下幾點：

　　1、如某位員工，如“彭亮”，剛開始是在集團企業的下面一個子公司，其域名是a.dtm. com，而若后來其調到總公司后，總公司的后綴名dtm.com。現在遇到的問題是，到這位員工公司調動之后，其用戶名所在的域也需要進行調整。此時，用戶名的后綴是否需要調整呢?這里就需要注意一點，用戶名不會隨著帳戶的轉移而改變。也就是說，當用戶名從一個域轉移到另一個域之后，用戶名的后綴不會改變。彭亮這個員工，仍然可以采用pengliang@a.dtm.com這個帳戶登陸到總公司的網絡。

　　2、用戶名必須在企業整個域管理環境之內統一。也就是說，即使你在公司之內設立多級域名的話或者有多個域控制器，但是，你若只有一個域林的話，則必須保持這個域林內用戶名的唯一性。簡單的說，你總公司與分公司雖然可能采用不同的域名，但是，你不能有兩個pengliang@dtma.com的用戶名。則對于用戶名設計的時候需要注意。如對于用戶名采用拼音進行編碼，而又根據上面的建議，重新統一了后綴名的話，則就需要注意這個名字重復的問題了。也就是說，在用戶名設計的時候，需要考慮用戶名的擴展性。

　　第三步：利用域用戶名登陸到域網絡環境中

　　在登陸本機的時候，企業員工就可以利用域管理帳戶登陸到企業的域網絡環境中。不過，此時需要注意幾個小地方。

　　一是對于2000以前的微軟操作系統的話，在輸入用戶名的時候，必須輸入帳戶名的全稱，也就是說，@后面的后綴也必須輸入。而2000以后的操作系統，則可以只輸入用戶名的前半部分，不用輸入后綴就可以登陸到域中。

　　二是若在2000以后的操作系統中，不輸入后綴而直接登陸到域管理環境中去的話，則必須保證一個域內用戶名的統一。如在總公司dtma.com，有個用戶名為pengliang@dtm.com;后來從分公司那邊調過來一個員工，其原先的用戶名為pengliang@a.dtma.com。那時，由于其后綴名是不同的，所以這個用戶名是合法的。當這個用戶名從域a.dtma.com轉移到dtm.com的時候，由于其用戶名不會改變，所以，在dtma.com這個域中，就有兩個前綴為pengliang、后綴不同的用戶名。這個不違反林內用戶名唯一的原則，因為他們后綴名不同。但是，在這種情況下，若需要只輸入前綴，如pengliang，而不輸入后綴名登陸到域環境的話，則域控制器就不能精確定位這個帳戶的身份，所以，就會拒絕用戶登陸，除非用戶輸入域用戶名的全稱。這些限制，也就要求我們網絡管理員在域用戶編碼原則設計的時候，要比本級帳戶嚴格的多。因為本級帳戶只是停留在本機，所以，沖突性就會少許多，他只要保證本機內的登陸帳戶名字不重復即可;而不用去考慮網絡內其他電腦的登陸帳戶。換句話說，若給企業的全部電腦，都配置一個統一的用戶名，從技術上講，也是可行的。但是，對于域卻不行。域的話，必須保證林內用戶名的唯一。而有時候，為了提高用戶的登陸效率，則海還要保證在一個域內用戶名的唯一。如此的話才可以不輸入用戶名的后綴而直接登陸到網絡中去。

　　下面筆者再給大家介紹一下，域管理帳戶的一些常見管理策略。

　　第一個策略：在必要的時候，停用帳戶。由于在使用域帳戶登陸操作系統的時候，同時具有相應的網絡資源的訪問權限。所以，對于域帳戶的管理要比本機帳戶的管理更加嚴格。如當一個員工休產假的時候，一般若是采用本機賬戶的話，則不需要進行什么設置;而若使用域帳戶的話，為了防止其他員工采用這個域用戶名登陸，則最好把這個域用戶名暫時禁用掉。如此的話，其他員工就不能夠采用這個用戶名登錄到企業的網絡中。等到員工回來的時候，再把這個用戶名重新激活。當員工離職之后，也需要及時把這個用戶名禁用或者刪除掉。

　　第二個策略：靈活使用重命名功能。域用戶帳戶與本級用戶名一樣，其也是利用一個唯一的SID號碼來代表用戶名，這個用戶名相應的訪問權限、密碼等信息也是跟這個SID號碼對應，而不是跟用戶名。如此的話，更改用戶名之后不會對帳戶原有的屬性有什么影響。在實際工作中，我們可以利用這個特性來靈活管理域帳戶。如當銷售部門員工離職時，我們可以先不把這個帳戶刪除，只禁用掉。到后來銷售部門有新進員工時，再重命名即可。如此的話，我們就不需要重新配置帳戶權限等等，可以節省我們許多的工作量。同理，到我們刪除一個賬戶時，這個SID號碼也隨之刪除。當后來重新建立一個一模一樣的用戶名字的時候，帳戶也不會繼承原先用戶的權限。