接下来介绍有关单机使用者群组，以及网络使用者群组的管理技巧。首先如果想要查看目前本机的使用者名单，只要执行net user即可。如果要快速新增一位使用者，则执行net user 新用户名称 * /add，接着系统将会提示设定该用户的密码两次，完成输入之后即可成功建立。当需要将某一位现行的使用者加入到某本地组时，只要执行net localgroup组名 使用者名称 /add 即可。要想将某一位使用者删除所属的群组呢？很简单，只要将/add参数改成/delete即可。

查询使用者群组

若是想要查询某一个本地组下有哪一些成员，则只要如图8所示执行net localgroup组名。示例中可以看到查询的Administrators群组中，目前仅有预设的Administrator账户以及后来加入的JoviKu账户。

如果想要查询某一位用户的完整配置文件内容，只要执行net user 使用者名称，便可以查看到这位使用者的全名、批注、是否在使用中或是已经到期、密码到期日、是否允许变更密码、允许使用的工作站、上次登入时间、目前所属的群组清单等。身为系统管理员的您，如果想要随时帮某一位本机用户修改密码，只要执行net user 用户名称 * ，执行后只要输入两次的新密码即可完成变更。

查询网域使用者与群组

看完了Windows Server 2012在单机使用者与群组的管理之后，紧接着来了解一下有关网络使用者与群组的管理技巧。首先您可以尝试执 行Get-ADUser -Filter* -SearchBase "OU=业务部,DC=lab01,DC=local" |FT Name,SID –AutoSize命令，来查询所有位于指定局域网以及组织容器下的用户列表与相对的SID。然而当使用者相当多时，您可能只想查询某一个姓氏开头，或是以某一个名字结尾的用户清单，这时候便可以参考使用命令Get-ADUser -Filter 'Name -like"顾*"' | FT Name,SID –AutoSize。范例中的-Filter'Name -like "顾*"'是关键的参数，即表示要查询所有姓顾的用户名单，由此范例中得知，您可以善用引号中的通配符来进行筛选。

新增用户管理

接着您可以通过命令参数New-ADUser-SamAccountName AndyLu-AccountPassword (readhost "Set user password"-assecurestring) -name"AndyLu" -enabled $true-PasswordNeverExpires $true-ChangePasswordAtLogon$false，来新增一位网络用户并且完成初始密码设定以新增一个名为AndyLu的用户账为例。如果想要把前面步骤所建立的AndyLu使用者加入到指定的群组中，例如系统内建的Domain Admins网域群组，则可以执行命令参数Add-ADPrincipalGroup Membership -Identity"CN=AndyLu,CN=Use rs,DC=lab01,DC=local"-MemberOf "CN=Domain Admins,CN=Users,DC=la b01,DC=local"即可。

留职停薪人员的账户管理

当完成以PowerShell命令来新增使用者与设定群组之后，您可以尝试在“Active Directory使用者和群组”的接口中开启相对的群组内容页面，来查看目前新使用者是否已出现在“成员”的清单之中。针对企业内一些停薪留职的工作人员，您可能需要暂时停用他的账户，请执行命令参数Disable-ADAccount-Identity Amy，然 后 再 执行Get-ADUser Amy便可查看Amy这位用户账户是否已停用（Enabled=False）。等到Amy又回来复职之后，再执行命令参数Enable-ADAccount Amy即可继续使用此账户。

在批量管理需求部分，如果我们要将业务部的OU所有用户账户停用，可以如图9所示执行Get-ADUser-Filter 'Name -like "*"'-SearchBase "OU=业务部,DC=lab01,DC=local"| Disable-ADAccount，其中'Name -like "*"'是可以用*来取代的，如果是要针对所有特定的账户，例如姓顾的人员，则可以执行 'Name -like "顾*"'。

锁定账户管理

最后，如果因密码原则因素，让AD中的Amy账户因为密码错误多次，被暂时锁定了账户而无法登录，管理员便可以执行Unlock-ADAccount -Identity Amy来解锁。至于手动锁定账户的方法，则是使用lock-ADAccount命令即可。