Содержание
Администрирование Active Directory-2 часть. Создание пользователей при помощи оснастки ADUC
Администрирование Active Directory-2 часть. Создание пользователей при помощи оснастки ADUC
Всем привет хочется начать цикл статей относительно Active Directory на примере windows server 2008R2. В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку «Active Directory – пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении. К недостатку данного метода можно отнести тот момент, что при создании учетной записи пользователя вы не можете сразу задать большинство атрибутов, и вам придется добавлять необходимые атрибуты путем редактирования учетной записи.
Как создать пользователя в Active Directory
Для того чтобы создать пользовательскую учетную запись, выполните следующие действия:
- Откройте оснастку «Active Directory – пользователи и компьютеры». Для этого вам нужно открыть панель управления, в ней открыть раздел «Система и безопасность», затем «Администрирование» и в появившемся окне открыть оснастку «Active Directory – пользователи и компьютеры». Также вы можете воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» и в диалоговом окне «Выполнить», в поле «Открыть» ввести dsa.msc, а затем нажать на кнопку «ОК»;
- В дереве оснастки, разверните узел своего домена и перейдите к подразделению, в котором будет создаваться пользовательская учетная запись. Для создания пользовательских учетных записей рекомендуется создавать дополнительные подразделения, после чего добавлять учетные записи пользователей в подразделения, отличающиеся от стандартного подразделения Users. Щелкните на этом подразделении правой кнопкой мыши и из контекстного меню выберите команду «Создать», а затем «Пользователь», как показано на следующей иллюстрации:
Создание пользователей при помощи оснастки ADUC-01
В появившемся диалоговом окне «Новый объект — Пользователь» введите следующую информацию:
- В поле «Имя» введите имя пользователя;
- В поле «Инициалы» введите его инициалы (чаще всего инициалы не используются);
- В поле «Фамилия» введите фамилию создаваемого пользователя;
- Поле «Полное имя» используется для создания таких атрибутов создаваемого объекта, как основное имя (Common Name) CN и отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически, а изменять его стоит лишь в случае необходимости;
- Поле «Имя входа пользователя» является обязательным и предназначено для имени входа пользователя в домен. Здесь вам нужно ввести имя пользователя и из раскрывающегося списка выбрать суффикс UPN, который будет расположен после символа @;
- Поле «Имя входа пользователя (Пред-Windows 2000)» предназначено для имени входа для систем предшествующих операционной системе Windows 2000. В последние годы в организациях все реже встречаются обладатели таких систем, но поле обязательно, так как некоторое программное обеспечение для идентификации пользователей использует именно этот атрибут. Про то как добавить поле отчество читаем тут. После того как заполните все требуемые поля, нажмите на кнопку «Далее»:
Создание пользователей при помощи оснастки ADUC-02
На следующей странице мастера создания пользовательской учетной записи вам предстоит ввести начальный пароль пользователя в поле «Пароль» и подтвердить его в поле «Подтверждение». Помимо этого, вы можете выбрать атрибут, указывающий на то, что при первом входе пользователя в систему пользователь должен самостоятельно изменить пароль для своей учетной записи. Лучше всего использовать эту опцию в связке с локальными политиками безопасности «Политика паролей», что позволит создавать надежные пароли для ваших пользователей. Также, установив флажок на опции «Запретить смену пароля пользователем» вы предоставляете пользователю свой пароль и запрещаете его изменять. При выборе опции «Срок действия пароля не ограничен» у пароля учетной записи пользователя срок действия пароля никогда не истечет и не будет необходимости в его периодическом изменении. Если вы установите флажок «Отключить учетную запись», то данная учетная запись будет не предназначена для дальнейшей работы и пользователь с такой учетной записью не сможет выполнить вход до ее включения. Данная опция, как и большинство атрибутов, будет рассмотрена в следующем разделе данной статьи. После выбора всех атрибутов, нажмите на кнопку «Далее». Эта страница мастера изображена на следующей иллюстрации:
Создание пользователей при помощи оснастки ADUC-03
Создание пользователей при помощи оснастки ADUC-04
Как мы видим наш пользователь создан, теперь давайте дозаполним информацию о нем, учтите, что чем более точно и полно вы заполните информацию о нем, тем проще вам потом будет. Щелкнем два раза по нужному пользователю.
Общие. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;
Создание пользователей при помощи оснастки ADUC-05
Адрес. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;
Создание пользователей при помощи оснастки ADUC-06
Учетная запись. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;
Создание пользователей при помощи оснастки ADUC-07
Профиль. Текущая вкладка позволяет вам указать путь к профилю, сценарий входа, локальный путь к домашней папке, а также сетевые диски, на которых будет размещена домашняя папка учетной записи;
Организация. На этой вкладке вы можете указать должность сотрудников, отдел, в котором они работают, название организации, а также имя руководителя отдела;
Создание пользователей при помощи оснастки ADUC-08
Члены групп. Здесь указывается основная группа и членство в группах.
-Создание пользователей при помощи оснастки ADUC-10
И вкладка организация, где можно задать принадлежность к отделу и компании.
Создание пользователей при помощи оснастки ADUC-09
Для управления пользователями, также как и группами, в домене под управлением Windows Server, необходимо сначала создать этого пользователя. Для этого используется соответствующий механизм в виде оснастки "Управление компьютером". Процедура заведения пользователя в домене простая.
Заведение пользователя в домене.
Выполняется в несколько шагов:
1. Открываем оснастку "Управление компьютером". Проще всего это сделать нажав правой клавишей мышки на меню "Пуск", далее выбираем "Администрирование", затем "Пользователи и компьютеры Active Directory". Второй вариант — комбинация клавиш Win+R, в открывшемся окне пишем compmgmt.msc, затем просто "Enter".
2. В следующем окне "Active Directory — пользователи и компьютеры" нажимаем правой мышки на необходимом контейнере (например "Users"), в появившемся меню выбираем "Создать", затем "Пользователь".
3. Далее мы заполняем для нового пользователя:
- Имя — имя пользователя;
- Инициалы — инициалы пользователя (необязательно);
- Фамилия — фамилия пользователя;
- Полное имя — заполниться автоматически, после заполнения предыдущих пунктов;
- Имя входа пользователя — логин;
- Имя входа пользвателя (пред-Windows 2000) — заполнится автоматически, после заполнения имени входа пользователя.
Нажимаем кнопку "Далее" и попадаем в следующее меню.
4. В следующем окне достаточно указать пароль пользователя и подтверждение пароля, и нажать "Далее". При этом когда пользователь домена зайдет на компьютер под своим логином и паролем, то система предложит ему сменить пароль. Зайти в систему будет возможно только при смене и подтверждении нового пароля.
5. Последнее окно служит для окончательной проверки правильности создания нового пользователя. Проверяем и нажимаем "Готово". Новый пользователь будет создат в нужном контейнере и может работать в домене под своим логином и паролем.
Если что не понятно, можно посмотреть видео здесь:
Тест S5 Box
Вот примерно так работает модуль в реале.
Добавляем пользователей и компьютеры к домену Active Directory. (На Windows 2003 Server)
Итак мы будем считать что у нас установлен Windows 2003 Server и на нем развернута Active Directory (Далее AD). AD позволяет нам управлять компьютерами и пользователями: устанавливать ограничения или наоборот задавать различные благоприятные условия работы. Теперь самое время перейти к созданию пользователей и компьютеров. В первую очередь необходимо создать пользователя и делать мы это будем в специальной консоли, доступ к которой можно получить так:
- "ПУСК" ? "Насройка" ? "Панель управления" ? "Администрирование" ? "Active Directory — пользователи и компьютеры";
- Или в меню: "ПУСК" ? "Выпонить" введите команду dsa.msc .
Некоторые скажут, что созание пользователей делается с помощью утилиты "Учетные записи пользователей", но после того как мы поставили Active Directory, эта утилита нам более не доступна. Убедиться в этом можно, если посмотреть в Панели управления.
Вам откроется программа "Active Directory — пользователи и компьютеры", состоящая из двух окон. Слева мы видим папки с параметрами, а справа сами параметры находящиеся в этих папках.
На данном этапе нас интересует папка "Users" (Пользователи). Нажимаем на ней правой кнопкой мышки и выбираем "Создать" ? "Пользователь"
Перед нами окно для создания пового пользователя. Задаем необходимые параметры и переходим дальше.
Далее ставим параметры как пожелаем (галочками), вводим пароль, подтверждаем и идем дальше.
Если все было сделано правильно, то программа выдаст сообщение о создании нового пользователя.
Давайте теперь зайдем в свойства только что созданного пользователя и посмотрим, что мы можем менять в его настройках.
Вкладка "Член групп": тут можно включить нашего пользователя в различные группы.
Вкладка "Удаленное управление" позволяет разрешить/запретить пользователю подключаться к домену через удаленное соединение.
Еще одна интереная вкладка "Учетная запись", тут можно поменять имя пользователя и задать различные параметры для пароля.
Добавление компьютера в домен
Для подключения компьютера к домену все готово. Компьютеры, работающие под управлением Windows 2000/XP, при подключении к серверу будут добавляться автоматически в группу Computers. Для этого на каждом клиенте нужно выбрать «Мой Компьютер» ? «Свойства» ? «Имя компьютера .
После этого у нас есть два пути: либо вызвать мастера сетевой идентификации, нажав кнопку «Идентификация», либо сразу ввести необходимые параметры, нажав кнопку «Изменить» .
Если в вашей сети есть ПК, работающие под Windows 98, то они подключаются как клиенты Active Directory; в этом случае учетные записи компьютера не создаются. Для их работы необходимо установить программу dsclient.exe, которая имеется на установочном диске Win2k3.
Итак задаем имя домена и нажимаем ОК.
По умолчанию присоединять компьютер к домену имеют право только члены группы «Администраторы домена». Чтобы разрешить это действие другим пользователям, необходимо на контроллере домена, выбрать необходимого пользователя и сделать его участником группы «Администраторы домена». О том где это делать написано в начале статьи.
На следующем этапе, как раз и вводим логин и пароль пользователя которому разрешено добавлять компьютер к домену.
Если все хорошо, то мы увидим окно об успешном подключению к домену.
Перезагрузив компьютер мы можемзарегистрироваться в домене. Для этого воводим имя пользователя и пароль, которое мы зарегистрировали ранее на контроллере домена, выбираем домен и заходим.
После первой регистрации наш компьютер появится в контейнере Computers, где нам уже доступно управление данным компьютером.
На этом пока все, продолжение в следующих статьях.