Создать учетную запись в домене windows

Обновлено: 05.07.2024

Как и пользователю, компьютеру можно присвоить учетную запись с именем и паролем, при помощи которой будет создана безопасная связь этого компьютера с доменом и которая также может потребовать смены пароля или отключения.

В этой главе рассказывается, как создавать объекты компьютеров, включающие параметры безопасности, необходимые для использования этих объектов в качестве «учетных записей», и управлять ими при помощи графического интерфейса пользователя (graphical user interface, GUI) оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), а также мощных средств командной строки Microsoft Windows Server 2003. Также здесь описан процесс присоединения компьютера к домену, чтобы вы научились определять потенциальные источники ошибок, эффективнее устранять неполадки и восстанавливать учетные записи компьютеров.

Прежде всего

В этом занятии обсуждаются концепции, относящиеся к учетным записям компьютеров в Active Directory.

Для изучения материалов этого занятия вам потребуются:

Раздел 1. Присоединение компьютера к домену

В стандартной конфигурации Windows Server 2003 и всех ОС Microsoft Windows компьютер принадлежит какой-либо рабочей группе (workgroup). В рабочей группе компьютер на базе Windows NT (включая Windows NT 4, 2000, ХР и Windows Server 2003) может проверять подлинность пользователей только из своей локальной БД диспетчера учетных записей безопасности (Security Accounts Manager, SAM). Такая система автономна во всех смыслах. Принадлежность к рабочей группе позволяет лишь видеть список компьютеров своей группы в Проводнике. Хотя пользователь такого компьютера и может подсоединяться к общим ресурсам на других машинах в рабочих группах или доменах, он на самом деле не входит в систему под доменной учетной записью.

Чтобы пользователь входил в систему под доменной учетной записью, компьютер должен принадлежать какому-нибудь домену: необходимо создать учетную запись компьютера и настроить его для присоединения к домену по этой учетной записи, чему и посвящено это занятие.

Учетная запись компьютера, как и учетная запись пользователя, содержит имя, пароль и идентификатор безопасности (security identifier, SID). Эти свойства встроены в класс объекта компьютера в Active Directory. Подготовка к включению компьютера в домен, таким образом, очень похожа на подготовку объекта пользователя для добавления в домен: вам нужно создать в Active Directory объект компьютера.

Создание учетных записей компьютеров

Для создания объекта компьютера в Active Directory необходимо быть членом групп Администраторы (Administrators) или Операторы учета (Account Operators) на контроллерах домена. Члены групп Администраторы домена (Domain Admins) и Администраторы предприятия (Enterprise Admins) по умолчанию являются участниками группы Администраторы (Administrators). Также можно делегировать административные права, чтобы другие пользователи или группы могли создавать объекты компьютеров.

Впрочем, пользователи домена также могут создавать объекты компьютеров косвенным путем. Когда компьютер присоединяется к домену, а учетная запись еще не создана, Active Directory по умолчанию автоматически создает объект компьютера в контейнере Computers. Каждому пользователю из группы Прошедшие проверку (Authenticated Users) (то есть всем пользователям) разрешается присоединять к домену до 10 компьютеров и, следовательно, создавать до 10 объектов компьютеров.

Создание объектов компьютеров в консоли Active Directory — пользователи и компьютеры

Чтобы создать объект компьютера, или его учетную запись, откройте консоль Active Directoryпользователи и компьютеры (Active Directory Users And Computers) и выберите контейнер или ОП, в котором нужно создать объект. В меню Действие (Action) или в контекстном меню выберите команду Создать (New)\Компьютер (Computer). Откроется диалоговое окно Новый объект — Компьютер (New Object — Computer), показанное на рис. 5-1.

Рис. 5-1. Диалоговое окно Новый объект — Компьютер

В окне Новый объект — Компьютер (New Object — Computer) введите имя компьютера. Другие свойства из этого окна обсуждаются на следующем занятии. Щелкните Далее (Next). На следующем шаге запрашивается глобально уникальный идентификатор (GUID). GUID используется для предварительной настройки учетной записи компьютера для развертывания системы с помощью служб удаленной установки (Remote Installation Services, RIS). Здесь этот процесс не обсуждается. При создании учетной записи компьютера, который будет присоединяться к домену другими способами, вводить GUID не требуется. Поэтому просто щелкните Далее (Next), а затем Готово (Finish).

Создание объектов компьютеров командой DSADD

Скорее всего, вам уже доводилось делать нечто подобное. Но прогресс не стоит на месте — Windows Server 2003 предоставляет удобную команду DSADD, позволяющую создавать объекты компьютеров из командной строки или в ходе выполнения командного файла.

В главе 2 команда DSADD использовалась для создания объектов пользователей. Для создания объекта компьютера просто введите dsadd computer DN_компьютера. , где DN_компьютера. — это различающееся имя данного компьютера, например CN=Desktop123, OU=Desktops,DC=contoso,DC=com.

Если в DN компьютера есть пробел, заключите все имя в кавычки. Параметр DN_компьютера. может включать множество различающихся имен для новых объектов компьютеров, что делает команду DSADD Computer удобным средством для массовой генерации таких объектов. Этот параметр можно вводить следующими способами:

  • Передача по каналу списка DN-имен, полученного при выполнении другой команды, например DSQUERY.
  • Указание всех DN-имен в командной строке через пробел.
  • Без указания параметра DN: тогда вы сможете ввести все DN-имена по одному с клавиатуры в ответ на приглашение команды. Нажимайте Enter после ввода каждого DN. Нажмите Ctrl + Z и затем Enter после ввода последнего DN.

Для команды DSADD Computer после DN можно указать следующие необязательные параметры:

  • - samid имя_SAM;
  • -desc описание;
  • -loc размещение.

Создание учетной записи компьютера командой NETDOM

Программа NETDOM входит в комплект средств поддержки и устанавливается из каталога Support\Tools компакт-диска Windows Server 2003. Эта программа также содержится на компакт-дисках Windows 2000 и ХР. Используйте версию, подходящую для вашей платформы. Команда NETDOM позволяет выполнять из командной строки множество операций, связанных с учетными записями доменов и безопасностью.

Чтобы создать в домене учетную запись компьютера, введите следующую команду:

netdom add имя_компьютера /domain:имя_домена /userd: пользователь /PasswordD: пароль_пользоаателя [/ou: DN_0П]

Эта команда создает учетную запись для компьютера имя_компыотера в домене имя_домена от имени пользователя домена с паролем пароль_пользователя. Параметр /ou приводит к созданию объекта в ОП с различающимся именем DN_ОП. Если имя целевого ОП не указано, по умолчанию учетная запись компьютера создается в контейнере Computers. Безусловно, инициатор команды должен обладать разрешениями на создание объектов компьютеров.

Присоединение компьютера к домену

Собственно учетной записи компьютера недостаточно для создания необходимых безопасных отношений между доменом и компьютером. Компьютер нужно присоединить к домену.

  1. Щелкните правой кнопкой Мой компьютер (MyComputer) и выберите Свойства
    (Properties). Перейдите на вкладку Имя компьютера (ComputerName).
    • В Панели управления выберите Система (System) и в диалоговом окне Свойства системы (SystemProperties) перейдите на вкладку Имя компьютера (ComputerName).
    • Откройте окно свойств Имя компьютера (ComputerName). К свойствам компьютера на этой вкладке можно получить доступ несколькими способами.

Примечание В Windows 2000 вкладка Имя компьютера (Computer Name) называется Сетевая идентификация (Network Identification), а кнопка Изменить (Change) — Свойства (Properties). Тем не менее, работают они одинаково.

Примечание Нельзя изменять имя компьютера или его членство, если вы вошли в систему не с администраторскими реквизитами. Кнопка Изменить (Change) доступна только пользователям из локальной группы Администраторы (Administrators).

Рис. 5-2. Диалоговое окно Изменение имени компьютера

Совет Хотя нужный домен обычно можно найти по «плоскому» NetBIOS-имени, возьмите за правило вводить DNS-имя целевого домена. Конфигурация DNS жизненно важна для компьютера с Windows 2000/XP или Windows Server 2003. Используя для домена DNS-имя, вы активизируете предпочтительный процесс разрешения имен и проверяете конфигурацию DNS на данном компьютере. Если компьютер не сможет найти домен, к которому вы пытаетесь присоединить его, проверьте правильность параметров DNS-сервера, заданных в свойствах сетевого подключения.

Когда компьютер успешно свяжется с доменом, появится приглашение (рис. 5-3) для ввода имени пользователя и пароля, у которого есть привилегии присоединять компьютер к домену. Заметьте: запрошенные имя и пароль — это доменное имя и пароль.

Рис. 5-3. Запрос реквизитов пользователя для присоединения компьютера к домену

Если в домене заранее не была создана учетная запись компьютера с тем же именем, по умолчанию Active Directory автоматически создаст такую учетную запись в контейнере Computers. После того как доменная учетная запись компьютера найдена или создана, компьютер установит доверительные отношения с доменом, изменит свой SID, чтобы он совпадал с SID этой доменной учетной записи, и изменит свое членство в группах. Для завершения процесса компьютер необходимо перезагрузить.

Примечание Для присоединения рабочей станции или сервера к домену также можно применять команду NETDOM JOIN. Ее функции идентичны возможностям диалогового окна Изменение имени компьютера (Computer Name Changes), но она позволяет задать еще и ОП, в котором будет создана учетная запись, если соответствующего объекта компьютера еще нет в Active Directory.

В диспетчере серверов контроллера домена выбираем в меню слева – Все серверы. Видим нужный контроллер домена, в нашем случае это DCSERVER. Нажимаем на него правой кнопкой мыши. В открывшемся меню выбираем пункт – Пользователи и компьютеры Active Directory.



В открывшейся оснастке Пользователи и компьютеры Active Directory [DCSERVER] выбираем Managed Service Accounts правой кнопкой мыши. В раскрывшемся меню выбираем пункт «Создать» в следующем выпадающем меню выбираем пункт «Пользователь»

Можно создавать пользователей в директории Users, но у нас так сложилось, что все пользователи именно в Managed Service Accounts (MSA управляемые учетные записи служб), в этом есть некоторые преимущества. Процесс создания в MSA и в Users аналогичен.

В открывшемся окне создания пользователя вводим имя – создадим например пользователя admin, нажимаем >> Далее.


Создаем пароль для пользователя, галочки как на скриншоте ниже, >> Далее.


Подтверждаем создание, нажав кнопку «Готово».


Чтоб можно было создавать простые пароли пользователям, включаем эту возможность в редакторе локальной групповой политики. Правой кнопкой мыши на кнопку «Пуск», выбираем «Выполнить», пишем gpedit.msc, ОК. (или WIN+R >> gpedit.msc >> ENTER)



Нажав правой кнопкой на созданного пользователя, можно отредактировать его свойства, например, добавить описание.


Чтоб admin мог сам добавлять пользователей в домен, и в общем то быть Администратором в сети я добавил его во все группы администраторов. Для обычных пользователей этого делать не нужно.


Еще одного пользователя, с аналогичными параметрами можно создать методом копирования (ПКМ на пользователя, копировать).

Если структура организации достаточно большая, то в корне домена можно создавать OU (Organizational Units) для удобного управления пользователями.

Если есть необходимость переместить учетную запись в другую директорию, например из ManagedServiceAccounts в Users, то нажимаем правой кнопкой мыши на требуемого пользователя, в нашем случае это TEST5 и выбираем строчку «Переместить».


Далее откроется окошко, в котором выбираем место назначения, выберем Users, >>OK.


Проверим папку Users – пользователь уже там.


Переходим к добавлению компьютера в домен.

У нас в сети статическая IP-адресация, по этому в добавляемом компьютере первым делом меняем сетевые настройки. Переходим по пути: Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом. В настройках соединения изменяем протокол Интернета версии 4(TCP/IPv4) нажав на кнопку «Свойства».


Изменяем данные как на картинке ниже.


IP-адрес: 192.168.1.25 (адрес компьютера)

Маска подсети: 255.255.255.0

Основной шлюз: 192.168.1.1 (шлюз модема или фаервола)

Предпочитаемый DNS-сервер: 192.168.1.200 (IP-адрес контроллера домена).

Альтернативный DNS-сервер: 192.168.1.130 (IP-адрес резервного контроллера домена).

Применяем настройки, нажав кнопку «ОК».

В панели управления переходим по пути: Панель управления\Система и безопасность\Система. Нажимаем на ссылку – «Изменить параметры».


Предлагается два варианта, нажмем первый – идентификация.


Откроется мастер присоединения компьютера к сети или домену. Выбираем первый пункт: Компьютер входит в корпоративную сеть; во время работы я использую его для соединения с другими компьютерами. Нажимаем >>Далее.



На следующем шаге выбираем первый пункт: Моя организация использует сеть с доменами. >>Далее.


Вводим учетные данные созданного ранее пользователя.


Если компьютер ранее не был в домене то мастер предложит написать имя, под которым он будет известен в домене (фактически на этом шаге можно переименовать компьютер). >>Далее

Если пользователь не имеет прав на присоединение компьютера к домену, то откроется окно, в котором нужно указать данные, того кому разрешено.


Иногда может возникнуть ситуация, когда ПК «не видит» домен. В этом случае нужно написать постфикс .local после названия домена (например SCRB.local)

Если указать Не добавлять учетную запись пользователя в домене (на компьютере), то это можно сделать позже, в настройках учетных записей пользователей панели управления. >> Далее.

Так как мне нужно установить программы на этот новый компьютер, я устанавливаю доступ администратора для учетной записи admin на этом компьютере.


Можно выполнить идентификацию с учетной записью того пользователя, который затем будет работать на этом компьютере, установить ей права администратора, настроить программы и затем установить обычный доступ. Чаще всего так и делается.


Нажимаем кнопку «Готово».

Видим, что имя и домен уже изменились, но изменения вступят в силу после перезагрузки. Перезагружаем компьютер.



После перезагрузки появится надпись нажать CTRL+ALT+DELETE и затем вход в учетную запись, которую мы только что добавили.

Компьютер добавлен в домен. На контроллере домена в списке компьютеров он тоже появился. Отключить нажатие CTRL+ALT+DELETE можно в настройках учетных записей пользователей панели управления или в локальной политике безопасности.

Добавление в домен можно выполнить без использования мастера. В свойствах системы нужно нажать кнопку «Изменить» (чуть ниже кнопки «Идентификация»). В открывшемся окне указать имя ПК и домен. Затем указать учетную запись с правом присоединения к домену и перезагрузить ПК.


Организовывать доменную сеть выгодно, потому, что она обладает рядом преимуществ и гибкой системой настроек в сравнении с обычной сетью. Например, можно создать сетевые папки с доступом только для определенных пользователей, через политики на контроллере домена задавать различные права и настройки для ПО и пользователей сети, блокировать учетные записи и тп.

В прошлой статье мы создали и настроили контроллер домена (DC) , настало время наполнить наш домен пользователями и рабочими станциями.

КОНФИГУРАЦИЯ

Открываем Server Manager и выбираем опцию Roles .

Из доступных ролей выбираем недавно установленную - Active Directory Domain Services , далее Active Directory Users and Computers и находим созданный нами домен (в нашем случае - merionet.loc ). В выпадающем списке объектов находим Users и кликаем по данной опции правой кнопкой мыши и выбираем New → User .

Отметим также, что вы можете создать свою группу и добавлять пользователей туда.

Перед нами откроется окно добавления нового пользователя. Заполняем учетные данные нового пользователя. Как правило, в корпоративных доменах, принято создавать именные учетные записи для того, чтобы в дальнейшем можно было отслеживать действия конкретного пользователя в целях безопасности и однозначно его идентифицировать.

Далее, нас просят ввести пароль для новой учетной записи и выбрать дополнительные опции:

  • User must change password at next logon - при включении данной опции, пользователя попросят сменить пароль при следующем логине;
  • User cannot change password - пользователь не сможет самостоятельно изменить свой пароль;
  • Password never expires - срок действия пароля пользователя никогда не истечет;
  • Account is disabled - учетная запись пользователя будем отключена и он не сможет залогиниться с доменными учетными данными, даже если они будут введены верно.

После того, как все данные будут заполнены, нас попросят подтвердить создание нового объекта.

Отлично, новый пользователь домена создан. Теперь нам нужно зайти на компьютер пользователя и ввести его в домен. Для этого логинимся на компьютер пользователя с локальными учетными данными и открываем Свойства компьютера . Как видите, наш компьютер пока еще не стал частью домена, он ещё является частью рабочей группы WORKGROUP /. Убедитесь, что компьютер пользователя имеет версию Windows не ниже Professional. Чтобы ввести его в домен выбираем Change Settings

Важно! Поддержка доменной инфраструктуры начинается только с версии Windows Professional . На версиях Starter, Home Basic, Home Premium подключиться к домену не получится!

Далее напротив опции "To rename this computer or change its domain or workgroup, click Change" нажимаем собственно Change

Важно! Для того, чтобы наш компьютер узнал о существующем контроллере домена нам нужно указать ему на DNS сервер, который имеет такую информацию. В нашем случае – контроллер домена является по совместительству DNS сервером для пользовательских машин. Поэтому мы указываем контроллер домена в качестве DNS сервера для настраиваемого компьютера.

Далее в открывшемся окне в опции "Member of" вместо Workgroup выбираем Domain и вводим имя нашего домена (в нашем случае – merionet.loc )

Далее нас попросят ввести учетные данные для учетной записи, которая уже создана и имеет право присоединиться к домену. Вводим учетные данные ранее созданного пользователя.

После чего, нас попросят перезагрузить компьютер для применения изменений.

После перезагрузки, мы можем логиниться уже с учетными данными доменного пользователя.

Как создать пользователя в Active Directory

Всем привет хочется начать цикл статей относительно Active Directory на примере windows server 2008R2. В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку «Active Directory – пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении. К недостатку данного метода можно отнести тот момент, что при создании учетной записи пользователя вы не можете сразу задать большинство атрибутов, и вам придется добавлять необходимые атрибуты путем редактирования учетной записи.

Как создать пользователя в Active Directory

Для того чтобы создать пользовательскую учетную запись, выполните следующие действия:

  • Откройте оснастку «Active Directory – пользователи и компьютеры». Для этого вам нужно открыть панель управления, в ней открыть раздел «Система и безопасность», затем «Администрирование» и в появившемся окне открыть оснастку «Active Directory – пользователи и компьютеры». Также вы можете воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» и в диалоговом окне «Выполнить», в поле «Открыть» ввести dsa.msc, а затем нажать на кнопку «ОК»;
  • В дереве оснастки, разверните узел своего домена и перейдите к подразделению, в котором будет создаваться пользовательская учетная запись. Для создания пользовательских учетных записей рекомендуется создавать дополнительные подразделения, после чего добавлять учетные записи пользователей в подразделения, отличающиеся от стандартного подразделения Users. Щелкните на этом подразделении правой кнопкой мыши и из контекстного меню выберите команду «Создать», а затем «Пользователь», как показано на следующей иллюстрации:

Создание пользователей при помощи оснастки ADUC-01

Создание пользователей при помощи оснастки ADUC-01

В появившемся диалоговом окне «Новый объект - Пользователь» введите следующую информацию:

  • В поле «Имя» введите имя пользователя;
  • В поле «Инициалы» введите его инициалы (чаще всего инициалы не используются);
  • В поле «Фамилия» введите фамилию создаваемого пользователя;
  • Поле «Полное имя» используется для создания таких атрибутов создаваемого объекта, как основное имя (Common Name) CN и отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически, а изменять его стоит лишь в случае необходимости;
  • Поле «Имя входа пользователя» является обязательным и предназначено для имени входа пользователя в домен. Здесь вам нужно ввести имя пользователя и из раскрывающегося списка выбрать суффикс UPN, который будет расположен после символа @;
  • Поле «Имя входа пользователя (Пред-Windows 2000)» предназначено для имени входа для систем предшествующих операционной системе Windows 2000. В последние годы в организациях все реже встречаются обладатели таких систем, но поле обязательно, так как некоторое программное обеспечение для идентификации пользователей использует именно этот атрибут. Про то как добавить поле отчество читаем тут. После того как заполните все требуемые поля, нажмите на кнопку «Далее»:

Создание пользователей при помощи оснастки ADUC-02

Создание пользователей при помощи оснастки ADUC-02

На следующей странице мастера создания пользовательской учетной записи вам предстоит ввести начальный пароль пользователя в поле «Пароль» и подтвердить его в поле «Подтверждение». Помимо этого, вы можете выбрать атрибут, указывающий на то, что при первом входе пользователя в систему пользователь должен самостоятельно изменить пароль для своей учетной записи. Лучше всего использовать эту опцию в связке с локальными политиками безопасности «Политика паролей», что позволит создавать надежные пароли для ваших пользователей. Также, установив флажок на опции «Запретить смену пароля пользователем» вы предоставляете пользователю свой пароль и запрещаете его изменять. При выборе опции «Срок действия пароля не ограничен» у пароля учетной записи пользователя срок действия пароля никогда не истечет и не будет необходимости в его периодическом изменении. Если вы установите флажок «Отключить учетную запись», то данная учетная запись будет не предназначена для дальнейшей работы и пользователь с такой учетной записью не сможет выполнить вход до ее включения. Данная опция, как и большинство атрибутов, будет рассмотрена в следующем разделе данной статьи. После выбора всех атрибутов, нажмите на кнопку «Далее». Эта страница мастера изображена на следующей иллюстрации:

Создание пользователей при помощи оснастки ADUC-03

Создание пользователей при помощи оснастки ADUC-03

Создание пользователей при помощи оснастки ADUC-04

Создание пользователей при помощи оснастки ADUC-04

Как мы видим наш пользователь создан, теперь давайте дозаполним информацию о нем, учтите, что чем более точно и полно вы заполните информацию о нем, тем проще вам потом будет. Щелкнем два раза по нужному пользователю.

Общие. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;

Создание пользователей при помощи оснастки ADUC-05

Создание пользователей при помощи оснастки ADUC-05

Адрес. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;

Создание пользователей при помощи оснастки ADUC-06

Создание пользователей при помощи оснастки ADUC-06

Учетная запись. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;

Создание пользователей при помощи оснастки ADUC-07

Создание пользователей при помощи оснастки ADUC-07

Профиль. Текущая вкладка позволяет вам указать путь к профилю, сценарий входа, локальный путь к домашней папке, а также сетевые диски, на которых будет размещена домашняя папка учетной записи;
Организация. На этой вкладке вы можете указать должность сотрудников, отдел, в котором они работают, название организации, а также имя руководителя отдела;

Создание пользователей при помощи оснастки ADUC-08

Создание пользователей при помощи оснастки ADUC-08

Члены групп. Здесь указывается основная группа и членство в группах.

-Создание пользователей при помощи оснастки ADUC-10

-Создание пользователей при помощи оснастки ADUC-10

И вкладка организация, где можно задать принадлежность к отделу и компании.

Читайте также: