>Не понял, а для более новых ОС разве не тот же samaccountname используется?
Он и используется, все верно. 99% организаций не используют UPN для входа.
>И чем тогда является просто «имя входа пользователя»? Частью userprincipalname?
Да, разумеется. Измените любой символ в нём и посмотрите на изменившийся UPN.
P.S. И да, если использовать userprincipalname, то войти получается. Всегда считал, что это userprincipalname является «deprecated» атрибутом. Используя пош при создании и модификации пользователей лишь раз или два использовал одновременно
поля samaccountname и userprincipalname, а так всегда только samaccountname. Собственно, я никогда и не натыкался на это ограничение.
А вот это очень опасное заблуждение. UPN, как раз атрибут незаменимый, ибо вам ничего не мешает добавить внутрь вашего utidisk.local домен @mail.ruв оснастке домены и трасты, (представим на минуту, что почтовый
сервер огранизация использует внешний), и задать UPN для Васи равным его адресу почты на мейле.
И Вася отныне сможет зайти (вот сейчас внимание) в любой домен в лесу (!), используя свой красивый и понятный UPN.
vasya1986@mail.ru, скажем. И не важно, в каком он домене в лесу, UPN понятно и уникально его идентифицирует. Представьте радость пользователя с длинным фио, которое плохо передается латиницей. Как
он будет входить в систему (вводить данные своей уз)?
В правильной организации UPN равен электропочте пользователя, и это крайне удобно при миграциях, настройках профиля без ввода повторных учетных данных, и (!) без ввода домена. Представьте, что вы мигрируете пользователей в новый домен.
Да десять раз на дню будут спрашивать- а что вводить в окошко аутентификации- старый домен OLDDOMAIN\vasya или новый?
То, что не натыкались, это хорошо. Наткнетесь, вспомните мой пост. Вывод- использовать UPN всегда, это крайне удобно и полезно.
-
Помечено в качестве ответа
Копылов Анатолий
23 января 2017 г. 7:06
Одной из проблем в Active Directory является множество имен, которые можно использовать для обозначения или описания объекта. Большинство этих имен являются атрибутами (или свойствами) объекта. Путаница возникает из-за того, что один и тот же атрибут может иметь разное имя, в зависимости от используемого провайдера. Кроме того, имя одного атрибута может ссылаться на другой атрибут, что также не добавляет ясности. Ну и наконец, у атрибутов существуют методы (функции), которые вычисляют значение имени из других атрибутов.
Попробуем разобраться в этой ситуации на примере объекта пользователя. Для этого откроем оснастку Active Directory Users and Computers (ADUC) и создадим новую учетную запись. При создании мы указываем Имя (First name), Фамилию (Last name) и инициалы (Initials), из которых формируется полное имя (Full name). Ну и целых два имени для входа — User logon name и User logon name (pre-Windows 2000).
А теперь перейдем к редактору атрибутов и посмотрим что получилось. Для этого необходимо в оснастке ADUC в меню View отметить пункт Advanced Features.
Открываем редактор атрибутов и видим знакомые имена, но под совершенно разными названиями.
Полному имени здесь соответствуют целых три атрибута — name, displayName и cn. Можно подумать, что это одно и то же, но нет — это совершенно разные атрибуты пользователя.
Полное имя (name) и общее имя (Common name, cn) — это два разных атрибута, хотя возвращают они одно и то же значение. Это происходит потому, что атрибут name аналогичен относительному отличительному имени (Relative Distinguished Name, RDN), а RDN — это часть отличительного имени (Distinguished Name, DN). Так если DN равно ″CN=Иванов Иван Иванович,CN=Users,DC=Test,DC=local″, то RDN будет ″CN=Иванов Иван Иванович″. Отсюда получаем, что если cn = ″Иванов Иван Иванович″, то name = ″cn=Иванов Иван Иванович″.
Получается довольно запутанно. Но если посмотреть с практической точки зрения, то можно сказать так — изменить значение атрибута cn мы не можем, оно всегда будет равно значению атрибута name.
Отображаемое имя (displayName) по умолчанию формируется по такому же принципу, как полное (name) и общее (cn) имена, однако не зависит от их значений. Для проверки изменим полное имя нашего пользователя. Как видите, полное и отображаемое имена изменяются независимо друг от друга.
А в редакторе атрибутов видим, что вместе со значением атрибута name изменилось и значение cn, хотя его мы и не меняли.
Кстати, кроме отображаемого имени (displayName) у пользователя есть еще отображаемое имя для печати (displayNamePrintable). Это два разных, независимых друг от друга атрибута.
Примечание. Атрибут displayNamePrintable используется почтовым сервером Exchanhe при отправке сообщений вне организации. Его можно использовать в том случае, если необходимо в письме показывать имя пользователя, отличное от DisplayName (напр. англоязычный вариант).
Идем дальше. Имя соответствует атрибуту givenName, а фамилия — атрибуту sn (Surname). Может найдется и отчество? Давайте попробуем поискать его с помощью PowerShell, командой:
Get-ADUser ivanov_ii -Properties * | select *name
Нашелся атрибут с названием OtherName, возможно это оно и есть?
Зададим этому атрибуту значение:
Get-ADUser ivanov_ii -Properties * | Set-ADUser -OtherName "Иванович"
и проверим что получилось. А получилось сразу два новых атрибута — OtherName и MiddleName, оба с заданным значением.
На самом деле это просто два названия одного и того же атрибута:
cn: OtherName
ldapDisplayName: MiddleName
При этом если в PowerShell мы видим оба имени, то в оснастке ADUC отображается только одно MiddleName.
Переходим к именам входа (logon names), которых у пользователя тоже два.
Если посмотреть в редакторе атрибутов, то User logon name (pre-Windows 2000) скрывается под именем sAMAccountname, а User logon name соответствует атрибуту userPrincipalName.
Давайте немного углубимся в детали и посмотрим, чем же отличаются эти два имени.
sAMAccountName — имя учетной записи SAM. Предназначено для для совместимости со старыми (до Windows 2000) операционными системами. Впрочем это не означает, что sAMAccountName не используется в качестве имени для входа в современных системах Windows. sAMAccountname должно быть уникальным в рамках домена, имеет ограничение в 20 символов и работает в сочетании с NETBIOS именем домена, например TEST\ivanov_ii. sAMAccountName является обязательным атрибутом пользователя.
userPrincipalName (UPN) — имя участника-пользователя. Это новый формат указания имени пользователя для входа в систему, основанный на интернет-стандарте RFC 822. Для входа используется сочетание имени пользователя с доменным суффиксом, например ivanov_ii@test.local. Имя участника-пользователя должно быть уникальным среди всех объектов-участников безопасности в лесу доменов. Максимальная длина UPN составляет 1024 символа. UPN не является обязательным атрибутом, оно может быть не назначено при создании учетной записи пользователя.
И еще два важных имени, которые есть у пользователя. Это DistinguishedName (различающееся имя) и CanonicalName (каноническое имя). Оба эти атрибута однозначно определяют объект в Active Directory.
Различающееся имя включает в себя относительное отличительное имя объекта (RDN), а также полный путь к контейнеру, содержащему объект в Active Directory, например ″CN=Иванов Иван Иванович,CN=Users,DC=Test,DC=local″. Каноническое имя — это то же различающееся имя объекта, но в каноническом виде, например ″test.local/Users/Иван Иванович Иванов″.
Примечание. CanonicalName является конструируемым атрибутом (constructed attribute). Такие атрибуты не хранятся явным образом в AD, а вычисляются на лету при получении соответствующих запросов.
Как видите, у пользователя в Active Directory множество различных имен. Чтобы немного их упорядочить я составил небольшую табличку, в которую внес все атрибуты пользователя, так или иначе имеющие отношение к его имени.
Имя атрибута | Имя в оснастке ADUC | Описание | Значение (пример) |
givenName | First name | Имя | Иван |
sn (SurName) | Last name | Фамилия | Иванов |
OtherName (middleName) | Дополнительное имя (напр. отчество) | Иванович | |
Initials | Initials | Инициалы | И |
CommonName (cn) | Общее имя | Иванов Иван Иванович | |
name | Full name | Полное имя | Иванов Иван Иванович |
displayName | Display name | Отображаемое имя | Иванов Иван Иванович |
DisplayNamePrintable | Отображаемое имя для печати | Иванов Иван Иванович | |
DistinguishedName (DN) | Отличительное (уникальное) имя | CN=Иванов Иван Иванович,CN=Users,DC=Test,DC=local | |
sAMAccountName | User logon name (pre-Windows 2000) | Имя входа пользователя (пред-Windows 2000) | Ivanov_ii |
userPrincipalName | User logon name | Имя входа пользователя | Ivanov_ii@test.local |
CanonicalName | Canonical Name | Имя объекта в каноническом формате | test.local/Users/Иван Иванович Иванов |
Ну а теперь главное) Как вы думаете, нужны ли все эти имена для создания учетной записи пользователя. Чтобы выяснить это, откроем редактор атрибутов и отфильтруем все атрибуты кроме обязательных (Mandatory). И оказывается, что для пользователя обязательными являются всего два имени — CommonName (cn) и sAMAccountName. Безо всех остальных пользователь может легко обойтись.
На этом все. А все возможные атрибуты пользователя в схеме Active Directory можно посмотреть вот здесь : https://learn.microsoft.com/en-us/windows/win32/adschema/c-user?redirectedfrom=MSDN
Имя входа пользователя (логин) является одним из ключевых параметров для работы в операционной системе Windows. Этот параметр определяет уникальность идентификации каждого пользователя и позволяет ему получить доступ к своему аккаунту. Перед появлением Windows 2000 и более ранних версий операционной системы, задание имени входа пользователя предъявляло особые требования и ограничения.
Одним из основных ограничений была возможность использования только латинских букв, цифр и некоторых специальных символов, таких как подчеркивание и дефис. Имя пользователя должно быть уникальным в пределах всей системы, и его длина не может превышать определенного значения (обычно 20 символов).
Чтобы задать имя входа пользователя, необходимо открыть меню управления или панель управления в системе Windows и выбрать «Учетные записи пользователей». Затем нужно выбрать нужного пользователя и нажать на кнопку «Изменить имя учетной записи». После этого откроется окно, в котором можно будет ввести новое имя входа пользователя.
Необходимо отметить, что с появлением Windows 2000 ограничения на имя входа пользователя были значительно смягчены. В новых версиях операционной системы допускается использование широкого диапазона символов, включая кириллицу, а также более длинные имена. Однако, для обеспечения совместимости с более старыми версиями Windows, рекомендуется использовать латинские символы и ограничиваться длиной в 20 символов.
Содержание
- Имя входа пользователя в Windows 2000
- Что такое имя входа пользователя
- Как задать имя входа пользователя в Windows 2000
- Способы изменения имени входа пользователя
- Как проверить текущее имя входа пользователя
Имя входа пользователя в Windows 2000
В операционной системе Windows 2000 имя входа пользователя (User Logon Name) представляет собой уникальную идентификацию пользователя при входе в систему. Оно используется для аутентификации пользователя и позволяет системе различать разных пользователей.
Имя входа пользователя должно быть уникальным в пределах компьютера или в рамках домена, если компьютер находится в доменной сети. Поэтому при выборе имени входа пользователя необходимо учитывать этот фактор.
В Windows 2000 существует несколько способов задать имя входа пользователя:
- При создании учетной записи пользователя в системе, пользователю будет предложено указать имя входа при выборе имени пользователя.
- Имя входа пользователя можно изменить через Панель управления. Для этого необходимо зайти в свойства учетной записи пользователя, выбрать вкладку «Учетные данные» и изменить поле «Имя пользователя».
- Если компьютер является частью доменной сети, то имя входа пользователя может быть изменено администратором домена через Active Directory Users and Computers.
Важно помнить, что изменение имени входа пользователя может повлиять на работу различных приложений и сервисов, которые используют это имя как идентификатор пользователя. Поэтому изменение имени входа пользователя лучше делать с осторожностью и обязательно проверять совместимость системы и приложений после изменения.
Что такое имя входа пользователя
В Windows операционные системы до версии 2000 включительно, имя входа пользователя ограничено 20 символами и не может содержать специальные символы. Обычно имя входа пользователя совпадает с именем учетной записи владельца компьютера или сервера, однако, в некоторых случаях, администратор системы может установить разные значения для этих полей.
При создании учетной записи пользователя в Windows операционных системах после Windows 2000, имя входа пользователя может содержать до 256 символов и допускает использование специальных символов, таких как точка, знак подчеркивания и дефис.
Как задать имя входа пользователя в Windows 2000
Имя входа пользователя представляет собой уникальный идентификатор, используемый для аутентификации и доступа к компьютеру под учетной записью пользователя. В Windows 2000 процесс задания имени входа пользователя немного отличается от более современных версий операционной системы Windows.
Для задания имени входа пользователя в Windows 2000 необходимо выполнить следующие действия:
Шаг | Действие |
1 | Откройте меню «Пуск» и выберите «Настройка». |
2 | Выберите «Панель управления» и откройте раздел «Пользователи и пароли». |
3 | Нажмите на кнопку «Добавить» и введите желаемое имя входа пользователя в поле «Имя учетной записи». |
4 | Задайте пароль для новой учетной записи пользователя, введя его в соответствующее поле. |
5 | Нажмите на кнопку «Создать» для создания нового пользователя. |
После выполнения этих действий имя входа пользователя будет успешно задано в операционной системе Windows 2000.
Важно отметить, что имя входа пользователя должно быть уникальным в пределах компьютера и не должно содержать недопустимые символы или пробелы. Рекомендуется использовать латинские буквы, цифры и специальные символы.
Способы изменения имени входа пользователя
Изменение имени входа пользователя может понадобиться по разным причинам, например, если входная учетная запись была создана с ошибкой или требуется изменить имя для более удобного использования. Возможно изменить имя входа пользователя в Windows до версии 2000 с помощью следующих способов:
1. Через Панель управления
На панели задач щелкните правой кнопкой мыши значок «Пуск» и выберите «Панель управления». Откроется окно с настройками вашей системы. В разделе «Учетные записи пользователей» выберите «Смена имени учетной записи». Введите новое имя входа пользователя и сохраните изменения.
2. Через командную строку
Для изменения имени входа пользователя через командную строку выполните следующие действия:
- Нажмите клавиши Win + R, чтобы открыть окно «Выполнить».
- Введите «cmd» и нажмите Enter, чтобы открыть командную строку.
- В командной строке введите команду «netplwiz» и нажмите Enter.
- Откроется окно «Пользователи». В списке пользователей выберите нужную учетную запись и нажмите кнопку «Свойства».
- В открывшемся окне выберите вкладку «Общие» и измените имя входа пользователя в поле «Имя пользователя».
- Нажмите «ОК», чтобы сохранить изменения.
3. Через реестр Windows
Если вы знакомы с работой с реестром, можете изменить имя входа пользователя, отредактировав определенные ключи. Однако перед внесением изменений в реестр рекомендуется создать резервную копию системы. Вот как это сделать:
- Нажмите клавиши Win + R, чтобы открыть окно «Выполнить».
- Введите «regedit» и нажмите Enter, чтобы открыть редактор реестра.
- Перейдите к следующему пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList.
- В правой части редактора реестра найдите ключ с именем пользователя, который хотите изменить.
- Щелкните правой кнопкой мыши на этом ключе и выберите «Переименовать».
- Введите новое имя и нажмите Enter, чтобы сохранить изменения.
После изменения имени входа пользователя может потребоваться перезагрузить компьютер, чтобы изменения вступили в силу.
Важно помнить, что при изменении имени входа пользователя некоторые файлы и папки, связанные с предыдущим именем пользователя, могут оставаться неизменными. При необходимости есть возможность изменить пути к этим файлам и папкам вручную, чтобы соответствовать новому имени входа.
Как проверить текущее имя входа пользователя
Чтобы узнать текущее имя входа пользователя в операционной системе Windows, можно воспользоваться командой «whoami» в командной строке или PowerShell.
1. Откройте командную строку или PowerShell. Для этого нажмите клавишу Win+R, введите «cmd» или «powershell» и нажмите Enter.
2. В командной строке или PowerShell введите команду «whoami» и нажмите Enter.
3. На экране отобразится текущее имя входа пользователя, например «DOMAIName» или «computernameame».
4. Запомните или запишите текущее имя входа пользователя для последующего использования.
Обратите внимание, что команда «whoami» показывает не только имя пользователя, но и другую информацию, например, SID (идентификатор безопасности) или группы, в которые входит пользователь.
Введение
К очередному типу объектов Active Directory относятся объекты компьютеров. В доменных службах Active Directory компьютеры представлены в качестве учетных записей и объектов аналогично пользователям и используются для представления контроллеров доменов, клиентских компьютеров, а также рядовых серверов. Компьютеры входят в сеть домена так же, как и пользователи, проходя проверку подлинности. Также как и пользовательские учетные записи, компьютеры можно заключать в группы, назначать им доступ к сетевым ресурсам, управлять ими средствами групповых политик. У учетных записей компьютеров, аналогично записям пользователей есть атрибут objectClass. Но в отличие от пользовательской учетной записи, учетная запись компьютера состоит из имени с прикрепленным знаком доллара, а также пароля, который присваивается автоматически и автоматически меняется каждые 30 дней. Управление идентификацией компьютеров в качестве объектов учетных записей обусловлено тем, что абсолютно в любой организации компьютеры могут переходить от одного пользователя к другому, могут быть приобретены новые компьютеры, компьютеры могут устаревать и списываться, а также могут выходить из строя и отправляться на ремонт. Помимо создания учетных записей компьютеров, к основным административным задачам, выполняемым во время поддержки учетных записей компьютеров на протяжении их жизненного цикла можно отнести присоединение компьютеров к домену, сброс учетной записи, делегирование разрешения создания компьютеров, а также удаление компьютеров из домена.
Стоит помнить, что изначально учетная запись компьютера состоит в рабочей группе и для того, чтобы пользователь смог зайти в доменную сеть под своей учетной записью, нужно присоединить компьютер к домену. Основным недостатком рабочей группы является то, что каждая система поддерживает локальное хранилище объектов идентификации, которое называется базой данных диспетчера безопасности учетных записей (Security Accounts Manager) SAM и при входе пользователя система выполняет проверку подлинности на локальной машине. Причем присоединяемый компьютер должен содержать учетную запись в домене, которая включает в себя имя входа, идентификатор безопасности SID и пароль, указывающие, что данная учетная запись является принципалом безопасности. Перед тем как присоединять компьютер к домену вы должны убедиться, что данных компьютер соответствует следующим требованиям: у вас есть право на присоединение компьютера к домену, объект компьютера создан в домене, а также вы должны войти в присоединяемый компьютер как локальный администратор.
По умолчанию учетные записи компьютеров создаются в контейнере Computers, который является классом container и отличается от подразделения тем, что в данном контейнере вы не можете создавать дочернее подразделение и к нему невозможно привязать объекты групповых политик, что в производственной среде считается крайне неудобным. Поэтому вам перед тем как создавать учетные записи компьютеров, нужно спланировать подразделения, в которых будут храниться учетные записи компьютеров. В этой статье не будут описываться такие моменты, как создание подразделения для учетных записей компьютеров, присоединение компьютеров к домену, смена пароля для учетной записи компьютера, делегирование разрешений на создание учетных записей компьютера и удаление компьютеров. Все эти вопросы будут рассмотрены в одной из следующих статей. Из этой статьи вы узнаете о том, как можно создавать учетные записи компьютеров.
Создание учетной записи компьютера перед тем, как учетная запись будет присоединяться к домену, называется предварительным размещением компьютера. Для того чтобы предварительно разместить учетную запись компьютера при помощи оснастки «Active Directory – пользователи и компьютеры», выполните следующие действия:
- Откройте оснастку «Active Directory – пользователи и компьютеры». Для этого вам нужно открыть панель управления, в ней открыть раздел «Система и безопасность», затем «Администрирование» и в появившемся окне открыть оснастку «Active Directory – пользователи и компьютеры». Также вы можете воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» и в диалоговом окне «Выполнить», в поле «Открыть» ввести dsa.msc, а затем нажать на кнопку «ОК»;
- В дереве оснастки разверните домен, в котором будет создаваться учетная запись компьютера, после чего выберите подразделение. Щелкните на этом подразделении правой кнопкой мыши, выберите команду «Создать», а после чего команду «Компьютер»;
- В отобразившемся диалоговом окне «Новый объект — Компьютер», в текстовых полях «Имя компьютера» и «Имя компьютера (пред-Windows 2000)» введите имя учетной записи компьютера, причем, во избежание возможных проблем, эти имена должны быть одинаковыми. Так как присоединить компьютер к домену могут только определенные пользователи или группы, в поле «Имя пользователи или группы» вы можете указать конкретного пользователя или группу, которым будет разрешено присоединять данный компьютер к домену. Для того чтобы указать такую учетную запись, нажмите на кнопку «Изменить» и в отобразившемся диалоговом окне «Выбор «Пользователь» или «Группа»» укажите имя пользователя или группы, которым будет разрешено присоединить компьютер к домену. После того как вся информация будет задана, нажмите на кнопку «ОК». Диалоговое окно «Новый объект – Компьютер» отображено ниже:
Рис. 1. Добавление учетной записи компьютера при помощи графического интерфейса
Создание учетной записи компьютера средствами командной строки
В отличие от учетных записей пользователей и групп, вы можете создавать учетные записи компьютеров при помощи двух команд: команды Dsadd и команды Netdom.
Команда Dsadd, как говорилось в статьях, в которых я описывал методы создания пользовательских учетных записей и учетных записей групп требует указания модификатора computer, который задает команду применения параметров для создания учетной записи компьютера. Опять же, как и в предыдущих случаях, после модификатора вам нужно указать отличительное имя компьютера, которое должно быть заключено в кавычки в том случае, если оно содержит пробелы, а также, при необходимости, дополнительные параметры. Синтаксис команды следующий:
Dsadd computer DN_компьютера –дополнительные_параметры
где вы можете воспользоваться следующими дополнительными параметрами:
- -samid. Используя данный параметр, вы можете указать имя учетной записи компьютера. Если данный параметр не будет указан, то атрибут samid будет сформирован из имени DN объекта;
- -desc. При помощи этого параметра вы можете указать описания для создаваемого компьютера;
- -loc. Данный параметр отвечает за размещение создаваемой учетной записи;
- -s. Этот параметр задает контроллер домена, к которому будет подключен данный компьютер;
- -d. Данный параметр позволяет подключить компьютер к указанному домену;
- -memberof. Используя этот параметр, вы можете добавить компьютер в одну или несколько групп;
- -uc. При помощи этого параметра вы можете указать форматирование ввода или вывода из канала в Юникод;
- -uco. Этот параметр позволяет задавать форматирование вывода в канал в Юникоде;
- -uci. Данный параметр указывает форматирование ввода из канала в Юникоде;
- -u. Позволяет подключать компьютер к домену от указанной вами учетной записи пользователя;
- -p. Используя этот параметр, вы можете указать пароль для учетной записи пользователя, которая была указана при помощи параметра –u;
- -q. Данный параметр задает создание учетной записи компьютера в тихом режиме.
Пример использования:
Dsadd computer “CN=COMPUTER357,OU=Компьютеры филиала,DC=testdomain,DC=com” –samid COMPUTER357 –desc “Компьютер отдела Маркетинг”
Рис. 2. Создание компьютеров средствами Dsadd
Команда Netdom в большинстве случаев используется для присоединения компьютера к домену, но вы как администратор при помощи данной команды можете также создавать учетные записи компьютеров. Также как и команда Dsadd computer, текущая команда позволяет создавать учетную запись компьютера в указанном домене, используя учетные данные, которые будут указаны вами. С текущей командой вы можете указать следующие параметры:
- /Domain. При помощи этого параметра вы можете указать домен, в котором будет создана учетная запись компьютера;
- /UserD. Данный параметр указывает учетную запись пользователя, которому разрешается подключить компьютер к домену;
- /PasswordD. Этот параметр позволяет задать пароль для учетной записи, которую вы указали используя параметр UserD;
- /Server. Текущий параметр указывает контроллер домена, который используется для добавления учетной записи компьютера;
- /OU. Данный параметр назначает создание объекта в подразделении, отличительное имя которого указано после этого параметра. В том случае, если вы пропускаете данный параметр, то учетная запись компьютера будет создана в подразделении, которое установлено по умолчанию;
- /DC. Если вы указываете данный параметр, то учётная запись компьютера назначается для контроллера домена, причем в этом случае вы не можете совместно указать параметр OU;
- /SecurePasswordPromt. Данный параметр целесообразно использовать в том случае, если в параметре PasswordD было указано значение * и для авторизации учетных данных вы используете смарт-карты.
Пример использования:
Netdom Add COMPUTER358 /Domain:testdomain
Рис. 3. Создание компьютеров средства Netdom
Создание компьютеров при помощи команд CSVDE и LDIFDE
Утилита командной строки Comma-Separated Values Data Exchange (SCVDE) была подробным образом рассмотрена в статьях, где были описаны способы создания учетных записей компьютеров и групп. Вы уже должны знать о том, что данная команда позволяет импортировать и экспортировать объекты Active Directory из csv-файла. Для этой команды вы можете применять следующие параметры:
- -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
- -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
- -k. Параметр, предназначенный для продолжения импорта, пропуская все возможные ошибки;
- -v. Параметр, используя который вы можете вывести подробную информацию;
- -j. Параметр, отвечающий за расположение файла журнала;
- -u. Параметр, позволяющий использовать режим Юникода.
Как вы уже знаете, файлы Lightweight Directory Access Protocol Data Interchange Format (LDIF) также указываются в виде текстовых файлов, где все операции задаются в виде блоков строк, разделенных пустой строкой. В этих файлах каждая новая операция начинается с атрибута DN объекта, после чего идут дополнительные параметры. Как вам уже известно, с этой командой могут применяться следующие параметры:
- -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
- -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
- -k. Параметр, предназначенный для продолжения импорта, пропуская все возможные ошибки;
- -v. Параметр, используя который вы можете вывести подробную информацию;
- -j. Параметр, отвечающий за расположение файла журнала;
- -d. Параметр, указывающий корень поиска LDAP;
- -f. Параметр, предназначенный для фильтра поиска LDAP;
- -p. Представляет собой область или глубину поиска;
- -l. Предназначен для указания списка атрибутов с разделительными запятыми, который будет включен в экспорт результирующих объектов;
Создание учетных записей компьютеров, используя Windows PowerShell
Стоит обратить внимание на то, что при помощи VBScript учетные записи компьютеров создаются также как и учетные записи пользователей. То есть, для начала вам нужно подключиться к контейнеру, затем создать сам объект, а после чего заполнить его атрибуты и подтвердить изменение. Как и в случае с учетными записями пользователей и групп, вы можете создавать учетные записи компьютеров при помощи командлета New-ADComputer. Стоит обратить внимание на то, что при помощи текущего командлета вы можете редактировать почти все доступные атрибуты, вы не можете присоединять компьютер к домену, используя функционал данного командлета. Во всех случаях, данный командлет используется до того как пользователь попробует присоединить компьютер к домену. Также как и в случае с командлетами New-ADUser и New-ADGroup, параметр Path позволяет задавать подразделение, в котором будет размещена учетная запись компьютера. Если вы заранее знаете точную дату выведения компьютера из эксплуатации, вы можете задать дату окончания срока действия учетной записи компьютера при помощи параметра –AccountExpirationDate. Значением этого параметра выступают дата и время в формате DateTime, причем, если значением данного параметра будет указан 0, срок действия учетной записи никогда не истечет. Пароль для текущей учетной записи компьютера вы можете задать, используя параметр -AccountPassword. Длина пароля не должна превышать 240 символов. Параметры –DisplayName и –Description отвечают за имя и описание объекта. В некоторых случаях сразу после создания, учетная запись отключается. Это можно реализовать при помощи параметра –Enabled, указав значение $false. Пользователя или группу, которые управляют этим объектом, задают при помощи параметра –ManagedBy. Синтаксис командлета следующий:
New-ADComputer [-Name] <string> [-AccountExpirationDate <System.Nullable[System.DateTime]>] [-AccountNotDelegated <System.Nullable[bool]>] [-AccountPassword <SecureString>] [-AllowReversiblePasswordEncryption <System.Nullable[bool]>] [-AuthType {<Negotiate> | <Basic>}] [-CannotChangePassword <System.Nullable[bool]>] [-Certificates <X509Certificate[]>] [-ChangePasswordAtLogon <System.Nullable[bool]>] [-Credential <PSCredential>] [-Description <string>] [-DisplayName <string>] [-DNSHostName <string>] [-Enabled <System.Nullable[bool]>] [-HomePage <string>] [-Instance <ADComputer>] [-Location <string>] [-ManagedBy <ADPrincipal>] [-OperatingSystem <string>] [-OperatingSystemHotfix <string>] [-OperatingSystemServicePack <string>] [-OperatingSystemVersion <string>] [-OtherAttributes <hashtable>] [-PassThru <switch>] [-PasswordNeverExpires <System.Nullable[bool]>] [-PasswordNotRequired <System.Nullable[bool]>] [-Path <string>] [-SAMAccountName <string>] [-Server <string>] [-ServicePrincipalNames <string[]>] [-TrustedForDelegation <System.Nullable[bool]>] [-UserPrincipalName <string>] [-Confirm] [-WhatIf] [<CommonParameters>]
Пример использования:
New-ADComputer -Name “DESKTOP360” -sAMAccountName “DESKTOP360” -Path “OU=Компьютеры филиала,DC=testdomain,DC=com” -AccountPassword $null -Enabled $true -OperatingSystem “Windows 7” -PasswordNeverExpires $true
Рис. 4. Создание учетной записи компьютера, используя PowerShell
Заключение
Из этой статьи вы узнали о пяти методах создания учетных записей компьютеров. Подробно было рассмотрено создание учетных записей компьютеров при помощи графического интерфейса, утилит командной строки Dsadd и Netdom, а также средствами командлета New-ADGroup командной оболочки Windows PowerShell. Вкратце были рассмотрено создание компьютеров средствами утилит CSVDE, LDIFDE и при помощи функционала VBScript.