9.5. Управление пользователями

⁠9.5. Управление пользователями

Учетная запись пользователя AD:

удостоверяет личность пользователя;
разрешает или запрещает доступ к ресурсам домена.

В ADMC предусмотрена возможность создания новых учётных записей пользователей в доменных службах AD и управления существующими учётными записями пользователей.

Примечание

Для доступа к некоторым операциям необходимо быть членом одной из этих групп: Account Operators, Domain Admins, Enterprise Admins.

Примечание

Объект InetOrgPerson является производным от класса пользователь (user). Он может работать в качестве субъекта безопасности так же, как и объект класса пользователь. Для создания учётной записи InetOrgPerson в контекстном меню контейнера следует выбрать пункт Создать → inetOrgPerson.

⁠9.5.1. Создание учётной записи пользователя

Для создания учётной записи пользователя в контекстном меню контейнера следует выбрать пункт Создать → Пользователь. Окно мастера создания учётной записи пользователя:

При создании учётной записи пользователя можно указать следующие параметры (атрибуты):

Имя — имя пользователя;
Фамилия — фамилия пользователя;
Полное имя — полное имя пользователя (в это поле можно добавить отчество или поменять имя и фамилию местами);
Инициалы — инициалы пользователя;
Имя для входа — имя пользователя для входа (логин пользователя). В раскрывающемся списке перечисляются доступные суффиксы основного имени пользователя (UPN), которые можно использовать для создания имени пользователя для входа. Список содержит полное имя системы доменных имен (DNS) текущего домена и все альтернативные суффиксы UPN:
Имя для входа (до Windows 2000) — имя пользователя для входа в старые системы (пред-Windows 2000);
Пароль/Подтвердите пароль — пароль пользователя;
Пользователь должен сменить пароль при следующем входе в систему — пользователь должен изменить пароль при следующем входе в систему. Если эта опция включена, только пользователь будет знать свой пароль;
Пользователь не может изменить пароль — предотвращает изменение пароля пользователем;
Пароль не истекает — установить бессрочный пароль. Если эта опция включена, срок действия учётной записи пользователя не ограничен (по умолчанию срок действия пароля задан атрибутом minPwdAge);
Учетная запись отключена — отключить учётную запись пользователя. Если эта опция включена, пользователь не сможет войти в систему.

Примечание

Для совместимости с доменами пред-Windows 2000 (Windows NT) в AD задается два имени пользователя, значения которых имеют разный формат. Первое имя, используемое в доменах Window 2k, — UPN-имя, которому в AD соответствует поле userPrincipalName, имеющее формат user@domain, где domain — DNS-имя домена, например, TEST.ALT; user — имя пользователя в сети. Для удобства назначения имен UPN-имя разделено на две части (префикс UPN и суффикс UPN). Второе задаваемое имя пользователя — SAM-имя, которое используется для совместимости в доменах Windows NT. Структура SAM-имени следующая: domain\user, где domain — сокращенное имя домена, например, TEST; user — имя пользователя. В AD хранится только имя пользователя в поле samAccountName. Первая часть SAM-имени однозначно вычисляется из DNS-имени домена.

По умолчанию суффиксом основного имени (UPN) для учётной записи пользователя является DNS имя домена AD, которое содержит учётную запись пользователя. Для упрощения процессов администрирования и входа пользователя в систему можно добавить альтернативные суффиксы UPN.