Служба каталогов Active Directory. Локальные учетные записи

27.07.2019

Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.

Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:

У вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена (Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));

Объект компьютера создан в домене;

Вы должны войти в присоединяемый компьютер как локальный администратор.

У многих администраторов второй пункт может вызвать негодование, - зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.

Теперь разберем способы создания компьютера (компьютеров) в AD:

Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».

Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать "Пуск- Панель управления- Система и безопасность- Администрирование- " выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите "Создать- Компьютер ".

Впишите имя компьютера.

Создание учетной записи компьютера с помощью команды DSADD.

Общий вид команды:

dsadd computer [-desc <описание>] [-loc <расположение>] [-memberof <группа...>] [{-s <сервер> | -d <домен>}] [-u <пользователь>] [-p {<пароль> | *}] [-q] [{-uc | -uco | -uci}]

Параметры:

Значение Описание
Обязательный параметр. Задает различающееся имя (DN) добавляемого компьютера.
-desc <описание> Задает описание компьютера.
-loc <размещение> Задает размещение компьютера.
-memberof <группа...> Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN <группа...>.
{-s <сервер> | -d <домен>}
-s <сервер> задает подключение к контроллеру домена(DC) с именем <сервер>.
-d <домен> задает подключение к DC в домене <домен>.
По умолчанию: DC в домене входа.
-u <пользователь> Подключение под именем <пользователь>. По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).
-p {<пароль> | *} Пароль пользователя <пользователь>. Если введена *, будет запрошен пароль.
-q "Тихий" режим: весь вывод заменяется стандартным выводом.
{-uc | -uco | -uci}

-uc Задает форматирование ввода из канала или вывода в канал в Юникоде.
-uco Задает форматирование вывода в канал или файл в Юникоде.
-uci Задает форматирование ввода из канала или файла в Юникоде.

Пример использования команды Dsadd:

Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”

Создание учетной записи рабочей станции или сервера с помощью команды Netdom.

Общий вид команды Netdom:

NETDOM ADD <компьютер> ]
<компьютер> это имя добавляемого компьютера
/Domain указывает домен, в котором требуется создать учетную запись компьютера
/UserD учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU.
/OU подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.

Создание объекта Компьютер с помощью Ldifde () и Csvde ().

Администрирование учетной записи компьютеров в Active Directory.

Переименование компьютера в AD.

Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:

Netdom renamecomputer <Имя компьютера> /Newname: <Новое имя>

Пример: Netdom renamecomputer COMP01 /Newname: COMP02

Удаление учетных записей компьютера.

1 Удалить учетную запись компьютера с помощью оснастки "Active Directory – пользователи и компьютеры ". Запускаете оснастку "Active Directory – пользователи и компьютеры " находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете "Удалить ", подтверждаете удаление

2 Удалить компьютер можно с помощью команды DSRM:

DSRM

DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.

Устранение ошибки "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом".

Иногда при попыдке войти в компьютер пользователь получает сообщение "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом ". Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:

1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать "Переустановить учетную запись" (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.

2 С помощью команды Netdom :

Netdom reset <имя машины> /domain <Имя домена> /User0 <Имя пользователя> /Password0 <Пароль> без кавычек <>

Пример: Netdom reset COMP01 /domain сайт /User0 Ivanov /Password *****

3 С помощью команды Nltest :

Nltest /server:<Имя компьютера> /sc_reset:<Домен>\<Контроллер домена>

Инструкция

Создавая домашнюю сеть можно организовать доступ к сетевому принтеру всем компьютерам рабочей группы. Для этого необходимо настроить их соответствующим образом, а именно задать ip-адреса, указать имена компьютеров и добавить в одну группу. Все необходимые настройки, значения которых вы измените, находятся в системной папке «Панель управления».

Прежде всего вам необходимо задать имена компьютерам и определить их рабочую группу. Для этого перейдите к рабочему столу и нажмите правой кнопкой мыши на значке «Мой компьютер». В открывшемся контекстном меню выберите пункт «Свойства». Перед вами появится апплет «Свойства системы», для быстрого вызова которого используется сочетание клавиш Win + Pause Break.

В этом апплете перейдите к вкладке «Имя компьютера». Желательно создать список компьютеров, в котором вы укажите не только их имена, но и ip-адреса. Воспользовавшись этим списком, задайте имя каждому компьютеру. Чтобы изменить имя, нажмите кнопку «Изменить» в нижней части апплета. В открывшемся окне замените прежнее имя на недавно записанное в список.

Также в этой вкладке вы можете задать имя рабочей группы. По умолчанию - Workgroup. Рекомендуется заменить на более простое название, например, Net или Connect. Нажмите кнопку «ОК» для сохранения изменений. Перед вами появится небольшое окно с уведомлением о входе в новую рабочую группу. В нижней части окна «Свойства системы» появится уведомление о необходимости перезагрузки системы, но этого пока не стоит, поэтому после нажатия на кнопку «ОК», выберите «Нет».

Теперь осталось присвоить каждому компьютеру свой ip-адрес, чтобы не нарушался порядок их определения в сети. Нажмите меню «Пуск», выберите пункт «Панель управления». В открывшейся папке дважды щелкните по значку «Сетевые подключения», нажмите правой кнопкой мыши на элементе «Подключение по локальной сети» и выберите пункт «Свойства».

Нажмите правой кнопкой мыши на строке «Протокол (TCP/IP)» и выберите пункт «Свойства». Перейдите к блоку «Использовать следующий IP-адрес» и введите для каждого компьютера индивидуальное значение с разницей в одну единицу. Например, «Дмитрий» - 192.168.1.3; «Павел» - 192.168.1.4 и т.д. Стоит отметить, что в связке 192.168.1.x, рекомендуется начинать отсчет с цифры №3, т.к. первые два значения используются роутером и модемом.

Во всех окнах нажмите кнопки «ОК» и на запрос о перезагрузке ответьте положительно либо отрицательно, если есть несохраненные документы. Затем выполните перезагрузку самостоятельно, используя меню «Пуск».

Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

Локальные учетные записи против доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами - P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) - объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей - аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

Administrators
Domain Admins
Domain Users
Enterprise Admins
Group Policy Creator Owners
Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

Создаем учетные записи пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object - User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Создаем шаблоны

Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции - создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.

Я обнаружила несколько полезных приемов создания и копирования шаблонов:

присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
назначать всем шаблонам один и тот же пароль;
отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).

Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object - User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.

Введите стандартный пароль компании и назначьте его новому пользователю.
Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
Поставьте флажок User must change password at next logon.
Щелкните Next, затем Finish.

Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.

Кэти Ивенс - редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу:

В этом разделе рассматриваются методы ведения учетных записей пользователей и возможности, предоставляемые для
этого Exchange.

Создание учетных записей пользователей, подключенных к почтовым ящикам, и пользователей, подключенных к почте

Для каждого пользователя, который хочет работать с сетевыми ресурсами, необходимо создать учетную запись. Рассмот рим, как настроить доменные учетные записи, подключенные к почтовым ящикам, и доменные учетные записи, подключенные к почте. Если пользователю требуется отправлять и принимать электронную почту, то необходимо создать учетную "запись, подключенную к почтовому ящику. В противном случае достаточно учетной записи, подключенной к почте.

Понятия имен входа и паролей

Прежде чем создавать доменную учетную запись, следует по думать о новом имени входа и пароле. Все доменные
учетные записи распознаются по имени входа. Оно может совпадать (хотя это не обязательно) с адресом электронной
почты пользователя. В доменах Windows имя входа состоит из двух частей:

User name (Имя пользователя) - текстовая метка учетной записи;
User domain (Домен пользователя) - домен, в котором находится учетная запись пользователя.

Полное имя входа Windows для пользователя williams в домене adatum.com [email protected]. С учетными записями
пользователей могут быть связаны пароли и открытые сертификаты (public certificates). Пароль - это символьная строка для подтверждения прав доступа учетной записи. Открытый сертификат представляет собой комби-Нацию двух ключей (открытого и секретного) для идентификации пользователя. Вход с применением пароля осуществляется в диалоговом режиме, вход с рименением открытого сертификата - с помощью смарт-карты и устройства считывания смарт-карт.

Хотя при описании прав и разрешений Windows выводит на экран имена пользователей, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifiers, SID). SID - это уникальный идентификатор, который генерируется при создании учетной записи. Он состоит из доменного префикса идентификатора безопасности и уникального связанного идентификатора. Эти идентификаторы используются Windows для отслеживания учетных записей независимо от имен пользователей. SID выполняют множество функций; две наиболее важные из которых - возможность легко изменять имена пользователей, а также удалять учетные записи без опасения, что некто посторонний получит несанкционированный доступ к ресурсам просто путем воссоздания учетной записи.

При изменении имени пользователя вы даете указание Windows сопоставить конкретный SID новому имени. При удалении записи вы указываете Windows, что конкретный SID впредь недействителен. Если после этого будет даже создана учетная запись с тем же именем пользователя, новая учетная запись не получит те же права и разрешения, что предыдущая, так как новая учетная запись будет иметь новый SID.

Создание доменных учетных записей с почтовыми ящиками и без них

Вообще говоря, существует два способа создания новых доменных учетных записей.

Создание новой учетной записи. Щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, укажите New (Создать) и выберите User (Пользователь). Запустится мастер New Object - User (Новый объект - Пользователь), показанный на рис. 5-5. При создании новой учетной записи применяются системные параметры настройки по умолчанию.
Создание новой учетной записи на базе существующей учетной записи. Откройте Active Directory Users and Computers, щелкните правой кнопкой учетную запись пользователя, которую вы хотите копировать, и выберите Сору (Копировать). Запустится мастер Copy Object - User

Рис. 5-5. Настройка отображаемого имени и регистрационного
имени пользователя с помощью диалогового окна New Object -
User

(Копировать объект - Пользователь), окно которого очень похоже на диалоговое окно New User (Новый пользователь). Однако при создании копии учетной записи большинство значений параметров окружения новой учетной записи берутся из существующей учетной записи. К сохраняемым параметрам относятся: участие в группах учетных записей, значения параметров профиля, права соединения
через телефонную линию, срок окончания действия учетной записи, разрешенное время входа в систему и разрешенные рабочие станции для входа в систему.

Вот как создать новую учетную запись пользователя посредством мастера New Object - User или Copy Object - User.
1. На первой странице задается выводимое имя и имя входа пользователя (рис. 5-5). Ведите имя и фамилию пользователя в соответствующие поля. Они необходимы для формирования параметра Full Name (Полное имя), которое выводится на экране как имя пользователя.
2. При необходимости внесите изменения в поле Full Name (Полное имя). Например, можно ввести имя в формате <фамилия><имя><второй инициал> или в формате <имя> <второй инициал><фамшия>. Длина записи в Full Name (Полное имя) - не более 64 символов.
3. В поле User Logon Name (Имя входа пользователя) введи те имя входа пользователя. В раскрывающемся списке выберите домен, с которым должна быть связана учетная запись. В результате генерируется полное имя входа.
4. Первые 20 символов имени входа образуют имя входа для операционных систем более ранних, чем Windows 2000. Оно
должно быть уникальным в пределах своего домена. В случае необходимости измените имя входа для операционных
систем более ранних, чем Windows 2000.
5. Щелкните Next (Далее). Настройте параметры пароля пользователя (рис. 5-6). Для этого диалогового окна возможны следующие варианты выбора.

Рис. 5-6. Настройка пароля пользователя

Password (Пароль). Пароль для данной учетной записи. Он должен отвечать условиям вашей парольной политики.
Confirm Password (Подтверждение). Поле для проверки того, что вы правильно назначили пароль учетной записи. Для подтверждения пароля просто наберите егоеще раз.
User must change password at next logon (Требовать смену пароля при следующем входе в систему). Если помечен этот флажок, пользователь должен изменить пароль при входе в систему. Этот флажок установлен по умолчанию для всех новых пользователей.
User cannot change password (Запретить смену пароля пользователем). Если установлен этот флажок, пользователь не может изменить пароль.
Password never expires (Срок действия пароля неограничен). Если помечен этот флажок, то пароль учетной записи имеет неограниченный срок действия. Это значение параметра имеет приоритет над доменной политикой учетных записей. Вообще говоря, задавать неограниченный срок действия пароля - это не очень хорошая идея, так как при этом снижается безопасность, которая является важным фактором.
Account is disabled (Отключить учетную запись). Если установлен этот флажок, то учетная запись заблокирована и ее не удастся использовать. Этот флажок применяется для временного запрета использования учетной записи.

6. Щелкните Next (Далее). Если вы надлежащим образом на строили на этом компьютере расширения Exchange, то по лучите возможность предоставить учетной записи почтовый ящик. Если вы не хоитите предоставлять пользователю почтового ящика, сбросьте флажок Create an Exchange mailbox (Создать почтовый ящик Exchange) и пропустите пункты 7 и 8.
7. Имени входа присваивается псевдоним Exchange по умолчанию (рис. 5-7), чтобы изменить его, введите новое значение вручную. Псевдоним Exchange необходим для задания адреса электронной почты пользователя.
ПримечаниеНа практике значение по умолчанию псевдонима Exchange присваивается имени входа для операционных систем более ранних, чем Windows 2000; как правило, оно совпадает с именем входа пользователя. Однако если вы измените имя входа для операционных систем более ранних, чем Windows 2000, то значение по умолчанию псевдонима Exchange будет присвоено веденному вами значению.

Рис. 5-7. Настройка почтового ящика Exchange пользователя

8. Если Information Store (Хранилище данных) настроено на работу с несколькими серверами Exchange, в раскрывающемся списке серверов необходимо указать сервер, на котором должен храниться почтовый ящик. Кроме того, если имеется несколько хранилищ почтовых ящиков, то следу ет задать хранилище для почтового ящика - в раскрывающемся списке Mailbox Store (Хранилище очтовых ящиков).
9. Щелкните Next (Далее) и Finish (Готово), чтобы завершить создание учетной записи. Если вы создали учетную запись, подключенную к почтовому ящику, то автоматически настраиваются следующие адреса электронной почты: SMTP, X.400 и связанные с коннектором. Эти адреса вы сможете впоследствии добавлять, изменять и удалять. Кроме того, вы сможете задавать дополнительные адреса, имеющие эти же типы. Например, у Синди Джонсон - администратора отдела кадров компании - два адреса SMTP: [email protected] и
[email protected].
ПримечаниеЕсли вы настроили коннекторы Exchange, то адреса по умолчанию создаются и для этих них. В состав коннекторов для Exchange 2000 входят коннектор для Lotus Notes и коннектор для Novell GroupWise.
10. Создание учетной записи пользователя не является финальной операцией. На данном этапе вы можете:

добавить подробную контактную информацию о пользователе, например номер рабочего телефона и должность;
внести пользователя в группу безопасности и в группу рассылки;
связать учетную запись с дополнительными адресами электронной почты;
включить или отключить функции Exchange для учетной записи;
изменить для пользователя параметры настройки, заданные по умолчанию, в отношении вариантов доставки, предельного объема памяти и ограничений, налагаемых на учетную запись.

Настройка контактной информации для учетной записи пользователя

Вот как задается контактная информация для учетной записи пользователя.
1. В Active Directory Users and Computers дважды щелкните имя пользователя. Откроется диалоговое окно Properties (Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Общая контактная информация задается с помощью следующих полей:

First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
Display Name (Выводимое имя) задает выводимое имя пользователя, которое отображается в сеансах входа в систему и в Active Directory;
Description (Описание) задает описание пользователя;
Office (Комната) задает местонахождение пользователя в офисе;
Telephone Number (Номер телефона) задает основной номер рабочего телефона пользователя. Если пользователь имеет другие номера рабочих телефонов, которые вы хотите внести в запись, щелкните Other (Другой), а затем с помощью диалогового окна Phone Number (Others) [Номер телефона (прочие)] введите дополнительные номера телефонов;
E-Mail (Эл. почта) задает служебный адрес электронной почты пользователя;
Web Page (Веб-страница) задает URL начальной Веб страницы пользователя - в Интернете или в локальной корпоративной сети. Если у пользователя есть другие Веб-страницы, которые вы хотите внести в запись, щелкните Other (Другой), а затем посредством диалогового окна Web Page Address (Others) [Адрес страницы в Интернете (прочие)] введите дополнительные адреса Веб-страниц.

Совет Обязательно заполните поля E-Mail (Эл. почта) и Web Page (Веб-страница), если намереваетесь использовать команды Send Mail (Отправить почту) и Open Home Page (Открыть домашнюю страницу) консоли Active Directory Users and Computers.
3. Щелкните вкладку Address (Адрес) (рис. 5-8). В полях на этой вкладке задайте служебный или домашний почтовый адрес пользователя. Обычно указывают служебный адрес пользователя. Это позволит вам иметь данные о местонахождении и почтовых адресах пользователей, находящихся в различных офисах.
ПримечаниеПрежде чем вводить информацию частного характера, например домашний адрес и домашний телефон пользователя, необходимо обсудить этот вопрос с отделом кадров и юридическим отделом. Возможно, на это следует получить согласие пользователя.

4. Щелкните вкладку Telephones (Телефоны) и наберите, если требуется, основные контактные телефоны пользователя:

Home Telephone (Домашний);
Pager (Пейджер);
Mobile (Мобильный);
FAX (Факс);
IP Phone (IP-телефон).

5. Для каждого типа телефона вы вправе задать и другие номера. Щелкните соответствующую кнопку Other (Другой), а затем в диалоговом окне введите дополнительные номера телефонов.

Рис. 5-8. На вкладке Address (Адрес) задайте рабочий или
домашний адрес пользователя

6. Щелкните вкладку Organization (Организация). Введите, если требуется, должность пользователя, отдел и название
компании.
7. Чтобы указать руководителя данного пользователя, щелкните Change (Изменить). Если вы сделали это, то в учетной записи руководителя пользователь выведен в качестве непосредственного подчиненного.
8. Щелкните Apply (Применить) или ОК, чтобы принять внесенные изменения. Изменение псевдонима Exchange и выводимого имени
пользователя Каждая учетная запись пользователя, подключенного к почтовому ящику, имеет связанные с ней псевдоним Exchange, имя, фамилию и выводимое имя. Псевдоним Exchange определяет адреса электронной почты SMTP и Х.400. Имя входа представляет собой псевдоним SMTP по умолчанию. Выводимое имя определяет адрес Х,400.
В случае изменения информации об имени можно создать новые адреса электронной почты и задать их в качестве адресов по умолчанию для SMTP, X.400 и коннекторов Exchange.
При этом старые адреса электронной почты для учетной записи не удаляются, а остаются в качестве альтернативных. Процедура изменения или удаления этих дополнительных адресов электронной почты рассмотрены в этой главе, в разделе «Добавление, изменение и удаление адресов электронной почты».
Вот как изменить псевдоним Exchange и выводимое имя учетной записи пользователя.
1. В Active Directory Users and Computers, дважды щелкните имя пользователя. Откроется диалоговое окно Properties (Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Для изменения имени воспользуйтесь следующими полями:
в First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
в Display Name (Выводимое имя) указывают имя пользователя, которое отображается в сеансах входа в систему и в Active Directory.
3. Щелкните вкладку Exchange General, а затем введите новый псевдоним Exchange в поле Alias (Псевдоним).
4. Щелкните ОК.

Добавление, изменение и удаление адресов электронной почты

Когда вы создаете учетную запись пользователя, подключенного к почтовому ящику, то создаются адреса электронной почты по умолчанию для SMTP, X.400 и настроенных коннекторов. Каждый раз, когда вы обновляете выводимое имя пользователя или псевдоним Exchange, можно создать новые адреса электронной почты по умолчанию. При этом старые адреса электронной почты не удаляются, а остаются в качестве альтернативных адресов учетной записи.

Вот как добавить, изменить или удалить адрес электронной почты.

1. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail Addresses (Адреса электронной почты).
2. Чтобы добавить новый адрес электронной почты, щелкните New (Новый). В диалоговом окне New E-Mail Address (Новый адрес электронной почты) выберите тип адреса электронной почты и щелкните ОК. Заполните поля диалогового окна Properties (Свойства) и снова щелкните ОК.
Совет Для стандартных адресов электронной почты Интернета используйте тип адреса SMTP. Другие типы адресов электронной почты подробно рассмотрены в главе 13.
3. Чтобы изменить существующий адрес электронной почты, дважды щелкните запись адреса и измените параметры в диалоговом окне Properties (Свойства). Щелкните ОК.
4. Чтобы удалить адрес электронной почты, выберите его и щелкните Remove (Удалить). В ответ на предложение подтвердить операцию удаления щелкните Yes (Да).
ПримечаниеНельзя удалить адрес SMTP по умолчанию. Exchange Server использует адрес SMTP для передачи и приема сообщений.

Настройка адреса Reply-To (адреса отправителя) по умолчанию

Для каждого типа адреса электронной почты существует один адрес отправителя по умолчанию. Вот как изменить адрес отправителя по умолчанию.
1. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail Addresses (Адреса электронной почты).
2. Текущие адреса электронной почты по умолчанию выделены жирным шрифтом. Адреса электронной почты, которые не выделены, применяются только в качестве альтернативных адресов для доставки сообщений в текущий почтовый ящик.
3. Чтобы изменить текущие значения по умолчанию, выберите желаемый не выделенный адрес электронной почты и щелкните Set As Primary (Задать в качестве основного).

Блокировка и разблокировка подключения к почте Exchange Server

Пользователи и контакты, подключенные к почте, в Exchange Server определяются как специальные получатели. Они имеют псевдоним Exchange и внешний адрес электронной почты.

Вот как подключить пользователя или контакт к почте.

1. В Active Directory Users and Computers щелкните правой кнопкой соответствующую запись, затем выберите Exchange Tasks (Задачи Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome, щелкните Next (Далее). Чтобы впоследствии пропускать эту страницу, стоит выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) укажите Establish E-Mail Addresses (Установить адреса электронной почты) и снова щелкните Next (Далее).
4. Введите псевдоним Exchange для пользователя или контакта и щелкните Modify (Изменить).
5. Откроется диалоговое окно New E-Mail Address (Новый адрес электронной почты). Наберите тип адреса электронной почты и щелкните ОК.
6. Заполните поля диалогового окна Properties (Свойства) адреса электронной почты и снова щелкните ОК.
7. На странице мастера Exchange Task щелкните Next (Далее), а затем - Finish (Готово).

Если вы впоследствии захотите удалить псевдоним Exchange и адреса электронной почты, связанные с пользователем или
контактом, то вот как это сделать.
1. В Active Directory Users and Computers дважды щелкните нужную запись, затем выберите Exchange Tasks (Задачи Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome (Приветствие), щел кните Next (Далее). Чтобы в последующем пропускать эту страницу, можно выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) выберите Delete E-Mail Addresses (Удалить адреса электронной почты) и щелкните Next (Далее).
4. Щелкните Next (Далее), а затем - Finish (Готово).

Создание учетной записи пользователя для приема и переадресации почты

Специальные получатели, такие, как пользователи и контакты, подключенные к почте, обычно не получают сообщений от пользователей за пределами организации, так как специальный получатель не имеет адреса электронной почты, который соответствует конкретному почтовому ящику в вашей организации. Однако иногда возникает потребность в том, чтобы внешние пользователи, приложения или почтовые системы имели возможность отправить сообщение на адрес внутри вашей организации, а затем Exchange переадресовал это сообщение на внешний почтовый ящик.
Совет В своей организации я создал почтовые ящики переадресации для пейджерных предупреждений. Это простое решение позволяет менеджерам, а также системам мониторинга в организации легко и быстро передавать страницы текста специалистам ИТ. Для этого я создал контакт, подключенный к почте, для каждого адреса электронной почты пейджера, например [email protected], а затем создал почтовый ящик, который переадресует сообщения специаль ному получателю. В общем случае выводимое имя контакта, подключенного к почте, имеет вид «Alert User Name», (Предупреждение Имя пользователя), например Alert William Stanek. Выводимое имя и адрес электронной почты почтового ящика имеют вид Z LastName и [email protected], например Z Stanek и [email protected] соответственно. Затем я спрятал почтовый ящик, чтобы он не отображался в списке глобальных адресов или в других списках адресов и чтобы пользователи видели только почтовый ящик Alert William Stanek.

Вот как создать учетную запись пользователя для приема и переадресации почты.

1. В Active Directory Users and Computers создайте контакт для пользователя. Присвойте контакту имя X - Имя_Пользователя, например X - William Stanek. Убедитесь в том, что для контакта существует внешний адрес электронной почты, относящийся к адресу пользователя в Интернете.
2. Создайте учетную запись пользователя в домене. Присвойте учетной записи подходящее выводимое имя, например William Stanek, Создайте почтовый ящик Exchange для учетной записи, но не присваивайте никаких специальных прав. Вы можете ограничить права учетной записи так, что бы пользователь не имел возможности зарегистрироваться ни на одном из серверов в домене.
3. Откройте диалоговое окно Properties (Свойства) учетной записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Щелкните вкладку Exchange General (Общие).
4. Щелкните Delivery Options (Варианты доставки).
5. В диалоговом окне Delivery Options щелкните Forward To (Переадресовать), а затем щелкните Modify (Изменить).
6. В диалоговом окне Select Recipient (Выбрать получателя) выберите контакт, подключенный к почте, созданный ранее, и щелкните ОК. Теперь вы можете применять учетную запись пользователя для переадресации сообщений на внешний почтовый ящик.

Изменение параметров сервисов беспроводной связи и протоколов пользователя

Когда вы создаете учетные записи пользователей с почтовыми ящиками, доступные сервисы беспроводной связи и протоколы определяются глобальными параметрами настройки. Эти параметры в любое время разрешается изменять для отдельных пользователей.

1. В Active Directory Users and Cdmputers дважды щелкните нужную запись, затем выберите вкладку Exchange Features.
Настройте для пользователя сервисы беспроводной связи и протоколы (рис. 5-9):
Outlook Mobile Access предоставляет пользователю возможность просматривать почтовый ящик с помощью беспроводного устройства;
User Initiated Synchronization позволяет синхронизировать почтовый ящик с беспроводными устройствами;

Рис. 5-9. С помощью мастера Exchange Task Wizard можно
изменить параметры сервисов беспроводной связи и протоколов
пользователя

Up-To-Date Notifications обеспечивает постоянное обновление данных на беспроводном устройстве. Этот вариант доступен только при условии, что выбран вариант User Initiated Synchronization;
Outlook Web Access предоставляет возможность доступа к почтовому ящику с помощью Web-браузера;
РОРЗ открывает доступ к почтовому ящику посредством почтового клиента РОРЗ;
IMAP4 предоставляет пользователю возможность доступа к почтовому ящику с помощью почтового клиента IMAP4.

2. Выберите параметр, затем щелкните Enable (Включить) или Disable (Отключить) в зависимости от обстоятельств.
Если требуется изменить параметры протокола, выберите протокол и щелкните Properties (Свойства).
3. Щелкните ОК.

Переименование учетных записей пользователей

Вот как переименовать учетную запись пользователя в Active Directory Users and Computers.
1. Щелкните правой кнопкой имя учетной записи и выберите Rename (Переименовать). В ответ на приглашение введите новое имя учетной записи.
2. При переименовании учетной записи вы создаете новую метку учетной записи. Переименование не влияет на идентификатор защиты (SID), который необходим для идентификации, отслеживания и обработки учетных записей не зависимо от имен пользователей.

Примечание Распространенной причиной изменения имени учетной записи является замужество. Например, если Джуди Лью (JUDYL) выходит замуж, она может изменить свое имя пользователя на Джуди Кэтлер (JUDYK). После изменения имени пользователя JUDYL на JUDYK все связанные с ним права и разрешения будут назначены новому имени.

Например, при просмотре разрешений к файлу, к которому раньше имела доступ JUDYL, теперь будет иметь доступ JUDYK (причем имени JUDYL в списке не окажется).

Удаление учетных записей пользователей и контактов

При удалении учетная запись устраняется навсегда. После удаления учетной записи вам не удастся создать учетную запись с тем же именем и теми же разрешениями, какие имела исходная запись, так как идентификатор защиты (SID) новой записи не будет совпадать с идентификатором защиты старой записи. Это не означает, что после удаления записи вы не можете создать учетную запись с тем же именем. Например, человек уволился из компании, а через некоторое время вернулся. Вы вправе создать учетную запись с тем же именем, что и раньше, но вам придется заново определить для нее разрешения.
Поскольку удаление встроенных учетных записей может иметь далеко идущие последствия для домена, Windows не допускает их удаления. Вы вправе удалить другие типы учетных записей, выбрав их и нажав клавишу Del или щелкнув правой кнопкой и выбрав Delete (Удалить). Появится приглашение, показанное на рис. 5-10. Если вы хотите удалить адрес электронной почты пользователя, когда флажок для удаления почтового ящика установлен, щелкните Yes (Да). Если вы щелкните No (Нет), то Windows не удалит учетную запись.

Рис. 5-10. При удалении учетной записи пользователя
удаляется также и адрес электронной почты пользователя;
устанавливается также флажок удаления связанного с адресом
почтового ящика. Подтвердите операцию, щелкнув Yes (Да)

Примечание Защита Exchange основана на доменной аутентификации, поэтому вы не можете иметь почтовый ящик без учетной записи. Если вам все же необходим по чтовый ящик для учетной записи, которую вы хотите удалить, то следует не удалять ее, а отключить. В результате отключения учетной записи пользователю не удастся зарегистрироваться в системе, однако вы при необходимости получите доступ к почтовому ящику. Чтобы отключить учетную запись, щелкните правой кнопкой эту учетную запись
в Active Directory Users and Computers и выберите Disable Account (Отключить учетную запись).

Объект компьютера создан в домене;

Вы должны войти в присоединяемый компьютер как локальный администратор.

Теперь разберем способы создания компьютера (компьютеров) в AD: