Управляйте учетными записями пользователей в Active Directory – пользователи и компьютеры

Вы можете создавать, удалять и управлять субъектами безопасности, включая учетные записи пользователей, в консоли пользователей и компьютеров Active Directory. Эта консоль доступна при установке компонентов доменных служб Active Directory (AD DS) и служб упрощенного каталогов Active Directory (AD LDS) средств удаленного администрирования сервера на сервере Windows Server или клиентском компьютере. Для создания, удаления и управления разрешениями безопасности необходимо иметь соответствующие разрешения. По умолчанию члены группы администраторов домена и администраторов предприятия могут управлять учетными записями пользователей, групп и компьютеров. Члены группы операторов учетных записей могут создавать, изменять и удалять учетные записи пользователей, но не могут управлять группами или разрешениями.

Предпосылки

  • Компьютер под управлением Windows Server или клиентской операционной системы Windows с компонентами AD DS и AD LDS установленных средств удаленного администрирования сервера.

  • Компьютер должен быть присоединен к домену, а используемая учетная запись пользователя должна иметь соответствующие разрешения для управления учетными записями пользователей в этом домене.

Управление учетными записями пользователей

В следующих разделах этой статьи содержатся сведения об управлении учетными записями пользователей на сервере:

Создание учетной записи пользователя

При добавлении учетной записи пользователя назначенный пользователь может войти на присоединенный к домену компьютер. Вы можете предоставить пользователю разрешение на доступ к сетевым ресурсам, таким как общие папки, принтеры и приложения. Чтобы создать учетную запись пользователя с помощью пользователей и компьютеров Active Directory, выполните следующие действия.

  1. В консоли "Пользователи и компьютеры Active Directory" разверните дерево домена и выберите контейнер или подразделение, которое требуется разместить учетную запись пользователя.
  2. В меню "Действие " выберите "Создать ", а затем выберите "Пользователь".
  3. В диалоговом окне "Новый объект — пользователь" укажите следующие сведения, а затем нажмите кнопку "Далее".
    • Имя пользователя (необязательно)
    • Инициалы: инициалы пользователя (необязательно)
    • Фамилия: фамилия пользователя (необязательно)
    • Полное имя: полное имя пользователя (обязательно)
    • Имя входа пользователя: имя учетной записи пользователя (обязательно)
  4. На второй странице диалогового окна "Новый объект — пользователь" укажите следующие сведения и нажмите кнопку "Далее".
    • Пароль. Может быть назначенным паролем или временным паролем, которые пользователь изменяет при следующем входе.
    • Подтвердите: дубликат назначенного пароля или временный пароль.
    • Пользователь должен изменить пароль при следующем входе. Установите этот флажок, если вы хотите принудительно изменить пароль при следующем входе пользователя.
    • Пользователь не может изменить пароль. Установите этот флажок, если вы хотите ограничить изменение пароля пользователем.
    • Срок действия пароля никогда не истекает. Установите этот флажок, если вы хотите исключить учетную запись из политик паролей.
    • Учетная запись отключена. Установите этот флажок, если вы хотите создать учетную запись в отключенном состоянии.
  5. Просмотрите страницу сводки диалогового окна "Новый объект — пользователь ". Нажмите кнопку "Готово ", чтобы создать учетную запись.

Управление членством в группах

Разрешения безопасности, такие как общие папки, чаще всего назначаются группам безопасности, а не отдельным учетным записям пользователей. Управляя группами, из которых входит пользователь, вы часто управляете ресурсами, к которым имеет доступ учетная запись пользователя. Чтобы управлять членством в группе учетной записи, выполните следующие действия.

  1. В консоли "Пользователи и компьютеры Active Directory" найдите и выберите учетную запись пользователя, которую вы хотите управлять членством.
  2. В меню Действие выберите команду Свойства.
  3. В диалоговом окне свойств учетной записи пользователя выберите вкладку "Член".
  4. Если вы хотите удалить учетную запись пользователя из группы, выберите указанную группу, нажмите кнопку "Удалить", а затем нажмите кнопку "ОК ", чтобы закрыть диалоговое окно свойств учетной записи пользователя.
  5. Если вы хотите добавить учетную запись пользователя в группу, нажмите кнопку "Добавить".
  6. В диалоговом окне "Выбор групп " введите имя группы, к которой нужно добавить учетную запись, и нажмите кнопку "ОК". Если вы не уверены в имени группы, используйте кнопку "Дополнительно ", чтобы найти домен для групп и кнопку "Проверить имена" , чтобы проверить имя.
  7. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно свойств учетной записи пользователя и применить изменения.

Сброс пароля пользователя

Чтобы сбросить пароль учетной записи пользователя с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия:

  1. В консоли "Пользователи и компьютеры Active Directory" найдите учетную запись пользователя, для которой нужно сбросить пароль.
  2. В меню "Действие " выберите "Сброс пароля".
  3. В диалоговом окне сброса пароля укажите следующие сведения и нажмите кнопку "ОК".
    • Новый пароль: новый пароль для пользователя.
    • Подтвердите пароль: повторно войдите тот же пароль.
    • Пользователь должен изменить пароль при следующем входе. Установите этот флажок, если вы хотите заставить пользователя изменить пароль при следующем входе.
    • Разблокируйте учетную запись пользователя. Если учетная запись заблокирована, так как пользователь ввел слишком много неправильных паролей, установите этот флажок, чтобы разблокировать учетную запись.

Отключение учетной записи пользователя

Чтобы отключить учетную запись пользователя с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия:

  1. В консоли "Пользователи и компьютеры Active Directory" найдите учетную запись пользователя, которую требуется отключить.
  2. В меню "Действие " выберите "Отключить учетную запись".
  3. В диалоговом окне доменных служб Active Directory нажмите кнопку "ОК". Учетная запись отключена.

Если учетная запись отключена, пользователь, вошедший в систему, остается в системе, но не может выполнять новые авторизации.

Включение учетной записи пользователя

Чтобы включить учетную запись пользователя с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия.

  1. В консоли пользователей и компьютеров Active Directory найдите учетную запись пользователя, которую вы хотите включить.
  2. В меню "Действие " выберите "Включить учетную запись".
  3. В диалоговом окне доменных служб Active Directory нажмите кнопку "ОК". Учетная запись включена.

Удаление учетной записи пользователя

Удаление учетной записи из Active Directory удаляет учетную запись. Рекомендуется отключить учетные записи перед их удалением, если у учетной записи есть разрешения на ресурсы, к которым не удается получить доступ с помощью других методов. Чтобы удалить учетную запись с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия.

  1. В консоли пользователей и компьютеров Active Directory найдите учетную запись пользователя, которую вы хотите включить.
  2. В меню "Действие " нажмите кнопку "Удалить".
  3. В диалоговом окне доменных служб Active Directory нажмите кнопку "ОК". Учетная запись удаляется.

Удаленные учетные записи можно восстановить с помощью корзины Active Directory, если вы включите корзину перед удалением учетной записи. Если корзина не включена, необходимо выполнить авторитетное восстановление AD DS с помощью резервной копии AD DS, включающей учетную запись.

Свойства учетной записи пользователя

Следующий список содержит все вкладки на странице свойств учетной записи пользователя , включая вкладки, видимые только в том случае, если включен параметр "Дополнительные функции ". Этот параметр можно включить в меню "Вид " консоли "Пользователи и компьютеры Active Directory". Эти сведения хранятся с учетной записью в качестве атрибутов объекта учетной записи AD DS.

Общая информация

Вкладка "Общие " страницы свойств учетной записи пользователя содержит следующие поля, связанные с именем и описанием пользователя:

  • Имя (Первое имя)
  • Инициалы
  • Фамилия
  • Показать имя
  • Описание
  • Офис
  • Номер телефона
  • Веб-страница

Адрес

Вкладка "Адрес " на странице свойств учетной записи пользователя позволяет хранить сведения о расположении с учетной записью и содержать следующие поля:

  • Улица
  • абонентский ящик
  • Город
  • Область, республика, край, округ
  • Почтовый индекс
  • Страна или регион

Счет

Вкладка "Учетная запись" на странице свойств учетной записи пользователя позволяет настроить различные параметры учетной записи. К ним относятся часы входа, определенные компьютеры, на которых может войти учетная запись, и типы шифрования, поддерживаемые учетной записью. Можно также задать, можно ли делегировать учетную запись и указать, следует ли истекать или когда истекает срок действия учетной записи. Эта вкладка включает следующие параметры:

  • Имя входа пользователя, включая домен входа пользователя
  • Имя входа пользователя (предварительная версия Windows 2000)
  • Часы входа в систему
  • Вход в систему
  • Разблокировка учетной записи
  • Пользователь должен сменить пароль при следующем входе в систему.
  • Пользователь не может сменить пароль
  • Пароль никогда не истекает
  • Сохранение пароля с помощью обратимого шифрования
  • Учетная запись отключена
  • Для интерактивного входа в сеть нужна смарт-карта
  • Учетная запись является конфиденциальной и не может быть делегирована
  • Используйте только типы шифрования Kerberos DES для этой учетной записи.
  • Эта учетная запись поддерживает 128-разрядное шифрование Kerberos AES
  • Эта учетная запись поддерживает шифрование Kerberos AES 256-разрядной версии
  • Не требовать предварительную проверку подлинности Kerberos
  • Срок действия учетной записи истекает

Профиль

Вкладка "Профиль" на странице свойств учетной записи пользователя позволяет настроить сведения о перемещаемом профиле, скрипт входа и параметры домашней папки. Эта вкладка содержит следующие поля:

  • Путь профиля
  • Скрипт входа в систему
  • Домашняя папка

Телефоны

Вкладка "Телефоны" на странице свойств учетной записи пользователя позволяет хранить сведения о номере телефона с учетной записью пользователя. Он включает следующие поля.

  • Дом
  • Пейджер
  • мобильное устройство
  • Факс
  • IP-телефон
  • Примечания.

Организация

Вкладка "Организация " на странице свойств учетной записи пользователя позволяет хранить сведения о пользователе, включая должность и отдел. Эту вкладку можно также использовать для указания руководителя и просмотра учетных записей пользователей, перечисленных как прямые отчеты. Эта вкладка содержит следующие поля:

  • Должность
  • Отдел
  • Компания
  • Менеджер
  • Прямые подчиненные

Профиль служб удаленных рабочих столов

Вкладка "Профиль службы удаленных рабочих столов " на странице свойств учетной записи пользователя позволяет настроить профиль пользователя службы удаленных рабочих столов. Эта вкладка включает следующие параметры:

  • Путь профиля пользователя служб удаленных рабочих столов
  • Домашняя папка служб удалённых рабочих столов
  • Запретить этому пользователю доступ к входу на сервер хоста сеансов удаленных рабочих столов

COM+

Вкладка COM+ на странице свойств учетной записи пользователя позволяет указать, с какой учетной записью пользователя связана секция COM+.

Редактор атрибутов

Вкладка "Редактор атрибутов " страницы свойств учетной записи пользователя позволяет напрямую изменять каждый атрибут учетной записи. Редактор атрибутов также отображает атрибуты, которые не предоставляются через интерфейс страницы свойств пользователя.

Безопасность

Вкладка "Безопасность " на странице свойств учетной записи пользователя позволяет просмотреть разрешения безопасности, которые применяются к учетной записи. Нажав кнопку "Дополнительно ", вы также можете настроить аудит использования этих разрешений.

Окружающая среда

Вкладка "Среда " на странице свойств учетной записи пользователя позволяет настроить определенные программы для входа в среду служб удаленных рабочих столов и подключение клиентских дисков, принтеров и основного клиентского принтера при входе.

Сеансы

Вкладка "Сеансы " на странице свойств учетной записи пользователя позволяет настроить параметры времени ожидания и повторного подключения служб удаленных рабочих столов. На этой вкладке можно настроить следующие параметры:

  • Завершение отключенного сеанса
  • Лимит активных сеансов
  • Ограничение неактивного сеанса
  • Какие действия следует предпринять при достижении ограничения сеанса или слома соединения
  • Разрешить повторное подключение от любого клиента или только исходного клиента

Дистанционное управление

Вкладка "Удаленный контроль " на странице свойств учетной записи пользователя позволяет настроить параметры удаленного управления службами удаленных рабочих столов. Эта вкладка содержит следующие поля:

  • Включение удаленного управления
  • Требовать разрешение пользователя
  • Уровень контроля (просмотр/взаимодействие)

Опубликованные сертификаты

На вкладке "Опубликованные сертификаты" на странице свойств учетной записи пользователя перечислены все сертификаты X509, опубликованные для учетной записи пользователя и хранящиеся в Active Directory.

Член

Вкладка "Член" на странице свойств учетной записи пользователя позволяет добавлять или удалять членство в группах безопасности.

Репликация паролей

Вкладка "Репликация паролей " на странице свойств учетной записи пользователя позволяет указать, какие контроллеры домена только для чтения хранят кэшированные копии пароля учетной записи пользователя.

Подключение по телефону

Вкладка " Доступ к телефону" на странице свойств учетной записи пользователя позволяет настроить следующие разрешения доступа к сети сервера политики сети:

  • Разрешить доступ
  • Запрет доступа
  • Управление доступом с помощью политики сети NPS
  • Проверка Caller-ID
  • Без обратного вызова
  • Установлено вызывающим абонентом
  • Всегда обратный вызов
  • Назначение статических IP-адресов
  • Применение статических маршрутов

Объект

Вкладка «Объект» на странице свойств учетной записи пользователя позволяет просматривать сведения об объекте субъекта безопасности и настраивать параметр Защита объекта от случайного удаления.