Управление учетными записями пользователей в Active Directory Пользователи и компьютеры

Вы можете создавать, удалять и управлять субъектами безопасности, включая учетные записи пользователей, в консоли пользователей и компьютеров Active Directory. Эта консоль доступна при установке компонентов Active Directory Domain Services (AD DS) и Active Directory Lightweight Directory Services (AD LDS) из состава Средств удаленного администрирования сервера на Windows Server или клиентском компьютере. Для создания, удаления и управления разрешениями безопасности необходимо иметь соответствующие разрешения. По умолчанию члены группы "Администраторы домена" и "Администраторы предприятия" могут управлять учетными записями пользователей, групп и компьютеров. Члены группы операторов учетных записей могут создавать, изменять и удалять учетные записи пользователей, но не могут управлять группами или разрешениями.

Предпосылки

Чтобы управлять учетными записями пользователей в Active Directory Users and Computers, необходимо иметь следующие предварительные требования:

• Компьютер под управлением операционной системы Windows Server или клиентской операционной системы Windows с установленными компонентами Active Directory Domain Services (AD DS) и Active Directory Lightweight Directory Services (AD LDS) из набора средств удаленного администрирования серверов.

• Компьютер должен быть присоединен к домену, а используемая учетная запись пользователя должна иметь соответствующие разрешения для управления учетными записями пользователей в этом домене.

Управление учетными записями пользователей

В следующих разделах этой страницы содержатся сведения об управлении учетными записями пользователей на сервере:

• Создание учетной записи пользователя
• Управление членством в группах
• Сброс пароля пользователя
• Отключение учетной записи пользователя
• Включение учетной записи пользователя
• Удаление учетной записи пользователя
• Свойства учетной записи пользователя

Создание учетной записи пользователя

При добавлении учетной записи пользователя назначенный пользователь может войти на присоединенный к домену компьютер. Вы можете предоставить пользователю разрешение на доступ к сетевым ресурсам, таким как общие папки, принтеры и приложения. Чтобы создать учетную запись пользователя с помощью пользователей и компьютеров Active Directory, выполните следующие действия.

1. В консоли "Пользователи и компьютеры Active Directory" разверните дерево домена и выберите контейнер или подразделение, которое вы хотите разместить учетную запись пользователя.
2. В меню "Действие" выберите "Создать", а затем выберите "Пользователь".
3. В диалоговом окне "Новый объект — пользователь" укажите следующие сведения и нажмите кнопку "Далее".
   • Имя: имя пользователя (необязательное поле)
   • Инициалы: инициалы пользователя (необязательное поле)
   • Фамилия: фамилия пользователя (необязательное поле)
   • Полное имя: полное имя пользователя (обязательное поле)
   • Имя входа пользователя: имя учетной записи пользователя (обязательное поле)
4. На второй странице диалогового окна "Новый объект — пользователь" укажите следующие сведения и нажмите кнопку "Далее".
   • Пароль: может быть назначенным паролем или временным паролем, которые пользователь изменяет при следующем входе.
   • Подтверждение. Дубликат назначенного пароля или временного пароля
   • Пользователь должен изменить пароль при следующем входе. Флажок, который можно включить, чтобы пользователь изменил пароль при следующем входе в систему. Можно включить или оставить пустым.
   • Пользователь не может изменить пароль. Флажок, который можно включить, чтобы ограничить пользователя изменением пароля. Можно включить или оставить пустым.
   • Срок действия пароля никогда не истекает. Флажок, который можно включить, чтобы исключить учетную запись из политик паролей. Можно включить или оставить пустым.
   • Учетная запись отключена. Флажок, позволяющий создать учетную запись в неактивном состоянии. Можно включить или оставить черным.
5. Просмотрите страницу сводки диалогового окна "Новый объект — пользователь" и нажмите кнопку "Готово", чтобы создать учетную запись.

Управление членством в группах

Разрешения безопасности, такие как общие папки, чаще всего назначаются группам безопасности, а не отдельным учетным записям пользователей. Управляя группами, из которых входит пользователь, вы часто управляете ресурсами, к которым имеет доступ учетная запись пользователя. Чтобы управлять членством в группе учетной записи, выполните следующие действия.

1. В консоли "Пользователи и компьютеры Active Directory" найдите и выберите учетную запись пользователя, которую вы хотите управлять членством.
2. В меню "Действие" выберите "Свойства".
3. В диалоговом окне свойств учетной записи пользователей выберите вкладку "Член".
4. Если вы хотите удалить учетную запись пользователя из группы, выберите указанную группу и нажмите кнопку "Удалить", а затем нажмите кнопку "ОК", чтобы закрыть диалоговое окно свойств учетной записи пользователя.
5. Если вы хотите добавить учетную запись пользователя в группу, нажмите кнопку "Добавить".
6. В диалоговом окне "Выбор групп" введите имя группы, к которой нужно добавить учетную запись, и нажмите кнопку "ОК". Если вы не уверены в имени группы, нажмите кнопку "Дополнительно", чтобы найти домен для групп и кнопку "Проверить имена", чтобы проверить правильное имя.
7. Нажмите кнопку "ОК", чтобы закрыть диалоговое окно свойств учетной записи пользователя и применить изменения.

Сброс пароля пользователя

Чтобы сбросить пароль учетной записи пользователя с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия.

1. В консоли "Пользователи и компьютеры Active Directory" найдите и учетную запись пользователя, для которой нужно сбросить пароль.
2. В меню "Действие" выберите "Сброс пароля".
3. В диалоговом окне сброса пароля укажите следующие сведения и нажмите кнопку "ОК".
   • Новый пароль: новый пароль для пользователя
   • Подтверждение пароля: повторно ввести тот же пароль, чтобы подтвердить
   • Пользователь должен изменить пароль при следующем входе. Флажок, который можно включить, чтобы пользователь мог изменить пароль при следующем входе.
   • Разблокируйте учетную запись пользователя. Если учетная запись заблокирована из-за ввода неправильных паролей, установите этот флажок для разблокировки учетной записи.

Отключение учетной записи пользователя

Чтобы отключить учетную запись пользователя с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия.

1. В консоли "Пользователи и компьютеры Active Directory" найдите и учетную запись пользователя, которую вы хотите отключить.
2. В меню "Действие" выберите "Отключить учетную запись".
3. В диалоговом окне доменных служб Active Directory нажмите кнопку "ОК". Учетная запись отключена.

Если учетная запись отключена, пользователь остается в системе, но не может выполнять новые входы в систему.

Включение учетной записи пользователя

Чтобы включить учетную запись пользователя с помощью консоли "Пользователи и компьютеры Active Directory", выполните следующие действия:

1. В консоли "Пользователи и компьютеры Active Directory" найдите и выберите учетную запись пользователя, которую вы хотите включить.
2. В меню "Действие" выберите "Включить учетную запись".
3. В диалоговом окне доменных служб Active Directory нажмите кнопку "ОК". Учетная запись включена.

Удаление учетной записи пользователя

Удаление учетной записи из Active Directory удаляет учетную запись. Рекомендуется отключить учетные записи перед их удалением, если у учетной записи есть разрешения на ресурсы, к которым не удается получить доступ с помощью других методов. Чтобы удалить учетную запись с помощью консоли пользователей и компьютеров Active Directory, выполните следующие действия.

1. В консоли "Пользователи и компьютеры Active Directory" найдите учетную запись пользователя, которую вы хотите включить.
2. В меню "Действие" выберите "Включить учетную запись".
3. В диалоговом окне доменных служб Active Directory нажмите кнопку "ОК". Учетная запись включена.

Удаленные учетные записи можно восстановить с помощью корзины Active Directory, если вы включите корзину Active Directory перед удалением учетной записи. Если корзина Active Directory не включена, необходимо выполнить авторитетное восстановление AD DS с помощью резервной копии AD DS, включающей учетную запись.

Свойства учетной записи пользователя

Следующий список содержит все вкладки на странице свойств учетной записи пользователя, включая вкладки, видимы только в том случае, если включен параметр "Дополнительные функции". Этот параметр можно включить в меню "Вид" консоли "Пользователи и компьютеры Active Directory". Эти сведения хранятся с учетной записью в качестве атрибутов объекта учетной записи AD DS.

ОбщийАдресПрофильУчётная записьТелефоныОрганизацияПрофиль служб удалённых рабочих столовCOM+Редактор атрибутовБезопасностьСредаСеансыУдалённое управлениеОпубликованные сертификатыЧлен группыРепликация паролейПодключение по телефонной линииОбъект

Общая информация

Вкладка "Общие" страницы свойств учетной записи пользователя содержит следующие поля, связанные с именем и описанием пользователя:

• Имя (Первое имя)
• Инициалы
• Фамилия
• Показать имя
• Описание
• Офис
• Номер телефона
• Веб-страница

Адрес

Вкладка "Адрес" на странице свойств учетной записи пользователя позволяет хранить информацию о местоположении вместе с учетной записью и включает следующие поля:

• Улица
• абонентский ящик
• Город
• Область, республика, край, округ
• Почтовый индекс
• Страна или регион

Счет

Вкладка "Учетная запись" на странице свойств учетной записи пользователя позволяет настроить различные параметры учетной записи. К ним относятся часы входа, определенные компьютеры, на которых может войти учетная запись, и типы шифрования, поддерживаемые учетной записью. Можно также задать, можно ли делегировать учетную запись и указать, следует ли истекать или когда истекает срок действия учетной записи. Эта вкладка включает следующие параметры:

• Имя входа пользователя, включая домен входа пользователя
• Имя входа пользователя (предварительная версия Windows 2000)
• Часы входа в систему
• Вход в систему
• Разблокировка учетной записи
• Пользователь должен сменить пароль при следующем входе в систему.
• Пользователь не может сменить пароль
• Пароль никогда не истекает
• Сохранение пароля с помощью обратимого шифрования
• Учетная запись отключена
• Для интерактивного входа в сеть нужна смарт-карта
• Учетная запись является конфиденциальной и не может быть делегирована
• Используйте только типы шифрования Kerberos DES для этой учетной записи.
• Эта учетная запись поддерживает 128-разрядное шифрование Kerberos AES
• Эта учетная запись поддерживает шифрование Kerberos AES 256-разрядной версии
• Не требовать предварительную проверку подлинности Kerberos
• Срок действия учетной записи истекает

Профиль

Вкладка "Профиль" на странице свойств учетной записи пользователя позволяет настроить сведения о перемещаемом профиле, скрипт входа и параметры домашней папки. Эта вкладка содержит следующие поля:

• Путь профиля
• Скрипт входа в систему
• Домашняя папка

Телефоны

Вкладка "Телефоны" на странице свойств учетной записи пользователя позволяет хранить сведения о номере телефона с учетной записью пользователя и содержать следующие поля:

• Дом
• Пейджер
• мобильное устройство
• Факс
• IP-телефон
• Примечания.

Организация

Вкладка "Организация" на странице свойств учетной записи пользователя позволяет хранить сведения о пользователе, включая должность и отдел. Эту вкладку можно также использовать для указания руководителя и просмотра учетных записей пользователей, перечисленных как прямые отчеты. Эта вкладка содержит следующие поля:

• Должность
• Отдел
• Компания
• Менеджер
• Прямые подчиненные

Профиль служб удаленных рабочих столов

Вкладка "Профиль службы удаленных рабочих столов" на странице свойств учетной записи пользователя позволяет настроить профиль пользователя службы удаленных рабочих столов. Эта вкладка содержит следующие поля:

• Путь профиля пользователя служб удаленных рабочих столов
• Домашняя папка служб удалённых рабочих столов
• Запретить этому пользователю доступ к входу на сервер хоста сеансов удаленных рабочих столов

COM+

Вкладка COM+ на странице свойств учетной записи пользователя позволяет указать, с какой учетной записью пользователя связана секция COM+.

Редактор атрибутов

Вкладка "Редактор атрибутов" страницы свойств учетной записи пользователя позволяет напрямую изменять каждый атрибут учетной записи. Редактор атрибутов также отображает атрибуты, которые не предоставляются через интерфейс страницы свойств пользователя.

Безопасность

Вкладка "Безопасность" на странице свойств учетной записи пользователя позволяет просмотреть разрешения безопасности, которые применяются к учетной записи. Нажав кнопку "Дополнительно", вы также можете настроить аудит использования этих разрешений.

Окружающая среда

Вкладка "Среда" на странице свойств учетной записи пользователя позволяет настроить определенные программы для входа в среду служб удаленных рабочих столов и подключение клиентских дисков, принтеров и основного клиентского принтера при входе.

Сеансы

Вкладка "Сеансы" на странице свойств учетной записи пользователя позволяет настроить параметры времени ожидания и повторного подключения служб удаленных рабочих столов. На этой вкладке можно настроить следующие параметры:

• Завершение отключенного сеанса
• Лимит активных сеансов
• Ограничение неактивного сеанса
• Какие действия следует предпринять при достижении ограничения сеанса или слома соединения
• Разрешить повторное подключение от любого клиента или только исходного клиента

Дистанционное управление

Вкладка "Удаленный контроль" на странице свойств учетной записи пользователя позволяет настроить параметры удаленного управления службами удаленных рабочих столов. Эта вкладка содержит следующие поля:

• Включение удаленного управления
• Требовать разрешение пользователя
• Уровень контроля (просмотр/взаимодействие)

Опубликованные сертификаты

На вкладке "Опубликованные сертификаты" на странице свойств учетной записи пользователя перечислены все сертификаты X509, опубликованные для учетной записи пользователя и хранящиеся в Active Directory.

Член

Вкладка "Член" на странице свойств учетной записи пользователя позволяет управлять членством в группах безопасности. Вы можете добавить или удалить членство в группах с помощью этой вкладки страницы свойств учетной записи пользователя.

Репликация паролей

Вкладка "Репликация паролей" на странице свойств учетной записи пользователя позволяет управлять кэшем пароля учетной записи пользователя на контроллерах домена только для чтения. Эта вкладка позволяет указать, какие контроллеры домена хранят кэшированные копии пароля учетной записи пользователя.

Подключение по телефону

На вкладке "Доступ к сети" на странице свойств учетной записи пользователя можно настроить следующие разрешения сетевого доступа сервера политики сети:

• Разрешить доступ
• Запрет доступа
• Управление доступом с помощью политики сети NPS
• Проверка Caller-ID
• Без обратного вызова
• Установлено вызывающим абонентом
• Всегда обратный вызов
• Назначение статических IP-адресов
• Применение статических маршрутов

Объект

Вкладка "Объект" на странице свойств учетной записи пользователя позволяет просматривать сведения об объекте субъекта безопасности и настраивать параметр "Защитить объект от случайного удаления".