Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы создать пользователя в доменных службах Active Directory, создайте объект пользователя в контейнере домена домена, в котором нужно разместить пользователя. Пользователи могут создаваться в корне домена, в подразделении или в контейнере.
При создании пользовательского объекта необходимо также задать атрибуты, перечисленные в следующей таблице, чтобы задать объект в качестве юридического пользователя, распознаваемого доменными службами Active Directory и системой безопасности Windows.
| Атрибут | Описание |
|---|---|
| cn | Указывает имя объекта пользователя в каталоге. Это будет относительное различающееся имя объекта (RDN). |
| sAMAccountName | Указывает строку, которая служит именем для поддержки клиентов и серверов из предыдущей версии Windows. Значение sAMAccountName не должно превышать 20 символов для поддержки клиентов из предыдущей версии Windows. sAMAccountName должен быть уникальным среди всех объектов учетных записей безопасности в домене. Чтобы убедиться, что sAMAccountName является уникальным в домене, необходимо выполнить запрос к домену. sAMAccountName является необязательным атрибутом. Сервер создаст случайное значение sAMAccountName, если оно не указано. |
Можно также задать другие атрибуты. Следующие атрибуты пользователя задаются со значениями по умолчанию, если во время создания их явно не задано.
| Атрибут | Описание |
|---|---|
| срок действия учетной записи истекает | Указывает, когда истекает срок действия учетной записи. Значение по умолчанию — TIMEQ_FOREVER, указывающее, что срок действия учетной записи никогда не истекает. |
| nTSecurityDescriptor | Дескриптор безопасности создается на основе определенных правил. Дополнительные сведения см. в разделе Настройка дескрипторов безопасности в новых объектах каталогов. |
| категорияОбъекта | Указывает категорию пользователя. Значение по умолчанию — «Человек». |
| имени | Указывает имя пользователя. По умолчанию задано значение для cn. |
| pwdLastSet | Указывает, когда пользователь последней задал пароль. Значение по умолчанию равно нулю, указывающее, что пользователь должен изменить пароль при следующем входе. |
| userAccountControl | Содержит значения, определяющие несколько функций входа и учетной записи для пользователя. По умолчанию задаются следующие флаги:
|
| член | Указывает группу или группы, которые пользователь является прямым членом. Значение по умолчанию — "Пользователи домена". |
Пользователь создается путем привязки к нужному контейнеру, а затем с помощью одного из следующих методов. Атрибуты cn и sAMAccountName необходимо задать перед фиксацией пользователя на сервере.
| Метод | Описание |
|---|---|
| IADsContainer.Create | Атрибут cn взят из параметра bstrRelativeName. Новый пользователь должен обязаться путем вызова IADs.SetInfo, или объект не будет создан. Для получения дополнительной информации см. Пример кода для создания пользователя. |
| IDirectoryObject::CreateDSObject | Атрибут cn взят из параметра pszRDNName. Новый пользователь фиксируется при вызове CreateDSObject. Дополнительные сведения см. в разделе Пример кода для создания пользователя. |
| DirectoryEntries.Add | Атрибут cn берется из параметра имени . Новый объект пользователя должен быть зафиксирован путем вызова DirectoryEntry.CommitChanges или не будет создан объект. Дополнительные сведения см. в разделе Добавление объектов каталогов. |
Новый пользователь должен быть зафиксирован на сервере, прежде чем можно изменить любые атрибуты, отличные от cn и sAMAccountName. Это связано с тем, что учетная запись пользователя на самом деле не существует, пока пользователь не будет подтвержден. Если атрибут извлекается или изменяется для объекта, который не существует на сервере, возникнет ошибка. Это включает вызов метода IADsUser.SetPassword. Например, при создании пользователя с IADsContainer.Createприменяется следующая последовательность:
- Вызовите IADsContainer.Create, чтобы создать пользователя в локальном кэше с указанным cn.
- Задайте атрибут sAMAccountName требуемое значение с помощью метода IADs.Put.
- Теперь измените другие атрибуты, например userAccountControl. Это ограничение также применяется к свойствам ADSI, таким как IADsUser.AccountDisabled, а также к таким методам, как IADsUser.SetPassword.
- Вызовите IADs.SetInfo, чтобы сохранить нового пользователя на сервере.
При создании новой учетной записи пользователя она отключена по умолчанию. Учетная запись должна быть включена вручную или программно. Чтобы программно включить учетную запись пользователя, удалите флаг ADS_UF_ACCOUNTDISABLE из атрибута userAccountControl.
При создании новой учетной записи пользователя атрибут userAccountControl для учетной записи автоматически устанавливает флаг UF_PASSWD_NOTREQD, указывающий, что для учетной записи пароль не требуется. Если политики безопасности домена, в котором создается учетная запись, требуют пароля для всех учетных записей пользователей, то флаг UF_PASSWD_NOTREQD необходимо удалить из атрибута userAccountControl для данной учетной записи.
Связанные разделы
-
пример кода для создания пользователя