Создание доменных учетных записей пользователей
У каждого пользователя, которому нужен доступ к ресурсам сети, должна быть учетная запись. Ее тин зависит от конфигурации сети. В случае доменов Active Directory вы имеете дело с доменными учетными записями пользователей, а в случае рабочих групп — с локальными, которые относятся к конкретным машинам.
Создавая доменную учетную запись пользователя, вы передаете команде DSADD USER составное имя (DN) пользователя. Простое имя (common name) является частью составного. Остальная часть составного имени указывает, где в Active Directory должна располагаться учетная запись; для этого нужно указать контейнер, в котором следует создать запись, и соответствующий домен. Например, вы можете создать учетную запись для Магу Baker в OU «Sales» домена site1.com командой: dsadd user "CN=Mary Baker,OU=Sales,DC=site1, DC=com". Это приведет к созданию учетной записи с именем Mary Baker, используемым для входа, но поскольку другие свойства не указаны, она будет автоматически отключена из соображений безопасности.
Имена пользователей не чувствительны к регистру букв и могут быть длиной до 64 символов. Обычно в дополнение к DN учетной записи пользователя задаются следующие свойства.
- Имя, указываемое параметром -Fn.
- Отчество, указываемое параметром -Mi.
- Фамилия, указываемая параметром -Ln.
- Отображаемое имя, указываемое параметром -Display.
- Имя учетной записи в SAM (также называемое логином), указываемое параметром -Samid.
- Пароль задается параметром Pwd. Он должен соответствовать требованиям к паролям, установленным политиками групп (если таковые есть).
Первые 20 символов простого имени используются при задании имени учетной записи в SAM; они также называются логином в операционных системах до Windows 2000. Имя учетной записи в SAM должно быть уникальным в рамках домена, и в случае совпадений вам придется сделать его отличным ототображаемого. Тогда-то вы и зададите имя учетной записи в SAM через параметр -Samid.
Параметры учетных записей в Active Directory
В отличие от учетных записей, созданных в оснастке Active Directory Users And Computers (Active Directory - Пользователи и компьютеры), значения полей для имени пользователя, отчества и фамилии не применяются для формирования отображаемого имени. Вы должны задать его через параметр -Display. Отображаемым считается имя, которое Windows показывает в диалогах. Простое имя, являющееся частью имени учетной записи пользователя и частью доменного имени в DN, служит для формирования полного логина (полного входного имени). Такое имя предназначено для входа и аутентификации. Например, если входной домен пользователя — cpandl, а логин — marybaker, то полное входное имя пользователя — cpandl\marybaker.
Для создания учетной записи для User1, которая использует такие параметры, можно ввести команду вида:
dsadd user "CN=Mary Baker,0U=Sales,0C=site1,DC=com" -fn Mary -mi A -In Baker -samid "marybaker" -display "User1" -pwd dg56$2#
Если возникают проблемы при создании учетных записей, вы увидите предупреждение, и вам понадобится проверить синтаксис и убедиться, что все значения заданы правильно и составное имя верно. Если все в порядке, команда DSADD USER вернет DSADD SUCCEEDED.