Создание доменных учетных записей пользователей

У каждого пользователя, которому нужен доступ к ресурсам сети, должна быть учетная запись. Ее тин зависит от конфи­гурации сети. В случае доменов Active Directory вы имеете дело с доменными учетными записями пользователей, а в слу­чае рабочих групп — с локальными, которые относятся к кон­кретным машинам.

Создавая доменную учетную запись пользователя, вы передае­те команде DSADD USER составное имя (DN) пользователя. Простое имя (common name) является частью составного. Ос­тальная часть составного имени указывает, где в Active Direc­tory должна располагаться учетная запись; для этого нужно ука­зать контейнер, в котором следует создать запись, и соответству­ющий домен. Например, вы можете создать учетную запись для Магу Baker в OU «Sales» домена site1.com командой: dsadd user "CN=Mary Baker,OU=Sales,DC=site1, DC=com". Это приведет к созданию учетной записи с именем Mary Baker, используемым для входа, но поскольку другие свойства не ука­заны, она будет автоматически отключена из соображений бе­зопасности.

Имена пользователей не чувствительны к регистру букв и могут быть длиной до 64 символов. Обычно в дополнение к DN учетной записи пользователя задаются следующие свойства.

• Имя, указываемое параметром -Fn.
• Отчество, указываемое параметром -Mi.
• Фамилия, указываемая параметром -Ln.
• Отображаемое имя, указываемое параметром -Display.
• Имя учетной записи в SAM (также называемое логином), указываемое параметром -Samid.
• Пароль задается параметром Pwd. Он должен соответство­вать требованиям к паролям, установленным политиками групп (если таковые есть).

Первые 20 символов простого имени используются при за­дании имени учетной записи в SAM; они также называются ло­гином в операционных системах до Windows 2000. Имя учет­ной записи в SAM должно быть уникальным в рамках домена, и в случае совпадений вам придется сделать его отличным ототображаемого. Тогда-то вы и зададите имя учетной записи в SAM через параметр -Samid.

Параметры учетных записей в Active Directory

В отличие от учетных записей, созданных в оснастке Active Directory Users And Computers (Active Directory - Пользова­тели и компьютеры), значения полей для имени пользовате­ля, отчества и фамилии не применяются для формирования отображаемого имени. Вы должны задать его через параметр -Display. Отображаемым считается имя, которое Windows по­казывает в диалогах. Простое имя, являющееся частью имени учетной записи пользователя и частью доменного имени в DN, служит для формирования полного логина (полного входно­го имени). Такое имя предназначено для входа и аутентифи­кации. Например, если входной домен пользователя — cpandl, а логин — marybaker, то полное входное имя пользователя — cpandl\marybaker.

Для создания учетной записи для User1, которая использует такие параметры, можно ввести команду вида:

dsadd user "CN=Mary Baker,0U=Sales,0C=site1,DC=com" -fn Mary -mi A -In Baker -samid "marybaker" -display "User1" -pwd dg56$2#

Если возникают проблемы при создании учетных записей, вы увидите предупреждение, и вам понадобится проверить синтаксис и убедиться, что все значения заданы правильно и составное имя верно. Если все в порядке, команда DSADD USER вернет DSADD SUCCEEDED.