Создание доменной учетной записи пользователя
Все новые пользователи домена становятся членами группы Domain Users (Пользователи домена); это их основная группа. Вы можете указывать членство в дополнительных группах через параметр -Memberof (к нему нужно добавить DN группы). Если DN группы содержит пробелы, оно должно быть заключено в кавычки, например:
- dsadd user "CN=u1,0U=Sales,DC=site1,DC=com" -memberof "CN=Backup Operators,CN=Builtin,DC=cpandl,DC=com" "CN=DHCP Administrators,CN=Builtin,DC=site1,DC=com"
Здесь создается учетная запись пользователя, а затем добавляется в группы Backup Operators и DHCP Administrators. Это двухэтапный процесс: сначала создается учетная запись, а затем конфигурируется ее участие в группах. Если происходит ошибка при включении в группы, DSADD USER сообщит, что объект создан, но после его создания возникла ошибка. Проверьте синтаксис задания DN группы, потом воспользуйтесь командой DSMOD USER для правильной настройки членства пользователя в группах.
Из соображений безопасности при создании учетной записи пользователя вам также могут понадобиться следующие параметры.
- -Mustchpwd {yes | no} — по умолчанию пользователю не надо менять свой пароль при первом входе, т. е. подразумевается параметр -mustchpwd по. Если вы укажете -mustchpwd yes, пользователю придется сменить свой пароль при первом входе.
- -Canchpwd {yes | по} — по умолчанию пользователь может сменить свой пароль, т. е. подразумевается параметр -canchpwd yes. При -canchpwd по пользователь не сможет сменить свой пароль.
- -Pwdneverexpires {yes | по} — по умолчанию предполагается -pwdneverexpires по, и пароль пользователя устаревает в соответствии с настройками политик групп. Если же вы установите -pwdneverexpires yes, пароль для этой учетной записи никогда не устареет.
- -Disabled {yes | по} — по умолчанию, как только вы создаете учетную запись с паролем, она становится доступна для использования (подразумевается значение -disabled по). Если вы укажете -disabled yes, учетная запись отключается. Это временно запретит использование данной учетной записи.
Рассмотрим несколько примеров, чтобы лучше понять команду DSADD USER.
Создание учетной записи для user1 в контейнере Users домена sit1.com и обязательная смена пароля при первом входе в систему:
- dsadd user "CN=Scott L. Bishop,CN=Users,DC=site1,DC=com" -fn Scott —mi L -In Bishop -samid "scottb" -display "user1" -pwd acornTree -mustchpwd yes
Создание локальных учетных записей пользователей
Локальные учетные записи пользователей создаются на индивидуальных компьютерах. Если вы хотите создать локальную учетную запись на конкретном компьютере, вы должны подключиться локально или удаленно для получения доступа к
локальной командной строке. Войдя в нужную систему, вы можете создать необходимую учетную запись командой NET USER. Иногда политики локальных компьютеров позволяют создать учетную запись просто по ее имени и с параметром /Add, например:
net user user1 /add
Сейчас вы создали локальную учетную запись с именем user1 и пустым паролем. Хотя пустые пароли допустимы, они создают риск для безопасности компьютера и, возможно, сети. Поэтому, советую указывать имя пользователя и пароль для новых локальных учетных записей. Пароль должен следовать за именем учетной записи:
net user user1 dg56$2# /add