Light-electric.com

IT Журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Имя пользователя пароль домен

Учетные записи пользователей

Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

Локальные учетные записи против доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами — P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) — объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей — аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

  • Administrators
  • Domain Admins
  • Domain Users
  • Enterprise Admins
  • Group Policy Creator Owners
  • Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

Создаем учетные записи пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object — User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Создаем шаблоны

Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции — создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.

Я обнаружила несколько полезных приемов создания и копирования шаблонов:

  • присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
  • назначать всем шаблонам один и тот же пароль;
  • отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).
Читать еще:  Word разметка страницы как включить

Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object — User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.

  1. Введите стандартный пароль компании и назначьте его новому пользователю.
  2. Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
  3. Поставьте флажок User must change password at next logon.
  4. Щелкните Next, затем Finish.

Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.

Кэти Ивенс — редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу: kivens@win2000mag.com

Поделитесь материалом с коллегами и друзьями

Имя пользователя пароль домен

Многогранные возможности инструмента управления учетными записями

http://www.osp.ru/win2000/2006/08/3998815/ Некоторые инструменты Windows, использующие командную строку, не найти ни в Resource Kit, ни в Support Tools, ни в глобальной сети — они встроены непосредственно в Windows! Команды Net – пример мощных и зачастую по незнанию игнорируемых инструментов, постоянно находящихся под рукой администратора. В статье “Не забывайте о Net Share” (опубликованной Windows IT Pro/RE № 5 за 2006 год) говорилось об использовании Net Share для управления коллективным доступом к файлам. Net Share имеет родственную команду – Net User, предназначенную для создания, удаления и управления локальными и доменными учетными записями пользователей.

Подробно о синтаксисе

Для начала рассмотрим основной синтаксис Net User на примере команды с ключом /add для создания учетной записи пользователя:
net user /add /domain

Без ключа /add команда Net User работает с имеющейся учетной записью. Ключ /domain обеспечивает соединение с контроллером домена (DC) и создание учетной записи домена. В противном случае создается локальная учетная запись. Конечно, если команда выполняется на DC, автоматически создается учетная запись домена. Например, команда
net user joe hi /add

создает новую локальную учетную запись пользователя под именем joe с паролем hi. Команда
net user jane wolf /domain

обеспечивает соединение с DC и восстановление пароля wolf пользователя Jane. Заметим, что эта команда выполняет восстановление, а не изменение пароля. Мне неизвестен инструмент командной строки, который бы выполнял изменение пароля.

Если создается учетная запись Active Directory (AD), ее регистрационным именем становится name@domainname. Например, команда
net user wally wallypassword /domain /add,

выполненная на системе, входящей в домен bigfirm.com, создает учетную запись, которая в “старом” стиле Windows NT 4.0 будет иметь регистрационное имя bigfirmwally, а в стиле AD – основное имя пользователя (UPN) wally@bigfirm.com. Пароль можно пропустить:

net user sally /add /domain,

но при этом создается учетная запись с нулевым паролем. Такая учетная запись, вероятно, окажется неправильной, о чем будет свидетельствовать сообщение об ошибке, поскольку большинство из нас работает в условиях минимальных требований к использованию пароля в сети. Как и для других команд Net, верхний и нижний регистры не имеют значения – конечно, за исключением, паролей.

Изменение атрибутов

Можно использовать несколько вариантов изменения атрибутов учетной записи. Ключ /active:[yes|no] позволяет делать учетную запись доступной или нет. Ключ /comment позволяет добавлять комментарий к учетной записи. Если текст комментария содержит пробелы и другие знаки, необходимо заключить его в двойные кавычки:

net user lila /comment:“accounting person” /add

Для удаления комментария можно просто повторно набрать команду, в которой за ключом /comment ничего не следует.

Ключ /homedir позволяет указать путь, соответствующий соглашению об универсальном назначении имен (UNC), к домашнему каталогу пользователя. Аналогично, ключ /profilepath позволяет указать UNC-путь к перемещаемому профилю пользователя. Например, если нужно, чтобы зарегистрированный пользователь Lila имел перемещаемый профиль, хранящийся в папке lila в совместно используемом каталоге profiles на сервере fileserver27, и чтобы каталогом пользователя Lila по умолчанию была папка lilastuff в каталоге homes на сервере fileserver04, можно изменить учетную запись следующим образом:

net user lila /profilepath:“fileserver27profiles lila” /homedir:“fileserver04homeslilastuff”

При регистрации пользователя Lila в системе извлекается соответствующий перемещаемый профиль с fileserver27. Впоследствии открываемая командная строка всякий раз будет содержать не C:Documents and Settingslila, а просто Z, поскольку система автоматически назначает букву Z для fileserver04 homeslila, как если бы была введена команда

net use Z: fileserver04homeslila

Как и в случае /comment, параметры /homedir или /profilepath можно удалить, просто набирая команду, в которой за двоеточием ничего не следует. Те, кому когда-либо приходилось работать с оснасткой Active Directory Users and Computers консоли Microsoft Management Console (MMC) для создания перемещаемого профиля или домашнего каталога, вероятно, имеют представление об использовании системной переменной %username%. В случае с Net User этот механизм не работает.

Многие назначают учетным записям пользователя сценарий регистрации. Net User позволяет это делать с применением ключа /scriptpath, осуществляющего ссылку на файл в совместно используемом каталоге Netlogon, который имеется на каждом DC. Например, задание lilastart.cmd в качестве сценария регистрации пользователя Lila означает, что сценарий регистрации пользователя Lila содержится в файле под указанным именем в каталоге Netlogon. Задание scriptslilastart.cmd означает, что сценарий содержится в папке scripts, находящейся в каталоге Netlogon.

Ключ /fullname позволяет назначать значение, используемое модулем расширения Active Directory Users and Computers для вызова отображаемого имени пользователя. Ключ /workstations позволяет ограничить рабочие станции, доступные для входа по данной учетной записи. Для ограничения учетной записи пользователя Lila разрешением регистрации только на компьютер PCWS55 можно набрать

net user lila /workstations:pcws55

При указании более одной рабочей станции составляется список, разделенный запятыми. Можно заключить этот список в двойные кавычки, но не следует оставлять пробелы после запятых. Допускается указание не более восьми рабочих станций. Ключ /passwordchg:[yes|no] позволяет указать, может ли пользователь менять свой пароль. Примечательно, что Net User нельзя использовать для установки бесконечного срока действия пароля учетной записи.

Добавление ключа /delete позволяет удалить учетную запись. Например, команда

net user joe /delete

удаляет локальную учетную запись под именем Joe, а команда

net user jane /domain /delete

осуществляет соединение с DC и удаление учетной записи пользователя Jane. Сама по себе команда Net User открывает список учетных записей пользователей, а команда Net User username дает информацию о конкретной учетной записи пользователя.

В заключение рассмотрим пример того, как команда Net User позволяет решить проблему, которая может показаться трудноразрешимой. Недавно мне было нужно создать домен с 501 учетными записями пользователей. Их содержание не имело значения – просто требовалось быстро создать 501 фиктивную учетную запись. Я воспользовался комбинацией команды Net User и инструмента For:

for /l %r in (1,1,501) do net user user%r password%r /add

sgww

WWW.SGWW.RU

живой журнал SGWW

Забыли пароль доменного администратора. Что делать?

Со мной не так давно случилась похожая ситуация, понадобился пароль учетной записи доменного администратора, по умолчанию, эта учетная запись была отключена и пароль от нее был не известен. Поменять его, мне помогла следующая статья. Поэтому я решил перевести её на русский язык, для тех, кто отличным знанием английского, похвастаться не может. Далее перевод.

Обновление: После некоторых отзывов читателей, я рад сказать, что описанная процедура также работает для контроллеров домена на базе Windows Server 2008*. Не стесняйтесь оставлять ваши отзывы. Я сохранил оригинальный текст страницы относящийся к Windows Server 2003, но вы можете выполнить те же самые действия и для Windows Server 2008

Читать еще:  Перенос контроллера домена на другой сервер

Заметка ламера: Это процедура НЕ разработана для Windows XP так как Windows XP это НЕ доменный контроллер. Кроме того, для Windows 2000 версия этой статьи находиться по ссылке Забыли пароль администратора? — Меняем пароль доменного администратора в Windows 2000 AD. Читатель Sebastien Francois добавил свои персональные рекомендации относящиеся к смене пароля в домене Windows Server 2003. Я процитирую часть из них. (Спасибо Sebastien): Требования

  1. Физический доступ к контроллеру домена.
  2. Пароль локального администратора.
  3. Утилиты поставляемые Microsoft в их Resource Kit: SRVANY and INSTSRV. Их можно загрузить тут (24kb).

Шаг 1

Перезагрузите Windows Server 2003 в Режиме Восстановления Службы Каталогов ( Directory Service Restore Mode ) Заметка: Во время начальной загрузки системы, нажимайте F8 и выберите Режиме Восстановления Службы Каталогов ( Directory Service Restore Mode ). Это отключит службу каталогов (Active Directory). Когда появиться экран ввода имени пользователя и пароля, войдите как локальный администратор. Теперь вы имеете полный доступ к ресурсам компьютера, но вы не можете делать никаких изменений в службе каталогов (Active Directory).

Сейчас вам необходимо установить SRVANY. Эта утилита может запустить любую программу в виде сервиса. Интересная особенность в том, что программа будет иметь привилегии системы (так как унаследует контекст безопасности SRVANY) т.е будет иметь полный доступ к системе. Этого более чем достаточно, что бы переустановить пароль доменного администратора. Настроим SRVANY на запуск командной строки (которая запустит команду ‘net user’) Скопируйте SRVANY и INSTSRV во временную папку, моя называется D:temp. Так же скопируйте в эту папку cmd.exe (cmd.exe это интерпритатор командной строки обычно находящийся в папке %WINDIR%System32).

Запустите командную строку из папки d:temp (или из той которую создали вы), и наберите: (поменяйте путь на тот который выбрали вы)

Теперь пришло время настроить SRVANY Запустите редактор реестра и перейдите к ветке

HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesPassR ecovery

Создайте новый раздел, назовите его Parameters и добавьте два новых значения
Замените 123456 на пароль который хотите**. Помните, что групповая политика домена по умолчанию требует сложных паролей (включающих цифры, отвечающих требованиям минимальной длины и т.д так что до тех пор пока вы не измените групповую политику по умолчанию используйте сложные пароли таки как P@ssw0rd

Теперь, откройте оснастку сервисы (Control PanelAdministrative ToolsServices) и откройте вкладку свойст PassRecovery.
Проверьте что режим запуска стоит автоматически.

Перейдите на вкладку Вход в систему (Log On) и включите опцию Разрешить взаимодействие с рабочим столом (Allow service to interact with the desktop).

Перезагрузите Windows в обычном режиме, SRVANY запустит команду NET USER и переустановит пароль доменного администратора.

Зарегистрируйтесь в системе под администратором используя пароль который вы установили на шаге два.
Воспользуйтесь этими командами, что бы деинсталировать SRVANY (не забудьте сделать это).
Теперь удалите папку d:temp и поменяйте пароль администратора если желаете.

Robert Strom написал отличный скрипт который полностью автоматизирует этот процес. Он пишет:

«Мой скрипт в действительности автоматизирует процесс, выполняет все операции самостоятельно. Запустите скрипт один раз и всё готово. не надо вручную править записи в реестре, создавать и настраивать сервис и т.п»

Скачайте его здесь (186kb).

Отметим, что вам все еще нужен физический доступ к контроллеру домена и возможность зарегистрироваться в системе в качестве локального администратора. Если вы не знаете пароль локального администратора, пользуйтесь следующей ссылкой: Забыли пароль локального администратора. Спасибо Роберт!

Благодарности

Эта заметка была написана благодаря помощи Antid0t, Robert Strom и Sebastien Francois. Спасибо вам всем!

Ссылки

Вы так же можете обсудить на форуме в этой ветке Petri.co.il Forgot Admin Password Forum.

*проверено мной на Windows Server 2008 Standart
**если DC у вас установлен на русскоязычном windows, то вам еще следует заменить administrator на администратор

Имя пользователя пароль домен

Интересует меня вот что: заводим в домене пользователя с именем test, пароль test.
Потом заводим локального пользователя с такими же именем и паролем.

Почему, когда я вхожу локально (не в домен), то все равно имею права доступа точно такие же как будто я вошел доменным пользователем?

Идентификаторы-то у этих пользователей различаться должны! Не может же AD проверять исключительно пароль, не обращая внимания на имя пользователя.

На deja.com ничего про это не нашел.

Добавление от 21.11.2003 00:32:

автоперевод с транслита:
после пол-литтра я уже не ясно выражаюсй, не логонясй на другой машине доменным юзером, заведите там етот акаунт и проверйте повторимостй резулйтата

такое возникает на всех машинах.

если имя и пароль локального пользователя совпадают с доменным, то пользователь получает доступ ко всем шарам на сервере. можно даже не входить на машину доменным пользователем, достаточно чтобы в домене существовал пользователь с таким же именем и паролем

pinny
а что так удивило?
Ты (предположим залогинившись у себя как Иванов) когда пытаешься получить доступ к серверу и знаешь пароль опять предположим юзера Сидоров на том компе не удивялешься окошку «введите имя пароль».. не удивляешься что Тебя пускает после правильно введенных?
так вот при совпадение это окно и ввод инф происходят автоматом..
сервер проверяет наличие юзера по локальной базе .. но на контроллере-то нет локальной.. он проверяет по АД..
вот в домене и получаешь результат — если ресурс на контроллере то пустит, если на другом компе то нет.. (точнее пустит если он наберет DomainSidorov а не просто Sidorov или если и на том компе есть локальный Sidorov)

кстати куда забавнее когда имена совпадают а пароли нет.. вот с непривычки народ мучается почему иногда окна пароля даже нет а сразу Аксесс денай.. или почему постоянно экаунт юзера блокируется?

Это что же получается? Если я — позорный юзер — без никаких прав в домене- проинсталлировал вынь — и мой пароль админский совпал с паролем самого главного доменного админа, который — из-за врожденного слабоумия или болезни Дауна в легкой форме не переименовал Аккаунт доменного админа — и опс — я есть самый главный в домене?

P.S. Данный сценарий у меня не сработал (как и следовало ожидать) правда домен на НТ4, но я не думаю что винда с приходом АД так уж поглупела
Может там на шарах в правах присутствует «Everyone»?

scarecrow
значит шАры на DC. к серверам-членам (не DC) доступа не получит

Ааа. хмм какая разница — где шары? Это ИМХО разные подсистемы — АД, НТФС и шАры. И права, которые получит юзер зависят только от того, что прописано в АСЛ данного ресурса не зависимо от того, где ентот ресурс располагается

Tapper
Данный сценарий у меня не сработал
не понял какой.. тот что Ты описал выше? и что подразумевалось подсамый главный в домене.. доступ к ресурсам по совпадению имени пароля .. будет.. остальне врядли.. точнее тоже будет но все..(повторяю — часть софта требует в обязательном порядке поле Domain .. юзер со своего компа в это поле автоматом может подставить имя компа.. )
Что ни разу подобным способом не проверял компы на пустой админский пароль? Логинишься админом с пустым паролем и вперед .. (в домашних сетях такое творится.. жуть..)

Может там на шарах в правах присутствует «Everyone»?
и что? что вы так на эту группу въелись? «Everyone» = юзера на компе+Гость +анонимные служебные юзера..
закрой гостя и этих юзеров анонимного доступа и все.. получишь группу «Прошедшие проверку»..
(в 2000 Гость по дефолту уже закрыт..)

АСЛ данного ресурса не зависимо от того, где ентот ресурс располагается
э нет.. точнее не совсем так.. для того чтобы доступ получить он проверку на входе пройти должен.. сессионный тикет получить.. если это контроллер и ресурс на нем то он сам проверяет и юзер доступ получит.. а вот сервер член домена передает запрос контроллеру на предмет кто это и тут .. механиз разный.. сам юзер запрашивает доступ или идет запрос на него..

Читать еще:  Назначение домена jobs

Добавление от 21.11.2003 12:52:

Aww
не понял какой..
самый первый — описанный в вопросе

э нет.. точнее не совсем так.. для того чтобы доступ получить он проверку на входе пройти должен.. сессионный тикет получить.. если это контроллер и ресурс на нем то он сам проверяет и юзер доступ получит.. а вот сервер член домена передает запрос контроллеру на предмет кто это и тут ..

Вообще-то я думал, что сессионный тикет (или идентификатор) я получаю как раз при логине в домен. А потом уже мой идентификатор сравнивается с тем, что стоит в АСЛ ресурса, проверяется в АД моя принадлежность к группам и т.д. Ну и какая разница — где ресурс? Проверяется то это все-равно в АД.

мы про домен в стандартных установках.. не думаю что автор первого постинга успел «накрутить» ..

Так вот в таком случае 90% того, что ни какой Kerberos не ходит, а юзается NTLM. Особенно, если это Win2К

CMD. Управление пользователями в Windows.

Управление пользователями в Windows

Управление пользователями в Windows, помимо графической оснастки «Учетные данные пользователей», расположенной в панели управления, можно производить с помощью командной строки.

Команда NET USER предназначена для просмотра, добавления или редактирования учетных записей пользователей на компьютерах. При выполнении команды в командной строке без параметров отображается список учетных записей пользователей Windows, присутствующих на компьютере(локальные УЗ). Информация об учетных записях пользователей хранится в базе данных Windows.

Синтаксис команды NET USER

net user [имя_пользователя [пароль | *] [параметры]] [/domain]

net user имя_пользователя <пароль | *>/add [параметры] [/domain]

net user имя_пользователя [/delete] [/domain], где

  • имя_пользователя — Указывает имя учётной записи пользователя, которую можно добавить, удалить, отредактировать или просмотреть. Имя может иметь длину до 20 символов.
  • пароль — Присваивает или изменяет пароль пользователя. Введите звездочку (*) для вывода приглашения на ввод пароля. При вводе с клавиатуры символы пароля не выводятся на экран.
  • /domain — Выполняет операцию на контроллере основного для данного компьютера домена.
  • параметры — Задает параметр командной строки для команды.
  • net help команда — Отображение справки для указанной команды net.
  • /delete — Удаление учетной записи пользователя.

Дополнительные параметры команды NET USER:

  • /active: Активирует или деактивирует учетную запись. Если учетная запись не активирована, пользователь не может получить доступ к серверу. По умолчанию учетная запись активирована.
  • /comment:»текст» — Позволяет добавить описание учетной записи пользователя (максимум 48 символов). Текст описания заключается в кавычки.
  • /countrycode: nnn — Использует код страны, указанный для операционной системы, для реализации соответствующих языковых файлов при отображении пользовательской справки и сообщений об ошибках. Значение 0 соответствует коду страны, используемому по умолчанию.
  • /expires: <дата | never>— Дата истечения срока действия учетной записи. Значение never соответствует неограниченному сроку действия. Дата указывается в формате мм/дд/гг или дд/мм/гг в зависимости от кода страны. Месяц может указываться цифрами, полностью или в сокращенном виде (тремя буквами). Год может указываться двумя ли четырьмя цифрами. Элементы даты разделяются слэшем (/) без пробелов.
  • /fullname:» имя » — Полное имя пользователя (в отличии от имени учетной записи пользователя). Имя указывается в кавычках.
  • /homedir: путь — Указывает путь к домашнему каталогу пользователя. Указанное место должно существовать.
  • /passwordchg: Указывает, может ли пользователь изменять свой пароль (по умолчанию yes).
  • /passwordreq: Указывает, должна ли учетная запись пользователя иметь пароль (по умолчанию yes).
  • /profilepath[:путь] — Указывает путь к профилю входа в систему пользователя.
  • /scriptpath: путь — Путь к сценарию, используемому пользователем для входа в систему.
  • /times: <время | all>— Время для входа в систему. Параметр время указывается в формате день[-день][,день[-день]],час [-час][,час [-час]], причем приращение равняется 1 часу. Название дней недели могут указываться полностью или в сокращенном виде. Часы могут указываться в 12- или 24-часовом представлении. Для 12-часового представления используются обозначения am, pm, a.m. или p.m. Значение all соответствует отсутствию ограничений на время входа в систему, а пустое значение обозначает полный запрет на вход в систему. Значения дней недели и времени разделяются запятой; несколько записей для значений дней недели и времени разделяются точкой с запятой.
  • /usercomment:»текст» — Позволяет администратору добавить или изменить комментарий к учетной записи.
  • /workstations: <имя_компьютера[,…] | *>— Позволяет указать до 8 компьютеров, с которых пользователь может войти в сеть. Если для параметра/workstations не указан список компьютеров или указано значение *, пользователь может войти в сеть с любого компьютера.

Примеры команды NET USER

  • Для вывода списка всех пользователей данного компьютера служит команда: net user;
  • Для вывода информации о пользователе «petr» служит следующая команда: net user petr;
  • Для добавления учетной записи пользователя Petr с полным именем пользователя и правом на подключение с 8 до 17 часов с понедельника по пятницу используется следующая команда: net user petr /add /times:Пн-Пт,08:00-17:00/fullname:»Petr».
  • Для удаления учетной записи необходимо ввести команду: net user petr /delete;
  • Для отключения учетной записи необходимо ввести команду: net user petr /active:no.

Для просмотра членов локальной группы можно использовать команду net localgroup

Есть еще одна команда для определения свойств УЗ текущего пользователя, это команда WHOAMI

Три способа выполнения WhoAmI:

Синтаксис 1:
WHOAMI [/UPN | /FQDN | /LOGONID]

Синтаксис 3:
WHOAMI /ALL [/FO ] [/NH]

Описание:
Эту программу можно использовать для получения сведений об имени
пользователя и группе, а также о соответствующих идентификаторах
безопасности (SID), утверждениях, привилегиях, идентификаторе входа
текущего пользователя на локальном компьютере, т. е. для
определения текущего пользователя. Если параметр не указан, имя
пользователя отображается в формате NTLM (доменпользователь).

Параметры:
/UPN Отображение имени пользователя в формате
имени участника-пользователя (UPN).

/FQDN Отображение имени пользователя в формате
полного доменного имени (FQDN).

/USER Отображение сведений о текущем пользователе
вместе с идентификатором безопасности (SID).

/GROUPS Отображение для текущего пользователя членства
в группах, типа учетной записи, идентификаторов
безопасности (SID) и атрибутов.

/CLAIMS Отображение требований для текущего пользователя,
включая имя требования, флаги, тип и значения.

/PRIV Отображение привилегий безопасности текущего
пользователя.

/LOGONID Отображение идентификатора входа текущего
пользователя.

/ALL Отображение имени пользователя, членства
в группах, идентификаторов безопасности
(SID), утверждений и привилегий для
маркера входа текущего пользователя.

/FO Формат вывода.
Допустимые значения: TABLE, LIST, CSV.
Заголовки столбцов в формате CSV
не отображаются. Формат по умолчанию: TABLE.

/NH Строка заголовков столбцов
не отображается при выводе. Действительно
только для форматов TABLE и CSV.

/? Вывод справки по использованию.

Примеры использования WHOAMI:

WHOAMI — отобразить имя текущего пользователя в формате «доменимя»

WHOAM /UPN — отобразить имя текущего пользователя в формате «имя@домен»

WHOAM /FQDN — отобразить имя текущего пользователя в формате полного доменного имени (FQDN).

WHOAMI /LOGONID — отобразить идентификатор текущего пользователя.

WHOAMI /USER — отобразить имя и SID текущего пользователя.

WHOAMI /USER /FO LIST — то же, что и в предыдущем случае, но с выводом данных в виде списка.

WHOAMI /GROUPS — отобразить список групп, членом которых является текущий пользователь.

WHOAMI /GROUPS /FO CSV — то же, что и в предыдущем случае, но с выводом результатов в виде полей, разделяемых запятой.

WHOAMI /GROUPS /FO CSV > C:MyGroups.csv — то же, что и в предыдущем примере, но с выводом результатов в файл C:MyGroups.csv.

WHOAMI /PRIV — отобразить список привилегий текущего пользователя.

WHOAMI /PRIV /FO TABLE — то же, что и в предыдущем примере, но с отображением результатов в виде таблицы.

WHOAMI /ALL — отобразить информацию о SID текущего пользователя, принадлежности к группам и перечень привилегий.

При подготовке этой шпаргалки использовались материалы:

Ссылка на основную публикацию
Adblock
detector