Доменное имя пользователя windows

В чем разница между локальными и доменными учетными записями пользователей в Windows?

Какой пример из нашей обычной жизни поможет максимально точно описать принцип их взаимодействия?

В этом видеоуроке я хочу поделиться с вами фрагментом нашего недавнего видеосозвона с группой студентов в рамках курса комплексного обучения системному администрированию, где мы обсудили данную тему.

⇓ Запись урока на YouTuBe ⇓

⇓ Запись урока во ВКонтакте ⇓

Давайте начнем с самого начала. У Павла возникли вопросы о том, почему в Active Directory отсутствуют те пользователи, которые есть на обычных рабочих станциях.

Понимание домена и локальной машины

Я постараюсь объяснить это так, чтобы было проще понять разницу между доменом и локальной машиной, а также учетными записями — доменными и локальными.

Представьте себе ситуацию: у нас есть Российская Федерация, состоящая из множества регионов. Можно представить Российскую Федерацию как нашу локальную сеть, где регионы — это компьютеры. А Москва, где находится правительство, — это наш сервер.

К чему я это веду? На каждой машине есть свое внутреннее «политическое устройство«, где есть мэр и различные органы власти. Будем считать, что это учетные записи пользователей: люди, которые управляют компьютером и имеют определенные привилегии. Эти пользователи могут управлять только своим «региональным» компьютером и не могут влиять на другие регионы. Однако правительство в Москве (сервер) может воздействовать на политику каждого региона, так как оно имеет более высокий приоритет.

Локальные и доменные учетные записи

Таким образом, любой представитель общего правительства может приехать в любой регион с проверкой, и ему не скажут: «Кто ты такой? Убирайся!» Они подчиняются более высокому уровню власти.

Надеюсь, эта аналогия помогла понять логику работы локальных и доменных учетных записей. Локальные учетные записи — это те учетные записи, которые мы можем управлять непосредственно на этом компьютере. Мы не можем управлять другими компьютерами без специальной настройки. По умолчанию мы можем работать только с теми ресурсами, которые доступны на данном устройстве.

Если это локальная администраторская учетная запись, то мы можем устанавливать программы и изменять настройки. Обычные пользователи могут использовать определенные ресурсы, но не имеют права изменять настройки.

Вопрос Павла

Теперь давайте перейдем к вопросу Павла: — Привет всем! У меня возник вопрос, потому что на одном из компьютеров я забыл администраторский пароль и не мог войти. Я рассчитывал, что смогу войти через сервер с помощью администраторской учетной записи. Сначала я удивился, что сервер не видит локального администратора. Как я могу войти в систему, если забыл пароль?

Решение проблемы

Ты мог бы зайти под администратором домена — он имеет такие же права. Не забудь обратить внимание на поле ввода имени пользователя: ниже указывается, куда ты пытаешься войти.

Если ты пытаешься войти в систему с помощью доменной учетной записи (например, office.loc), но этой учетной записи нет в домене, система будет выдавать ошибку неверного пароля.

Чтобы войти под локальной учетной записью, нужно указать имя компьютера перед именем пользователя (например, «имя_компьютера\имя_пользователя» или «.\имя_пользователя»).

Если имя локальной учетной записи совпадает с тем, что ты вводишь, но система все равно выдает ошибку, возможно, она автоматически распознает попытку входа как локальную. Всегда проверяй нижнюю строку ввода: если там указано имя домена — значит ты пытаешься войти под доменной учетной записью.

Как записаться на обучение системному администрированию?

• 1) Перейдите на страницу курса здесь — https://pages.it-skills.online/gruppa-obucheniya-kosa.html
• 2) Заполните форму регистрации.
• 3) Подготовьтесь к увлекательному обучению и новым достижениям в области системного администрирования!

Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

Локальные учетные записи против доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами — P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) — объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей — аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

• Administrators
• Domain Admins
• Domain Users
• Enterprise Admins
• Group Policy Creator Owners
• Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

Создаем учетные записи пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object — User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Создаем шаблоны

Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции — создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.

Я обнаружила несколько полезных приемов создания и копирования шаблонов:

• присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
• назначать всем шаблонам один и тот же пароль;
• отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).

Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object — User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.

1. Введите стандартный пароль компании и назначьте его новому пользователю.
2. Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
3. Поставьте флажок User must change password at next logon.
4. Щелкните Next, затем Finish.

Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.

Кэти Ивенс — редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу: kivens@win2000mag.com

В прошлой статье мы создали и настроили контроллер домена (DC), настало время наполнить наш домен пользователями и рабочими станциями.

Конфигурация

Открываем Server Manager и выбираем опцию Roles.

Картинка с сайта: wiki.merionet.ru

Из доступных ролей выбираем недавно установленную — Active Directory Domain Services, далее Active Directory Users and Computers и находим созданный нами домен (в нашем случае — merionet.loc). В выпадающем списке объектов находим Users и кликаем по данной опции правой кнопкой мыши и выбираем New → User.

Картинка с сайта: wiki.merionet.ru

Отметим также, что вы можете создать свою группу и добавлять пользователей туда.

Перед нами откроется окно добавления нового пользователя. Заполняем учетные данные нового пользователя. Как правило, в корпоративных доменах, принято создавать именные учетные записи для того, чтобы в дальнейшем можно было отслеживать действия конкретного пользователя в целях безопасности и однозначно его идентифицировать.

Картинка с сайта: wiki.merionet.ru

Далее, нас просят ввести пароль для новой учетной записи и выбрать дополнительные опции:

• User must change password at next logon — при включении данной опции, пользователя попросят сменить пароль при следующем логине;
• User cannot change password — пользователь не сможет самостоятельно изменить свой пароль;
• Password never expires — срок действия пароля пользователя никогда не истечет;
• Account is disabled — учетная запись пользователя будем отключена и он не сможет залогиниться с доменными учетными данными, даже если они будут введены верно.

Картинка с сайта: wiki.merionet.ru

После того, как все данные будут заполнены, нас попросят подтвердить создание нового объекта.

Картинка с сайта: wiki.merionet.ru

Отлично, новый пользователь домена создан. Теперь нам нужно зайти на компьютер пользователя и ввести его в домен. Для этого логинимся на компьютер пользователя с локальными учетными данными и открываем Свойства компьютера. Как видите, наш компьютер пока еще не стал частью домена, он ещё является частью рабочей группы WORKGROUP/. Убедитесь, что компьютер пользователя имеет версию Windows не ниже Professional. Чтобы ввести его в домен выбираем Change Settings

Важно! Поддержка доменной инфраструктуры начинается только с версии Windows Professional. На версиях Starter, Home Basic, Home Premium подключиться к домену не получится!

Картинка с сайта: wiki.merionet.ru

Далее напротив опции «To rename this computer or change its domain or workgroup, click Change» нажимаем собственно Change

Картинка с сайта: wiki.merionet.ru

Важно! Для того, чтобы наш компьютер узнал о существующем контроллере домена нам нужно указать ему на DNS сервер, который имеет такую информацию. В нашем случае – контроллер домена является по совместительству DNS сервером для пользовательских машин. Поэтому мы указываем контроллер домена в качестве DNS сервера для настраиваемого компьютера.

Картинка с сайта: wiki.merionet.ru

Далее в открывшемся окне в опции «Member of» вместо Workgroup выбираем Domain и вводим имя нашего домена (в нашем случае – merionet.loc)

Картинка с сайта: wiki.merionet.ru

Далее нас попросят ввести учетные данные для учетной записи, которая уже создана и имеет право присоединиться к домену. Вводим учетные данные ранее созданного пользователя.

Картинка с сайта: wiki.merionet.ru

Если все было сделано корректно, то мы увидим сообщение, свидетельствующее о том, что наш компьютер теперь является частью домена (в нашем случае — merionet.loc)

Картинка с сайта: wiki.merionet.ru

После чего, нас попросят перезагрузить компьютер для применения изменений.

Картинка с сайта: wiki.merionet.ru

После перезагрузки, мы можем логиниться уже с учетными данными доменного пользователя.

Картинка с сайта: wiki.merionet.ru

Теперь, если мы откроем свойства компьютера, то увидим, что наш компьютер принадлежит домену (в нашем случае – merionet.loc)

Картинка с сайта: wiki.merionet.ru

Обратите внимание! Зачастую при поиске доменного имени компьютера пользователи ищут и другую подобную информацию, такую как серийный номер устройства и его IP-адрес. При необходимости можете воспользоваться ссылками ниже, чтобы перейти на соответствующие статьи по этим темам.

Подробнее: Как узнать серийный номер / IP-адрес компьютера в Windows 10

Картинка с сайта: lumpics.ru

Вариант 1: Локальное доменное имя

У любого современного компьютера есть два типа доменного имени — локальное и сетевое. Начнем с первого варианта. Узнать нужную информацию можно двумя способами.

Способ 1: «Параметры»

Доменное имя компьютера можно посмотреть в специальном меню системных «Параметров», там же есть возможность отредактировать эти данные.

1. Перейдите в «Параметры» любым доступным способом. Проще всего это сделать через меню «Пуск». Для этого откройте его нажатием левой кнопки мыши, а затем щелкните по пункту, имеющему иконку шестерни.
   

   Картинка с сайта: lumpics.ru

   Читайте также: Как запустить «Параметры» в Windows 10

2. В появившемся на экране окне перейдите в раздел «Система», кликнув мышкой по одноименному пункту.


Картинка с сайта: lumpics.ru

3. Воспользовавшись навигацией на боковой панели слева, проследуйте во вкладку «О программе». Сразу после этого можно увидеть локальное доменное имя компьютера, оно указано напротив строки «Имя устройства», расположенной в блоке «Характеристики устройства».


Картинка с сайта: lumpics.ru

4. Но это не полное имя, чтобы посмотреть более подробную информацию, необходимо перейти вниз по странице и кликнуть по ссылке «Переименовать этот ПК (для опытных пользователей)», расположенной в блоке «Сопутствующие параметры».


Картинка с сайта: lumpics.ru

5. Во вкладе «Имя компьютера» открывшегося окна искомая информация будет расположена напротив строки «Полное имя». Обратите внимание, что после обычного имени через точку идет дополнительная информация, сообщающая другим пользователям точное местонахождение устройства в локальной сети.

   При необходимости информацию можно отредактировать. Для этого нажмите по кнопке «Изменить».



Картинка с сайта: lumpics.ru

6. Далее проследуйте в дополнительные настройки, щелкнув по кнопке «Дополнительно», находящейся в основном блоке интерфейса окна.
7. Ознакомьтесь с суффиксом доменного имени локальной сети компьютера, которое расположено в обозначенном на скриншоте ниже блоке. При необходимости вы можете изменить эти данные. Для их сохранения не забудьте в конце нажать по кнопке «ОК».


Картинка с сайта: lumpics.ru

Таким образом можно узнать не только имя компьютера в локальной сети, но и его доменную принадлежность.

Способ 2: «Командная строка»

Если редактировать имя не нужно, будет намного быстрее посмотреть его с помощью «Командной строки». Проще всего ее открыть через системный поиск или вызов контекстного меню кнопки «Пуск» (щелкните по ней правой кнопкой мыши, а затем выберите соответствующий пункт).

Читайте также: Способы запуска «Командной строки» в Windows 10

В открывшемся окне консоли введите указанную ниже команду и нажмите по клавише Enter для ее выполнения:

ipconfig /all

Сразу после этого отобразится список всех характеристик сети. Искомая информация находится в блоке «Настройка протокола IP для Windows» и расположена сразу после строк «Имя компьютера» и «Основной DNS-суффикс». Соответственно, чтобы получить полный адрес, необходимо эту информацию объединить через точку. Беря за основу пример на скриншоте ниже, он будет следующим:

DESKTOP-KCTAFB1.ctk.net.ua

Картинка с сайта: lumpics.ru

Вариант 2: Сетевое доменное имя

Для просмотра доменного имени компьютера в сети интернет алгоритм действий будет отличаться. Есть несколько способов получения нужной информации, предполагающих использование графического и консольного интерфейсов.

Способ 1: «Свойства сети»

Если вводить команды в консоли не хочется, доменное имя можно узнать в меню «Параметров» системы или через специальный раздел «Панели управления». Далее эти методы будут рассмотрены по отдельности.

«Параметры»

В разделе параметров «Сеть и интернет» можно ознакомиться со всеми сетевыми характеристиками, в частности, доменным именем компьютера. Для этого выполните следующие действия:

1. Откройте окно параметров любым доступным способом. Сделать это можно озвученным ранее методом или воспользовавшись сочетанием клавиш Win + I. После появления соответствующего окна перейдите в раздел «Сеть и интернет».


Картинка с сайта: lumpics.ru

2. Воспользуйтесь навигацией на боковой панели слева, чтобы перейти во вкладку «Ethernet». Далее в одноименном блоке кликните по текущей сети, важно чтобы соединение с интернетом было установлено.


Картинка с сайта: lumpics.ru

3. Пролистайте открывшуюся страницу до самого низа и в блоке «Свойства» обратите внимание на строку «Основной DNS-суффикс», именно напротив нее и будет находиться сетевое доменное имя компьютера.


Картинка с сайта: lumpics.ru

Обратите внимание! В отличие от локального домена, отредактировать сетевое имя компьютера нельзя. Его устанавливает провайдер и только он может внести изменения.

«Панель управления»

Аналогичную информацию можно узнать в специальном меню «Панели управления», но для этого необходимо обязательно быть подключенным к интернету, в противном случае полезных данных там находиться не будет.

1. Откройте «Панель управления» любым доступным способом. Сделать это можно, например, посредством поиска по системе. Для этого установите курсор в соответствующее поле на панели задач, введите запрос, а затем в результатах щелкните по одноименному приложению.

   Читайте также: Способы запуска «Панель управления» в Windows 10

2. В открывшемся окне первостепенно убедитесь в том, что в верхнем правом углу интерфейса выбран режим просмотра «Категория». Если это не так, измените значение на указанное. Далее перейдите в раздел «Сеть и интернет», кликнув левой кнопкой мыши по соответствующему пункту.


Картинка с сайта: lumpics.ru

3. Щелкните по ссылке «Центр управления сетями и общим доступ», чтобы открыть соответствующее меню.


Картинка с сайта: lumpics.ru

4. Раскройте список всех сетевых соединений. Для этого на боковой панели слева нажмите по строке «Изменение параметров адаптера».


Картинка с сайта: lumpics.ru

5. В открывшемся разделе разверните контекстное меню текущего соединения, для этого щелкните правой кнопкой мыши по его имени. Затем выберите пункт «Состояние».


Картинка с сайта: lumpics.ru

6. В новом появившемся окне кликните по кнопке «Сведения», чтобы отобразить все характеристики выбранной сети.
7. Полное сетевое доменное имя компьютера будет располагаться напротив строки «Определенный для подключения DNS-суффикс».

После получения нужной информации все открытые до этого момента окна можно закрыть. Но это не последний способ выполнения поставленной задачи.

Способ 2: «Командная строка»

Посмотреть сетевое доменное имя, как и локальное, можно в окне «Командной строки», для этого используется уже упомянутый ранее запрос. Первостепенно откройте консоль, воспользовавшись озвученным выше или любым другим удобным для вас способом.

Впишите приведенную ниже команду, после чего нажмите по клавише Enter, чтобы ее выполнить.

ipconfig /all

В результатах выдачи обратите внимание на блок параметров «Адаптер Ethernet <имя_соединения>». Нужная информация будет располагаться напротив строки «DNS-суффикс подключения», как это показано на изображении ниже.

Картинка с сайта: lumpics.ru

Примечание! Стоит отметить, что суффиксы локальной сети и сети интернет не всегда совпадают, как это можно было заметить на продемонстрированных в статье изображениях.

Наша группа в TelegramПолезные советы и помощь

Ok