Прочитано: 7 714
Задача, обеспечить вход пользователя в домен (polygon.local) с применением имени в формате UPN (User Principal Name) к примеру Derek@navy.mil.
Запускаем оснастку Active Directory Domains and Trusts (Active Directory – домены и доверие):
«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Domains and Trusts», далее правой кнопкой мыши открываем меню «Properties» (Свойства). (см. Скриншот ниже)
В окне свойств в поле «Alternative UPN Suffixes» (Дополнительные UPN-суффиксы) вводим дополнительный суффикс (navy.mil) и нажимаем кнопку Add (Добавить). После закрывает оснастку Active Directory Domains and Trusts с сохранение сделанных изменений.
Создаём учётную запись через GUI интерфейс:
и ставим пароль Aa1234567
Создаём учётную запись через консоль командной строки интерфейс
(за основу можно взять материал в этой статье)
C:\Windows\system32>dsadd user “cn=derek,ou=it,dc=polygon,dc=local” -pwd Aa1234567 -upn derek@navy.mil -fn Derek -ln Derek
dsadd succeeded:cn=derek,ou=it,dc=polygon,dc=local
, поясню
-Pwd – указываем с каким пароль создавать учётную запись.
-upn – имя входа пользователя пред-Windows 2000
-fn – имя пользователя, которое в графическом интерфейсе заполняется в поле «Имя»
-ln – фамилия пользователя, указываемая в поле «Фамилия» мастера создания пользовательской учетной записи
Теперь попробуем войти на рабочую станцию с использование созданной учетной записи Derek и суффиксом @navy.mil.
Не имеет значения, как заходить в домен на рабочей станции, либо через альтернативный DNS-суффикс, либо стандартный вход:
А теперь попробуем войти на домен контроллер dc1.polygon.local от имени учетной записи Derek@navy.mil. Должно появиться сообщение о том, что используемая политика для домен контроллера препятствует входу.
Для того чтобы данной учетной записи Derek@navy.mil предоставить разрешение на локальный вход на домен контроллер dc1.polygon.local следует запустить:
«Start» – «Control Panel» – «Administrative Tools» – запускаем оснастку «Group Policy Management» (Управление групповой политикой). Раскрываем лес polygon.local , после домен и переходим к отображению всех политик в домене (Group Policy Objects).
Открываем на редактирование «Default Domain Controllers Policy».
Теперь предоставим права локального входа в систему, для пользователя Derek@navy.mil
Раскрываем узел «Computer Configuration» (Конфигурация компьютера) – «Policies» (Политики ) – «Windows Settings» (Конфигурация Windows ) – «Security Settings» (Параметры безопасности) – «Local Policies» (Локальные политики) – «User Rights Assignment» (Назначение прав пользователя) – выбираем элемент «Allow log on locally» (Локальный вход в систему) и добавляем список пользователей (в нашем случае Derek@polygon.local), которым разрешено входить локально на контроллер домена.
Настройку произвели, теперь закрываем окно редактора управления групповыми политиками с сохранением внесенных изменений. Чтобы ускорить применение групповых политик в окне командной строки набираем команду gpupdate /force. Теперь мы сможем зайти на домен контроллер под учетной записью Derek@navy.mil:
Вот собственно и всё.
Одной из проблем в Active Directory является множество имен, которые можно использовать для обозначения или описания объекта. Большинство этих имен являются атрибутами (или свойствами) объекта. Путаница возникает из-за того, что один и тот же атрибут может иметь разное имя, в зависимости от используемого провайдера. Кроме того, имя одного атрибута может ссылаться на другой атрибут, что также не добавляет ясности. Ну и наконец, у атрибутов существуют методы (функции), которые вычисляют значение имени из других атрибутов.
Попробуем разобраться в этой ситуации на примере объекта пользователя. Для этого откроем оснастку Active Directory Users and Computers (ADUC) и создадим новую учетную запись. При создании мы указываем Имя (First name), Фамилию (Last name) и инициалы (Initials), из которых формируется полное имя (Full name). Ну и целых два имени для входа — User logon name и User logon name (pre-Windows 2000).
А теперь перейдем к редактору атрибутов и посмотрим что получилось. Для этого необходимо в оснастке ADUC в меню View отметить пункт Advanced Features.
Открываем редактор атрибутов и видим знакомые имена, но под совершенно разными названиями.
Полному имени здесь соответствуют целых три атрибута — name, displayName и cn. Можно подумать, что это одно и то же, но нет — это совершенно разные атрибуты пользователя.
Полное имя (name) и общее имя (Common name, cn) — это два разных атрибута, хотя возвращают они одно и то же значение. Это происходит потому, что атрибут name аналогичен относительному отличительному имени (Relative Distinguished Name, RDN), а RDN — это часть отличительного имени (Distinguished Name, DN). Так если DN равно ″CN=Иванов Иван Иванович,CN=Users,DC=Test,DC=local″, то RDN будет ″CN=Иванов Иван Иванович″. Отсюда получаем, что если cn = ″Иванов Иван Иванович″, то name = ″cn=Иванов Иван Иванович″.
Получается довольно запутанно. Но если посмотреть с практической точки зрения, то можно сказать так — изменить значение атрибута cn мы не можем, оно всегда будет равно значению атрибута name.
Отображаемое имя (displayName) по умолчанию формируется по такому же принципу, как полное (name) и общее (cn) имена, однако не зависит от их значений. Для проверки изменим полное имя нашего пользователя. Как видите, полное и отображаемое имена изменяются независимо друг от друга.
А в редакторе атрибутов видим, что вместе со значением атрибута name изменилось и значение cn, хотя его мы и не меняли.
Кстати, кроме отображаемого имени (displayName) у пользователя есть еще отображаемое имя для печати (displayNamePrintable). Это два разных, независимых друг от друга атрибута.
Примечание. Атрибут displayNamePrintable используется почтовым сервером Exchanhe при отправке сообщений вне организации. Его можно использовать в том случае, если необходимо в письме показывать имя пользователя, отличное от DisplayName (напр. англоязычный вариант).
Идем дальше. Имя соответствует атрибуту givenName, а фамилия — атрибуту sn (Surname). Может найдется и отчество? Давайте попробуем поискать его с помощью PowerShell, командой:
Get-ADUser ivanov_ii -Properties * | select *name
Нашелся атрибут с названием OtherName, возможно это оно и есть?
Зададим этому атрибуту значение:
Get-ADUser ivanov_ii -Properties * | Set-ADUser -OtherName "Иванович"
и проверим что получилось. А получилось сразу два новых атрибута — OtherName и MiddleName, оба с заданным значением.
На самом деле это просто два названия одного и того же атрибута:
cn: OtherName
ldapDisplayName: MiddleName
При этом если в PowerShell мы видим оба имени, то в оснастке ADUC отображается только одно MiddleName.
Переходим к именам входа (logon names), которых у пользователя тоже два.
Если посмотреть в редакторе атрибутов, то User logon name (pre-Windows 2000) скрывается под именем sAMAccountname, а User logon name соответствует атрибуту userPrincipalName.
Давайте немного углубимся в детали и посмотрим, чем же отличаются эти два имени.
sAMAccountName — имя учетной записи SAM. Предназначено для для совместимости со старыми (до Windows 2000) операционными системами. Впрочем это не означает, что sAMAccountName не используется в качестве имени для входа в современных системах Windows. sAMAccountname должно быть уникальным в рамках домена, имеет ограничение в 20 символов и работает в сочетании с NETBIOS именем домена, например TEST\ivanov_ii. sAMAccountName является обязательным атрибутом пользователя.
userPrincipalName (UPN) — имя участника-пользователя. Это новый формат указания имени пользователя для входа в систему, основанный на интернет-стандарте RFC 822. Для входа используется сочетание имени пользователя с доменным суффиксом, например ivanov_ii@test.local. Имя участника-пользователя должно быть уникальным среди всех объектов-участников безопасности в лесу доменов. Максимальная длина UPN составляет 1024 символа. UPN не является обязательным атрибутом, оно может быть не назначено при создании учетной записи пользователя.
И еще два важных имени, которые есть у пользователя. Это DistinguishedName (различающееся имя) и CanonicalName (каноническое имя). Оба эти атрибута однозначно определяют объект в Active Directory.
Различающееся имя включает в себя относительное отличительное имя объекта (RDN), а также полный путь к контейнеру, содержащему объект в Active Directory, например ″CN=Иванов Иван Иванович,CN=Users,DC=Test,DC=local″. Каноническое имя — это то же различающееся имя объекта, но в каноническом виде, например ″test.local/Users/Иван Иванович Иванов″.
Примечание. CanonicalName является конструируемым атрибутом (constructed attribute). Такие атрибуты не хранятся явным образом в AD, а вычисляются на лету при получении соответствующих запросов.
Как видите, у пользователя в Active Directory множество различных имен. Чтобы немного их упорядочить я составил небольшую табличку, в которую внес все атрибуты пользователя, так или иначе имеющие отношение к его имени.
| Имя атрибута | Имя в оснастке ADUC | Описание | Значение (пример) |
| givenName | First name | Имя | Иван |
| sn (SurName) | Last name | Фамилия | Иванов |
| OtherName (middleName) | Дополнительное имя (напр. отчество) | Иванович | |
| Initials | Initials | Инициалы | И |
| CommonName (cn) | Общее имя | Иванов Иван Иванович | |
| name | Full name | Полное имя | Иванов Иван Иванович |
| displayName | Display name | Отображаемое имя | Иванов Иван Иванович |
| DisplayNamePrintable | Отображаемое имя для печати | Иванов Иван Иванович | |
| DistinguishedName (DN) | Отличительное (уникальное) имя | CN=Иванов Иван Иванович,CN=Users,DC=Test,DC=local | |
| sAMAccountName | User logon name (pre-Windows 2000) | Имя входа пользователя (пред-Windows 2000) | Ivanov_ii |
| userPrincipalName | User logon name | Имя входа пользователя | Ivanov_ii@test.local |
| CanonicalName | Canonical Name | Имя объекта в каноническом формате | test.local/Users/Иван Иванович Иванов |
Ну а теперь главное) Как вы думаете, нужны ли все эти имена для создания учетной записи пользователя. Чтобы выяснить это, откроем редактор атрибутов и отфильтруем все атрибуты кроме обязательных (Mandatory). И оказывается, что для пользователя обязательными являются всего два имени — CommonName (cn) и sAMAccountName. Безо всех остальных пользователь может легко обойтись.
На этом все. А все возможные атрибуты пользователя в схеме Active Directory можно посмотреть вот здесь : https://learn.microsoft.com/en-us/windows/win32/adschema/c-user?redirectedfrom=MSDN
Подключал намедни линуксовый сервис для авторизации через AD, еле нашел описание соответствий атрибутов и их полей, да и те все на английском, что не очень удобно при русскоязычной системе, потому что хрен поймешь какие параметры за что отвечают. Чтобы каждый раз не выискивать их adexplorer’ом, решил составить таблицу основных атрибутов Active Directory.
| Attribute \ Атрибут | Англоязычное название | Русскоязычное название | Value \ Значение |
| OU (Organizational Unit) \ Подразделение | |||
| distinguishedName | Distinguished Name | Отличительное (уникальное) имя | OU=Компания,DC=domain,DC=com |
| name | Компания | ||
| Group \ Группа | |||
| distinguishedName | Distinguished Name | Отличительное (уникальное) имя | CN=Группа,OU=Компания,DC=domain,DC=com |
| name | Группа | ||
| member | Members | Члены группы (какие пользователи входят в данную группу) | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
| User \ Пользователь | |||
| DN | Distinguished Name | Отличительное (уникальное) имя | CN=Сергей Петрович Иванов,OU=Компания,DC=domain,DC=com |
| DC | Domain Component | Компонент(класс) доменного имени. | DC=domain,DC=com |
| OU | Organizational Unit | Подразделение | Компания |
| CN | Common Name | Общее имя | Сергей Петрович Иванов |
| givenName | First name | Имя | Сергей Петрович |
| name | Full name | Полное имя | Сергей Петрович Иванов |
| sn (SurName) | Last name | Фамилия | Иванов |
| displayName | Display Name | Выводимое имя | Сергей Петрович Иванов |
| Электронная почта | mail@domain.com | ||
| sAMAccountName | User logon name (pre-Windows 2000) | Имя входа пользователя (пред-Windows 2000) | IvanovSP |
| userPrincipalName | User logon name | Имя входа пользователя | IvanovSP@domain.com |
| memberOf | Member Of | Член групп (в какую группу входит данный пользователь) | CN=Группа,OU=Компания,DC=domain,DC=com |
Стоит отметить, что пользовательский displayName ≠ CN = Full name\Полное имя = namе, что можно видеть на последнем скрине.
Для более наглядного понимая приложу скрины:
Атрибут userAccountControl
Иногда надо понять включена или отключена учетная запись в AD. Или что еще с ней вообще происходит. За это отвечает атрибут userAccountControl, который является суммой нескольких свойств атрибутов. При этом, значение 512 является значением по умолчанию при всех снятых флагах на вкладке «Учетная запись» и каждый дополнительный параметр прибавляется к нему. Например, значения атрибута userAccountControl для наиболее распространенных случаев:
512 — Включена (Enabled)
514 (512+2) — Отключена (Disabled)
66048 (512+65536) — Включена, срок действия пароля не ограничен (Enabled, password never expires)
66050 (512+65536+2) — Отключена, срок действия пароля не ограничен (Disabled, password never expires)
Список основных значений атрибутов userAccountControl:
| HEX | DEC | Описание |
| 0x00000002 | 2 | Учетная запись отключена |
| 0x00000010 | 16 | Учетная запись заблокирована |
| 0x00000020 | 32 | Пароль не требуется |
| 0x00000040 | 64 | Запретить смену пароля пользователем |
| 0x00000080 | 128 | Хранить пароль, используя обратимое шифрование |
| 0x00000200 | 512 | Учетная запись по умолчанию. Представляет собой типичного пользователя |
| 0x00010000 | 65536 | Срок действия пароля не ограничен |
| 0x00040000 | 262144 | Для интерактивного входа в сеть нужна смарт-карта |
| 0x00400000 | 4194304 | Без предварительной проверки подлинности Kerberos |
| 0x00800000 | 8388608 | Пароль пользователя истек |
Подробное описание всех атрибутов
Имя входа пользователя пред windows 2000 что это
Каждый пользователь Windows должен знать, что такое имя входа пользователя. Это основная идентификационная информация, которая помогает системе отличать одного пользователя от другого. В старых версиях Windows, таких как Windows 98, Windows 95 и Windows NT, имя входа пользователя имеет некоторые особенности, о которых вам следует знать.
Прежде всего, давайте разберемся, что такое имя входа пользователя. Это уникальный текстовый идентификатор пользователя, который используется для входа в систему. Имя входа пользователя подобно жетону, который подтверждает личность пользователя и дает ему право на доступ к определенным ресурсам, таким как файлы, программы и папки.
Имя входа пользователя в старых версиях Windows представляет собой комбинацию из символов и цифр, которые были ограничены на 20 знаков. Имя должно быть уникальным на всем компьютере и не должно содержать пробелов и знаков пунктуации.
Имя пользователя необходимо знать при работе в Windows 95 и Windows 98
В старых версиях Windows, таких как Windows 95 и Windows 98 имя входа пользователя играет важную роль при установке системы, так как это имя является названием каталога, в котором хранятся файлы профиля пользователя. Это позволяет операционной системе быстро и легко найти и обрабатывать файлы пользователя, которые нужны ему при запуске системы.
В Windows 95 и Windows 98 имя пользователя устанавливается во время установки ОС и впоследствии изменить его невозможно. Если необходимо создать новый профиль, можно установить вторую копию операционной системы и создать новый профиль на этой копии.
Как узнать имя входа пользователя в Windows NT
Для пользователей Windows NT имя входа пользователя не привязано к имени каталога профиля, поэтому вы можете менять имя входа пользователя без проблем. Чтобы узнать имя входа пользователя, нужно выполнить несколько простых этапов:
- Нажмите на кнопку «Пуск»
- Откройте панель управления
- Выберите пункт «Учетные записи пользователей»
После этого вам откроется окно, где будет указано имя входа пользователя, а также другие сведения об учетной записи пользователя.
Имя входа пользователя в Windows 2000 и более поздних версиях
С появлением новых версий Windows, таких как Windows 2000, Windows XP и Windows 7, имя входа пользователя имеет большую гибкость. В новых версиях операционной системы вы можете использовать имя входа пользователя, которое вам нравится, но при этом следует помнить о безопасности. Имя входа пользователя не должно содержать информацию об имени, фамилии, номерах телефонов, адресах и других личных данных.
Как создать новую учетную запись в Windows
В новых версиях операционной системы Windows вы можете создать новую учетную запись пользователя и настроить ее таким образом, чтобы она соответствовала вашим потребностям. Чтобы создать новую учетную запись, выполните следующие шаги:
- Нажмите кнопку «Пуск»
- Откройте панель управления
- Выберите пункт «Учетные записи пользователей»
- Щелкните по кнопке «Создать новую учетную запись»
- Введите имя и пароль пользователя, затем нажмите кнопку «Создать учетную запись»
После этого новый пользователь будет добавлен в систему и вы сможете начать использовать его для доступа к ресурсам операционной системы.
Итог
Понимание того, что такое имя входа пользователя, является важным элементом работы с операционной системой Windows. Имя входа пользователя помогает операционной системе идентифицировать пользователя и давать ему соответствующие права доступа. В старых версиях windows, имя входа пользователя ограничивается 20 символами и является названием папки профиля пользователя. В новых версиях Windows, имя входа пользователя имеет большую гибкость, и можно создавать новые пользовательские учетные записи в соответствии с вашими потребностями.
Имя входа пользователя пред Windows 2000: что это?
Один из основных аспектов компьютерной безопасности — это контроль доступа к ресурсам. Любая операционная система имеет систему аутентификации пользователей, которая позволяет контролировать доступ к файлам, папкам, документам и приложениям. В Windows 2000 и более поздних версиях операционной системы эту роль выполняет система авторизации с помощью Active Directory, однако в предыдущих версиях Windows использовалось понятие «имя входа пользователя».
Что такое имя входа пользователя?
Имя входа пользователя, также известное как логин, является уникальным идентификатором, который присваивается учетной записи пользователя на компьютере. Оно используется для того, чтобы дать доступ пользователю к ресурсам, таким как файлы, папки, приложения и принтеры, а также для контроля доступа к ресурсам.
Если компьютер использует локальную учетную запись, тогда имя входа пользователя будет определяться локально на этом компьютере. Если компьютер находится в домене, то имя входа пользователя будет определяться доменным контроллером, который управляет учетными записями пользователей в этом домене.
Как создать имя входа пользователя?
Имя входа пользователя должно быть уникальным и не повторяться на компьютере или в домене. При создании новой учетной записи пользователя, необходимо указать желаемое имя входа пользователя. Максимальная длина имени входа пользователя в Windows 2000 составляет 20 символов.
Процесс создания нового имени входа пользователя в Windows 2000 следующий:
- Откройте «Панель управления».
- Выберите «Учетные записи пользователей».
- Нажмите кнопку «Создать новую учетную запись».
- Введите желаемое имя входа пользователя.
- Установите пароль для учетной записи пользователя.
- Нажмите кнопку «Готово».
После создания имени входа пользователя, вы можете настроить его параметры. Например, вы можете назначить этому пользователю определенные права доступа к ресурсам, установить ограничения на использование приложений или задать парольные политики.
Как использовать имя входа пользователя в Windows?
Когда пользователь входит в систему Windows, он указывает свое имя входа пользователя и соответствующий пароль. Windows проверяет правильность ввода имени входа пользователя и пароля, и если они верны, пользователь получает доступ к ресурсам, на которые ему разрешен доступ.
В Windows 2000 имя входа пользователя используется для присваивания пользователя к определенным группам. Группы в Windows 2000 используются для управления доступом к ресурсам. Например, если пользователь является членом группы «Администраторы», он имеет повышенные права доступа к системе.
Общий итог
Имя входа пользователя — это уникальный идентификатор, который определяет учетную запись пользователя на компьютере или в домене. Оно используется для управления доступом пользователя к ресурсам и для контроля доступа к ресурсам. При создании нового имени входа пользователя необходимо убедиться, что оно уникально и не повторяется на компьютере или в домене.
Имя входа пользователя до Windows 2000. Что это?
В настоящее время, имя входа пользователя является ключевым элементом при входе в операционную систему Windows. Она используется вместе с паролем для проверки подлинности пользователя перед началом работы.
Однако, в операционной системе Windows до 2000 года, у пользователей не было имени входа пользователя. В этой статье мы рассмотрим, что представляло собой имя входа пользователя пред Windows 2000 и как оно использовалось.
Что такое имени входа пользователя пред Windows 2000?
В противоположность Windows NT, Windows 9x не требовала имени пользователя при входе в систему. Вместо этого система использовала информацию о пользователе из профиля пользователя, которую можно было создать при первом запуске Windows.
В Windows 9x, профиль пользователя состоял из следующих элементов:
- Имя пользователя — это было имя, используемое при работе в операционной системе. Оно могло быть любым, например, Ivan или Jane.
- Имя компьютера — это было имя компьютера, с которым работал пользователь. Это имя представляло собой строку символов, которую можно было выбрать при первом запуске системы.
- Рабочая группа — это была группа компьютеров, в которой находился компьютер пользователя.
Вместе, имя пользователя, имя компьютера и рабочая группа использовались для идентификации пользователя и его настроек профиля при работе в системе.
Как система использовала информацию о пользователе?
При запуске Windows, система обратилась к профилю пользователя, чтобы получить информацию о его имени, компьютере и рабочей группе. Затем система использовала эту информацию для создания локальной учетной записи пользователя, которая содержала пользовательские настройки, документы и другие данные.
В Windows 9x, локальная учетная запись создавалась автоматически при первом запуске системы. Она была связана с профилем пользователя и могла использоваться для доступа к данным пользователя, без необходимости вводить имя пользователя и пароль при каждом запуске системы.
Как работает имя входа пользователя в Windows?
В операционной системе Windows, которая выходит после Windows 2000, имя пользователя используется как часть учетной записи пользователя. Это позволяет идентифицировать пользователя и проверить, имеет ли он доступ к системе.
При вводе имени пользователя и пароля, система проверяет их на подлинность. Если имя пользователя и пароль совпадают с данными учетной записи пользователя, система разрешает пользователю доступ к операционной системе.
Вывод
В данной статье мы рассмотрели, что представляло собой имя входа пользователя пред Windows 2000 и как оно использовалось в операционной системе. Мы также рассмотрели, как имя пользователя используется в более новых версиях операционной системы Windows, и как оно позволяет идентифицировать пользователя при работе в системе. Однако, в Windows 9x, имя пользователя не требовалось, так как система использовала информацию о пользователе из его профиля.