Скрипт по созданию пользователей windows

Adding users from command line is much easier rather than going through UI. It saves lot of time for Windows admins to add users in bulk using CLI commands/script. Net user command  is the one that Windows users can use to manage user accounts, read on to know how to add users from CMD.

To add a new user account on local computer:

net user username password /ADD

Example: To add a new user account with the loginid John and with password fadf24as

net user John fadf24as /ADD

Hide password

If you do not want the password to be visible while adding new user account, you can use ‘*’ as shown below.

C:\>net user /add John *
Type a password for the user: 
Retype the password to confirm:
The command completed successfully.
C:\>

To add a new user account to the domain:

net user username password /ADD /DOMAIN

Note that the command does not include the name of the domain, it automatically adds to the domain the computer belongs to.

Example:

net user John fadf24as /ADD /DOMAIN

Rename a user account

Net use command does not have any switches to rename a user account.  But we can do that using wmic commands. Please check this – Rename user accounts on Windows

Few more advanced uses of net user command.

To set user full name while creating the user account

net user username password /ADD /FULLNAME:"User_Fullname"

To allow user to change password:

net user username password /ADD /PASSWORDCHG:Yes

To restrict user not to change the password:

net user username userpasswd /ADD /PASSWORDCHG:NO

To set account expiry time we can use /EXPIRES switch. This can also be used to set that the account never expires.

To specify if the user must  have a password set we can use /PASSWORDREQ switch. For more information on all net user options, read this – Net user command: syntax and examples

How to create a new administrator account?

An administrator account can’t be created directly.  We first need to create a user account and then add the user to the administrators group.

Errors:

1. If you don’t have privileges to add new user account to the system, you would get an error like below.

   C:\>net user John /add
   System error 5 has occurred.
   Access is denied.
   C:\>

2. While adding user to domain, make sure that your computer is connected to the domain. Otherwise it throws up below error.

   C:\>net user testuser testpassword /ADD /DOMAIN
   The request will be processed at a domain controller for domain mydomain.com.
   System error 1355 has occurred.
   The specified domain either does not exist or could not be contacted.

Related Posts:

Remove user from group

Для управления локальными пользователями и группами в Windows можно использовать встроенный PowerShell модуль Microsoft.PowerShell.LocalAccounts. С помощью этого модуля вы можете создать или удалить локального пользователя, создать новую группу безопасности и добавить в нее пользователей. Этот модуль доступен во всех версиях Windows, начиная с Windows Server 2016 и Windows 10. В предыдущих версиях Windows этот модуль устанавливается вместе с Windows Management Framework 5.1 при обновлении версии PowerShell.

Полный список командлетов PowerShell в модуле LocalAccounts можно вывести так:

Get-Command -Module Microsoft.PowerShell.LocalAccounts

Картинка с сайта: winitpro.ru

• Add-LocalGroupMember – добавить пользователя в локальную группу
• Disable-LocalUser – отключить локальную учетную запись
• Enable-LocalUser – включить учетную запись
• Get-LocalGroup – получить информацию о локальной группе
• Get-LocalGroupMember – вывести список пользователей в локальной группе
• Get-LocalUser – получить информацию о локальном пользователе
• New-LocalGroup – создать новую локальную группы
• New-LocalUser – создать нового пользователя
• Remove-LocalGroup – удалить группу
• Remove-LocalGroupMember – удалить члена из группы
• Remove-LocalUser – удалить пользователя
• Rename-LocalGroup – переименовать группу
• Rename-LocalUser – переименовать пользователя
• Set-LocalGroup – изменить группу
• Set-LocalUser – изменить пользователя

Рассмотрим несколько типовых задач по управлению локальными пользователями и группами на компьютере Windows при помощи PowerShell командлетов из модуля LocalAccounts.

Ранее для управления локальными пользователями и группами в Windows использовалась графическая оснастка Local Users and Groups Management (
lusrmgr.msc
) и команды
net user
,
net localgroup
.

Создать нового локального пользователя с помощью PowerShell

Чтобы быстро создать нового пользователя, выполните команду:

New-LocalUser -Name "TestUser1" -FullName "Test User" -Description "User for tests"

Укажите пароль для нового пользователя:

Картинка с сайта: winitpro.ru

Если вы хотите использовать командлет New-LocalUser для автоматического создания новых локальных пользователей из скриптов PowerShell, пароль можно задать заранее в коде скрипта. Строку с паролем нужно преобразовать в формат Secure String:

$pass = ConvertTo-SecureString "WinitP@ss321!" -AsPlainText -Force
New-LocalUser -Name TestUser2 -Password $pass

Чтобы сразу добавить пользователя в группу локальных администраторов, выполните команду:

Add-LocalGroupMember -Group Administrators -Member TestUser2

При создании пользователя можно дополнительно использовать следующие параметры:

• -AccountExpires
  – дату действия учетной записи, при наступлении которого учетная запись будет автоматически отключена (по умолчанию командлет New-LocalUser создает бессрочную учетную запись)
• -AccountNeverExpires
• -Disabled
  – отключить учетную запись после создания
• -PasswordNeverExpires
  – неограниченный срок действия пароля
• -UserMayNotChangePassword
  – запретить пользователю менять свой пароль

Для создания нового пользователя в домене AD нужно использовать командлет New-ADUser.

Управление локальными пользователями Windows из PowerShell

Чтобы вывести список всех локальных пользователей Windows на текущем компьютере, выполните:

Get-LocalUser

Картинка с сайта: winitpro.ru

Как вы видите, на компьютере имеется 7 локальных учетных записей, 4 из которых отключены (Enabled=False) (в том числе встроенный администратор Windows).

Чтобы вывести все свойства конкретной локальной учетной записи (аналог комадлета для получения информации о пользователях из AD — Get-ADUser), выполните:

Get-LocalUser -Name ‘root’ | Select-Object *

AccountExpires         :
Description            :
Enabled                : True
 FullName               :
PasswordChangeableDate : 7/20/2022 12:17:04 PM
PasswordExpires        :
UserMayChangePassword  : True
PasswordRequired       : False
PasswordLastSet        : 7/20/2022 12:17:04 PM
LastLogon              : 5/15/2023 2:01:48 AM
Name                   : root
SID: S-1-5-21-1823742600-3125382138-2640950260-1001
PrincipalSource        : Local
ObjectClass            : User

Обратите внимание на атрибут PrincipalSource. В нем указан тип аккаунта. Это может быть:

• Локальный пользователь Windows (PrincipalSource: Local)
• Учетные записи Microsoft (PrincipalSource: Microsoft Account)
• Учетные записи Azure AD (PrincipalSource: AzureAD)

Чтобы получить значение конкретного атрибута пользователя, например, время последней смены пароля, выполните:

Get-LocalUser -Name ‘root’ | Select-Object PasswordLastSet

Картинка с сайта: winitpro.ru

Чтобы изменить пароль существующего пользователя, выполните команду:

Set-LocalUser -Name TestUser2 -Password $UserPassword –Verbose

Чтобы установить флаг «Срок действия пароля пользователя не истекает» («Password never expired»), выполните:

Set-LocalUser -Name TestUser2 –PasswordNeverExpires $True

Отключить учетную запись:

Disable-LocalUser -Name TestUser2

Включить пользователя:

Enable-LocalUser -Name TestUser2

Чтобы удалить локального пользователя, выполните:

Remove-LocalUser -Name TestUser2 -Verbose

Используем PowerShell для управления локальными группам

Теперь выведем список локальных групп на компьютере:

Get-LocalGroup

Создадим новую группу:

New-LocalGroup -Name 'RemoteSupport' -Description 'Remote Support Group'

Теперь добавим в новую группу несколько локальных пользователей и группу локальных администраторов:

Add-LocalGroupMember -Group 'RemoteSupport' -Member ('SIvanov','root', 'Administrators') –Verbose

Также вы можете добавить пользователя в группы с помощью следующего конвейера (в этом примере мы добавим пользователя в локальную группу, разрешающую ему удаленный доступ к рабочему столу через RDP):

Get-Localuser -Name TestUser2 | Add-LocalGroupMember -Group 'Remote Desktop Users'

Выведем список пользователей в локальной группе:

Get-LocalGroupMember -Group 'RemoteSupport'

В локальную группу могут быть добавлены не только локальные учетные записи (PrincipalSource – Local), но и доменные аккаунты (domain), учетные записи Microsoft (MicrosoftAccount) и аккаунты из Azure (AzureAD).

Картинка с сайта: winitpro.ru

Чтобы добавить в локальную группу пользователя из Microsoft или AzureAD, используется такой синтаксис:

Add-LocalGroupMember -Group 'RemoteSupport' -Member ('MicrosoftAccount\[email protected]','AzureAD\[email protected]') –Verbose

Чтобы вывести список локальных групп, в которых состоит конкретный пользователь, выполните следующий скрипт:

foreach ($LocalGroup in Get-LocalGroup)
{
if (Get-LocalGroupMember $LocalGroup -Member 'sivanov' –ErrorAction SilentlyContinue)
{
$LocalGroup.Name
}
}

Чтобы удалить пользователя из группы, выполните:

Remove-LocalGroupMember -Group 'RemoteSupport' –Member 'testuser2'

Для управления локальными пользователями на удаленном компьютере нужно сначала подключится к нему через WinRM командлетами Invoke-Command или Enter-PSSession.

Например, нам нужно собрать список учетных записей в локальной группе на удаленных компьютерах:

$s = new-pssession -computer pc01,pc02,pc03

invoke-command -scriptblock {Get-LocalGroupMember -Group 'RemoteSupport'} -session $s -hidecomputername | select * -exclude RunspaceID | out-gridview -title "LocalAdmins"

В версиях Windows, отличных от Professional (например Windows 10 Home) отсутствует раздел «Локальные пользователи и группы» в оснастке «Управление компьютером». Однако иногда возникает необходимость создать/удалить/изменить ещё одного пользователя в данной операционной системе. Разберём, как это сделать.

Самым простым вариантом создать пользователя в не-Pro редакциях Windows – через командную строку.

Открытие командной строки

Для следующих манипуляций необходимо запустить командную строку от имени администратора.

Открыть командную строку можно несколькими способами:

1. Для версий Windows 8-11

   Нажмите по кнопке «Пуск» правой кнопкой мыши и выберите «Командная строка (администратор)», «Powershell (администратор)» или «Терминал (администратор»).
   При появлении диалога UAC – согласитесь на запуск.

2. Для всех версий Windows

   Найдите «Командная строка» в списке программ в меню «Пуск» или через Поиск среди приложений. Нажмите правой кнопкой мыши по приложению «Командная строка» и/или в контекстном меню выберите «Запуск от имени администратора».

   

   Картинка с сайта: profit-zip.ru

3. Для всех версий, через Диспетчер задач

   Запустите Диспетчер задач. Сверху нажмите Файл – Запустить новую задачу.
   В появившемся окне «Создание задачи» введите напротив поля «Открыть» – cmd, установите галочку «Создать задачу с правами администратора» и нажмите «ОК»

   

   Картинка с сайта: profit-zip.ru

Команды управления пользователями через CMD

Заполните данные и команды изменятся автоматически:

• Создать пользователя:

  net user "Пользователь" /add

• Создать пользователя с установленным паролем:

  net user "Пользователь" "Пароль" /add

• Удалить пользователя:

  net user "Пользователь" /delete

• Отключить пользователя:

  net user "Пользователь" /active:no

  /active:yes – включает пользователя.
  Отключенный пользователь остаётся стандартным пользователем системы, но действия от его имени становятся недоступны. Авторизоваться от имени отключенного пользователя также нельзя.

• Изменить пароль уже существующего пользователя:

  net user "Пользователь" "Пароль"

• Отключить обязательную смену/установку пароля при первом входе пользователя:

  net user "Пользователь" /passwordreq:no

  /passwordreq:yes – включает обязательную смену/установку пароля.

• Установить срок действия пароля пользователя – неограниченным (убрать срок действия пароля):

  wmic useraccount where "name='Пользователь'" set passwordexpires=false

  set passwordexpires=true – включает ограничение срока действия пароля

• Изменить срок действия пароля:

  net accounts /maxpwage:30

  Вместо 30 – количество дней. Применяется ко всем пользователям системы, у которых срок действия пароля – НЕ неограничен.
  Значение по умолчанию – 42 дня, максимальное – 999 дней.

• Запретить смену пароля пользователем:

  net user "Пользователь" /passwordchg:no

  /passwordchg:yes – разрешить смену пароля пользователем

• Добавить пользователя в локальную группу:

  net localgroup "Администраторы" "Пользователь" /add

• Удалить пользователя из локальной группы:

  net localgroup "Администраторы" "Пользователь" /delete

• Установить рабочее время учётной записи:

  net user "Пользователь" /times:X

  /times:X – отвечает за установку времени, в которое учётной записью можно пользоваться.

  X может принимать значения вида: Дни_недели, диапазон_времени или Дни_недели, диапазон_времени; Дни_недели, диапазон_времени
  Дни недели принимают следующие значения и указываются через символ «дефис» ( — ):

  • M – понедельник
  • T – вторник
  • W – среда
  • Th – четверг
  • F – пятница
  • Sa – суббота
  • Su – воскресенье

  Время может быть в формате 8:00-17:00 или 8am-5pm

  Кроме того, можно перечислять несколько интервалов через точку с запятой ( ; )

  Пример:

  • M-F,8:00-17:00 – учетная запись будет доступна с понедельника по пятницу, с 8:00 до 17:00
  • M-F,8:00-17:00;Sa,8:00-12:00 – учетная запись будет доступна с понедельника по пятницу, с 8:00 до 17:00, а также в субботу с 8:00 до 12:00
  • M-F,8:00-17:00;Sa,8:00-15:00;Su,8:00-12:00 – учетная запись будет доступна с понедельника по пятницу с 8:00 до 17:00, в субботу с 8:00 до 15:00, в воскресенье – с 8:00 до 12:00
  • M-F,8:00-12:00;M-F,13:00-17:00 – учетная запись будет доступна с понедельника по пятницу, с 8:00 до 12:00 и с 13:00 до 17:00 (стандартная рабочая неделя, исключая обеденное время)

Несколько деталей

При создании пользователя, каталог пользователя (по умолчанию C:\Users\Username) не создаётся. Каталог создастся в момент первого входа пользователя в систему.

Создать пользователя с именем уже существующего пользователя нельзя.

При удалении пользователя, каталог удаляемого пользователя не удалится. Все файлы пользователя останутся доступны в каталоге пользователей.

При создании пользователя с именем уже существовавшего ранее пользователя (при условии, что папка удалённого пользователя не удалена), папка пользователя приобретёт название вида Username.PCname (где Username – имя пользователя, а PCname – имя компьютера), а если такая уже существует – название каталога будет иметь вид Username.PCname.000 (где Username – имя пользователя, PCname – имя компьютера, а 000 – порядковый номер папки)

Имя пользователя, пароль и названия групп пользователей, по хорошему, должны обрамляться в кавычки (например: ««Пользователь»»), однако не запрещается ими не пользоваться, но только при условии, что в выражении нет пробелов. В случае, если в имени пользователя, пароле или названии группы пользователей присутствует пробел, использование кавычек обязательно, т.к. иначе команды могут сработать неправильно или не сработать вовсе.