Книга Active directory
.pdf-) 118 |
Пользователи |
|
Глава з |
|
|
При выборке множества объектов пользователей для модификации досту- |
|||
пен поднабор свойств. |
|
|
||
• |
Вкладка Общие (General) |
Описание (Description), Комната (Office), Но- |
||
|
мер телефона (Telephone Number), Факс (Fax), Веб-страница (Web Page), |
|||
|
Электронная почта (E-mail). |
|
||
• |
Учетная запись (Account) |
Суффикс U P N ( U P N Suffix), Время входа |
||
|
(Logon Hours), Ограничения компьютера (Computer Restrictions) (рабочие |
|||
|
станции входа), все Параметры учетной записи (Account Options), Срок |
|||
|
действия учетной записи (Account Expires). |
|||
• |
Адрес (Address) |
Улица (Street), Почтовый ящик (P.O. Box), Город (City), |
||
|
Область, кран (State/Province), Почтовый индекс ( Z I P / P o s t a l Code), Стра- |
|||
|
на пли регион (Country/Region). |
|||
• |
Профиль (Profile) |
Путь к профилю (Profile Path), Сценарий входа (Logon |
||
|
Script) и Домашняя папка (Home Folder). |
|||
• |
Организация (Organization) |
Должность (Title), Отдел (Department), Ор- |
||
|
ганизация (Company), Руководитель (Manager). |
|||
СОВЕТ К ЭКЗАМЕНУ
Вы должны знать, какие свойства можно одновременно модифицировать для множества пользователей. В сценариях и задачах на сертификационном экзамене вам потребуется быстро менять многие свойства объектов пользователей для'тестирования навыков в множественной выборке. В реальных средах всегда следует использовать такие инструменты автоматизации, как Dsmod, Windows PowerShell и VBScript.
Атрибуты имен и учетной записи
На сертификационном экзамене потребуется знать два набора атрибутов: атрибуты имен и атрибуты учетной записи.
Имена объектов пользователей
Некоторые атрибуты связаны с именами объекта пользователя и учетной записи. Важно понимать разницу между ними.
•Атрибут sAMAccountName (имя входа пред-Winoows 2000) д о л ж е н быть уникальным во всем домене. Для генерирования атрибута sAMAccountName многие организации используют инициалы или некоторую комбинацию из имени и фамилии пользователя. Эта методика может создавать определенные трудности, поскольку в организации любых размеров всегда найдутся пользователи с одинаковыми именем и фамилией. Чтобы не генерировать одинаковые значения атрибута sAMAccountName, в систему нужно внедрять исключения. Эта проблема решается, если для sAMAccountName используется номер служащего или другой уникальный атрибут. Если вы можете контролировать соглашения организации об именовании, рекомендуется использовать уникальное имя входа, не зависящее от имени пользователя.
• Атрибут userPrincipalName ( U P N ) состоит из |
имени входа и с у ф ф и к с а |
UPN, которым по умолчанию является DNS-имя домена, где создан объект. |
|
Атрибут UPN должен быть уникальным д л я |
всего леса. Обычно этому |
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
1 1 9 |
_ |
|
|
требованию соответствуют адреса электронной почты, которые должны бытк.уннкальными во всем мире. Рассмотрим использование электронных адресов в качестве имен UPN . Если имя вашего домена Active Directory отличается от имени домена вашей электронной почты, в качестве доступного суффикса нужно добавить имя домена электронной почты. Для этого откройте, оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts), щелкните правой кнопкой мыши корень оснастки
и примените команды Свойства (Properties).
•Относительное отличительное имя RDN должно быть уникальным в подразделении ( O U ) . Д л я пользователей это означает, что атрибут сп должен быть уникальным в подразделении. Здесь может понадобиться пойти на
хитрость. Например, если у вас есть одно плоское подразделение ( O U )
дл я пользователей, уже содержащее пользователя Скотт Митчелл, и вы нанимаете на работу второго сотрудника Скотт Митчелл, объект второго пользователя не сможет обладать таким же общим именем, как у объекта первого пользователя. К сожалению, идеального решения этой проблемы
дл я всех организаций не существует. Рекомендуется внедрить стандарт именования, п р и м е н я ю щ и й единое правило для всех имен CN. Имя CN может включать в себя номер служащего, например Скотт Митчелл (645928). Если структура подразделения учетных записей пользователей является плоской, нужно быть готовым к решению таких проблем.
Кроме того, многие организации предпочитают конфигурировать атрибут сп в виде комбинации Ф а м и л и я (Last Name), И м я (First Name), поскольку в таком случае пользователей можно сортировать по фамилии в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Этот метод не рекомендуется использовать для решения данной проблемы. Вместо применения формата из фамилии и имени для атрибута сп лучше добавьте в представление оснастки Active Directory — пользователи и компьютеры столбец Ф а м и л и я (Last Name), щелкнув меню Вид (View) и применив команду Добавить или удалить столбцы (Add/Remove Columns). Затем щелкните заголовок столбца Фамилия, чтобы выполнить сортировку списка пользователей по фамилиям.
•Атрибут displayName отображается в глобальной адресной книге GAL (Global Address List) сервера Exchange. Пользователей иногда проще ло-
кализовать в книге GAL, если они отсортированы по фамилии. Вы можете создать в организации соглашение об именовании, согласно которому атрибут displayName использует формат И м я (First Name), Фамилия (Last Name).
Свойства у ч е т н о й з а п и с и
На вкладке Учетная запись (Account) диалогового окна Свойства (Properties) пользователя, показанной на рис. 3-6, находятся атрибуты, прямо указывающие, что пользователь является принципалом безопасности, то есть представляет собой объект идентификации, которому можно назначать разрешения и права доступа. Другими принципалами безопасности выступают компьютеры, группы и класс объектов inetOrgPerson.
-) 120 |
|
|
|
Пользователи |
|
|
|
|
|
|
|
|
|
|
|
Глава з |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
В |
а |
|
м |
ш |
а |
|
м |
м |
о | м |
O t v e t i| |
Ё |
е |
а |
с |
п к |
мj х |
*С |
м |
|
»| |
||||||
|
|
|
|
U |
» |
i |
с |
ы |
|
|
|
|
|
| |
|
у |
п |
( |
* У а |
ня * и т |
т |
Щ |
| |
||||
|
Г |
Ъ э |
л я и ч* я |
|
£ |
|
|
|
|
|
С О М - |
|
|
|в т » Р< е г лт |
|
:в е п |
с |
||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||
O |
f |
e |
I |
* |
|
|
|
|
|
|
|
|П> р' |
с« о» |
]с* |
ъT• |
e» |
n* w» I c€ r» » |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
jsrvh^tn |
|
|
|
|
|
jeartMocar |
|
|
|
|
|
JJ |
|
|
|
|
|
|
|||||||||
t w . |
м |
м П |
|
М |
Ы |
О |
М hЧ *WО Vt 4 7 -2 » Ю |
* |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
( |
С |
0 Н |
|
Г |
С 5 |
0 |
- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
\ |
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Г " |
F |
|
|
a |
|
h |
|
W |
M |
t |
|
|
u n n r * |
|
|
|
|
|
|
|
|
|
|||||
( |
|
I |
t |
|
w |
|
i |
n |
f |
C |
N |
i |
i |
n |
|
a |
|
|
|
|
|
|
|
|
|
|
|
|
p |
T t w f e о» »щ ! г-* аt р с цп з » »Г |
|
Ч |
И |
^ |
И |
с и с т » м } f |
J |
|
t | |
|
|||||||||||||||
|
F |
C |
|
w |
i |
» |
|
i |
: i |
i w |
n |
< |
w |
i |
4 |
i |
r |
( |
m |
i i » |
' |
|
|
|
|
|
|
|
С |
о а * Ы к в и » |
|
|
|
|
w |
w |
— |
|
|
|
|
|
— |
• |
|
|
|
|
' |
||||||
|
С |
|
|
|
Н |
* |
о |
г |
м |
|
|
|
|
|
|
|
|
• |
^J |
|
|
|
|
|
|
||
|
г.*-» |
|
1» |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
; |
|
o* |
| |
|
|
|
j |
|
|
|
1 |
|
crp-w |
j |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Рис. 3-6. |
|
Свойства учетной записи объекта пользователя |
|||||||||||||||||||||||||
|
|
Некоторые свойства учетной записи требуют отдельного внимания, пос- |
|||||||||||||||||||||||||
кольку они могут оказаться весьма полезными, но не всегда понятными . Эти свойства описаны в табл. 3-2.
Табл. 3-2. Свойства учетной записи пользователя
Свойство |
Описание |
Время входа (Logon Hours) |
Щелкните эту кнопку, чтобы отконфигурировать |
|
время, в течение которого пользователю разрешено |
|
входить в сеть |
Вход на (Log On То)
Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon)
Щелкните эту кнопку, чтобы ограничить число рабочих станций, на которых пользователь может входить в сеть. В пользовательском интерфейсе эти параметры называются компьютерными ограничениями и сопоставляются с атрибутом userWorkstations. Для ограничения пользователям потребуется включить NetBIOS через TCP/IP,
поскольку для ограничения входа этот компонент использует имя компьютера, а не МАС-адрес (Media Access Control) его сетевой карты Установите этот флажок, чтобы пользователь сменил пароль, введенный при первом входе в систему. Эта опция неактивна в случае установки флажка Срок действия пароля не ограничен (Password Never Expires). При установке данного флажка автоматически снимается флажок Запретить смену пароля пользователем (User Cannot Change Password)
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
121 |
Табл. 3-2\ (окончание)
Свойство 1
Запретить* с мену пароля пользователем (User Cannot Change Password) v
Описание
Установите этот флажок, если данную учетную запись (например, учетную запись гостя) будет использовать множество лиц, либо если вам требуется контроль над паролями учетных записей пользователей. Эта опция обычно используется для управления паролями учетных записей служб. Данная опция неактивна, если установлен флажок Требовать смену пароля при следующем входе в систему
Срок действия пароля не ограничен (Password Never Expires)
Отключить учетную запись (Account Is Disabled)
Установите этот флажок, чтобы указать неограниченный срок действия пароля. При этом будет снят флажок Требовать смену пароля при следующем входе в систему, поскольку эти опции являются взаимоисключающими. Данная опция обычно используется для управления учетными записями служб Установите этот флажок для отключения учетной записи, например, при создании объекта для нового служащего, которому пока не требуется доступ в сеть
Хранить пароль, используя обратимое шифрование (Store Password Using Reversible Encryption)
Для интерактивного входа
в сеть нужна смарт-карта (Smart Card Is Required For Interactive Logon)
Учетная запись важна и не может быть делегирована (Account Is Trusted For Delegation)
Эта опция, позволяющая хранить пароль в Active Directory без применения мощного алгоритма необратимого шифрования хэша Active Directory,
предназначена для приложений, которым требуется знать пароль пользователя. Если вы не используете такие приложения, не устанавливайте этот флажок, поскольку уровень безопасности пароля значительно снизится. Хранение паролей с обратимым шифрованием аналогично хранению паролей в открытом текстовом виде Смарт-карты представляют собой переносные
защищенные аппаратные устройства, которые хранят уникальную информацию для идентификации пользователя. Они подключаются к системе и обеспечивают дополнительный физический компонент идентификации для процесса проверки подлинности
Эта опция позволяет учетной записи службы олицетворять пользователя для получения доступа к ресурсам от его имени. Как правило, эта опция не включена для объектов пользователей, представляющих людей. Она используется для учетных записей служб в инфраструктуре многоярусных приложений
Срок действия учетной записи |
Эти элементы управления используются для указа- |
(Account Expires) |
ния срока действия учетной записи |
-) 122 |
Пользователи |
Глава з |
|
ПРИМЕЧАНИЕ |
Настройка очень сложных паролей для учетных записей служб |
|
|
Для получения доступа к системным ресурсам службам нужны учетные данные. Многим службам для прохождения проверки подлинности требуется учетная запись пользователя домена, которой обычно назначается пароль без истечения срока действия. В таких ситуациях следует применять длинный и сложный/пароль. Если учетная запись используется службами лишь в некоторых системах, уровень безопасности учетной записи службы можно повысить, отконфигурировав свойство Вход на (Log On То) и указав список систем, использующих учетную запись службы.
Управление атрибутами пользователя
с помощью инструментов Dsmod и Dsget
Команды Dsmod и Dsget представляют две утилиты командной строки Active Directory, которые называются DS-командами. Команду Dsquery мы обсуждали в главе 2, а команда Dsadd описана на занятии 1 этой главы.
Команда Dsmod
Команда Dsmod модифицирует атрибуты одного или нескольких существующих объектов. Команды DS описаны на занятии 1. Синтаксис Dsmod аналогичен другим командам DS:
dsmod user ОН пользователя ... |
параметры |
В качестве параметра DN^пользователя нужно указать отличительное имя пользователя. Остальные параметры указывают изменяемые атрибуты и новые значения. Например, следующая команда меняет атрибут Office (Комната) пользователя Тони Крайнен:
dsmod user "сп=Тони Крайней,ou=Kaflpu,dc=contoso,dc=com" - o f f i c e "Амстердам"
Параметры атрибутов не сопоставляются непосредственно с именами атрибутов LDAP объекта пользователя. Например, параметр dept команды DSMOD USER модифицирует атрибут department объекта пользователя. Кроме того, команда DSMOD USER может модифицировать только поднабор атрибутов пользователей. Чтобы получить справочные сведения и список поддерживаемых параметров, введите команду DSMOD USER /?.
Помещение множества DN-имен в конвейер Dsmod
Параметр DNпользователя команды Dsmod не нужно вводить непосредственно в командную строку. Существует два способа помещения DN-имен в конвейер этой команды. При первом способе DN вводится в консоль. Предположим, что вам нужно изменить атрибут office двух пользователей — Линды Митчелл и Скотта Митчелл — и переместить их в офис Сидней. Введите в командную строку следующую команду:
dsmod user - office "Сидней"
Параметр DN Пользователя отсутствует. Консоль (командная строка) ожидает ввод DN пользователей. Введите по одному DN-имени в каждой строке, заключив его в кавычки, и нажимайте клавишу Enter в конце каждого имени
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
123 |
DN. После ввода последнего DN и нажатия Enter нажмите комбинацию клавиш Ctrl+Z в начале следующей строки, а затем клавишу Enter, чтобы указать завершение команды. Команда будет выполнена для каждого введенного DN.
Более сложный способ состоит в передаче DN-имен команде Dsmod путем их помещения в конвейер результатов команды Dsquery. Команда Dsquery описана в главе 2. Она выполняет в Active Directory поиск согласно указанному критерию и возвращает DN - имена соответствующих объектов. Например, для изменения атрибута office (Комната) учетных записей пользователей Линда и Скотт Митчелл и их перемещения в офис Сидней используйте следующую команду:
dsquery user -name "• Митчелл" | dsmod user |
- o f f i c e |
"Сидней" |
Команда DSMOD USER выполняет в |
Active |
Directory поиск пользователей, |
имена которых заканчиваются словом Митчелл. Затем DN-имена найденных объектов помещаются в конвейер команды DSMOD USER, которая назначает д л я атрибута office значение Сидней.
В качестве еще одного примера предположим, что для всех пользователей требуется назначить д о м а ш н ю ю папку на машине SERVER01. Следующая команда меняет атрибуты homeDirectory и homeDrive объектов пользователей в подразделении Кадры:
dsquery |
user "ои=Кадры,dc=contoso,dc=com" | dsmod user |
-hmdir |
"\\server01\users\%username%\documents" -hmdrv "U:" |
Как мы уже говорили на занятии 1, при настройке значений параметров |
|
-email, |
-hmdir, -profile и -webpg с помощью команды DS можно использовать |
специальный маркер %username% для представления атрибута sAMAccountName
объектов |
пользователей. |
К о м а н д а |
Dsget |
Команда Dsget извлекает и выводит выбранные атрибуты одного или нескольких объектов. Д а л е е показан синтаксис этой команды, который аналогичен синтаксису Dsmod:
dsget user ОЫ_попьзоватепя. . . параметры
DN-имена для множества пользователей можно указать в командной строке, разделив их пробелами, ввести в консоль или поместить результаты команды DSQUERY USER в конвейер. В отличие от Dsadd и Dsmod команда Dsget принимает только параметр без значения. В частности, она принимает параметр samid, как и команда Dsadd, однако не принимает значение. Вместо этого она выводит текущее значение атрибута. Например, д л я отображения имени входа пред - Windows 2000 пользователя Д ж е ф ф Ф о р д в подразделении Кадры используйте следующую команду:
dsget user "сп=Джефф Форд,ои=Кадры,dc=contoso,dc=com" -samid
Д л я отображения имен входа пред-Windows 2000 всех пользователей в комнате Сидней используйте следующую команду:
dsquery user - o f f i c e "Сидней" | dsget user -samid
-) 124 Пользователи Глава з
Управление атрибутами пользователей
с помощью Windows PowerShell и VBScript
Для чтения атрибута объекта пользователя с помощью Windows PowerShell или VBScript используется интерфейс ADSI, который подключается к объекту пользователя. Этот процесс называется привязкой. На занятии 2 мы подключались к подразделению для создания объекта. К существующему объекту можно подключиться напрямую. Один из способов выполнения этой задачи состоит в использовании пути к службам каталогов a D S P a t h (Active Directory Services Path) объекта, которым является моникер протокола L D A P : / / с отличительным именем объекта.
Далее приведена команда Windows PowerShell для подключения к учетной записи пользователя Джефф Форд в подразделении Кадры: $objUser=[ADSI]"LDAP://cn=fl)Ke(txt> ®opfl,ou=KaflPbi,dc=contoso, dc=com"
А вот аналогичная команда VBScript:
Set obj User=GetObject("LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com"
Помните, что Windows PowerShell указывает интерфейс ADSI, a VBScript использует инструкцию GetObject. Для назначения объектной ссылки переменной в VBScript предназначена инструкция Set. В Windows PowerShell инструкция Set не используется, а все переменные помечены префиксом в виде знака доллара.
После получения переменной, ссылающейся |
на объект, м о ж н о |
извлечь |
ее свойства. Например, в Windows PowerShell |
д л я и з в л е ч е н и я |
атрибута |
sAMAccountName пользователя введите такую команду: |
|
|
SobjUser.GetC'sAMAccountName") |
|
|
В VBScript нужно указать на извлечение атрибута. Обычно д л я этого используется инструкция WScript.Echo, как показано в примере:
WScript.Echo objUser.GetC'sAMAccountName")
Довольно часто вам будет встречаться укороченный формат .свойство, например: $objUser.sAMAccountName в Windows PowerShell и objUser.,sAMAccountName
в VBScript. Хотя этот метод в большинстве случаев работает, рекомендуется использовать метод Get, особенно при работе с объектами Active Directory в Windows PowerShell.
Процесс модификации атрибута состоит из трех шагов. .
1.Подключение к объекту пользователя.
2.Модификация атрибута.
3.Подтверждение изменения.
Мы уже обсуждали механизм подключения к объекту. Второй шаг состоит
визменении атрибута. Большинство атрибутов являются однозначными. Их можно модифицировать с помощью метода Put объекта. Далее показан пример использования этого метода в Windows PowerShell:
SobjUser.putC'company","Contoso, Ltd.")
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
125 |
А так метод Put используется в VBScript: objUser.put "company",."Contoso, Ltd."
Единственная разница заключается в том, что VBScript не использует круглые скобки д л я передачи параметров методу Put.
Во втором шаге можно назначить много атрибутов. После указания всех атрибутов нужно подтвердить изменения в каталоге с помощью метода Setlnfo. Далее приведена версия использования этого метода в Windows PowerShell:
SobjUser!SetlnfoC)
Версия метода Setlnfo в VBScript идентична, если не считать имени переменной:
objUser.SetInfo()
Объединив все три шага вместе, мы получим сценарий Windows PowerShell: $objUser=[ADSI]"LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com" SobjUser.putC'company", "Contoso, Ltd.")
{objUser.SetlnfoO
Далее показан этот же сценарий в VBScript:
Set obj Use r=GetObj ect (" LDAP: //сп=Джефф Форд, ои=Кадры, dc=contoso, dc=com" objUser.put "company","Contoso, Ltd."
objUser.SetlnfoO
Как полностью удалить атрибут? Вначале нужно подключиться к объекту. Затем строковому атрибуту можно присвоить пустую строку "", а числовому — значение О, если нуль является соответствующим представлением значения EMPTY. Однако атрибуты (кроме обязательных) также можно удалять полностью. Д л я этого нужно использовать метод PutEx объекта пользователя. Д л я удаления атрибута office, к примеру, в Windows PowerShell используется следующий код:
SobjUser.PutEx(1, "office", 0) SobjUser.SetlnfoO
В VBScript д л я удаления атрибута нужно ввести следующие строки кода: objUser.PutEx 1, "office", 0
objUser.SetlnfoO
Администрирование учетных записей пользователей
Основное н а з н а ч е н и е объектов пользователей в Active Directory состоит в поддержке проверки подлинности лица или службы. Учетные записи предоставляются, администрируются и в конечном счете аннулируются. Самые распространенные административные задачи, связанные с учетными записями пользователей, состоят в сбросе паролей, разблокировке учетной записи, отключении, включении, удалении, перемещении и переименовании объектов пользователей.
Вследующих подразделах описаны все эти задачи и методы их выполнения
спомощью интерфейса Windows, Windows PowerShell, VBScript или командной
-) 126 |
Пользователи |
Глава з |
строки. Для выполнения каждой задачи требуются соответствующие разрешения доступа к объектам пользователей. Делегирование административных разрешений описано в глане 2.
Сброс пароля пользователя
Если пользователь забыл свой пароль и пытается войти в сеть, он получит сообщение, показанное на рис. 3-7.
. " ; -.!'. * .'. • .•••• |
1 |
о ^Jiial^ |
|||
•t «t • Ш view |
VM |
Turn |
Windo*j |
help |
|
• 0 J. |
2 |
. : |
Ю О З • © Й |
|
|
Ш И Ш Ш Ш Ш !
|
|
|
|
|
|
|
|
* |
" |
|
|||
|
|
|
f X ) Н«<р«ое юм пользователя или пароль. |
|
|
||||||||
|
|
|
|
|
|
|
1 OK |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
Windows S e r v e r s |
|
|
||||
|
|
|
|
|
|
|
Enterprise |
|
|
|
|
|
|
1 |
-•- |
|
j • |
_-.__. |
|
J |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 3-7. |
Сообщение входа в систему, указывающее, что введено неверное имя пользователя |
||||||||||||
(или пароль) |
|
|
|
|
|
|
|
|
|
|
|
||
Для успешного входа пользователя потребуется сбросить пароль, причем знать его старый пароль не нужно. Достаточно щелкнуть правой кнопкой мыши объект пользователя в Active Directory и применить команду Смена пароля (Reset Password). Когда откроется показанное на рис. 3-8 диалоговое окно Смена пароля (Reset Password), необходимо заполнить поля Н о в ы й пароль (New Password) и Подтверждение (Confirm Password). Это лучший метод потребовать смены пароля при следующем входе — пароль будет известен только пользователю.
твшиаявш..,.'., |
л\*1 |
НшьА парам,
ПсдттС"Ди«'Я
Р Тс*6'.ег>ть о-ему лкхя» rpn слевугшем ав систол,
НеоС,01ммо1ьат1'.из»ст**ы,,еаП1мв(*пем/ «ндо.чтобы
ИЭТ«Т»«Вбегут*/*s С'1Г;
Смтоаппввпгмтасвтм , четна, запий, па ftuvioc мхтроплкзп
Г разблокировать уиемро запись пользователя
| СК | Отмена j
Рис. 3-8. Окно смены пароля
Занятие 3 |
Поддержка пользовательских объектов и учетных записей |
1 2 7 |
Вы также можете применить команду DS для сброса пароля пользователя и при желании потребовать сменить пароль при следующем входе пользователя. Введите такую команду:
dsmod user ОН_пользователя -pwd Новый_пароль -mustchpwd yes
В Windows PowerShell нужно ввести следующие команды:
Sobj User=[ADSI]"LDAP://ОЫ_пользователя"
SobjUser.SetPassword("Новый_пароль")
Отметим, что в отличие от ситуации с другими атрибутами метод Setlnfo не используется после применения команды SetPassword для настройки пароля пользователя. Однако чтобы потребовать сменить пароли при следующем входе, нужно задать такие команды:
SobjUser.Put ("pwdLastSet",0) SobjUser. S e t l n f o O
В VBScript код аналогичен:
Set obj User=GetObj ect("LDAP://0Ц_пользователя") objUser.SetPassword "Новый_пароль"
objUser.Put "pwdLastSet",0 objUser . Setlnfo
Пароли даже можно импортировать с помощью команды LDIFDE, описанной в занятии 1. Дополнительные сведения вы найдете в статье 263991 базы знаний Microsoft по адресу http://support.microsoft.com/default.aspx?scid=kb;enus;263991.
Разблокировка учетной записи
В главе 8 описана настройка политики паролей и блокировки учетных записей. П о л и т и к а б л о к и р о в к и предназначена для защиты от проникновения в корпоративную сеть путем многократного ввода различных паролей с целью определить корректный . При попытке входа с использованием некорректного пароля генерируется ошибка входа. Если в течение указанного периода времени, определенного политикой блокировки, возникает слишком много ошибок входа, учетная запись блокируется. При следующей попытке входа появляется сообщение о блокировке учетной записи.
ПРИМЕЧАНИЕ |
Подключенные диски с альтернативными учетными данными |
Распространенной причиной блокировок учетных записей является подключенный диск с альтернативными учетными записями. В случае изменения пароля альтернативной учетной записи и многократных попыток клиента Windows подключиться к диску учетная запись блокируется.
Политика блокировки учетных записей устанавливает период времени, по истечении которого выполняется автоматическое разблокирование учетной записи. Однако пользователь, пытающийся войти в сеть и обнаруживающий, что его учетная запись заблокирована, наверняка обратится в группу технической поддержки. Чтобы разблокировать учетную запись, щелкните ее правой кнопкой мыши, выберите пункт Свойства (Properties), перейдите на вкладку Учетная запись (Account) и установите флажок Разблокировать учетную запись ( Unlock Account).