Блог

Регистрация учетной записи в домене

Чтобы открыть командную строку, нажмите кнопку Пусквыберите пункт Выполнитьвведите cmdа затем нажмите кнопку ОК. Задает пароль для использования в учетной записи пользователя. Для просмотра полного синтаксиса данной команды и сведений о вводе в командную строку информации учетной записи пользователя введите следующую команду, а затем нажмите клавишу ВВОД.

В поле Имя введите личное имя пользователя. В поле Инициалы введите инициалы пользователя. В поле Фамилия введите фамилию пользователя. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.

Новая учетная запись пользователя с таким же именем, как и у ранее удаленной учетной записи пользователя, не приобретает автоматически разрешения и членства ранее удаленной учетной записи, потому что идентификатор безопасности SID каждой учетной записи уникален. Если требуется воспроизвести удаленную учетную запись пользователя, необходимо вручную заново создать все разрешения и членства.

Чтобы создать полноценную работоспособную учетную запись в определенном контейнере OU домена с паролем и сразу активировать ее, воспользуйтесь такой командой. Информацию о созданном пользователе домена можно получить с помощью командлета Get-ADUser:. В том случае, если в Active Directory нужно создать сразу большое количество пользователей, удобнее сохранить список пользователей в формате CSV Excel файла, а затем запустить специальный PowerShell скрипт.

В данном файле нужно заполнить все значимые для вас атрибуты пользователей. Заполните данные пользователей и сохраните Exсel файл с в формате CSV c запятыми, в качестве разделителей. Кодировка файла должна быть обязательно UTF-8 важно!

Кроме того, так как в значениях столбца OU есть запятые, нужно экранировать их, взяв в двойные кавычки. Код готового PowerShell скрипта представлен ниже:. Import-Module activedirectory Import-Csv "C: После выполнения скрипта, откройте консоль ADUC, разверните указанный контейнер и убедитесь, что в AD появились новые учетки пользователей отследить создание учетных записей в AD можно так: Получение списка учетных записей AD, созданных за последние 24 часа.

Учетные записи в домене (Windows Server 2008 R2)

Создаваемые учетные записи можно сразу добавить в определенную группу AD с помощью командлета Add-AdGroupMemberдля этого нужно немного модифицировать скрипт, добавив в цикле строку:.

Или сразу установить фотографию пользователя в ADчтобы она отображалась в Outlook и Lync:. Спасибо за статью, очень полезная информация. Вот только не увидел, если пользователь с такой фамилией уже существует, что скрипт сделает в этом случае? Если учетка уже есть, скрипт возвращает ошибку. По хорошему нужно добавить пару строк, проверки существования учетной записи в AD и если такая учетка уже есть, добавлять к имени учетки индекс 2, 3, 4 например, aaivanov2, aaivanov3 и.

Управление учетными записями должен иметь пароли сброса при каждом использовании и должна быть отключена после выполнения действий, если у.

Создание учетной записи пользователя

Management accounts should have their passwords reset at each use and should be disabled when activities requiring them are complete. Несмотря на то, что вам может также реализовать требования к входу смарт-карты для этих учетных записей, он является необязательной конфигурацией и данные инструкции предполагают, что учетных записей управления будет настроен с помощью имени пользователя и пароля длинных и сложных как минимальные элементы управления.

Although you might also consider implementing smart card logon requirements for these accounts, it is an optional configuration and these instructions assume that the management accounts will be configured with a user name and long, complex password as minimum controls. На этом шаге вы создадите группу, имеющую разрешения на сброс пароля для учетных записей управления для включения и отключения учетных записей.

In this step, you will create a group that has permissions to reset password on the management accounts and to enable and disable the accounts. Чтобы создать группу для включения и отключения управления учетными записями, выполните следующие действия: To create a group to enable and disable management accounts, perform the following steps: Структуры Подразделений, где будет размещения учетных записей управления, щелкните правой кнопкой мыши Подразделение, где вы хотите создать группу, нажмите кнопку New и нажмите кнопку группы.

In the OU structure where you will be housing the management accounts, right-click the OU where you want to create the group, click New and click Group.

В новый объект — группа диалогового окна введите имя группы. In the New Object - Group dialog box, enter a name for the group. If you plan to use this group to "activate" all management accounts in your forest, make it a universal security group. При наличии одного домена леса, или если вы планируете создать группу в каждом домене, можно создать в глобальную группу безопасности.

If you have a single-domain forest or if you plan to create a group in each domain, you can create a global security group. Нажмите кнопку ОК для создания группы. Click OK to create the group. Щелкните правой кнопкой мыши только что созданную группу, нажмите кнопку свойства и нажмите кнопку объекта вкладку. В данной группе свойство объекта выберите защитить объект от случайного удалениячто позволит блокировать не только пользователями, авторизованными иным образом удаление группы, но и с перемещение в другое Подразделение, если атрибут является сначала потребуется снять этот флажок.

Right-click the group you just created, click Propertiesand click the Object tab. Если вы уже настроили разрешения на группы родительского подразделения, чтобы ограничить администрирования для ограниченного числа пользователей, не может потребоваться выполнить следующие действия. Они приведены ниже, даже если вы еще не реализованы ограниченный административный контроль над структуры Подразделений, в котором вы создали эту группу, можно защитить группу от изменения неавторизованных пользователей.

Нажмите кнопку члены и добавьте учетные записи для членов группы, которые будут отвечать включения управления учетными записями и заполнение защищенного группы при необходимости.

Создание учетных записей пользователей в Active Directory

Click the Members tab, and add the accounts for members of your team who will be responsible for enabling management accounts or populating protected groups when necessary. Если вы еще не сделано, в Active Directory-пользователи и компьютеры щелкните представление и выберите дополнительные функции. Щелкните правой кнопкой мыши только что созданную группу, нажмите кнопку свойства и нажмите кнопку безопасности вкладку. На безопасности щелкните Дополнительно. Right-click the group you just created, click Propertiesand click the Security tab.

On the Security tab, click Advanced. В Дополнительные параметры безопасности [Группа] диалоговом нажмите кнопку отключение наследования.

При запросе щелкните преобразовать наследуемые разрешения в явные разрешения на этот объект и нажмите кнопку ОК для возврата в группу безопасности диалоговое окно. На безопасности удалите групп, которые не разрешается доступ к этой группе. On the Security tab, remove groups that should not be permitted to access this group.

Учетные записи пользователей и групп

Например если вы не хотите, чтобы прошедшие проверку, чтобы иметь возможность считывать имя группы и общие свойства, можно удалить ACE. Можно также удалить записи ACE, такие как учетная запись операторов и пред-Windows Server доступ. You can also remove ACEs, such as those for account operators and pre-Windows Server compatible access.

Тем не менее, следует оставить минимальный набор разрешений на объект на месте. You should, however, leave a minimum set of object permissions in place. Оставьте без изменений следующие элементы: Leave the following ACEs intact: Администраторы домена Domain Admins.

Администраторы предприятия Enterprise Admins. Администраторы Administrators. Хотя может показаться нелогичным разрешить наивысший привилегированных групп в Active Directory для данной группы управления, задача в реализации эти параметры — не предотвратить изменения авторизованные члены этих групп. Although it may seem counterintuitive to allow the highest privileged groups in Active Directory to manage this group, your goal in implementing these settings is not to prevent members of those groups from making authorized changes.

Вместо этого цель — убедиться, что при наличии редких случаях требуется очень высокий уровень привилегий, авторизованные изменения будет выполняться успешно. Rather, the goal is to ensure that when you have occasion to require very high levels of privilege, authorized changes will succeed. Именно по этой причине, что изменение по умолчанию привилегированных вложенные группы, права, и не рекомендуется применять разрешения в этом документе. It is for this reason that changing default privileged group nesting, rights, and permissions are discouraged throughout this document.

Затрагивая структуры по умолчанию и очистив членства в группах наивысший прав, в каталоге, можно создать более безопасную среду, по-прежнему работает ожидаемым образом. By leaving default structures intact and emptying the membership of the highest privilege groups in the directory, you can create a more secure environment that still functions as expected. Если вы еще не настроен аудит политики для объектов в структуры Подразделений, где вы создали этой группы, необходимо настроить аудит изменения этой группы.

If you have not already configured audit policies for the objects in the OU structure where you created this group, you should configure auditing to log changes this group. You have completed configuration of the group that will be used to "check out" management accounts when they are needed and "check in" the accounts when their activities have been completed. Необходимо создать по крайней мере одна учетная запись, который будет использоваться для управления членством привилегированным группам в установке Active Directory и предпочтительно вторую учетную запись для использования в качестве резервной копии.

You should create at least one account that will be used to manage the membership of privileged groups in your Active Directory installation, and preferably a second account to serve as a backup. Решение для создания учетных записей управления в одном домене в лесу и предоставить им возможности управления для всех доменов защищенных групп или ли вы хотите реализовать управления учетными записями в каждом домене в лесу, процедуры действуют одинаково.

В этом документе предполагается, что вы еще не реализована элементы управления доступом на основе ролей и управление привилегированными пользователями для Active Directory. The steps in this document assume that you have not yet implemented role-based access controls and privileged identity management for Active Directory. Таким образом пользователь, чья учетная запись является членом группы администраторов домена в домене, необходимо выполнить некоторые процедуры.

Therefore, some procedures must be performed by a user whose account is a member of the Domain Admins group for the domain in question. При использовании учетной записи с правами DA можно выполнить вход на контроллер домена для выполнения действий по настройке. When you are using an account with DA privileges, you can log on to a domain controller to perform the configuration activities.

Действия, которые не требуются права DA выполняется с помощью учетных записей меньше привилегий, которые выполнили вход на рабочих станциях администраторов. Steps that do not require DA privileges can be performed by less-privileged accounts that are logged on to administrative workstations.

Снимки экрана, показывающие Обычная рамка диалоговых окнах в более светлый оттенок синего цвета представляют действия, которые могут выполняться на контроллере домена. Screen shots that show dialog boxes bordered in the lighter blue color represent activities that can be performed on a domain controller.

Снимки экрана, которые показывают диалоговых окнах в более темный оттенок синего цвета представляют действия, которые могут быть выполнены на рабочих станциях администраторов с учетными записями с ограниченными правами. Screen shots that show dialog boxes in the darker blue color represent activities that can be performed on administrative workstations with accounts that have limited privileges.

Чтобы создать учетные записи управления, выполните следующие действия: To create the management accounts, perform the following steps: Войдите в контроллер домена с учетной записи, которая является членом группы DA домена. Запуск Active Directory-пользователи и компьютеры и перейдите к Подразделению, в котором будут создавать учетную запись управления.

Щелкните правой кнопкой мыши Подразделение и выберите New и нажмите кнопку пользователя. Right-click the OU and click New and click User. В новый объект — пользователь диалогового окна введите нужный именования сведений учетной записи и нажмите кнопку Далее.

In the New Object - User dialog box, enter your desired naming information for the account and click Next. Предоставить первоначального пароля для учетной записи пользователя, пользователь должен изменить пароль при следующем входе выберите смену пароля пользователем и учетная запись отключена и нажмите кнопку Далее. Provide an initial password for the user account, clear User must change password at next logonselect User cannot change password and Account is disabledand click Next.

Убедитесь, что сведения об учетной записи верны и нажмите кнопку Готово. Verify that the account details are correct and click Finish.

Создание учетных записей пользователей и групп

Щелкните правой кнопкой мыши только что созданный объекта пользователя и нажмите кнопку свойства. Right-click the user object you just created and click Properties. Нажмите кнопку учетной записи вкладку. Click the Account tab. Поскольку эта учетная запись, как и другие учетные записи, будет иметь ограничены, но мощная функция, учетной записи должен использоваться только на защищенные административные узлы. Because this account, like other accounts, will have a limited, but powerful function, the account should only be used on secure administrative hosts.

Для всех безопасного администрирования узлов в вашей среде, вам необходимо реализовать в параметре групповой политики Сетевая безопасность: For all secure administrative hosts in your environment, you should consider implementing the Group Policy setting Network Security: Configure Encryption types allowed for Kerberos to allow only the most secure encryption types you can implement for secure hosts.

Хотя реализации более безопасный типы шифрования для узлов не избежать атак кражи учетных данных, поддерживает правильное использование и настройку защищенные узлы. Although implementing more secure encryption types for the hosts does not mitigate credential theft attacks, the appropriate use and configuration of the secure hosts does. Просто параметр более надежные типы шифрования для узлов, которые используются только привилегированных учетных записей снижает общую поверхность для атаки компьютеров.

Setting stronger encryption types for hosts that are only used by privileged accounts simply reduces the overall attack surface of the computers. Дополнительные сведения о настройке типов шифрования в системах, а учетные записи в разделе конфигурации Windows для типа шифрования поддерживается Kerberos. For more information about configuring encryption types on systems and accounts, see Windows Configurations for Kerberos Supported Encryption Type.

Примечание эти параметры поддерживаются только на компьютерах под управлением Windows ServerWindows Server R2, Windows 8 или Windows 7. На объекта выберите защитить объект от случайного удаления.

On the Object tab, select Protect object from accidental deletion. Это будет блокировать не только объект удаляется даже уполномоченными пользователямино не сможет перемещается в другой Подразделения в Доменных службах Active Directory иерархии, если флажок снят сначала пользователем, имеющим разрешения на изменение атрибута.

Создание учетных записей пользователей и групп

This will not only prevent the object from being deleted even by authorized usersbut will prevent it from being moved to a different OU in your AD DS hierarchy, unless the check box is first cleared by a user with permission to change the attribute. Нажмите кнопку удаленного управления вкладку. Click the Remote control tab. Очистить включить удаленное управление флаг.

Clear the Enable remote control flag. Не должны быть необходимые сотрудникам службы поддержки для подключения к сеансам этой учетной записи для реализации исправления. Каждый объект в Active Directory должен иметь уполномоченный владелец ИТ и является владельцем назначенного бизнеса, как описано в планирование при компрометации.

Every object in Active Directory should have a designated IT owner and a designated business owner, as described in Planning for Compromise. Если вы отслеживаете владельца Доменных объектов в Active Directory в отличие от внешних баз данныхследует ввести сведения о владельце соответствующие в свойств данного объекта. В этом случае бизнес-владельца, скорее всего ИТ-отдела, andthere является не запрет на владельцев предприятий, кроме того, владельцы ИТ. In this case, the business owner is most likely an IT division, andthere is no prohibition on business owners also being IT owners.

Точка, в установление владельца объектов, чтобы позволить вам идентифицировать контакты, если изменения должны быть выполнены для объектов, возможно лет с их первоначального создания. The point of establishing ownership of objects is to allow you to identify contacts when changes need to be made to the objects, perhaps years from their initial creation. Щелкните организации вкладку. Click on the Organization tab. Введите все сведения, необходимые в стандарты объект AD DS.

Enter any information that is required in your AD DS object standards. Щелкните коммутируемых вкладку. Click on the Dial-in tab. В права доступа к сети выберите запрещать доступ. Эта учетная запись никогда не следует подключиться по удаленному подключению. In the Network Access Permission field, select Deny access.