Введение

К очередному типу объектов Active Directory относятся объекты компьютеров. В доменных службах Active Directory компьютеры представлены в качестве учетных записей и объектов аналогично пользователям и используются для представления контроллеров доменов, клиентских компьютеров, а также рядовых серверов. Компьютеры входят в сеть домена так же, как и пользователи, проходя проверку подлинности. Также как и пользовательские учетные записи, компьютеры можно заключать в группы, назначать им доступ к сетевым ресурсам, управлять ими средствами групповых политик. У учетных записей компьютеров, аналогично записям пользователей есть атрибут objectClass. Но в отличие от пользовательской учетной записи, учетная запись компьютера состоит из имени с прикрепленным знаком доллара, а также пароля, который присваивается автоматически и автоматически меняется каждые 30 дней. Управление идентификацией компьютеров в качестве объектов учетных записей обусловлено тем, что абсолютно в любой организации компьютеры могут переходить от одного пользователя к другому, могут быть приобретены новые компьютеры, компьютеры могут устаревать и списываться, а также могут выходить из строя и отправляться на ремонт. Помимо создания учетных записей компьютеров, к основным административным задачам, выполняемым во время поддержки учетных записей компьютеров на протяжении их жизненного цикла можно отнести присоединение компьютеров к домену, сброс учетной записи, делегирование разрешения создания компьютеров, а также удаление компьютеров из домена.

Стоит помнить, что изначально учетная запись компьютера состоит в рабочей группе и для того, чтобы пользователь смог зайти в доменную сеть под своей учетной записью, нужно присоединить компьютер к домену. Основным недостатком рабочей группы является то, что каждая система поддерживает локальное хранилище объектов идентификации, которое называется базой данных диспетчера безопасности учетных записей (Security Accounts Manager) SAM и при входе пользователя система выполняет проверку подлинности на локальной машине. Причем присоединяемый компьютер должен содержать учетную запись в домене, которая включает в себя имя входа, идентификатор безопасности SID и пароль, указывающие, что данная учетная запись является принципалом безопасности. Перед тем как присоединять компьютер к домену вы должны убедиться, что данных компьютер соответствует следующим требованиям: у вас есть право на присоединение компьютера к домену, объект компьютера создан в домене, а также вы должны войти в присоединяемый компьютер как локальный администратор.

По умолчанию учетные записи компьютеров создаются в контейнере Computers, который является классом container и отличается от подразделения тем, что в данном контейнере вы не можете создавать дочернее подразделение и к нему невозможно привязать объекты групповых политик, что в производственной среде считается крайне неудобным. Поэтому вам перед тем как создавать учетные записи компьютеров, нужно спланировать подразделения, в которых будут храниться учетные записи компьютеров. В этой статье не будут описываться такие моменты, как создание подразделения для учетных записей компьютеров, присоединение компьютеров к домену, смена пароля для учетной записи компьютера, делегирование разрешений на создание учетных записей компьютера и удаление компьютеров. Все эти вопросы будут рассмотрены в одной из следующих статей. Из этой статьи вы узнаете о том, как можно создавать учетные записи компьютеров.

Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры»

Создание учетной записи компьютера перед тем, как учетная запись будет присоединяться к домену, называется предварительным размещением компьютера. Для того чтобы предварительно разместить учетную запись компьютера при помощи оснастки «Active Directory – пользователи и компьютеры», выполните следующие действия:

  1. Откройте оснастку «Active Directory – пользователи и компьютеры». Для этого вам нужно открыть панель управления, в ней открыть раздел «Система и безопасность», затем «Администрирование» и в появившемся окне открыть оснастку «Active Directory – пользователи и компьютеры». Также вы можете воспользоваться комбинацией клавиш winkey+R для открытия диалога «Выполнить» и в диалоговом окне «Выполнить», в поле «Открыть» ввести dsa.msc, а затем нажать на кнопку «ОК»;
  2. В дереве оснастки разверните домен, в котором будет создаваться учетная запись компьютера, после чего выберите подразделение. Щелкните на этом подразделении правой кнопкой мыши, выберите команду «Создать», а после чего команду «Компьютер»;
  3. В отобразившемся диалоговом окне «Новый объект — Компьютер», в текстовых полях «Имя компьютера» и «Имя компьютера (пред-Windows 2000)» введите имя учетной записи компьютера, причем, во избежание возможных проблем, эти имена должны быть одинаковыми. Так как присоединить компьютер к домену могут только определенные пользователи или группы, в поле «Имя пользователи или группы» вы можете указать конкретного пользователя или группу, которым будет разрешено присоединять данный компьютер к домену. Для того чтобы указать такую учетную запись, нажмите на кнопку «Изменить» и в отобразившемся диалоговом окне «Выбор «Пользователь» или «Группа»» укажите имя пользователя или группы, которым будет разрешено присоединить компьютер к домену. После того как вся информация будет задана, нажмите на кнопку «ОК». Диалоговое окно «Новый объект – Компьютер» отображено ниже:

    adcomp-01

    Рис. 1. Добавление учетной записи компьютера при помощи графического интерфейса

Создание учетной записи компьютера средствами командной строки

В отличие от учетных записей пользователей и групп, вы можете создавать учетные записи компьютеров при помощи двух команд: команды Dsadd и команды Netdom.

Команда Dsadd, как говорилось в статьях, в которых я описывал методы создания пользовательских учетных записей и учетных записей групп требует указания модификатора computer, который задает команду применения параметров для создания учетной записи компьютера. Опять же, как и в предыдущих случаях, после модификатора вам нужно указать отличительное имя компьютера, которое должно быть заключено в кавычки в том случае, если оно содержит пробелы, а также, при необходимости, дополнительные параметры. Синтаксис команды следующий:

Dsadd computer DN_компьютера –дополнительные_параметры

где вы можете воспользоваться следующими дополнительными параметрами:

  • -samid. Используя данный параметр, вы можете указать имя учетной записи компьютера. Если данный параметр не будет указан, то атрибут samid будет сформирован из имени DN объекта;
  • -desc. При помощи этого параметра вы можете указать описания для создаваемого компьютера;
  • -loc. Данный параметр отвечает за размещение создаваемой учетной записи;
  • -s. Этот параметр задает контроллер домена, к которому будет подключен данный компьютер;
  • -d. Данный параметр позволяет подключить компьютер к указанному домену;
  • -memberof. Используя этот параметр, вы можете добавить компьютер в одну или несколько групп;
  • -uc. При помощи этого параметра вы можете указать форматирование ввода или вывода из канала в Юникод;
  • -uco. Этот параметр позволяет задавать форматирование вывода в канал в Юникоде;
  • -uci. Данный параметр указывает форматирование ввода из канала в Юникоде;
  • -u. Позволяет подключать компьютер к домену от указанной вами учетной записи пользователя;
  • -p. Используя этот параметр, вы можете указать пароль для учетной записи пользователя, которая была указана при помощи параметра –u;
  • -q. Данный параметр задает создание учетной записи компьютера в тихом режиме.

Пример использования:

Dsadd computer “CN=COMPUTER357,OU=Компьютеры филиала,DC=testdomain,DC=com” –samid COMPUTER357 –desc “Компьютер отдела Маркетинг”

adcomp-02

Рис. 2. Создание компьютеров средствами Dsadd

Команда Netdom в большинстве случаев используется для присоединения компьютера к домену, но вы как администратор при помощи данной команды можете также создавать учетные записи компьютеров. Также как и команда Dsadd computer, текущая команда позволяет создавать учетную запись компьютера в указанном домене, используя учетные данные, которые будут указаны вами. С текущей командой вы можете указать следующие параметры:

  • /Domain. При помощи этого параметра вы можете указать домен, в котором будет создана учетная запись компьютера;
  • /UserD. Данный параметр указывает учетную запись пользователя, которому разрешается подключить компьютер к домену;
  • /PasswordD. Этот параметр позволяет задать пароль для учетной записи, которую вы указали используя параметр UserD;
  • /Server. Текущий параметр указывает контроллер домена, который используется для добавления учетной записи компьютера;
  • /OU. Данный параметр назначает создание объекта в подразделении, отличительное имя которого указано после этого параметра. В том случае, если вы пропускаете данный параметр, то учетная запись компьютера будет создана в подразделении, которое установлено по умолчанию;
  • /DC. Если вы указываете данный параметр, то учётная запись компьютера назначается для контроллера домена, причем в этом случае вы не можете совместно указать параметр OU;
  • /SecurePasswordPromt. Данный параметр целесообразно использовать в том случае, если в параметре PasswordD было указано значение * и для авторизации учетных данных вы используете смарт-карты.

Пример использования:

Netdom Add COMPUTER358 /Domain:testdomain

adcomp-03

Рис. 3. Создание компьютеров средства Netdom

Создание компьютеров при помощи команд CSVDE и LDIFDE

Утилита командной строки Comma-Separated Values Data Exchange (SCVDE) была подробным образом рассмотрена в статьях, где были описаны способы создания учетных записей компьютеров и групп. Вы уже должны знать о том, что данная команда позволяет импортировать и экспортировать объекты Active Directory из csv-файла. Для этой команды вы можете применять следующие параметры:

  • -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
  • -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
  • -k. Параметр, предназначенный для продолжения импорта, пропуская все возможные ошибки;
  • -v. Параметр, используя который вы можете вывести подробную информацию;
  • -j. Параметр, отвечающий за расположение файла журнала;
  • -u. Параметр, позволяющий использовать режим Юникода.

Как вы уже знаете, файлы Lightweight Directory Access Protocol Data Interchange Format (LDIF) также указываются в виде текстовых файлов, где все операции задаются в виде блоков строк, разделенных пустой строкой. В этих файлах каждая новая операция начинается с атрибута DN объекта, после чего идут дополнительные параметры. Как вам уже известно, с этой командой могут применяться следующие параметры:

  • -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
  • -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
  • -k. Параметр, предназначенный для продолжения импорта, пропуская все возможные ошибки;
  • -v. Параметр, используя который вы можете вывести подробную информацию;
  • -j. Параметр, отвечающий за расположение файла журнала;
  • -d. Параметр, указывающий корень поиска LDAP;
  • -f. Параметр, предназначенный для фильтра поиска LDAP;
  • -p. Представляет собой область или глубину поиска;
  • -l. Предназначен для указания списка атрибутов с разделительными запятыми, который будет включен в экспорт результирующих объектов;

Создание учетных записей компьютеров, используя Windows PowerShell

Стоит обратить внимание на то, что при помощи VBScript учетные записи компьютеров создаются также как и учетные записи пользователей. То есть, для начала вам нужно подключиться к контейнеру, затем создать сам объект, а после чего заполнить его атрибуты и подтвердить изменение. Как и в случае с учетными записями пользователей и групп, вы можете создавать учетные записи компьютеров при помощи командлета New-ADComputer. Стоит обратить внимание на то, что при помощи текущего командлета вы можете редактировать почти все доступные атрибуты, вы не можете присоединять компьютер к домену, используя функционал данного командлета. Во всех случаях, данный командлет используется до того как пользователь попробует присоединить компьютер к домену. Также как и в случае с командлетами New-ADUser и New-ADGroup, параметр Path позволяет задавать подразделение, в котором будет размещена учетная запись компьютера. Если вы заранее знаете точную дату выведения компьютера из эксплуатации, вы можете задать дату окончания срока действия учетной записи компьютера при помощи параметра –AccountExpirationDate. Значением этого параметра выступают дата и время в формате DateTime, причем, если значением данного параметра будет указан 0, срок действия учетной записи никогда не истечет. Пароль для текущей учетной записи компьютера вы можете задать, используя параметр -AccountPassword. Длина пароля не должна превышать 240 символов. Параметры –DisplayName и –Description отвечают за имя и описание объекта. В некоторых случаях сразу после создания, учетная запись отключается. Это можно реализовать при помощи параметра –Enabled, указав значение $false. Пользователя или группу, которые управляют этим объектом, задают при помощи параметра –ManagedBy. Синтаксис командлета следующий:

New-ADComputer [-Name] <string> [-AccountExpirationDate <System.Nullable[System.DateTime]>] [-AccountNotDelegated <System.Nullable[bool]>] [-AccountPassword <SecureString>] [-AllowReversiblePasswordEncryption <System.Nullable[bool]>] [-AuthType {<Negotiate> | <Basic>}] [-CannotChangePassword <System.Nullable[bool]>] [-Certificates <X509Certificate[]>] [-ChangePasswordAtLogon <System.Nullable[bool]>] [-Credential <PSCredential>] [-Description <string>] [-DisplayName <string>] [-DNSHostName <string>] [-Enabled <System.Nullable[bool]>] [-HomePage <string>] [-Instance <ADComputer>] [-Location <string>] [-ManagedBy <ADPrincipal>] [-OperatingSystem <string>] [-OperatingSystemHotfix <string>] [-OperatingSystemServicePack <string>] [-OperatingSystemVersion <string>] [-OtherAttributes <hashtable>] [-PassThru <switch>] [-PasswordNeverExpires <System.Nullable[bool]>] [-PasswordNotRequired <System.Nullable[bool]>] [-Path <string>] [-SAMAccountName <string>] [-Server <string>] [-ServicePrincipalNames <string[]>] [-TrustedForDelegation <System.Nullable[bool]>] [-UserPrincipalName <string>] [-Confirm] [-WhatIf] [<CommonParameters>]

Пример использования:

New-ADComputer -Name “DESKTOP360” -sAMAccountName “DESKTOP360” -Path “OU=Компьютеры филиала,DC=testdomain,DC=com” -AccountPassword $null -Enabled $true -OperatingSystem “Windows 7” -PasswordNeverExpires $true

adcomp-05

Рис. 4. Создание учетной записи компьютера, используя PowerShell

Заключение

Из этой статьи вы узнали о пяти методах создания учетных записей компьютеров. Подробно было рассмотрено создание учетных записей компьютеров при помощи графического интерфейса, утилит командной строки Dsadd и Netdom, а также средствами командлета New-ADGroup командной оболочки Windows PowerShell. Вкратце были рассмотрено создание компьютеров средствами утилит CSVDE, LDIFDE и при помощи функционала VBScript.

Реклама