Cuentas de dominio y grupo en el hogar. Crear una cuenta de usuario de dominio

Cuentas de dominio y grupo en el hogar. Crear una cuenta de usuario de dominio

Alexander Emelyanov

Administrar cuentas en un dominio de Active Directory

Una de las tareas más importantes de un administrador es la gestión de cuentas locales y de dominio: auditoría, cuotas y diferenciación de derechos de usuario en función de sus necesidades y política de la empresa. ¿Qué puede ofrecer Active Directory en este sentido?

Continuando con la serie de artículos sobre Active Directory, hoy hablaremos sobre el enlace central en el proceso de administración: administrar las credenciales de los usuarios dentro de un dominio. Consideraremos:

  • crear y gestionar cuentas;
  • tipos de perfiles de usuario y su aplicación;
  • grupos de seguridad en dominios AD y sus combinaciones.

En última instancia, podrá utilizar estos materiales para construir una infraestructura funcional o modificar una existente que satisfaga sus necesidades.

De cara al futuro, diré que el tema está estrechamente relacionado con el uso de políticas de grupo con fines administrativos. Pero debido a la amplitud del material dedicado a ellos, se desvelará en el próximo artículo.

Presentación de Active Directory: usuarios y computadoras

Después de haber instalado su primer controlador en el dominio (por lo tanto, de haber organizado el dominio), aparecen cinco nuevos elementos en la sección "Administración" (consulte la Figura 1).

Para administrar objetos AD, se utiliza Active Directory – Usuarios y computadoras (ADUC – Usuarios y computadoras AD, ver Fig. 2), al que también se puede llamar a través del menú “Ejecutar” usando DSA.MSC.

Con ADUC, puede crear y eliminar usuarios, asignar secuencias de comandos de inicio de sesión a una cuenta y administrar la membresía y las políticas de grupo.

También existe la opción de administrar objetos AD sin acceder directamente al servidor. Lo proporciona el paquete ADMINPAK.MSI, ubicado en el directorio “%SYSTEM_DRIVE%\Windows\system32”. Al implementarlo en su máquina y otorgarse derechos de administrador de dominio (si no los tenía), podrá administrar el dominio.

Cuando abramos ADUC, veremos la rama de nuestro dominio que contiene cinco contenedores y unidades organizativas.

  • incorporado. Contiene grupos locales integrados que se encuentran en cualquier máquina servidor, incluidos los controladores de dominio.
  • Usuarios y computadoras. Estos son los contenedores en los que se colocan de forma predeterminada los usuarios, grupos y cuentas de computadora cuando se instala sobre Windows NT. Pero para crear y almacenar nuevas cuentas, no es necesario utilizar únicamente estos contenedores; incluso se puede crear un usuario en un contenedor de dominio. Cuando unes una computadora a un dominio, aparece en el contenedor Computadoras.
  • Controladores de dominio. Se trata de una unidad organizativa (OU, Organizational Unit) que contiene controladores de dominio de forma predeterminada. Cuando creas un nuevo controlador, aparece aquí.
  • Directores De Seguridad Extranjera. Este es el contenedor predeterminado para objetos de dominios externos de confianza.

Es importante recordar que los GPO están vinculados únicamente a un dominio, unidad organizativa o sitio. Esto debe tenerse en cuenta al crear la jerarquía administrativa de su dominio.

Ingresando la computadora al dominio.

El procedimiento se realiza directamente en la máquina local que queramos conectar.

Seleccione "Mi PC -> Propiedades -> Nombre de la computadora", haga clic en el botón "Cambiar" y en el menú "Es miembro" seleccione "dominio". Ingresamos el nombre del dominio al que queremos agregar nuestra computadora y luego demostramos que tenemos los derechos para agregar estaciones de trabajo al dominio ingresando los datos de autenticación del administrador del dominio.

Crear un usuario de dominio

Para crear un usuario, debe seleccionar cualquier contenedor en el que se ubicará, hacer clic derecho sobre él y seleccionar "Crear -> Usuario". Se abrirá el asistente para crear usuarios. Aquí puede especificar muchos de sus atributos, desde el nombre de usuario y el período de tiempo para iniciar sesión en el dominio hasta la configuración de servicios de terminal y acceso remoto. Una vez que se complete el asistente, recibirá un nuevo usuario de dominio.

Cabe señalar que durante el proceso de creación de un usuario, el sistema puede "maldecir" por la complejidad insuficiente de la contraseña o su brevedad. Puede relajar los requisitos abriendo "Configuración de seguridad de dominio predeterminada" y luego "Configuración de seguridad -> Políticas de cuenta -> Política de contraseñas".

Creemos el usuario Ivan Ivanov en el contenedor Usuarios (Nombre de inicio de sesión de usuario: [correo electrónico protegido]). Si en los sistemas NT 4 este nombre desempeñaba solo el papel de decoración, en AD es parte del nombre en formato LDAP, que se ve así:

cn="Ivan Ivanov", cn="Usuarios", dc="hq", dc="local"

Aquí cn es el nombre del contenedor, dc es el componente del dominio. Las descripciones de objetos en formato LDAP se utilizan para ejecutar scripts WSH (Windows Script Hosts) o para programas que utilizan el protocolo LDAP para comunicarse con Active Directory.

Para iniciar sesión en el dominio, Ivan Ivanov deberá utilizar un nombre en formato UPN (nombre principal universal): [correo electrónico protegido]. También en dominios AD será claro escribir el nombre en el antiguo formato NT 4 (anterior a Win2000), en nuestro caso HQ\Ivanov.

Cuando se crea una cuenta de usuario, se le asigna automáticamente un identificador de seguridad (SID, Security Identifier), un número único mediante el cual el sistema identifica a los usuarios. Es muy importante entender esto porque cuando eliminas una cuenta, su SID también se elimina y nunca se reutiliza. Y cada cuenta nueva tendrá su propio SID nuevo, por lo que no podrá obtener los derechos y privilegios de la anterior.

La cuenta se puede mover a otro contenedor u unidad organizativa, deshabilitarla o, por el contrario, habilitarla, copiarla o cambiar la contraseña. La copia se utiliza a menudo para crear varios usuarios con la misma configuración.

Entorno de trabajo del usuario

Las credenciales almacenadas centralmente en el servidor permiten a los usuarios identificarse de forma única en el dominio y obtener los derechos y acceso adecuados al entorno de trabajo. Todos los sistemas operativos de la familia Windows NT utilizan un perfil de usuario para crear un entorno de trabajo en la máquina cliente.

perfil local

Veamos los componentes principales de un perfil de usuario:

  • La clave de registro correspondiente a un usuario específico (“hive” o “hive”). De hecho, los datos de esta rama del registro se almacenan en el archivo NTUSER.DAT. Se encuentra en la carpeta %SYSTEMDRIVE%\Documents and Settings\User_name, que contiene el perfil de usuario. Por lo tanto, cuando un usuario específico inicia sesión en el sistema, la clave de registro HKEY_CURRENT_USER se carga con el subárbol NTUSER.DAT de la carpeta que contiene su perfil. Y todos los cambios en la configuración del entorno del usuario durante la sesión se guardarán en esta "colmena". El archivo NTUSER.DAT.LOG es un registro de transacciones que existe para proteger el archivo NTUSER.DAT. Sin embargo, es poco probable que lo encuentre para el usuario predeterminado porque es una plantilla. Más sobre esto más adelante. El administrador tiene la capacidad de editar la colmena de un usuario específico directamente desde su entorno de trabajo. Para hacer esto, usando el editor de registro REGEDIT32, debe cargar la colmena en la sección HKEY_USERS y luego descargarla después de realizar los cambios.
  • Carpetas del sistema de archivos que contienen archivos de configuración del usuario. Están ubicados en un directorio especial %SYSTEMDRIVE%\Documents and Settings\User_name, donde User_name es el nombre del usuario que inició sesión en el sistema. Aquí se almacenan elementos del escritorio, elementos de inicio, documentos, etc.

Cuando un usuario inicia sesión por primera vez, ocurre lo siguiente:

  1. El sistema verifica si existe un perfil local para este usuario.
  2. Al no encontrarlo, el sistema recurre al controlador de dominio en busca de un perfil de dominio predeterminado, que debe estar ubicado en la carpeta Usuario predeterminado en el recurso compartido NETLOGON; si el sistema ha detectado este perfil, se copia localmente en la máquina en la carpeta %SYSTEMDRIVE%\Documents and Settings con el nombre de usuario; de lo contrario, se copia desde la carpeta local %SYSTEMDRIVE%\Documents and Settings\Default User.
  3. El subárbol de usuarios se carga en la clave de registro HKEY_CURRENT_USER.
  4. Cuando cierra sesión, todos los cambios se guardan localmente.

En última instancia, el entorno de trabajo de un usuario es una combinación de su perfil de trabajo y el perfil Todos los usuarios, que contiene configuraciones comunes para todos los usuarios de una máquina determinada.

Ahora unas palabras sobre la creación de un perfil predeterminado para un dominio. Cree un perfil ficticio en su máquina, configúrelo según sus necesidades o los requisitos de la política corporativa. Luego cierre sesión y vuelva a iniciar sesión como administrador de dominio. Cree una carpeta de usuario predeterminada en el servidor compartido NETLOGON. A continuación, utilizando la pestaña Perfiles de usuario en el subprograma Sistema (consulte la Figura 3), copie su perfil en esta carpeta y otorgue derechos para usarlo al grupo Usuarios del dominio o algún otro grupo de seguridad adecuado. Eso es todo, se ha creado el perfil predeterminado para su dominio.

Perfil itinerante

Active Directory, como tecnología flexible y escalable, le permite trabajar en su entorno empresarial con perfiles móviles, de los que hablaremos a continuación.

Al mismo tiempo, sería apropiado hablar de la redirección de carpetas como una de las capacidades de la tecnología IntelliMirror para garantizar la tolerancia a fallos y el almacenamiento centralizado de los datos del usuario.

Los perfiles móviles se almacenan en el servidor. La ruta a ellos se especifica en la configuración del usuario del dominio (ver Fig. 4).

Si lo desea, puede especificar perfiles móviles para varios usuarios al mismo tiempo seleccionando varios usuarios y en las propiedades de la pestaña "Perfil", especifique %USERNAME% en lugar de la carpeta con el nombre de usuario (ver Fig. 5).

El primer proceso de inicio de sesión para un usuario con un perfil móvil es similar al descrito anteriormente para un usuario local, con algunas excepciones.

En primer lugar, dado que la ruta al perfil se especifica en el objeto de usuario, el sistema verifica la presencia de una copia local almacenada en caché del perfil en la máquina, luego todo es como se describe.

En segundo lugar, al finalizar el trabajo, todos los cambios se copian en el servidor y, si las políticas de grupo no especifican la eliminación de la copia local, se guardan en esta máquina. Si el usuario ya tenía una copia local del perfil, entonces el servidor y las copias locales del perfil se comparan y fusionan.

La tecnología IntelliMirror en las últimas versiones de Windows le permite redirigir ciertas carpetas de usuario, como "Mis documentos", "Mis imágenes", etc., a un recurso de red.

Así, todos los cambios realizados serán absolutamente transparentes para el usuario. Al guardar documentos en la carpeta "Mis documentos", que obviamente serán redirigidos a un recurso de red, ni siquiera sospechará que todo se está guardando en el servidor.

Puede configurar la redirección manualmente para cada usuario o mediante políticas de grupo.

En el primer caso, debe hacer clic derecho en el icono "Mis documentos" en el escritorio o en el menú "Inicio" y seleccionar propiedades. Entonces todo es extremadamente sencillo.

En segundo lugar, debe abrir la política de grupo de la unidad organizativa o dominio para el que queremos aplicar la redirección y expandir la jerarquía "Configuración de usuario -> Configuración de Windows" (ver Fig. 6). A continuación, se configura la redirección para todos los usuarios o para grupos de seguridad específicos de la unidad organizativa o dominio al que se aplicará esta política de grupo.

Al utilizar la redirección de carpetas para trabajar con perfiles de usuarios móviles, puede lograr, por ejemplo, reducir el tiempo de carga del perfil. Esto siempre que el perfil móvil siempre se cargue desde el servidor sin utilizar una copia local.

Una historia sobre la tecnología de redireccionamiento de carpetas estaría incompleta sin mencionar los archivos sin conexión. Permiten a los usuarios trabajar con documentos incluso cuando no hay conexión de red. La sincronización con las copias de documentos del servidor se produce la próxima vez que su computadora se conecte a la red. Este esquema de organización será útil, por ejemplo, para los usuarios de portátiles que trabajen tanto en una red local como en casa.

Las desventajas de los perfiles móviles incluyen las siguientes:

  • Puede surgir una situación en la que, por ejemplo, habrá accesos directos a algunos programas en el escritorio del usuario, pero en otra máquina donde el propietario del perfil móvil quiere trabajar, dichos programas no están instalados y, en consecuencia, algunos de los accesos directos no estarán disponibles. trabajar;
  • muchos usuarios tienen la costumbre de almacenar documentos, así como fotografías e incluso videos en el escritorio, como resultado, al descargar un perfil móvil desde el servidor, cada vez se crea tráfico adicional en la red y el perfil en sí toma un tiempo muy mucho tiempo para cargar; para solucionar el problema, utilice permisos NTFS para limitar el almacenamiento de “basura” en el escritorio;
  • cada vez que un usuario inicia sesión en el sistema, se crea un perfil local para él (más precisamente, el perfil se copia del servidor localmente), y si cambia de máquina en funcionamiento, esa "basura" permanece en cada una de ellas; Esto se puede evitar configurando políticas de grupo de cierta manera (política “Configuración de la computadora -> Plantillas administrativas -> Sistema -> Perfiles de usuario”, “Eliminar copias en caché de perfiles móviles”).

Agregar un usuario existente a un dominio

A menudo, al implementar un servicio de directorio en una red existente basada en un grupo de trabajo, surge la cuestión de cómo introducir un usuario en un dominio sin perder la configuración de su entorno de trabajo. Esto se puede lograr utilizando perfiles móviles.

Cree una carpeta con el nombre del usuario en un recurso compartido de red (por ejemplo, Perfiles) en el servidor y otorgue permisos de escritura para el grupo Todos. Llámelo HQUser y la ruta completa se verá así: \\Server\Profiles\HQUser.

Cree un usuario de dominio que coincida con el usuario de su red local y especifique \\Server\Profiles\HQUser como ruta del perfil.

En la computadora que contiene el perfil local de nuestro usuario, debemos iniciar sesión como administrador y usar la pestaña Perfiles de usuario del subprograma Sistema para copiarlo a la carpeta \\Server\Profiles\HQUser.

Es fácil entender que la próxima vez que iniciemos sesión en el sistema con una nueva cuenta de dominio, nuestro usuario descargará su perfil de trabajo del servidor, y el administrador solo tendrá que decidir si deja este perfil como roaming o lo convierte. local.

Cuotas

Muy a menudo, los usuarios cargan unidades de red con información innecesaria. Para evitar solicitudes constantes para limpiar sus carpetas personales de basura innecesaria (por alguna razón siempre resulta necesario), puede utilizar el mecanismo de cuotas. A partir de Windows 2000, esto se puede hacer utilizando herramientas estándar en volúmenes NTFS.

Para habilitar el mecanismo de cuota y configurarlo, debe ir a las propiedades del volumen local y abrir la pestaña "Cuota" (ver Fig. 7).

También puede ver datos sobre el espacio ocupado en disco y establecer cuotas por separado para cada usuario (ver Fig. 8). El sistema calcula el espacio ocupado en disco basándose en datos sobre el propietario de los objetos, sumando el volumen de archivos y carpetas que posee.

Grupos de usuarios en AD

Administrar usuarios dentro de un dominio no es una tarea difícil. Pero cuando es necesario configurar el acceso a determinados recursos para varias docenas (o incluso cientos) de usuarios, distribuir los derechos de acceso puede llevar mucho tiempo.

Y si es necesario delimitar con precisión los derechos de los participantes en varios dominios dentro de un árbol o bosque, el administrador se enfrenta a una tarea similar a los problemas de la teoría de conjuntos. Aquí es donde el uso de grupos viene al rescate.

Las principales características de los grupos que se encuentran dentro de un dominio se dieron en el artículo anterior sobre arquitectura de servicios de directorio.

Permítanme recordarles que los grupos locales de dominio pueden incluir usuarios de su dominio y de otros dominios del bosque, pero su alcance se limita al dominio al que pertenecen.

Los grupos globales solo pueden incluir usuarios en su propio dominio, pero pueden usarse para proporcionar acceso a recursos tanto dentro de su propio dominio como de otro dominio en el bosque.

Los grupos universales, como sugiere su nombre, pueden contener usuarios de cualquier dominio y también pueden usarse para brindar acceso a todo el bosque. No importa en qué dominio se creará el grupo universal, lo único que vale la pena considerar es que cuando se mueva, los derechos de acceso se perderán y será necesario reasignarlos.

Para comprender lo anterior y los principios básicos del anidamiento de grupos, veamos un ejemplo. Tengamos un bosque que contenga dos dominios HQ.local y SD.local (cuál es el raíz en este caso no es importante). Cada dominio contiene recursos para compartir y usuarios (ver Figura 9).

De la Fig. La Figura 9 muestra que todos los usuarios del bosque deben poder acceder a los recursos Docs y Distrib (líneas verde y roja), por lo que podemos crear un grupo universal que contenga usuarios de ambos dominios y usarlo al especificar permisos para acceder a ambos recursos. O podemos crear dos grupos globales en cada dominio que contendrán solo usuarios de su dominio e incluirlos en el grupo universal. Cualquiera de estos grupos globales también se puede utilizar para asignar derechos.

Solo los usuarios del dominio HQ.local (líneas azules) deben tener acceso al directorio Base, por lo que los incluiremos en el grupo de dominio local y les otorgaremos acceso a este grupo.

Tanto los miembros del dominio HQ.local como los miembros del dominio SD.local podrán utilizar el directorio Distrib (líneas naranjas en la Figura 9). Por lo tanto, podemos agregar los usuarios Manager y Salary al grupo global del dominio HQ.local y luego agregar este grupo al grupo local del dominio SD.local junto con el usuario de TI. Luego otorgue a este grupo local acceso al recurso Distrib.

Ahora veremos con más detalle el anidamiento de estos grupos y consideraremos otro tipo de grupo: los grupos de dominio local integrados.

La tabla muestra qué grupos se pueden anidar en cuáles. Aquí hay grupos ubicados horizontalmente, en los que se anidan los grupos ubicados verticalmente. Un signo positivo significa que un tipo de grupo puede anidarse dentro de otro, un signo negativo, no.

En algún recurso en Internet dedicado a los exámenes de certificación de Microsoft, vi una mención de una fórmula de este tipo: AGUDLP, que significa: las cuentas se colocan en grupos globales (Global), que se colocan en grupos universales (Universal), que se colocan en grupos locales grupos de dominio (Dominio Local), a los que se aplican permisos (Permisos). Esta fórmula describe completamente la posibilidad de anidamiento. Cabe agregar que todos estos tipos pueden anidarse en grupos locales de una sola máquina (grupos de dominio local exclusivamente dentro de su dominio).

Anidamiento de grupos de dominio

Anidación

Grupos locales

Grupos globales

Grupos universales

Cuenta

Grupos locales

+ (excepto para grupos locales integrados y solo dentro de su propio dominio)

Grupos globales

+ (solo dentro de tu propio dominio)

Grupos universales

Los grupos locales de dominio integrados se encuentran en el contenedor integrado y son efectivamente grupos locales de máquinas, pero solo para controladores de dominio. Y a diferencia de los grupos de dominio locales, el contenedor de Usuarios no se puede mover a otras unidades organizativas.

Una comprensión correcta del proceso de administración de cuentas le permitirá crear un entorno de trabajo empresarial claramente configurado, proporcionando flexibilidad de gestión y, lo más importante, resiliencia y seguridad del dominio. En el próximo artículo hablaremos de las políticas de grupo como herramienta para crear un entorno de usuario.

Solicitud

Los matices de la autenticación de dominio.

Cuando se utilizan perfiles locales, puede surgir una situación en la que un usuario de dominio intenta iniciar sesión en una estación de trabajo que tiene su perfil local, pero por alguna razón no tiene acceso al controlador. Sorprendentemente, el usuario pasará con éxito la autenticación y podrá trabajar.

Esta situación se produce debido al almacenamiento en caché de las credenciales del usuario y se puede corregir realizando cambios en el registro. Para hacer esto, en la carpeta HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon, cree (si no hay ninguna) una entrada con el nombre CachedLogonCount, tipo de datos REG_DWORD y establezca su valor en cero. Se puede lograr un resultado similar utilizando políticas de grupo.

  1. Emelyanov A. Principios de creación de dominios de Active Directory, // “Administrador del sistema”, No. 2, 2007 – págs. 38-43.

Todo el mundo sabe que después de instalar el sistema operativo, la computadora se incluye inicialmente en un grupo de trabajo (por defecto en GRUPO DE TRABAJO). En un grupo de trabajo, cada computadora es un sistema autónomo independiente en el que existe una base de datos SAM (Security Accounts Manager). Cuando una persona inicia sesión en una computadora, se verifica si tiene una cuenta en SAM y se le otorgan ciertos derechos de acuerdo con esos registros. Una computadora que ingresa al dominio continúa manteniendo su base de datos SAM, pero si el usuario inicia sesión con una cuenta de dominio, se verifica con el controlador de dominio, es decir. La computadora confía en el controlador de dominio para identificar al usuario.

Hay varias formas de agregar una computadora a un dominio, pero antes de hacerlo, debe asegurarse de que la computadora cumpla con los siguientes requisitos:

Tiene derecho a unir una computadora a un dominio (de forma predeterminada, los administradores empresariales, los administradores de dominio, los administradores y los administradores de cuentas tienen este derecho);

El objeto informático se crea en el dominio;

Debe iniciar sesión en la computadora a la que se está uniendo como administrador local.

Para muchos administradores, el segundo punto puede causar indignación: ¿por qué crear una computadora en AD si aparece en el contenedor Computadoras después de agregar la computadora al dominio? El caso es que no se pueden crear divisiones en el contenedor Computadoras, pero peor aún, no se pueden vincular objetos de política de grupo al contenedor. Es por eso que se recomienda crear un objeto de computadora en la unidad organizativa requerida y no contentarse con la cuenta de computadora creada automáticamente. Por supuesto, puede mover la computadora creada automáticamente al departamento requerido, pero los administradores a menudo olvidan hacer esas cosas.

Ahora veamos formas de crear una computadora (computadoras) en AD:

Crear computadoras usando el complemento Usuarios y Computadoras de Active Directory.

Para este método, necesitaremos iniciar el complemento "Usuarios y computadoras de Active Directory" en nuestra computadora usando Paquete de administración o en un controlador de dominio. Para hacer esto, haga clic en " Inicio - Panel de control - Sistema y Seguridad - Administración -" seleccione el departamento requerido, haga clic derecho sobre él, seleccione " en el menú contextual Crear - Computadora".

Ingrese el nombre de la computadora.

Cree una cuenta de computadora usando el comando DSADD.

Vista general del comando:

dsadd computadora [-desc<описание>] [-loc<расположение>] [-miembro de<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-pag (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Parámetros:

Descripción del valor
Parámetro requerido. Especifica el nombre completo (DN) de la computadora que se agregará.
-desc<описание> Especifica una descripción de la computadora.
-loc<размещение> Especifica la ubicación de la computadora.
-miembro de<группа...> Agrega una computadora a uno o más grupos definidos por una lista de DN separados por espacios<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>especifica una conexión a un controlador de dominio (DC) llamado<сервер>.
-d <домен>especifica una conexión a un DC en un dominio<домен>.
Valor predeterminado: DC en el dominio de inicio de sesión.
-tú<пользователь> Conexión bajo nombre<пользователь>. Valor predeterminado: nombre de usuario registrado. Opciones posibles: nombre de usuario, dominio\nombre de usuario, nombre principal de usuario (UPN).
-pag (<пароль> | *} Contraseña de usuario<пользователь>. Si ingresa *, se le pedirá una contraseña.
-q Modo silencioso: toda la salida se reemplaza con salida estándar.
(-uc | -uco | -uci)

-uc Especifica el formato de entrada de un canal o salida a un canal en Unicode.
-uco Especifica si la salida a una tubería o archivo tiene formato Unicode.
-uci Especifica el formato de entrada de un canal o archivo en Unicode.

Ejemplo de uso del comando Dsadd:

Dsadd computadora “CN=COMP001,OU=Moscú,OU=Departamentos,DC=pk-help,DC=com” –desc “computadora del departamento de TI”

Creacióncuenta de estación de trabajo o servidor usando el comando Netdom.

Vista general del comando Netdom:

AÑADIR REDDOM<компьютер> ]
<компьютер> este es el nombre de la computadora que se agregará
/Dominio especifica el dominio en el que desea crear una cuenta de computadora
/UsuarioD cuenta de usuario que se utilizará al conectarse al dominio especificado por el argumento /Dominio
/ContraseñaD La contraseña de la cuenta de usuario especificada por el argumento /UserD. El signo * indica una solicitud de contraseña
/Servidor El nombre del controlador de dominio utilizado para la adición. Esta opción no se puede utilizar junto con la opción /OU.
/UNED el departamento en el que desea crear una cuenta de computadora. Se requiere un nombre de dominio completo RFC 1779 para la unidad organizativa. Cuando utiliza este argumento, debe ejecutarlo directamente en el controlador de dominio especificado. Si no se especifica este argumento, la cuenta se creará en la unidad organizativa predeterminada para los objetos informáticos de este dominio.
/CORRIENTE CONTINUA especifica que desea crear una cuenta de computadora controladora de dominio. Esta opción no se puede utilizar junto con la opción /OU.
/Solicitud de contraseña segura Utilice una ventana emergente segura para proporcionar credenciales. Utilice esta opción cuando necesite proporcionar credenciales de tarjeta inteligente. Este parámetro sólo es efectivo si la contraseña se especifica como *.

Creando un objeto Computadora usando Ldifde() y Csvde().

Administrar cuentas de computadora en Active Directory.

Cambiar el nombre de la computadora a AD.

Inicie la línea de comando y use el comando Netdom para cambiar el nombre de la computadora a AD:

Netdom cambiar el nombre de la computadora<Имя компьютера>/Nuevo nombre:<Новое имя>

Ejemplo: Netdom cambiar el nombre de la computadora COMP01 /Nuevo nombre: COMP02

Eliminación de cuentas de computadora.

1 Eliminar una cuenta de computadora usando el complemento Active Directory: usuarios y computadoras". Inicie el complemento " Active Directory: usuarios y computadoras"busque la computadora requerida, haga clic derecho sobre ella y seleccione en el menú contextual" Borrar", confirmar eliminación

2 Puede eliminar una computadora usando el comando DSRM:

DSRM

DSRM CN=COMP001,OU=Moscú,OU=Departamentos,DC=pk-help,DC=com
.

Resolviendo el error "No se pudo establecer una relación de confianza entre esta estación de trabajo y el dominio principal".

A veces, al intentar iniciar sesión en una computadora, el usuario recibe el mensaje " No se pudo establecer una relación de confianza entre esta estación de trabajo y el dominio principal". Este error ocurre cuando falla el canal seguro entre la máquina y el controlador de dominio. Para solucionar este problema, debe restablecer el canal seguro. Puede utilizar uno de los métodos:

1 Vaya al complemento "Usuarios y computadoras de Active Directory", busque la computadora problemática, haga clic derecho sobre ella y seleccione "Restablecer cuenta". Después de esto, la computadora debe volver a unirse al dominio y reiniciarse.

2 Usando el comando reddom:

Reinicio de red<имя машины>/dominio<Имя домена>/Usuario0<Имя пользователя>/Contraseña0<Пароль> sin comillas<>

Ejemplo: Restablecimiento de Netdom COMP01 /sitio de dominio /Usuario0 Ivanov /Contraseña *****

3 Usando el comando más reciente:

Nltest/servidor:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>

Hola a todos, me gustaría comenzar una serie de artículos sobre Active Directory usando el ejemplo de Windows Server 2008R2. En la gran mayoría de los casos, los administradores del sistema prefieren utilizar el complemento Usuarios y equipos de Active Directory para crear principios de seguridad básicos, que se agrega a la carpeta Herramientas administrativas inmediatamente después de instalar la función Servicios de dominio de Active Directory y promover el servidor a nivel superior. controlador de dominio. Este método es el más conveniente porque utiliza una interfaz gráfica de usuario para crear principios de seguridad y el asistente de creación de cuentas de usuario es muy fácil de usar. La desventaja de este método es que al crear una cuenta de usuario, no puede configurar inmediatamente la mayoría de los atributos y tendrá que agregar los atributos necesarios editando la cuenta.

Para crear una cuenta de usuario, siga estos pasos:

  • Abra Usuarios y computadoras de Active Directory. Para hacer esto, debe abrir el Panel de control, abrir la sección "Sistema y seguridad", luego "Herramientas administrativas" y en la ventana que aparece, abrir el complemento "Usuarios y computadoras de Active Directory". También puede usar la combinación de teclas +R para abrir el cuadro de diálogo "Ejecutar" y en el cuadro de diálogo "Ejecutar", ingrese dsa.msc en el campo "Abrir" y luego haga clic en el botón "Aceptar";
  • En el árbol de complementos, expanda su dominio y navegue hasta la unidad organizativa en la que creará la cuenta de usuario. Para crear cuentas de usuario, se recomienda crear unidades organizativas adicionales y luego agregar cuentas de usuario a unidades organizativas distintas a la unidad organizativa de usuarios estándar. Haga clic derecho en esta unidad organizativa y seleccione Nuevo y luego Usuario en el menú contextual, como se muestra en la siguiente ilustración:

En el cuadro de diálogo Nuevo objeto - Usuario que aparece, ingrese la siguiente información:

  • En el campo "Nombre", ingrese el nombre de usuario;
  • En el campo "Iniciales", ingrese sus iniciales (la mayoría de las veces no se utilizan iniciales);
  • En el campo “Apellido”, ingrese el apellido del usuario a crear;
  • El campo Nombre completo se utiliza para crear atributos del objeto creado, como el nombre común CN y las propiedades del nombre para mostrar. Este campo debe ser único en todo el dominio, se completa automáticamente y solo debe modificarse si es necesario;
  • El campo Inicio de sesión de usuario es obligatorio y está destinado al nombre de inicio de sesión del usuario para el dominio. Aquí debe ingresar su nombre de usuario y seleccionar el sufijo UPN de la lista desplegable, que estará ubicado después del símbolo @;
  • El campo "Nombre de inicio de sesión de usuario (anterior a Windows 2000)" está destinado al nombre de inicio de sesión para sistemas anteriores al sistema operativo Windows 2000. En los últimos años, los propietarios de dichos sistemas se han vuelto cada vez más raros en las organizaciones, pero el campo es obligatorio. ya que algunos software utilizan esto para identificar a los usuarios este atributo. Lea acerca de cómo agregar un campo de segundo nombre aquí. Después de completar todos los campos requeridos, haga clic en el botón “Siguiente”:

En la siguiente página del asistente de creación de cuenta de usuario, deberá ingresar la contraseña inicial del usuario en el campo "Contraseña" y confirmarla en el campo "Confirmación". Además, puede seleccionar un atributo que indique que la primera vez que un usuario inicia sesión, el usuario debe cambiar la contraseña de su cuenta. Esta opción se utiliza mejor junto con las políticas de seguridad locales de Política de contraseñas para crear contraseñas seguras para sus usuarios. Además, al marcar la casilla "Prohibir al usuario cambiar la contraseña", le proporciona al usuario su contraseña y le prohíbe cambiarla. Si selecciona la opción "La contraseña nunca caduca", la contraseña de la cuenta de usuario nunca caducará y no será necesario cambiarla periódicamente. Si selecciona la casilla de verificación "Deshabilitar cuenta", esta cuenta no estará destinada a un uso posterior y el usuario con esta cuenta no podrá iniciar sesión hasta que esté habilitada. Esta opción, como la mayoría de los atributos, se analizará en la siguiente sección de este artículo. Después de seleccionar todos los atributos, haga clic en el botón "Siguiente". Esta página del asistente se muestra en la siguiente ilustración:

Como vemos, nuestro usuario ha sido creado, ahora completemos la información sobre él, ten en cuenta que cuanto más precisa y completa completes la información sobre él, más fácil te resultará más adelante. Haga doble clic en el usuario deseado.

General. Esta pestaña está destinada a completar atributos de usuario individuales. Estos atributos incluyen el nombre y apellido del usuario, una breve descripción de la cuenta, el número de teléfono de contacto del usuario, el número de habitación, la dirección de correo electrónico y el sitio web. Debido a que esta información es individual para cada usuario individual, los datos completados en esta pestaña no se copian;

DIRECCIÓN. En la pestaña actual, puede completar el buzón, la ciudad, la región, el código postal y el país donde viven los usuarios, que se crearán en base a esta plantilla. Dado que los nombres de las calles de cada usuario normalmente no coinciden, los datos de este campo no se pueden copiar;

Cuenta. En esta pestaña, puede especificar exactamente cuándo inicia sesión el usuario, las computadoras en las que los usuarios pueden iniciar sesión, parámetros de la cuenta como almacenamiento de contraseñas, tipos de cifrado, etc., así como la fecha de vencimiento de la cuenta;

Perfil. La pestaña actual le permite especificar la ruta del perfil, el script de inicio de sesión, la ruta local a la carpeta de inicio, así como las unidades de red en las que se ubicará la carpeta de inicio de la cuenta;
Organización. En esta pestaña se puede indicar el puesto de los empleados, el departamento en el que trabajan, el nombre de la organización y el nombre del jefe del departamento;

Miembros del grupo. Aquí es donde se especifican el grupo principal y las membresías del grupo.

Y la pestaña de organización, donde puede especificar su departamento y afiliación de empresa.

Esta sección analiza los métodos para mantener cuentas de usuario y las opciones proporcionadas para
este Intercambio.

Crear cuentas para usuarios conectados al buzón de correo y usuarios conectados al correo

Para cada usuario que quiera trabajar con recursos de la red, es necesario crear una cuenta. Veamos cómo configurar cuentas de dominio conectadas a buzones de correo y cuentas de dominio conectadas al correo. Si el usuario necesita enviar y recibir correo electrónico, entonces es necesario crear una cuenta conectada al buzón de correo. De lo contrario, una cuenta conectada al correo es suficiente.


Comprender los inicios de sesión y las contraseñas

Antes de crear una cuenta de dominio, debe pensar en un nuevo nombre de usuario y contraseña. Todo el dominio
Las cuentas se reconocen por el nombre de inicio de sesión. Puede ser lo mismo (aunque no es obligatorio) que sea tu dirección de correo electrónico.
correo del usuario. En los dominios de Windows, el nombre de inicio de sesión consta de dos partes:

  • Nombre de usuario: etiqueta de texto de la cuenta;
  • Dominio de usuario: el dominio en el que se encuentra la cuenta de usuario.

Inicio de sesión completo de Windows para el usuario williams en el dominio adatum.com [correo electrónico protegido].
con cuentas

Aunque Windows muestra nombres de usuarios al describir derechos y permisos, los identificadores clave de las cuentas son identificadores de seguridad (SID). SID es un identificador único que se genera cuando crea una cuenta. Consta de un prefijo SID de dominio y un identificador asociado único. Windows utiliza estos ID para rastrear cuentas independientemente de los nombres de usuario. Los SID cumplen muchas funciones; los dos más importantes son la capacidad de cambiar fácilmente los nombres de usuario, así como eliminar cuentas sin temor a que otra persona obtenga acceso no autorizado a los recursos simplemente recreando la cuenta.

Cuando cambia un nombre de usuario, le indica a Windows que asigne un SID específico al nuevo nombre. Cuando elimina una entrada, le está diciendo a Windows que el SID específico ya no es válido. Si después de esto incluso se crea una cuenta con el mismo nombre de usuario, la nueva cuenta no obtendrá los mismos derechos y permisos que la anterior, ya que la nueva cuenta tendrá un nuevo SID.


Crear cuentas de dominio con y sin buzones de correo

En términos generales, existen dos formas de crear nuevas cuentas de dominio.

  • Crea una nueva cuenta. Haga clic derecho en el contenedor en el que desea colocar la cuenta de usuario, seleccione Nuevo y seleccione Usuario. Se iniciará el asistente Nuevo objeto - Usuario, que se muestra en la Figura 1. 5-5.
  • Cuando crea una nueva cuenta, se aplican las configuraciones predeterminadas del sistema.

Cree una nueva cuenta basada en una cuenta existente. Abra Usuarios y computadoras de Active Directory, haga clic derecho en la cuenta de usuario que desea copiar y seleccione Copiar. Se iniciará el asistente Copiar objeto - Usuario.
Arroz. 5-5. Configuración de su nombre para mostrar e inicio de sesión
nombre de usuario usando el cuadro de diálogo Nuevo objeto -

Usuario
a través de línea telefónica, fecha de vencimiento de la cuenta, horas de inicio de sesión permitidas y estaciones de trabajo permitidas para iniciar sesión.

A continuación se explica cómo crear una nueva cuenta de usuario utilizando el asistente Nuevo objeto - Usuario o Copiar objeto - Usuario.
1. En la primera página, configure el nombre para mostrar y el nombre de inicio de sesión del usuario (Figura 5-5). Ingrese el nombre y apellido del usuario en los campos correspondientes. Son necesarios para formar el parámetro Nombre completo, que se muestra en la pantalla como el nombre de usuario.
2. Si es necesario, realice cambios en el campo Nombre completo. Por ejemplo, puede ingresar un nombre en el formato<фамилия><имя><второй инициал>o en formato<имя> <второй инициал><фамшия>. La longitud de la entrada en Nombre completo no supera los 64 caracteres.
3. En el campo Nombre de inicio de sesión del usuario, ingrese el nombre de inicio de sesión del usuario. En la lista desplegable, seleccione el dominio al que desea asociar su cuenta. Como resultado, se genera el nombre de inicio de sesión completo.
4. Los primeros 20 caracteres del nombre de inicio de sesión forman el nombre de inicio de sesión para sistemas operativos anteriores a Windows 2000.
debe ser único dentro de su dominio. Si es necesario, cambie el nombre de inicio de sesión para operar
sistemas anteriores a Windows 2000.
5. Haga clic en Siguiente. Configure los ajustes de contraseña de usuario (Figura 5-6). Las siguientes selecciones están disponibles para este cuadro de diálogo.


Arroz. 5-6. Configurar una contraseña de usuario

  • Contraseña. Contraseña para esta cuenta. Debe cumplir con los términos de su política de contraseñas.
  • Confirmar Contraseña. Un campo para verificar que has asignado correctamente la contraseña de la cuenta. Para confirmar su contraseña, simplemente ingrésela nuevamente.
  • El usuario debe cambiar la contraseña en el próximo inicio de sesión. Si esta casilla de verificación está marcada, el usuario debe cambiar la contraseña al iniciar sesión. Esta casilla de verificación está seleccionada de forma predeterminada para todos los usuarios nuevos.
  • El usuario no puede cambiar la contraseña. Si esta casilla de verificación está seleccionada, el usuario no puede cambiar la contraseña.
  • La contraseña nunca caduca. Si esta casilla de verificación está marcada, la contraseña de la cuenta no caduca. Este valor de configuración tiene prioridad sobre la política de cuenta de dominio. En términos generales, establecer una contraseña para que nunca caduque no es una buena idea porque reduce la seguridad, que es un factor importante.
  • La cuenta está deshabilitada. Si esta casilla está marcada, la cuenta está bloqueada y no se puede utilizar. Esta bandera se utiliza para deshabilitar temporalmente el uso de una cuenta.

6. Haga clic en Siguiente. Si ha creado correctamente las extensiones de Exchange en esta computadora, podrá asignarle un buzón a la cuenta. Si no desea proporcionar un buzón de correo al usuario, desmarque la casilla Crear un buzón de Exchange y omita los pasos 7 y 8.
7. Al inicio de sesión se le asigna el alias predeterminado de Exchange (Figura 5-7); para cambiarlo, ingrese el nuevo valor manualmente. El alias de Exchange es necesario para configurar la dirección de correo electrónico del usuario.
NotaEn la práctica, el valor de alias de Exchange predeterminado se asigna al inicio de sesión para sistemas operativos anteriores a Windows 2000; normalmente es el mismo que el nombre de inicio de sesión del usuario. Sin embargo, si cambia el nombre de inicio de sesión para sistemas operativos anteriores a Windows 2000, el valor de alias de Exchange predeterminado se establecerá en el valor que ingresó.


Arroz. 5-7. Configurar el buzón de Exchange de un usuario

8. Si el Almacén de información está configurado para funcionar con varios servidores Exchange, debe seleccionar el servidor en el que se debe almacenar el buzón en la lista desplegable de servidores. Además, si tiene varios almacenes de buzones, debe especificar el almacén de buzones en la lista desplegable Almacén de buzones.
9. Haga clic en Siguiente y Finalizar para completar la creación de la cuenta. Si crea una cuenta conectada a un buzón, las siguientes direcciones de correo electrónico se configuran automáticamente: SMTP, X.400 y se asocian al conector. Posteriormente podrá agregar, cambiar y eliminar estas direcciones. Además, puede especificar direcciones adicionales del mismo tipo. Por ejemplo, Cindy Johnson, administradora de recursos humanos de una empresa, tiene dos direcciones SMTP: [correo electrónico protegido] Y
[correo electrónico protegido].
NotaSi ha configurado conectores de Exchange, también se crean direcciones predeterminadas para estos conectores. Los conectores para Exchange 2000 incluyen un conector para Lotus Notes y un conector para Novell GroupWise.
10. Crear una cuenta de usuario no es la operación final. En esta etapa puedes:

  • Agregue información de contacto detallada sobre el usuario, como el número de teléfono del trabajo y el cargo;
  • agregar el usuario al grupo de seguridad y al grupo de distribución;
  • vincular su cuenta a direcciones de correo electrónico adicionales;
  • habilitar o deshabilitar funciones de Exchange para una cuenta;
  • Cambie la configuración predeterminada del usuario para las opciones de entrega, límites de almacenamiento y restricciones de cuenta.

Configurar información de contacto para una cuenta de usuario

A continuación se explica cómo configurar la información de contacto de una cuenta de usuario.
1. En Usuarios y equipos de Active Directory, haga doble clic en el nombre de usuario. Se abre el cuadro de diálogo Propiedades de la cuenta.
2. Haga clic en la pestaña General. La información de contacto general se especifica mediante los siguientes campos:

  • Nombre, Iniciales, Apellido (Nombre, Iniciales, Apellido) establece el nombre completo del usuario;
  • Nombre para mostrar especifica el nombre para mostrar del usuario que se muestra en las sesiones de inicio de sesión y en Active Directory;
  • Descripción especifica la descripción del usuario;
  • Oficina (Habitación) especifica la ubicación del usuario en la oficina;
  • Número de teléfono especifica el número de teléfono principal del trabajo del usuario. Si el usuario tiene otros números de teléfono comerciales que desea incluir en el registro, haga clic en Otro y luego use el cuadro de diálogo Número de teléfono (Otros) para ingresar números de teléfono adicionales;
  • Correo electrónico especifica la dirección de correo electrónico comercial del usuario;
  • Página web especifica la URL de la página web inicial del usuario, en Internet o en la red corporativa local. Si el usuario tiene otras páginas web que desea incluir en la entrada, haga clic en Otro y luego use el cuadro de diálogo Dirección de página web (Otras) para ingresar direcciones de páginas web adicionales.

Sugerencia Asegúrese de completar los campos Correo electrónico y Página web si desea utilizar los comandos Enviar correo y Abrir página de inicio en la consola Usuarios y equipos de Active Directory.
3. Haga clic en la pestaña Dirección (Figura 5-8). En los campos de esta pestaña, especifique la dirección postal residencial o comercial del usuario. Suele indicar la dirección comercial del usuario. Esto le permitirá tener datos sobre la ubicación y direcciones postales de los usuarios ubicados en diferentes oficinas.
NotaAntes de ingresar información privada, como la dirección particular y el número de teléfono particular de un usuario, debe comentarlo con los departamentos de Recursos Humanos y Legal. Para ello puede ser necesario obtener el consentimiento del usuario.

4. Haga clic en la pestaña Teléfonos y marque los números de contacto principales del usuario, si es necesario:

  • Teléfono residencial (doméstico);
  • Buscapersonas (Buscapersonas);
  • Móvil;
  • FAX (Fax);
  • Teléfono IP (teléfono IP).

5. Para cada tipo de teléfono, tienes derecho a configurar otros números. Haga clic en el botón Otro apropiado y luego ingrese números de teléfono adicionales en el cuadro de diálogo.


Arroz. 5-8. En la pestaña Dirección, configure el trabajo o
dirección particular del usuario

6. Haga clic en la pestaña Organización. Ingrese el puesto, departamento y título del usuario, si es necesario.
empresas.
7. Para especificar el administrador de este usuario, haga clic en Cambiar. Si hizo esto, el usuario aparece como subordinado directo en la cuenta del administrador.
8. Haga clic en Aplicar o Aceptar para aceptar los cambios.
Cambiar el alias de Exchange y el nombre para mostrar
usuario Cada cuenta de usuario conectada a un buzón tiene un alias de Exchange, nombre, apellido y nombre para mostrar asociados. El alias de Exchange define direcciones de correo electrónico SMTP y X.400. El nombre de inicio de sesión es el alias SMTP predeterminado. El nombre para mostrar especifica la dirección de X,400.
Si cambia la información del nombre, puede crear nuevas direcciones de correo electrónico y configurarlas como direcciones predeterminadas para los conectores SMTP, X.400 y Exchange.
Sin embargo, las direcciones de correo electrónico antiguas de la cuenta no se eliminan, sino que permanecen como alternativas. El procedimiento para cambiar o eliminar estas direcciones de correo electrónico adicionales se trata en este capítulo, en la sección "Agregar, editar o eliminar direcciones de correo electrónico".
A continuación se explica cómo cambiar el alias de Exchange y el nombre para mostrar de su cuenta de usuario.
1. En Usuarios y equipos de Active Directory, haga doble clic en el nombre de usuario. Se abre el cuadro de diálogo Propiedades de la cuenta.
2. Haga clic en la pestaña General. Para cambiar el nombre, utilice los siguientes campos:
en Nombre, Iniciales, Apellido (Nombre, Iniciales, Apellido) establezca el nombre completo del usuario;
3. Haga clic en la pestaña General de Exchange y luego ingrese un nuevo alias de Exchange en el campo Alias.
4. Haga clic en Aceptar.


Agregar, cambiar o eliminar direcciones de correo electrónico

Cuando crea una cuenta de usuario conectada a un buzón, se crean direcciones de correo electrónico predeterminadas para SMTP, X.400 y conectores configurados. Cada vez que actualiza su nombre para mostrar o alias de usuario de Exchange, puede crear nuevas direcciones de correo electrónico predeterminadas. Sin embargo, las direcciones de correo electrónico antiguas no se eliminan, sino que permanecen como direcciones de cuenta alternativas.

A continuación se explica cómo agregar, cambiar o eliminar una dirección de correo electrónico.

1. Abra el cuadro de diálogo Propiedades de la cuenta haciendo doble clic en el nombre de usuario en Usuarios y equipos de Active Directory. Luego haga clic en la pestaña Direcciones de correo electrónico.
2. Para agregar una nueva dirección de correo electrónico, haga clic en Nuevo. En el cuadro de diálogo Nueva dirección de correo electrónico, seleccione un tipo de dirección de correo electrónico y haga clic en Aceptar. Complete los campos en el cuadro de diálogo Propiedades y haga clic en Aceptar nuevamente.
Sugerencia Para direcciones de correo electrónico de Internet estándar, utilice el tipo de dirección SMTP. Otros tipos de direcciones de correo electrónico se analizan en detalle en el Capítulo 13.
3. Para cambiar una dirección de correo electrónico existente, haga doble clic en la entrada de la dirección y cambie la configuración en el cuadro de diálogo Propiedades. Haga clic en Aceptar.
4. Para eliminar una dirección de correo electrónico, selecciónela y haga clic en Eliminar. Cuando se le solicite que confirme la operación de eliminación, haga clic en Sí.
Nota No puede eliminar la dirección SMTP predeterminada.

Exchange Server utiliza la dirección SMTP para enviar y recibir mensajes.

Configuración de la dirección de respuesta predeterminada
Hay una dirección de remitente predeterminada para cada tipo de dirección de correo electrónico. A continuación se explica cómo cambiar la dirección del remitente predeterminada.
1. Abra el cuadro de diálogo Propiedades de la cuenta haciendo doble clic en el nombre de usuario en Usuarios y equipos de Active Directory. Luego haga clic en la pestaña Direcciones de correo electrónico.
3. Para cambiar los valores predeterminados actuales, seleccione la dirección de correo electrónico no dedicada que desee y haga clic en Establecer como principal.

Bloquear y desbloquear conexiones al correo de Exchange Server

Los usuarios y contactos conectados al correo se definen como destinatarios especiales en Exchange Server. Tienen un alias de Exchange y una dirección de correo electrónico externa.

A continuación se explica cómo conectar un usuario o contacto al correo.

1. En Usuarios y equipos de Active Directory, haga clic con el botón derecho en la entrada correspondiente y luego seleccione Tareas de Exchange para iniciar el Asistente para tareas de Exchange.
2. Si se abre la página de bienvenida, haga clic en Siguiente. Para omitir esta página más adelante, debe seleccionar No volver a mostrar esta página de bienvenida.
3. En Tareas disponibles, seleccione Establecer direcciones de correo electrónico y haga clic en Siguiente nuevamente.
4. Ingrese un alias de Exchange para el usuario o contacto y haga clic en Modificar.
5. Se abre el cuadro de diálogo Nueva dirección de correo electrónico. Escriba su tipo de dirección de correo electrónico y haga clic en Aceptar.
6. Complete los campos en el cuadro de diálogo Propiedades para la dirección de correo electrónico y haga clic en Aceptar nuevamente.
7. En la página del asistente de tareas de Exchange, haga clic en Siguiente y luego en Finalizar.

Si posteriormente desea eliminar el alias de Exchange y las direcciones de correo electrónico asociadas con el usuario o
contacto, aquí le explicamos cómo hacerlo.
1. En Usuarios y equipos de Active Directory, haga doble clic en la entrada que desee y luego seleccione Tareas de Exchange para iniciar el Asistente para tareas de Exchange.
2. Si se abre la página de bienvenida, haga clic en Siguiente. Para omitir esta página en el futuro, puede seleccionar No volver a mostrar esta página de bienvenida.
3. En Tareas disponibles, seleccione Eliminar direcciones de correo electrónico y haga clic en Siguiente.
4. Haga clic en Siguiente y luego en Finalizar.


Crear una cuenta de usuario para recibir y reenviar correo

Los destinatarios especiales, como los usuarios y contactos conectados al correo, normalmente no reciben mensajes de usuarios fuera de su organización porque un destinatario especial no tiene una dirección de correo electrónico que coincida con un buzón específico de su organización. Sin embargo, a veces desea que los usuarios, aplicaciones o sistemas de correo externos puedan enviar un mensaje a una dirección dentro de su organización y luego hacer que Exchange reenvíe ese mensaje al buzón externo.
Sugerencia En mi organización, he creado buzones de reenvío para alertas de buscapersonas. Esta sencilla solución permite a los administradores, así como a los sistemas de seguimiento organizacional, transmitir fácil y rápidamente páginas de texto a especialistas de TI. Para hacer esto, creé un contacto conectado por correo para cada dirección de correo electrónico del buscapersonas como [correo electrónico protegido] y luego creó un buzón que reenvía mensajes a un destinatario especial. En general, el nombre mostrado de un contacto conectado al correo es "Nombre de usuario de alerta", por ejemplo Alert William Stanek. [correo electrónico protegido] El nombre del buzón y la dirección de correo electrónico que se muestran son Z Apellido y [correo electrónico protegido], por ejemplo Z Stanek y

respectivamente. Luego oculté el buzón para que no apareciera en la lista global de direcciones ni en otras listas de direcciones y para que los usuarios solo vieran el buzón de Alert William Stanek.

A continuación se explica cómo crear una cuenta de usuario para recibir y reenviar correo.
1. En Usuarios y equipos de Active Directory, cree un contacto para el usuario. Asigne al contacto un nombre X - Nombre de usuario, por ejemplo X - William Stanek. Asegúrese de que el contacto tenga una dirección de correo electrónico externa relacionada con la dirección de Internet del usuario.
2. Cree una cuenta de usuario en el dominio. Asigne a la cuenta un nombre para mostrar adecuado, como William Stanek. Cree un buzón de Exchange para la cuenta, pero no asigne ningún derecho especial. Puede limitar los derechos de la cuenta para que el usuario no pueda registrarse en ninguno de los servidores del dominio.
3. Abra el cuadro de diálogo Propiedades de la cuenta haciendo doble clic en el nombre de usuario en Usuarios y equipos de Active Directory. Haga clic en la pestaña General de Exchange.
5. En el cuadro de diálogo Opciones de entrega, haga clic en Reenviar a y luego haga clic en Modificar.
6. En el cuadro de diálogo Seleccionar destinatario, seleccione el contacto conectado al correo que creó anteriormente y haga clic en Aceptar. Ahora puede utilizar su cuenta de usuario para reenviar mensajes a su buzón externo.

Cambiar la configuración del servicio inalámbrico y los protocolos de usuario

Cuando crea cuentas de usuario con buzones de correo, los protocolos y servicios inalámbricos disponibles están determinados por la configuración global. Estas configuraciones se pueden cambiar por usuario en cualquier momento.

1. En Usuarios y Computadoras CD de Active Directory, haga doble clic en la entrada que desee y luego seleccione la pestaña Funciones de Exchange.
Configure los servicios y protocolos de comunicación inalámbrica para el usuario (Figura 5-9):
Outlook Mobile Access brinda al usuario la posibilidad de ver su buzón mediante un dispositivo inalámbrico;
La sincronización iniciada por el usuario le permite sincronizar su buzón con dispositivos inalámbricos;


Arroz. 5-9. Con el Asistente para tareas de Exchange, puede
cambiar la configuración de servicios y protocolos inalámbricos
usuario

Las notificaciones actualizadas mantienen su dispositivo inalámbrico siempre actualizado. Esta opción solo está disponible si se selecciona la opción Sincronización iniciada por el usuario;
Outlook Web Access brinda la posibilidad de acceder a su buzón mediante un navegador web;
POPZ proporciona acceso al buzón a través del cliente de correo POP3;
IMAP4 proporciona al usuario la posibilidad de acceder al buzón utilizando el cliente de correo IMAP4.

2. Seleccione una opción y luego haga clic en Activar o Desactivar según corresponda.
Si desea cambiar la configuración del protocolo, seleccione el protocolo y haga clic en Propiedades.
3. Haga clic en Aceptar.

Cambiar el nombre de las cuentas de usuario

A continuación se explica cómo cambiar el nombre de una cuenta de usuario en Usuarios y equipos de Active Directory.
1. Haga clic derecho en el nombre de la cuenta y seleccione Cambiar nombre. Cuando se le solicite, ingrese su nuevo nombre de cuenta.
2. Cuando cambia el nombre de una cuenta, crea una nueva etiqueta de cuenta. El cambio de nombre no afecta el identificador de seguridad (SID), que se requiere para identificar, rastrear y procesar cuentas independientemente de los nombres de usuario.

Nota Una razón común para cambiar el nombre de una cuenta es el matrimonio. Por ejemplo, si Judy Liu (JUDYL) se casa, puede cambiar su nombre de usuario a Judy Cutler (JUDYK). Después de cambiar el nombre de usuario JUDYL a JUDYK, todos los derechos y permisos asociados se asignarán al nuevo nombre de usuario.

Por ejemplo, al ver los permisos de un archivo al que JUDYL tenía acceso anteriormente, JUDYK ahora tendrá acceso (y el nombre de JUDYL no aparecerá en la lista).

Eliminar cuentas de usuario y contactos

Cuando se elimina, la cuenta se elimina permanentemente. Después de eliminar una cuenta, no podrá crear una cuenta con el mismo nombre y los mismos permisos que la cuenta original porque el identificador de seguridad (SID) de la nueva cuenta no coincidirá con el ID de seguridad de la cuenta anterior. Esto no significa que después de eliminar una entrada no puedas crear una cuenta con el mismo nombre. Por ejemplo, una persona dejó la empresa y regresó después de un tiempo. Puedes crear una cuenta con el mismo nombre que antes, pero tendrás que redefinir sus permisos.
Debido a que eliminar cuentas integradas puede tener consecuencias de gran alcance para el dominio, Windows no permite que se eliminen. Puede eliminar otros tipos de cuentas seleccionándolas y presionando la tecla Supr, o haciendo clic derecho y seleccionando Eliminar. Aparecerá el mensaje que se muestra en la Figura. 5-10. Si desea eliminar la dirección de correo electrónico de un usuario cuando la casilla de verificación de eliminación del buzón está seleccionada, haga clic en Sí. Si hace clic en No, Windows no eliminará la cuenta.


Arroz. 5-10. Al eliminar una cuenta de usuario
La dirección de correo electrónico del usuario también se elimina;
también se selecciona el indicador de eliminación asociado con la dirección
buzón. Confirme la operación haciendo clic en Sí

Nota La seguridad de Exchange se basa en la autenticación de dominio, por lo que no puede tener un buzón sin una cuenta. Si aún necesita un buzón para la cuenta que desea eliminar, no debe eliminarlo, sino desactivarlo. Deshabilitar la cuenta evitará que el usuario inicie sesión en el sistema, pero aún tendrá acceso al buzón si es necesario. Para deshabilitar una cuenta, haga clic derecho en esa cuenta
en Usuarios y equipos de Active Directory y seleccione Desactivar cuenta.

Todos los nuevos usuarios del dominio se convierten en miembros del grupo Usuarios del dominio; este es su grupo principal. Puede especificar la membresía en grupos adicionales usando el parámetro -Memberof (debe agregar el DN del grupo a esto). Si el DN del grupo contiene espacios, debe estar entre comillas, por ejemplo:

  • dsadd usuario "CN=u1,0U=Ventas,DC=sitio1,DC=com" -memberof "CN=Operadores de respaldo,CN=Builtin,DC=cpandl,DC=com" "CN=Administradores de DHCP,CN=Builtin,DC =sitio1,DC=com"

Aquí se crea una cuenta de usuario y luego se agrega a los grupos Operadores de respaldo y Administradores de DHCP. Es un proceso de dos pasos: primero crear una cuenta y luego configurar su membresía en grupos. Si ocurre un error al insertar en grupos, DSADD USER informará que el objeto fue creado, pero ocurrió un error después de su creación. Verifique la sintaxis para configurar el DN del grupo, luego use el comando DSMOD USER para configurar correctamente la membresía del grupo del usuario.

Por razones de seguridad, es posible que también necesite las siguientes configuraciones al crear su cuenta de usuario.

  • -Mustchpwd (sí | no): de forma predeterminada, el usuario no necesita cambiar su contraseña la primera vez que inicia sesión, es decir, el parámetro -mustchpwd está implícito. Si especifica -mustchpwd sí, el usuario deberá cambiar su contraseña la primera vez que inicie sesión.
  • -Canchpwd (yes | by): de forma predeterminada, el usuario puede cambiar su contraseña, es decir, el parámetro -canchpwd yes está implícito. Con -canchpwd el usuario no podrá cambiar su contraseña.
  • -Pwdneverexpires (sí | por): -pwdneverexpires by se asume de forma predeterminada y la contraseña del usuario caduca de acuerdo con la configuración de la política de grupo. Si configura -pwdneverexpires sí, la contraseña de esta cuenta nunca caducará.
  • -Disabled (sí | por): de forma predeterminada, tan pronto como crea una cuenta con una contraseña, queda disponible para su uso (implica el valor -disabled by). Si especifica -disabled sí, la cuenta está deshabilitada. Esto deshabilitará temporalmente el uso de esta cuenta.

Veamos algunos ejemplos para comprender mejor el comando DSADD USER.

Crear una cuenta para el usuario1 en el contenedor Usuarios del dominio sit1.com y cambiar obligatoriamente la contraseña al iniciar sesión por primera vez:

  • dsadd usuario "CN=Scott L. Bishop,CN=Usuarios,DC=sitio1,DC=com" -fn Scott -mi L -In Bishop -samid "scottb" -display "user1" -pwd acornTree -mustchpwd sí

Crear cuentas de usuario locales

Las cuentas de usuarios locales se crean en computadoras individuales. Si desea crear una cuenta local en una computadora específica, debe conectarse localmente o de forma remota para acceder

línea de comando local. Una vez que haya iniciado sesión en el sistema deseado, puede crear la cuenta necesaria usando el comando NET USER. A veces, las políticas informáticas locales le permiten crear una cuenta simplemente por su nombre y con el parámetro /Agregar, por ejemplo:

usuario de red usuario1 / agregar

Ahora ha creado una cuenta local llamada usuario1 con una contraseña en blanco. Aunque las contraseñas en blanco son aceptables, representan un riesgo de seguridad para su computadora y posiblemente para su red. Por lo tanto, le aconsejo que especifique un nombre de usuario y contraseña para las nuevas cuentas locales. La contraseña debe seguir al nombre de la cuenta.



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba