В обязанности системного администратора помимо всего прочего входит и добавление нового пользователя, а также назначение ему определенных прав. Рассмотрим как это сделать в операционных системах семейства Microsoft Windows Server. Данный способ универсален для большинства существующих версий данной ОС. Возможны некоторые фразеологические отличия.
В меню Пуск, выбираем Администрирование (“Средства администрирования” в Windows Server 2016).
В новом окне двойным кликом мыши открываем “Управление компьютером”.
В левой части открывшегося окна раскрываем ветку “Локальные пользователи и группы” и открываем папку Пользователи. В основной части окна, кликаем правой кнопкой мыши по свободному месту и в контекстном меню выбираем “Новый пользователь”.
В новом окне вводим логин пользователя, пароль и подтверждение пароля. Для полноты понимания какому пользователю принадлежит учетная запись, а также чтобы у коллег не возникало вопросов рекомендуется заполнять поля “Полное имя” и “Описание”.
Для повышения безопасности рекомендуется установить галку “Требовать смены пароля при следующем входе в систему” только в том случае, если вы используете один и тот же пароль для всех создаваемых учетных записей.
Отключение учетной записи допустимо, например, если пользователь только заступает в должность.
Кликаем по кнопке Создать.
Учетная запись создана. Перейдем к ее настройке. Для этого все в том же окне “Управление компьютером” кликаем по учетной записи правой кнопкой мыши. В контекстном меню выбираем Свойства.
Настройки учетной записи пользователя, для удобства, представлены на нескольких вкладках.
Общие — управляет базовыми параметрами учетной записи.
Членство в группах — позволяет задать пользователю членство в группах.
Профиль — на этой вкладке определяется расположение пользовательского домашнего каталога, путь к профилю пользователя, а также сценарий для входа.
Среда — дает возможность назначить запуск определенной программы при входе в систему, а также разрешает подключение жестких дисков, принтеров и выбор принтера по умолчанию при входе.
Сеансы — позволяет накладывать ограничения на общую длительность сеанса, на время бездействия и многое другое.
Профиль служб удаленных рабочих столов — задает профиль пользователя, который будет загружен при входе на сервер средствами удаленного рабочего стола.
Входящие звонки — определяет параметры сетевых соединений, а также их права.
Рассмотрим делегирование прав пользователю на доступ к удаленному рабочему столу.
Выбираем вкладку Членство в группах и кликаем по кнопке Добавить.
В открывшемся окне кликаем по кнопке Дополнительно. Затем в новом окне кликаем по кнопке Поиск. Внизу окна отобразятся все доступные группы. Выбираем Пользователи удаленного рабочего стола двойным кликом или одиночным с последующим нажатием на кнопку ОК.
Окно Выбор: “Группы” изменит внешний вид. Нажимаем кнопку ОК.
Теперь под учетными данными этого пользователя можно подключиться к серверу.
Аverage rating : 4.3
Оценок: 3
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
700
300
How to create AD users and groups in our new Windows Server 2016 machine.
Here we briefly review my best practice for setting up AD (Active Directory) Users and Groups for Server 2016.
Check out the previous blog post articles for getting up to this point if you are wanting to follow along.
There isn’t really a right or wrong way to setting up users and groups within Active Directory, but over the years I found some methods that work pretty well. Every environment will be different, but the best thing you can do is plan plan plan. Plan as much as you can, keeping the future and expansion in mind.
As you build your Active Directory structure up, you will find some things that need to be added, removed, and tweaked. That’s OK, it’s part of the process.
Creating AD Users and Groups – Domain Admin Account
Let’s start off by creating our own Domain Admin account. I always have two accounts setup:
- Standard user account: cdavis
- Domain Admin account: cdavis.admin
I do this so I never have to log in as my Domain Admin account. Instead, I just elevate whatever process I want/need to do.
One important note: Use the Copy feature as much as possible when setting up new users.
Creating AD Users and Groups – Standard User Accounts
Go through and setup all of the remaining user accounts for the environment and place them in the proper OUs. Remember, use the Copy feature as much as possible after setting up one user.
Creating AD Users and Groups – Groups
Finally, let’s create some groups and assign the associated people to them.
That’s it for this one! We have a foundation for our environment! Stay tuned for our next tutorial in the series!
Server Basics 2016 Series Navigati0n
- Tutorial #1: Downloading Windows Server 2016
- Tutorial #2: Installing Windows Server 2016
- Tutorial #3: Setup Active Directory on Windows Server 2016
- Tutorial #4: OU Structure on Server 2016
- Tutorial #5: Create AD Users and Groups (this article)
- Tutorial #6: Setup DHCP Role on Server 2016
- Tutorial #7: Join Windows 10 to Domain – Server 2016
- Tutorial #8: (coming soon)
Запустите [Диспетчер серверов] и откройте [Инструменты] — [Управление компьютером]. Щелкните правой кнопкой мыши [Пользователи] в разделе [Локальные пользователи и группы] на левой панели и выберите [Новый пользователь]. Введите имя пользователя и пароль для нового пользователя и нажмите кнопку [Создать]. Другие внутренние элементы устанавливать необязательно.
Чтобы активировать учетную запись пользователя
- Откройте панель мониторинга Windows Server Essentials.
- На панели навигации щелкните Пользователи.
- В представлении списка выберите учетную запись пользователя, которую вы хотите активировать.
- в На панели задач щелкните Активировать учетную запись пользователя.
- В окне подтверждения нажмите Да, чтобы подтвердить свое действие.
Как управлять пользователями в Windows Server?
Настройка разрешений и групп (Windows Server)
- Войдите в Microsoft Windows Server как администратор.
- Создайте группу. Щелкните Пуск> Панель управления> Администрирование> Управление компьютером. …
- Настройте пользователей и группу DataStage для входа в систему.…
- Добавить пользователей в группу. …
- Установите разрешения для следующих папок:
Как открыть локальных пользователей и группы в Windows Server 2016?
Чтобы получить доступ к оснастке «Локальные пользователи и группы», нажмите Win + X и щелкните Управление компьютером. Другой способ получить к нему доступ — нажать Win + R, ввести lusrmgr. msc и нажмите Enter.
Как мне добавить пользователя в Server 2016?
В этой статье
- Введение.
- 1 Выберите Пуск → Администрирование → Пользователи и компьютеры Active Directory.
- 2 Щелкните правой кнопкой мыши домен, в который вы хотите добавить пользователя, а затем выберите «Создать» → «Пользователь» в контекстном меню.
- 3 Введите имя, отчество и фамилию пользователя.
Как узнать, есть ли у меня права администратора в Windows Server 2016?
Как узнать, есть ли у меня права администратора Windows?
- Откройте панель управления.
- Щелкните параметр Учетные записи пользователей.
- В разделе «Учетные записи пользователей» вы видите имя своей учетной записи, указанное справа. Если у вашей учетной записи есть права администратора, под ее именем будет написано «Администратор».
Как дать права локального администратора серверу 2016?
Делаем пользователя локальным администратором на компьютере с Windows 2016
- Щелкните Пуск> Диспетчер сервера.
- На странице панели мониторинга диспетчера сервера щелкните Инструменты> Управление компьютером.
- В области навигации страницы «Управление компьютером» разверните «Локальные пользователи и группы», а затем щелкните «Пользователи».
Как мне добавить пользователей в Windows Server?
Чтобы добавить пользователей в группу:
- Щелкните значок диспетчера сервера (…
- Выберите меню «Инструменты» в правом верхнем углу, затем выберите «Управление компьютером».
- Разверните Локальные пользователи и группы.
- Разверните Группы.
- Дважды щелкните группу, в которую вы хотите добавить пользователей.
- Выберите Добавить.
Как разрешить кому-либо доступ к моему серверу?
Нажмите кнопку «Пуск», наведите указатель на «Администрирование» и выберите «Пользователи и компьютеры Active Directory». Щелкните правой кнопкой мыши учетную запись пользователя, которой вы хотите разрешить удаленный доступ, и выберите пункт «Свойства». Щелкните вкладку Dial-in, щелкните Allow access, а затем щелкните OK.
Как мне предоставить кому-то доступ к моему серверу?
Процедура
- Войдите в Microsoft Windows Server как администратор.
- Создайте группу. Щелкните Пуск> Панель управления> Администрирование> Active Directory и компьютеры. …
- Настройте сервер, чтобы разрешить локальным пользователям и группе DataStage вход в систему.…
- Добавить пользователей в группу. …
- Установите разрешения для следующих папок:
Где локальные пользователи на сервере 2016?
Чтобы просмотреть, отредактировать или добавить новые локальные учетные записи пользователей, откройте оснастка для управления локальными пользователями. Это можно быстро получить, используя команду «Выполнить» (клавиша Windows + R), Пуск → Выполнить. Затем введите lusrmgr.
Как включить локальных пользователей и группы в Windows Server 2019?
Как добавить локальную учетную запись пользователя в Windows Server 2019
- Шаг 1: Откройте диспетчер сервера. Нажмите кнопку «Пуск» в Windows и найдите «Диспетчер серверов», если он еще не запущен.
- Шаг 2: Откройте управление компьютером. …
- Шаг 3: Добавьте пользователя. …
- Шаг 4: Необязательно Добавление пользователя в группу администраторов. …
- Шаг 5: Настройте член.
Как мне создать администратора домена?
В списке пользователей дважды щелкните нового пользователя, чтобы открыть диалоговое окно свойств пользователя. На вкладке «Член» щелкните Добавить. Введите Администраторы домена; PdwControlNodeAccess а затем щелкните Проверить имена. Щелкните ОК.
Для того, чтобы еще один пользователь мог подключиться к виртуальному серверу с операционной системой Windows Server 2016, необходимо его создать и выдать права на удаленное подключение к серверу.
Создание пользователя
Способ 1
Для создания пользователя в Windows откройте Панель управления сервером и выберете вкладку User Accounts.
Далее снова перейдите во вкладку User Accounts.
Далее выберете Manage other account.
В нижней части экрана выберете Add a user account.
a
В открывшемся окне введите имя и пароль, соответствующий правилам безопасности. Мастер настройки сообщит, если пароль не достаточно надежный. В поле Password hint введите подсказку на случай, если вы забудете пароль.
Нажмите Finish.
В итоге вы увидите нового пользователя Windows Server 2016.
Способ 2
Запустите консоль управления Windows, для этого в поиске найдите команду mmc. Или с помощью комбинаций клавиш Win+R перейдите к поиску и введите mmc.
Далее следует добавить оснастку, для этого откройте закладку File -> Add/Remove Snap-in.
Найдите нужную нам оснастку Local Users and Groups и кликните кнопку Add, затем OK.
На этом шаге выберете Local computer и нажмите Finish.
Раскройте иерархию оснастки и в разделе Users с помощью правой кнопки мыши создайте нового пользователя Windows (New User).
В поле User name введите системное имя, в поле Full name — полное имя, поле Description заполните описанием при необходимости. Введите и подтвердите пароль. Отметьте галочками необходимые опции, например срок действия пароля.
В итоге вы увидите нового пользователя.
Виртуальный сервер на базе Windows
- Лицензия включена в стоимость
- Тестирование 3-5 дней
- Безлимитный трафик
Разрешение на удаленное подключение
Способ 1
Снова откройте консоль управления Microsoft, для этого с помощью комбинаций клавиш Win+R перейдите к поиску и введите mmc.
Далее следует добавить оснастку Local Users and Groups, для этого откройте закладку File -> Add/Remove Snap-in.
Найдите нужного пользователя и правой кнопкой мыши откройте свойства. Перейдите во вкладку Member Of и нажмите Add.
В открывшемся окне откройте расширенные возможности с помощью кнопки Advanced.
Для поиска нужной группы кликните Find Now и выберете группу с именем Remote Desktop Users. Кликните OK.
Отобразится полное название группы, нажмите OK.
Сохраните изменения с помощью кнопок Apply -> OK.
Способ 2
Для того, чтобы новый пользователь Windows Server мог подключиться к виртуальному серверу, необходимо добавить его в список пользователей, которым разрешено удаленное подключение.
Откройте Панель управления компьютером, перейдите в System and Security -> System и нажмите Change settings. В открывшемся окне перейдите во вкладку Remote и нажмите кнопку Select Users.
Далее нажмите кнопку Add, чтобы добавить нового пользователя.
В новом окне введите имя созданного пользователя, например “test”, и нажмите Check Names. Появится полное системное имя. Нажмите OK.
В списке появится новый пользователь. Сохраните изменения, нажав OK.
Теперь вы можете подключиться к виртуальному серверу от имени нового пользователя.
Подключение к виртуальному серверу
О том как подключиться к виртуальному серверу написано в нашей инструкции. При подключении необходимо выбрать Другую учетную запись (Use a different account).
Введите имя и пароль созданного пользователя Windows и подключитесь к виртуальному серверу.
P. S. Другие инструкции:
Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.
Windows 2016. Создание пользователя
Создание собственной учетной записи для каждого пользователя важный атрибут безопасности сервера. Рассмотрим как добавить пользователя в Windows 2016.
Способ 1. Традиционный
Открываем Пуск → Панель управления.
В открывшемся окне кликаем по “Учетные записи пользователей”.
В обновленном окне еще раз кликаем по “Учетные записи пользователей”.
Особенность операционной системы такова, что откроются параметры текущей учетной записи, а нам нужно создать новую. Кликаем по надписи “Управление другой учетной записью”.
В нижней части обновленного окна кликаем по “Добавить учетную запись пользователя”.
В новом окне “Добавление пользователя” следует заполнить все поля:
- имя пользователя;
- пароль;
- подтверждение пароля;
- подсказка к паролю.
Если пароль не соответствует критериям безопасности, программа об этом уведомит.
В обновившемся окне кликаем по кнопке “Готово”.
Окно добавления пользователя закроется и в окне “Управление учетными записями” появится возможность выбора учетной записи для изменения параметров.
Способ 2. Через консоль управления компьютером.
Сочетанием клавиш “Windows + R” вызываем системное окно “Выполнить”. В его единственное поле впишем команду mmc.
Откроется пустая консоль оснасток. Для того чтобы появилась возможность создать пользователя, необходимо добавить необходимую оснастку в консоль. Для этого открываем Файл → Добавить или удалить оснастку.
В открывшемся окне “Добавление и удаление оснасток”, в левой его части, находим “Локальные пользователи и группы”. Теперь кликаем по кнопке “Добавить”. “Локальные пользователи и группы” переместится в секцию “Выбранные оснастки”.
Сразу после действия выше, откроется окно “Выбор целевого компьютера”. Выбираем параметр “Локальный компьютер (на котором запущено окно этой программы консоли)”, обычно этот параметр установлен по умолчанию. Кликаем по кнопке “Готово”.
Окно закроется. В оставшемся окне кликаем по кнопке “OK”.
Окно “Добавления и удаления оснасток” закроется. Останется только окно Консоль 1. В левой части окна развернем деров “Локальные пользователи и группы”, затем кликнем по папке “Пользователи”. В основной части окна, кликаем правой кнопкой мыши и в контекстном меню выбираем “Новый пользователь”.
В открывшемся окне “Новый пользователь” важными для заполнения являются поля:
- Пользователь;
- Полное имя;
- Пароль;
- Подтверждение пароля.
Рекомендуем понятно заполнить поле “Описание”.
Важно обратить внимание на параметр “Требовать смены пароля при следующем входе в систему”. Галка устанавливается по умолчанию. Таким образом, когда администратор передает пароль пользователю, при первом входе, операционная система потребует от пользователя указать новый пароль для входа в систему.
Кликаем по кнопке “Создать”.
Результат будет примерно таким.
Разрешаем удаленное подключение.
Изначально планировалось чтобы созданный пользователь имел возможность подключения к удаленному рабочему столу на этом сервере. Предоставим эту возможность.
Способ 1. Через консоль сервера.
Из способа выше, все в том же окне “Консоль 1”, кликаем по созданному пользователю правой кнопкой мыши. В открывшемся контекстном меню выбираем пункт “Свойства”.
Открываем вкладку “Членство в группах” и кликаем по кнопке “Добавить”.
В окне выбора группы кликаем по кнопке “Дополнительно”.
В правой части обновленного окна кликаем по кнопке “Поиск”. В поле “Результаты поиска” следует выбрать “Пользователи удаленного рабочего стола” двойным кликом.
В окне выбора групп кликаем по кнопке “OK”.
В окне свойств учетной записи появится соответствующее членство в группах. Закрываем окно кликом по кнопке “OK”
Способ 2.
Рассмотрим альтернативный способ предоставления возможности доступа к удаленному рабочему столу. Открываем меню Пуск и выбираем Панель управления.
В открывшемся окне, кликаем по “Система и безопасность”.
В обновленном окне кликаем по “Система”.
В левой части нового окна кликаем по “Настройка удаленного доступа”.
В открывшемся окне “Свойства системы” переходим на вкладку “Удаленный доступ” и кликаем по кнопке “Выбрать пользователей”.
В открывшемся окне кликаем по кнопке “Добавить”
В окне выбора пользователей кликаем по кнопке “Дополнительно..”
В обновленном окне кликаем по кнопке “Поиск”, а в нижней части окна, где результаты поиска, находим нужного нам пользователя. Выбираем его двойным кликом мыши.
В окно выбора пользователя добавится строка с логином и на каком сервере находится пользователь. Если все правильно — кликаем по кнопке “OK”.
В окне “Пользователи удаленного рабочего стола” проверяем пользователей и по окончании кликаем по кнопке “OK”.
Теперь можно пробовать подключаться.
Запустить “Подключение к удаленному рабочему столу” возможно через меню Пуск → Стандартные — Windows → Подключение к удаленному рабочему столу. Возможно, данная программа будет находиться на “плитке” справа.
Откроется окно программы. В нем необходимо ввести IP-адрес удаленной машины или ее доменное имя. И кликаем по кнопке “Подключить”.
Удаленный компьютер запросит имя пользователя и пароль, вводим их и кликаем по кнопке “OK”.
Как добавить пользователя в группу локальных администраторов
После того, как вы создали учетную запись на сервере Windows Server, часто возникает вопрос, как добавить пользователя в группу локальных администраторов?
В этом статье мы покажем, как добавить пользователя в локальные админы на примере операционной системы Windows Server 2012 R2. Вся информация применима к любым другим поддерживаемым операционным системам Windows. Естественно, для выполнения этих операций учетная запись, выполняющая данные изменения должна обладать административными полномочиями.
Добавление в группу администраторов при помощи консоли Сomputer Management
- Нажмите кнопки Win + X, чтобы открыть консоль управления компьютером — «Сomputer Management»
- В списке с левой стороны разверните секцию Computer Management -> System Tools -> Local Users and Groups и выберите пункт Groups.
- Щелкните правой кнопкой мыши по группе Administrators , выберите пункт Add to Group , а затем нажмите кнопку Add.
- В диалоговом окне «Select Users» в поле «Enter the object names to select» введите имя учетной записи пользователя или группы, которую вы хотите добавить в группу Administrators и нажмите OK.
- Если в группу локальных администраторов нужно добавить учетную запись другого компьютера, выберите «Object Types», установите флажок «Computers» и нажмите «ОК». В поле «Enter the object names to select» и укажите имя компьютера.
Добавление пользователя в администраторы с помощью команды net user
Войдите в операционную систему Windows под учетной записью, обладающей правами администратора и запустите командную строку с повышенными привилегиями.
Для того, чтобы вывести список всех локальных учетных записей пользователей в системе введите команду
Как вы видите, в системе имеется 6 учетных записей.
Чтобы добавить учетную запись пользователя root в группу локальных администраторов, выполните следующую команду и нажмите Enter:
net localgroup administrators root /add
В русской версии Windows локальная группа администраторов называется по-другому, поэтому если предыдущая команда вернула ошибку «Указанная локальная группа не существует», воспользуйтесь другой командной:
net localgroup «Администраторы» root /add
Если нужно добавить в администраторы системы учетную запись пользователя домена Active Directory, формат команды будет такой:
net localgroup administrators yourdomainroot /add
Проверить состав группы локальных администраторов можно с помощью команды:
Net localgroup administrators
Как вы видите, учетная запись пользователя root теперь является администратором сервера.
Для управления группами в Active Directory не обязательно использовать графическую оснастку Active Directory Users and Computer (ADUC). Вы можете выполнять все действия по управлению группами в домене Active Directory из командной строки PowerShell. В этой статье мы рассмотрим, как с помощью PowerShell создать новую группу в AD, добавить в нее пользователей (или удалить), вывести/экспортировать список пользователей группы и другие полезные команды, которые часто используются при администрировании AD.
Содержание:
- New-ADGroup: создать новую группу в Active Directory
- Add-AdGroupMember: добавить пользователей в группу Active Directory
- Remove-ADGroupMember: удалить пользователей из группы
- Get-ADGroup: получить информацию о группе AD
- Get-ADGroupMember: вывести список пользователей в группе Active Directory
- Set-ADGroup: изменить атрибуты группы AD
- Remove-ADGroup: удалить группу AD
Для управления группами AD нужно использовать специальный модуль — Active Directory Module for Windows PowerShell. Модуль RSAT-AD-PowerShell доступен во всех версиях Windows Server (начиная с Windows Server 2008R2), а в десктопных Windows 10 и Windows 11 он устанавливается как компонент RSAT.
Проверьте, загружен ли модуль AD в текущую сессию PowerShell:
Get-Module -Listavailable
Как вы видите, модуль ActiveDirectory загружен. Если нет – импортируйте его командой:
Import-Module activedirectory
Выведем список командлетов PowerShell, позволяющих управлять группами AD:
Get-Command -Module ActiveDirectory -Name "*Group*"
Доступно 11 командлетов:
- Add-ADGroupMember
- Add-ADPrincipalGroupMembership
- Get-ADAccountAuthorizationGroup
- Get-ADGroup
- Get-ADGroupMember
- Get-ADPrincipalGroupMembership
- New-ADGroup
- Remove-ADGroup
- Remove-ADGroupMember
- Remove-ADPrincipalGroupMembership
- Set-ADGroup
New-ADGroup: создать новую группу в Active Directory
Создадим новую группу безопасности в указанном контейнере (OU) Active Directory с помощью команды New-ADGroup:
New-ADGroup "TestADGroup" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global -PassThru –Verbose
С помощью атрибута Description можно задать описание группы, а с помощью DisplayName изменить отображаемое имя.
Параметром GroupScope можно задать один из следующих типов групп:
- 0 = DomainLocal
- 1 = Global
- 2 = Universal
Создать группу распространения можно так:
New-ADGroup "TestADGroup-Distr" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupCategory Distribution -GroupScope Global -PassThru –Verbose
Группы распространения (distribution) можно использовать для рассылки писем и/или предоставления прав доступа в AD. Подробнее о группах рассылки Exchange здесь.
При создании группы AD можно сразу заполнить любые атрибуты. Проще всего задать значения различных атрибутов группы через HashTable:
$attrs = @{"mail"="[email protected]";"displayname"="ALL MSK Admins"}
New-ADGroup -Name MSKAdmins -GroupScope Global -OtherAttributes $attrs
Add-AdGroupMember: добавить пользователей в группу Active Directory
Добавить пользователей в группу Active Directory можно с помощью командлета Add-AdGroupMember. Добавим в новую группу двух пользователей:
Add-AdGroupMember -Identity TestADGroup -Members user1, user2
Если нужно добавить в группу сразу большое количество пользователей, вы можете сохранить список учетных записей в CSV файл, затем импортировать данный файл и добавить каждого пользователя в группу с помощью простого PowerShell скрипт.
В нашем примере используется следующий формат CSV файла (список пользователей по одному в строке, имя столбца – users)
Import-CSV .users.csv -Header users | ForEach-Object {Add-AdGroupMember -Identity ‘TestADGroup’ -members $_.users}
Чтобы получить всех членов одной группы (groupA) и добавить их в другую группу (groupB), воспользуйтесь такой командой:
Get-ADGroupMember “GroupA” | Get-ADUser | ForEach-Object {Add-ADGroupMember -Identity “Group-B” -Members $_}
Если нужно скопировать в новую группу и членов всех вложенных групп (рекурсивно), нужно воспользоваться такой командой:
Get-ADGroupMember -Identity “GroupA” -Recursive | Get-ADUser | ForEach-Object {Add-ADGroupMember -Identity “GroupB” -Members $_}
В версии Active Directory, представленной в Windows Server 2016 можно использовать функцию временного членства в группах безопасности AD (Temporary/ Time Based Group Membership). Чтобы временно добавить пользователя в группу AD (например, на 2 часа), выполните команду:
$ttl = New-TimeSpan -Hours 2
Add-ADGroupMember -Identity "Domain Admins" -Members a.ivanov -MemberTimeToLive $ttl
Через 2 часа этот пользователь будет автоматически удален из данной группы.
Remove-ADGroupMember: удалить пользователей из группы
Для удаления пользователей из группы AD нужно использовать командлет Remove-ADGroupMember. Удалим из группы двух пользователей:
Remove-ADGroupMember -Identity TestADGroup -Members user1, user2
Подтвердите удаление пользователей, нажав Y -> Enter.
Если нужно удалить из группы пользователей по списку из CSV файла, воспользуйтесь такой командой:
Import-CSV .users.csv -Header users | ForEach-Object {Remove-ADGroupMember -Identity ‘TestADGroup’ -members $_.users}
В on-prem Active Directory отсутствует возможность создать динамические группы пользователей (в отличии от Azure AD). Однако вы можете создать небольшой PowerShell скрипт, который будет автоматически добавлять или удалять пользователей из группы с помощью командлетов Add-ADGroupMember и Remove-ADGroupMember. Подробнее об этом в статье Динамические группы пользователей Active Directory с помощью PowerShell.
Get-ADGroup: получить информацию о группе AD
Для получения информации о группе домена AD используйте командлет Get-ADGroup:
Get-ADGroup 'TestADGroup'
Даная команда выводит информацию об основных атрибутах группы (DN, тип группы, имя, SID группы). Чтобы вывести значение всех атрибутов группы, выполните команду:
Get-ADGroup 'TestADGroup' -properties *
Как вы видите, теперь стали отображаться такие атрибуты, как время создания и модификации группы, описание и т.д.
Вы можете использовать командлет Get-ADGroup для поиска групп в AD по шаблону (маске). Например, следующие команды можно использовать чтобы найти все группы AD, в имени которых содержится фраза admins
Get-ADGroup -LDAPFilter “(name=*admins*)” | Format-Table
Или
Get-ADGroup -Filter {name -like "*admins*"} -Properties Description,info | Select Name,samaccountname,Description,info
(в первой команде используется LDAP фильтр, во второй фильтр по атрибуту AD):
С помощью Get-ADGroup можно получить список членов группы (хранится в атрибуте members):
Get-ADGroup -Identity "Domain Admins" -Properties members | Select-Object -ExpandProperty members
Однако для получения списка членов группы гораздо удобнее использовать другой командлет — Get-ADGroupMember.
Get-ADGroupMember: вывести список пользователей в группе Active Directory
Командлет Get-ADGroupMember позволяет получить членов группы AD. Это могут быть пользователи, компьютеры, другие группы или учетные записи служб (MSA/gMSA).
Вы можете вывести на экран список пользователей в доменной группе:
Get-ADGroupMember 'TestADGroup'
Чтобы оставить в результатах только имена пользователей, выполните:
Get-ADGroupMember 'TestADGroup'| ft name
Если в данную группу включены другие группы домена, чтобы вывести полный список членов, в том числе всех вложенных групп, воспользуйтесь параметром Recursive.
Get-ADGroupMember ‘server-admins' -recursive| ft name
Чтобы экспортировать список пользователей, состоящих в определённой группе в CSV файл (для дальнейшего использования в Excel), выполните команду:
Get-ADGroupMember ‘server-admins' -recursive| ft samaccountname| Out-File c:psadmins.csv
Вы можете экспортировать в текстовый файл и другие атрибуты пользователей AD. Для получения атрибутов пользователя используется командлет Get-ADUser. Например, кроме имени учетной записи, можно вывести UserPrincipalName, должность и телефон пользователя группы:
Get-ADGroupMember -Identity ’server-admins’ -recursive| foreach { Get-ADUser $_ -properties UserPrincipalName, title, OfficePhone|Select-Object title, OfficePhone }
Посчитать количество пользователей в группе можно так:
(Get-ADGroupMember -Identity 'domain admins').Count
Чтобы найти список пустых групп в определенном OU, воспользуйтесь такой командой:
Get-ADGroup -Filter * -Properties Members -searchbase “OU=Moscow,DC=corp,dc=winitpro,DC=ru” | where {-not $_.members} | select Name
С помощью командлета Get-ADGroupMember можно создать простой PowerShell скрипт для оповещения администратора, если кто-то добавил нового пользователя в определенную группу AD.
Set-ADGroup: изменить атрибуты группы AD
Командлет Set-ADGroup позволяет изменить свойства (атрибуты) любой группы Active Directory. Например, можно изменить описание и название группы:
Set-ADGroup -Identity MSKAdmins -Description “New Admin Group Description”
или так:
Get-ADGroup -Identity MSKAdmins | Set-ADGroup -Description “New Admin Group Description v2”
Скрыть определённую группу из адресной книги Exchange:
Set-ADGroup –id mskadmins -replace @{hideDLMembership=$true}
Можно изменить сразу несколько параметров группы. Список изменения удобно задать через HashTable:
Список атрибутов можно получить так или в консоли ADUC на вкладке редактора атрибутов
$attrs = @{"mail"="[email protected]";"displayname"="ALL MSK Admins"}
Set-ADGroup -Identity MSKAdmins –Add $attrs
Remove-ADGroup: удалить группу AD
Чтобы удалить групп в Active Directory используется командлет Remove-ADGroup:
Remove-ADGroup -Identity MskSales
При удалении группы появляется запрос подтверждения удаления. Чтобы отключить подтверждение удаления, добавьте параметр Confirm:
Remove-ADGroup -Identity MskSales –Confirm:$false
Удаленные группы (и другие объекты AD) можно восстановить из корзины Active Directory:
Get-ADObject -Filter {Deleted -eq $True -and ObjectClass -eq 'group' -and Name -like '*MskSales*' } –IncludeDeletedObjects| Restore-ADObject –verbose
Рассмотрим два простых способа предоставления учетной записи прав локального администратора.
После того, как вы создали учетную запись на сервере Windows Server, часто возникает вопрос, как добавить пользователя в группу локальных администраторов?
В этом статье мы покажем, как добавить пользователя в локальные админы на примере операционной системы Windows Server 2012 R2. Вся информация применима к любым другим поддерживаемым операционным системам Windows. Естественно, для выполнения этих операций учетная запись, выполняющая данные изменения должна обладать административными полномочиями.
- Добавление в группу администраторов при помощи консоли Сomputer Management
- Добавление пользователя в администраторы с помощью команды net user
Содержание:
Добавление в группу администраторов при помощи консоли Сomputer Management
- Нажмите кнопки Win + X, чтобы открыть консоль управления компьютером — «Сomputer Management»
- В списке с левой стороны разверните секцию Computer Management -> System Tools -> Local Users and Groups и выберите пункт Groups.
- Щелкните правой кнопкой мыши по группе Administrators , выберите пункт Add to Group , а затем нажмите кнопку Add.
- В диалоговом окне «Select Users» в поле «Enter the object names to select» введите имя учетной записи пользователя или группы, которую вы хотите добавить в группу Administrators и нажмите OK.
- Если в группу локальных администраторов нужно добавить учетную запись другого компьютера, выберите «Object Types», установите флажок «Computers» и нажмите «ОК». В поле «Enter the object names to select» и укажите имя компьютера.
Добавление пользователя в администраторы с помощью команды net user
Войдите в операционную систему Windows под учетной записью, обладающей правами администратора и запустите командную строку с повышенными привилегиями.
Для того, чтобы вывести список всех локальных учетных записей пользователей в системе введите команду
net user
Как вы видите, в системе имеется 6 учетных записей.
Чтобы добавить учетную запись пользователя root в группу локальных администраторов, выполните следующую команду и нажмите Enter:
net localgroup administrators root /add
В русской версии Windows локальная группа администраторов называется по-другому, поэтому если предыдущая команда вернула ошибку «Указанная локальная группа не существует», воспользуйтесь другой командной:
net localgroup "Администраторы" root /add
Если нужно добавить в администраторы системы учетную запись пользователя домена Active Directory, формат команды будет такой:
net localgroup administrators yourdomainroot /add
Проверить состав группы локальных администраторов можно с помощью команды:
Net localgroup administrators
Как вы видите, учетная запись пользователя root теперь является администратором сервера.