Windows - Active Directory felhasználói fiók kezelés parancssorból

1. rész

A .NET kiszolgáló verziók lehetővé teszik , hogy parancssorból is elvégezzünk az Active Directory-val kapcsolatos lényegesebb konfigurációs lépéseket. Ezáltal minden különösebb trükk vagy segédprogram nélkül olyan eszközöket kapunk kézhez, amelyeket batch fájlokban, szkriptekben vagy programokban fel lehet használni. Cikkünkben azt mutatjuk be, hogy lehet felhasználói fiókokat létrehozni különböző beállításokat előre konfigurálva.
Grafikus felületről az Administrative Tools > Active Directory Users and Computers konzolon lehet a felhasználói fiókok kezelését megvalósítani. Itt is általában a "User" tárolóban helyezkednek el. Indítsuk el a konzolt és indítsunk el egy parancssort.
Új fiók a "DSADD USER" paranccsal készíthető. Meglehetősen sok lehetséges paramétert tartalmaz, de ha figyelembe vesszük, hogy egy fióknál rengeteg beállítási lehetőség létezik, akkor ez nem baj, így minél "üzemkészebb" fiókok hozhatók létre. Használatához szükséges az LDAP szintaxis ismerete. Amellyel címtár objektumaira a következőképpen kell hivatkozni:
Például az "Informatika" szervezeti egység az "OU=Informatika" néven érhető el (OU = Organization Unit = Szervezeti egység). Az "Animare.hu" tartomány a "DC=hu, DC=Animare" (vagy "DC=Animare, DC=hu") módon érhető el. Ahol DC = Domain Context = Tartományi környezet. Az alábbi típus meghatározásokat lehet használni:
  • CN = Common Name = Közönséges név. Kötelező elem minden lekérdezésnél, az erőforrás objektumokra és típus nélküli tárolókra lehet vele hivatkozni.
  • DC = Domain Context = Tartományi környezet. A tartomány nevét írja le.
  • OU = Organization Unit = Szervezeti egység. Ha az elérni kívánt objektum a tartományon belül valamely szervezeti egységben található, akkor az előző DC parancs mellett az OU-t is meg kell adni.
Két kötelező paraméter kell minimálisan egy új fiók létrehozásához. Az egyik meghatározza a felhasználó valós, másik pedig a bejelentkező nevét. Hozzunk létre az "Animare.hu" tartományban egy "Lajos" nevű felhasználói fiókot a címtár "Users" tárolójában, "lali" bejelentkező névvel. Utóbbi a "-samid" kapcsoló után kell megadni.
dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali
Nézzük meg a felügyeleti konzolt, hogy valóban létrejött-e az új fiók. A megjelenítés frissítéséhez nyomjuk le az F5 billentyűt. Ha létrejött kattintsunk rá a jobb oldali egérgombbal és lépjünk a "Properties" menüre. A megjelenő ablakban pedig az "Account" oldalra. A "User logon name" mezőben látható az általunk megadott "lali" bejelentkezési név.
Ennyi információ tehát minimálisan kötelező egy fiók létrehozásához, de több is megadható és akkor kevesebbet kell pluszban konfigurálni. Vegyük első helyre a fiókhoz tartozó jelszó megadását és bővítsük folyamatosan a parancsot.
dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika
Szkriptekből vagy batch fájlból történő használat esetén vegyük figyelembe, hogy a jelszó titkosítás nélkül tárolódik. Ha valakinek a birtokába jut a batch fájl, akkor könnyen ki tudja olvasni.
Keresztnév és vezetéknév megadása az fn (First name = keresztnév) és ln (Last name = vezetéknév) kapcsolókkal lehetséges.
dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth
Helyezzük el az új felhasználót a rendszergazdák csoportjában (Administrators). Ezzel rögtön rendszergazdai jogokat is kap. Csoport meghatározásnál szintén az LDAP parancsokat kell alkalmazni, figyelembe véve, hogy a rendszergazdai csoport a "Builtin" tárolóban kapott helyet.
dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu 
Az új felhasználónak valószínűleg E-mail címe is van. Célszerű rögtön ez a mezőt is kitölteni.
dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu
Térjünk egy kicsit vissza a jelszóhoz és állítsuk be, hogy soha ne járjon le.
dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -pwdneverexpires yes
Ha az ellenkezőjét akarjuk beállítani, akkor használjuk a "-pwdneverexpires no" kapcsolót.
Biztonsági szempontból javasolt előírni, hogy a felhasználónak a következő bejelentkezésnél meg kell változtatnia a jelszót. Ezt ne az előző paraméterrel együtt használjuk.
dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -mustchpwd yes
Hozzuk létre az új fiókot úgy, hogy le van tiltva és használatához először engedélyezni kell.
dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -mustchpwd yes -disabled yes
Ideiglenes fiókok készítésénél be kell állítani egy lejárati dátumot, ami után már nem használható a rendszer eléréséhez. Határozzuk meg, hogy a fiók érvényessége 30 nap múlva járjon le.
dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -mustchpwd yes -acctexpires 30

Active Directory felhasználók cikksorozat