Windows - Active Directory számítógép fiókok kezelés parancssorból

3. rész

Folytatjuk a .NET kiszolgálók konfigurálásának parancssori lehetőségeit bemutató cikksorozatunkat. Jelen részben az Active Directory számítógépfiókjainak létrehozásáról, címtárba integrálásáról és konfigurálásáról lesz szó. Konkrét példákon keresztül mutatjuk be az alkalmazandó parancsok szintaktikáját és megnézzük azt is, hogy lehet a már meglévő fiókokat letiltani, illetve engedélyezni.
Cikkünk készítésének idején a Windows .NET Server család operációs rendszerei Béta3 állapotban voltak, ezért a végleges verzióban lehetnek a leírtakhoz képest eltérések.
Ahhoz, hogy egy számítógép egy tartomány tagjává váljon, először fel kell venni a címtárba. Ezt követően már képes lesz fogadni és érvényesíteni a ráosztott csoportházirendet és rajta keresztül bejelentkezhetnek a felhasználók is. Mindez a Windows 2000 előtti operációs rendszerekre nem érvényes. Azok nem tudnak teljes értékű tagjai lenni az Active Directory-nak, bár bizonyos erőforrásokat képesek elérni. Alapesetben minden hitelesített felhasználó jogosult arra, hogy számítógépfiókot adjon a címtárhoz. Két lehetőség áll rendelkezésre: az egyik, hogy a kliens gép hálózati beállításainál beállítjuk a tartománynevet és érvényes felhasználói név és jelszó megadása esetén létrejön egy új fiók a "Computers" tárolóban. Másik lehetőség, hogy az egyik tartományvezérlőn készítünk egy új fiókot:
Indítsuk el az Administrative Tools > Active Directory Users and Computers MMC konzolt és kattintsunk a "Computers" tárolóra a jobb oldali egérgombbal. A menüben lépjünk a New > Computers pontra. Adjuk meg a gép nevét és kattintsunk az "OK" gombra. Ennyi már elég is az új fiók létrehozásához.
A .NET parancssori segédprogramjaival ugyanez megvalósítható, akár egy Delphi-ben készült programból indítva is.
Bár a számítógépek alapértelmezett tárolója a "Computers" mappa, nem kötelező minden gépet itt elhelyezni. Tehetjük őket más tárolókba vagy szervezeti egységekbe egyaránt.
A fenti MMC konzolban tett lépések parancssori megvalósítása a következő:
Létrehozunk egy új számítógépfiókot "Proba" néven a "Microsoft.com" tartomány "Computers" tárolójában. Cikksorozatunk előző részeiben is LDAP protokollal módosítottuk a címtár adatait, most is ezt kell tennünk.
dsadd computer CN=Proba,CN=Computers,DC=Microsoft,DC=com
Minden géphez fűzhető egy rövid megjegyzés, amely célszerűen a helyére vagy funkciójára kell, hogy utaljon. Azért érdemes a megjegyzés rovatot használni, mert a felügyeleti konzolban jól látszik.
dsadd computer CN=Proba,CN=Computers,DC=Microsoft,DC=com -desc "Informatikai osztály, Titkárnő"
Ha megnyitjuk egy számítógépfiók tulajdonságlapját, annak "Location" oldalán szintén megadható egy helyinformáció.
dsadd computer CN=Proba,CN=Computers,DC=Microsoft,DC=com -desc "Informatikai osztály, Titkárnő" -loc "Hungarian"
A számítógépeket is csoportokba szervezhetjük a felhasználói fiókokhoz hasonlóan. Alapértelmezésben mindegyik tagja a tartományi számítógépek ("Domain Computer") csoportnak, de nincs akadálya másikakba is elhelyezni.
dsadd computer CN=Proba,CN=Computers,DC=Microsoft,DC=com -desc "Informatikai osztály, Titkárnő" -memberOf CN=Informatika,CN=Computers,DC=Microsoft,DC=com
Minden fenti művelet a parancsot futtató felhasználó jogosultságaival működik. Ha ez nem nyújt megfelelő jogkört, de birtokában vagyunk egy másiknak, akkor a "-u" kapcsoló után megadható a felhasználói név és a "-p" után pedig a jelszó. Figyelem! Batch fájlban vagy szkriptekben alkalmazva a parancsot vigyázzunk, mert a jelszó titkosítás nélkül tárolódik.
dsadd computer CN=Proba,CN=Computers,DC=Microsoft,DC=com -desc "Informatikai osztály, Titkárnő" -memberOf CN=Informatika,CN=Computers,DC=Microsoft,DC=com -u administrator -p 123456
Számítógép fiók nem csak létrehozható, hanem le is tiltható, megakadályozva a róla történő bejelentkezéseket. Ilyenkor a "dsadd" parancs helyett a "dsmod"-ot kell használni.
dsmod computer CN=Proba,CN=Computers,DC=Microsoft,DC=com -disabled yes
Ha van letiltott fiókunk, szükségünk lehet az engedélyezésére.
dsmod computer CN=Proba,CN=Computers,DC=Microsoft,DC=com -disabled no

Active Directory felhasználók cikksorozat