Что такое суффикс upn

Создание суффиксов UPN (User Principal Name) для Active Directory в домене polygon.local

Задача, обеспечить вход пользователя в домен ( polygon.local) с применением имени в формате UPN (User Principal Name) к примеру Derek@navy.mil.

Запускаем оснастку Active Directory Domains and Trusts (Active Directory – домены и доверие):

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Domains and Trusts», далее правой кнопкой мыши открываем меню «Properties» (Свойства). (см. Скриншот ниже)

В окне свойств в поле «Alternative UPN Suffixes» (Дополнительные UPN-суффиксы) вводим дополнительный суффикс (navy.mil) и нажимаем кнопку Add (Добавить). После закрывает оснастку Active Directory Domains and Trusts с сохранение сделанных изменений .

Создаём учётную запись через GUI интерфейс :

и ставим пароль Aa1234567

Создаём учётную запись через консоль командной строки интерфейс

(за основу можно взять материал в этой статье)

C:\Windows\system32>dsadd user «cn=derek,ou=it,dc=polygon,dc=local» -pwd Aa1234567 -upn derek@navy.mil -fn Derek -ln Derek

-Pwd – указываем с каким пароль создавать учётную запись.

-upn – имя входа пользователя пред-Windows 2000

-fn – имя пользователя, которое в графическом интерфейсе заполняется в поле «Имя»

-ln – фамилия пользователя, указываемая в поле «Фамилия» мастера создания пользовательской учетной записи

Теперь попробуем войти на рабочую станцию с использование созданной учетной записи Derek и суффиксом @navy. mil .

Не имеет значения, как заходить в домен на рабочей станции, либо через альтернативный DNS-суффикс, либо стандартный вход:

А теперь попробуем войти на домен контроллер dc1. polygon. local от имени учетной записи Derek@navy.mil . Должно появиться сообщение о том, что используемая политика для домен контроллера препятствует входу.

Для того чтобы данной учетной записи Derek@navy.mil предоставить разрешение на локальный вход на домен контроллер dc1.polygon.local следует запустить:

«Start» – «Control Panel» – «Administrative Tools» – запускаем оснастку «Group Policy Management» (Управление групповой политикой). Раскрываем лес polygon.local , после домен и переходим к отображению всех политик в домене (Group Policy Objects).

Открываем на редактирование « Default Domain Controllers Policy ».

Теперь предоставим права локального входа в систему , для пользователя Derek@navy.mil

Раскрываем узел «Computer Configuration» (Конфигурация компьютера) – «Policies» (Политики ) – «Windows Settings» (Конфигурация Windows ) – «Security Settings» (Параметры безопасности) – «Local Policies» (Локальные политики) – «User Rights Assignment» (Назначение прав пользователя) – выбираем элемент «Allow log on locally» (Локальный вход в систему) и добавляем список пользователей (в нашем случае Derek@polygon.local), которым разрешено входить локально на контроллер домена.

Источник статьи: http://www.ekzorchik.ru/2012/09/server-2008-upn-ad/

Что такое суффикс upn

Создание суффиксов UPN (User Principal Name) в лесу Active Directory, назначение суффикса UPN пользователям, применение имен в формате UPN для входа в сеть

Задание:

1. Создайте средствами консоли Active Directory Domains and Trusts новый суффикс UPN с именем mail_имя_вашего_домена, например, mail_domain1.ru.

2. Создайте средствами консоли Active Directory Users and Computers нового пользователя user_имя_вашего домена, например, user_domain1 в OU HR и используйте для него созданный вами новый суффикс UPN.

3. Предоставьте группе Everyone право Log On Locally на вашем контроллере домена и убедитесь, что пользователь может войти на компьютер, используя в качестве идентификатора имя с суффиксом UPN.

Решение:

1. Запустите консоль Active Directory Domains and Trusts, щелкните правой кнопкой по узлу Active Directory Domains and Trusts и в контекстном меню выберите Properties. На вкладке UPN Suffixes введите имя нового суффикса UPN mail_имя_вашего_домена, например, mail_domain1.ru и нажмите на кнопку Add. Закройте эту консоль.

2. Запустите консоль Active Directory Users and Computers и щелкните правой кнопкой мыши по организационному подразделению HR. В контекстном меню выберите New -> User и введите user_имя_вашего_домена (например, User_Domain1) в полях First Name, Full Name, User Logon Name, User Logon Name (Pre-Windows 2000). В правом поле напротив User logon Name выберите созданный вами суффикс UPN mail_domain. ru и нажмите Next. В поле Password введите два раза P@ssw0rd, нажмите Next и на следующем экране — Finish.

3. Чтобы предоставить все пользователям право локального входа на контроллер домена, выполните следующие действия:

· в консоли Active Directory Users and Computers щелкните правой кнопкой мыши по организационному подразделению Domain Controllers и в контекстном меню выберите Properties;

· перейдите на вкладку Group Policy, выберите в списке Default Domain Controllers Policy и нажмите на кнопку Edit;

· раскройте узел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment, найдите в списке прав справа право Allow log on locally, щелкните по нему правой кнопкой мыши и в контекстном меню выберите Properties;

· в открывшемся окне нажмите на кнопку Add User or Group и впишите в поле User and group names группу Everyone. Нажмите два раза OK, чтобы вернуться в окно Group Policy Object Editor и закройте эту консоль и консоль Active Directory Users and Computers с сохранением внесенных изменений;

· выполните в командной строке команду GPUPDATE.

4. Завершите (Log Off) ваш сеанс работы на компьютере, нажмите Ctrl-Alt-Del и введите:

· в поле User Name — user_имя_вашего_домена@mail_имя_вашего_домена.ru, например, user_domain1@mail_domain1.ru;

· в поле Password пароль P@ssw0rd

Обратите внимание, что поле Log on to стало недоступным.

5. Произведите вход на компьютер. В ответ на приглашение смените пароль, например, на P@ssw0rd1. Завершите сеанс и войдите на компьютер от имени учетной записи Administrator из вашего домена.

Источник статьи: http://www.askit.ru/custom/ad/m4/lab04_02_upn_suffixes.htm

Управление пользователями и данными входа

Переименование учетных записей

Вы можете переименовать пользовательскую учетную запись, выбрав ее в списке и нажав клавишу F2 (или щелкнув правой кнопкой мыши на этой записи и выбрав в контекстном меню пункт Rename). Эта учетная запись будет выделена, поэтому вы можете ввести новое имя.

После ввода нового имени нажмите клавишу ENTER, чтобы открыть диалоговое окно Rename User (Переименование пользователя), где вы можете внести другие изменения в запись этого пользователя (например, можно изменить имя входа).

Многие администраторы переименовывают учетную запись Administrator, что является хорошей мерой безопасности. Хотя опытные талантливые хакеры, возможно, могут справиться с этим «ухищрением», оно очень полезно для защиты от менее подготовленных злоумышленников, включая людей из вашей собственной пользовательской группы.

Чтобы еще больше повысить уровень защиты, после переименования этой учетной записи создайте другую учетную запись с именем Administrator. Сделайте ее членом группы Guests и отключите ее (см. ниже).

Чтобы запретить учетной записи вход в домен, вы можете отключить ее, что полезно также для шаблонов учетных записей, которые вы создаете только в целях копирования при создании нового пользователя. Но вы можете также отключить учетную запись, если считаете, что она была каким-либо образом компрометирована. После устранения проблемы снова включите (активизируйте) эту учетную запись для выполнения входа.

Чтобы отключить или включить учетную запись, щелкните правой кнопкой на этой учетной записи в правой панели оснастки Active Directory Users and Computers и выберите пункт Disable Account (Отключить учетную запись). Рядом со строкой этой учетной записи появится красный знак X. Чтобы включить учетную запись, щелкните правой кнопкой на этой учетной записи и выберите пункт Enable Account (Включить учетную запись).

Управление основными именами пользователей (UPN)

Создавая доменную пользовательскую учетную запись , вы задаете основное имя пользователя (UPN — user principal name). UPN состоит из префикса и суффикса, разделенных знаком @. Префикс — это имя входа, и суффикс определяет домен для входа пользователя. Если имя пользователя — kathy и домен — ivenseast. com , то мы получаем UPN kathy@ivenseast. com .

Хотя суффикс UPN предназначен для определения домена входа, это не обязательно должен быть допустимый домен DNS . Вместо него вы можете создать любой суффикс для упрощения входа или администрирования. Например, предположим, что ваш отдел ИТ располагается на определенном этаже здания. Вы создали организационную единицу (OU) для этого отдела, что позволяет вам применять соответствующие групповые политики. Вы можете создать суффикс UPN для пользователей, которые являются сотрудниками этого отдела. Вы можете сделать это для любой OU или для любого отдела/подразделения компании.

Чтобы создать суффикс UPN, выполните следующие шаги.

1. Откройте оснастку Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory) из меню Administrative Tools.
2. В дереве консоли щелкните правой кнопкой на Active Directory Domains and Trusts вверху левой панели и выберите в контекстном меню пункт Properties. Появится диалоговое окно Properties (рис. 12.5), которое содержит одну вкладку: UPN Suffixes (Суффиксы UPN).

Новый суффикс UPN появится в раскрывающемся списке UPN, когда вы будете создавать нового пользователя, а также во вкладке Accounts (Учетные записи) диалогового окна Properties для существующего пользователя (что позволяет вам редактировать UPN).

Управление локальными пользовательскими учетными записями

Администрирование локальных пользовательских учетных записей выполняется из оснастки Computer Management (Управление компьютером), для открытия которой нужно щелкнуть правой кнопкой на My Computer (Мой компьютер ) и выбрать в контекстном меню пункт Manage (Управление). В дереве консоли раскройте объект Local Users and Groups (Локальные пользователи и группы) и выберите Users, чтобы вывести в правой панели локальные пользовательские учетные записи.

Только на рядовых серверах имеются локальные пользователи; вы не можете управлять локальными пользователями на компьютере Windows Server 2003, который действует как контроллер домена. И действительно, объект Local Users and Groups не появляется в оснастке Computer Management на контроллере домена.

Как и домены, локальные компьютеры имеют встроенные учетные записи, и вы можете добавлять новые локальные учетные записи и делать их членами локальных групп. Информацию по управлению локальными группами см. в «Управление группами и организационными единицами» .

Создание локальных пользовательских учетных записей

Чтобы создать новую локальную учетную запись, щелкните правой кнопкой на объекте Users в дереве консоли и выберите пункт New User (Создать пользователя). В диалоговом окне New User (рис. 12.6) выберите имя входа этого пользователя, полное имя, необязательное описание и пароль.

Если вы хотите изменить опции для пароля, то должны сначала сбросить флажок User must change password at next logon (Пользователь должен изменить пароль при следующем входе). После этого будут доступны и другие опции пароля. Для завершения щелкните на кнопке Create (Создать). Затем создайте другого пользователя или щелкните на кнопке Close, если вы закончили создание локальных пользователей.

Источник статьи: http://www.intuit.ru/studies/courses/1043/274/lecture/6941?page=2