Создание новых учетных записей пользователей в Active Directory с помощью ADUC и PowerShell

at0mSec

В этой статье мы рассмотрим, как создавать новых пользователей в домене Active Directory. Вы можете создавать новые учетные записи пользователей в домене с помощью графических оснасток MMC ( Active Directory Users and Computers dsa.msc и AD Administrative Center dsac.msc) или с помощью сценариев PowerShell.

Содержание:

Как создать нового пользователя Active Directory с помощью ADUC?

Самый простой способ создать нового пользователя домена в Active Directory — это использовать графическую консоль ADUC mmc.

  1. Откройте Пользователи и компьютеры Active Directory консоль, выполнив команду dsa.msc команду;
  2. Выберите контейнер Active Directory (организационную единицу), в котором вы хотите создать новую учетную запись пользователя. Щелкните его правой кнопкой мыши и выберите Новая -> Пользователь; создание нового пользователя с помощью консоли aducсоздание нового пользователя с помощью консоли aduc
    Чтобы создавать новых пользователей в домене, ваша учетная запись должна входить в группы администраторов домена или операторов учетных записей. Или вы можете вручную делегировать права на создание пользователей другим пользователям и группам домена.
  3. Укажите имя, фамилию, полное имя пользователя, задайте userPrincipalName (имя пользователя для входа в систему) и sAMAccountName. Нажмите кнопку Далее;мастер создания нового объекта рекламного пользователямастер создания нового объекта пользователя рекламы
  4. Затем установите пароль пользователя. установка свойств пароля учетной записи пользователя активного каталогаустановка свойств пароля учетной записи пользователя активного каталогаНа этой форме вы можете дополнительно задать следующие параметры для атрибута UserAccountControl:
    Пользователь должен изменить пароль при следующем входе в систему;
    Пользователь не может изменить пароль — только администратор/оператор учетной записи может изменить/сбросить пароль пользователя;
    Срок действия пароля не истекает — срок действия пароля пользователя никогда не истекает (если эта опция не включена, то срок действия пароля пользователя определяется политикой паролей домена Active Directory);
    Учетная запись отключена — учетная запись пользователя в домене отключена и не может быть использована для входа в систему.
  5. Найдите пользователя в консоли ADUC и откройте его свойства. Здесь вы можете задать дополнительные атрибуты пользователя: номер телефона, адрес, описание, должность, компанию (и т. д.), добавить его в группы AD и задать другие атрибуты на вкладке Attribute Editor.свойства пользователя adсвойства пользователя рекламы

Вы можете создавать новых пользователей AD с аналогичными параметрами, копируя их. Этот способ создания новых пользователей подходит для создания другого пользователя из того же отдела, с тем же набором разрешений, адресом и описанием.

копирование пользователя активного каталогакопирование пользователя активной директории

Щелкните на пользователе и выберите Копировать. При копировании пользователя AD членство в группе, адрес (кроме улицы), настройки атрибутов useraccountcontrol, настройки организации и некоторые другие атрибуты будут скопированы в новую учетную запись пользователя.

New-ADUser: создание пользователей Active Directory с помощью PowerShell

Выше мы показали, как вручную создать пользователя в домене Active Directory с помощью графической оснастки ADUC. Если вы постоянно добавляете новых пользователей в свой домен, гораздо удобнее автоматизировать этот процесс с помощью PowerShell.

Вы можете использовать New-ADUser Команда из модуля Active Directory for Windows PowerShell для создания учетных записей пользователей в AD.

Полный синтаксис команды New-ADUser можно получить с помощью команды:

Get-Command New-ADUser –Syntax

Команда New-ADUser powershellКоманда New-ADUser powershell

В простейшем случае, чтобы создать новую учетную запись пользователя в AD, достаточно указать только ее имя:
New-ADUser testuser1

создание нового объекта пользователя ad с помощью powershellсоздание нового объекта пользователя рекламы с помощью powershell

Как вы видите, новая учетная запись пользователя была создана в стандартном Пользователи контейнер. По умолчанию этот пользователь отключен. Чтобы использовать эту учетную запись, необходимо включить ее (команда Enable-ADAccount), установить пароль (команда Set-ADAccountPassword) настроить другие атрибуты (если необходимо).

Чтобы создать новую учетную запись в определенном контейнере Active Directory домена (OU) с паролем и сразу же включить ее, используйте следующую команду:

New-ADUser -Name "Albert Schmidt" -GivenName "Albert" -Surname "Schmidt" -SamAccountName "a.schmidt" -UserPrincipalName "[email protected]" -Path "OU=Users,OU=Accounts,OU=Berlin,OU=DE,DC=woshub,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true

New-ADUser Как создавать новых пользователей Active Directory с помощью PowerShellNew-ADUser Как создать новых пользователей Active Directory с помощью PowerShell

Команда предложит вам безопасно указать пароль для нового пользователя.

Примечание. Пароль пользователя должен соответствовать политике безопасности паролей домена по длине, сложности и т. д., иначе команда вернет ошибку: New-ADUser: Пароль не соответствует требованиям к длине, сложности или истории паролей в домене. Вы можете использовать готовый сценарий PowerShell для генерации сложного пароля для каждого пользователя.

Получить информацию о созданном пользователе домена можно с помощью команды Get-ADUser:

Get-ADUser a.schmidt

Массовое создание пользователей Active Directory из CSV с помощью PowerShell

Вы можете использовать сценарии PowerShell для массового создания нескольких пользователей в домене Active Directory. Рассмотрим простой сценарий для создания учетных записей пользователей из списка в CSV-файле.

Заполните необходимые атрибуты пользователей в файле формата CSV (Excel). Например, мой файл Excel с пользователями имеет 8 столбцов и следующий формат заголовка:

FirstName;LastName;SamAccountName;Phone;Department;JobTitle;Password;OU

Сохраните файл Excel в формате CSV с запятыми в качестве разделителя. Кодировка должна быть установлена на UTF-8 (это важно!).

Вы можете получить доступ к значениям в ячейках Excel непосредственно из PowerShell. Я использую плоский CSV-файл, чтобы упростить код сценария в этом примере.

Создание новых пользователей Active Directory с помощью Excel и PowerShellСоздание новых пользователей Active Directory с помощью Excel и PowerShell

Теперь вы можете импортировать этот CSV-файл (create_ad_users.csv) и создайте новых пользователей в домене AD. Смотрите следующий пример сценария PowerShell, который можно использовать для создания пользователей в Active Directory.

Массовое создание пользователей AD с помощью CSV-файла и New-ADUserМассовое создание пользователей AD с помощью CSV-файла и New-ADUser

Примечание.

  • Укажите имя OU, в котором вы хотите создать новую учетную запись пользователя, в формате distinguishedName ("OU=Users,OU=Munich,OU=DE,DC=woshub,DC=com" ). Значение должно быть заключено в двойные кавычки (поскольку строка содержит запятые);
  • Если в качестве разделительного символа в CSV-файле используется «;», добавьте символ -delimiter ";" в качестве аргумента команды Import-Csv;
  • Сценарий проверяет, существует ли пользователь в домене. Если такая учетная запись уже существует в домене, появляется предупреждение и предлагается ввести уникальное имя sAMAccountName.


Import-Module activedirectory
$domain=“@woshub.com”
Import-Csv "C:\ps\create_ad_users.csv" | ForEach-Object {
$userSAM=$_.SamAccountName
if (@(Get-ADUser -Filter "SamAccountName -eq '$($_.SamAccountName)'").Count -ne 0) {
Add-Type -AssemblyName Microsoft.VisualBasic
$userSAM = [Microsoft.VisualBasic.Interaction]::InputBox("User $_.SamAccountName exists", 'Specify a new user SamAccountName', $_.SamAccountName)
}
$upn = $userSAM + $domain
$uname = $_.LastName + " " + $_.FirstName
New-ADUser -Name $uname `
-DisplayName $uname `
-GivenName $_.FirstName `
-Surname $_.LastName `
-OfficePhone $_.Phone `
-Department $_.Department `
-Title $_.JobTitle `
-UserPrincipalName $upn `
-SamAccountName $userSAM `
-Path $_.OU `
-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -force) -Enabled $true
}

массовое создание нового пользователя active-directory из csv-файла с помощью сценария powershellмассовое создание нового пользователя active-directory из csv-файла с помощью сценария powershell

Кроме того, вы можете сохранить информацию о создании пользователя в файл журнала (пример использования файлов журнала в сценариях PowerShell).

После запуска сценария откройте консоль ADUC, разверните указанную Active Directory OU и убедитесь, что в AD появились новые учетные записи пользователей. События создания новых учетных записей пользователей можно отследить следующим образом: Получить список учетных записей пользователей Active Director, созданных за последние X часов/дней.

новый пользователь в активном каталогеновый пользователь в активной директории

Вы можете немедленно добавить новые учетные записи пользователей в определенные группы AD с помощью команды Add-AdGroupMember команды. Для этого нужно немного изменить сценарий, добавив эту строку в цикл For-Each:

Add-AdGroupMember -Identity AllowInternetAccess-Members $userSAM

Также можно установить фотографию пользователя в AD для отображения ее в Outlook и Lync с помощью команды Set-ADUser:

Set-ADUser $userSAM -Replace @{thumbnailPhoto=([byte[]](Get-Content "C:\ps\l.wolf.jpg" -Encoding byte))}

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *