Как добавить пользователя в домен Windows Server 2012 r2
Обновлено: 21.11.2024
По умолчанию только члены группы «Администраторы домена» имеют удаленный доступ RDP к рабочему столу контроллеров домена Active Directory. В этой статье мы покажем, как предоставить RDP-доступ к контроллерам домена для учетных записей пользователей, не являющихся администраторами, без предоставления прав администратора.
Многие из вас вполне резонно могут задаться вопросом: а зачем обычным пользователям домена доступ к рабочему столу ДЦ? Ведь в инфраструктурах малого или среднего размера, когда их обслуживает несколько администраторов с привилегиями администраторов домена, это вряд ли понадобится. В большинстве случаев достаточно делегирования некоторых административных разрешений в Active Directory или использования PowerShell Just Enough Administration (JEA).
Однако в крупных корпоративных сетях, обслуживаемых многими администраторами, может возникнуть необходимость предоставить RDP-доступ к контроллеру домена (обычно к контроллеру домена филиала или контроллеру домена только для чтения) для различных групп администраторов серверов, группы мониторинга, дежурных администраторов или других лиц. технические кадры. Кроме того, время от времени некоторые сторонние сервисы, не управляемые администраторами домена, развертываются на контроллере домена, и возникает необходимость в обслуживании этих сервисов.
Совет. Microsoft не рекомендует устанавливать доменные службы Active Directory и роль службы удаленных рабочих столов (сервер терминалов) на одном сервере. Если есть только один физический сервер, на котором вы хотите развернуть и DC, и RDS, лучше использовать виртуализацию, так как политика лицензирования виртуализации Microsoft позволяет запускать два виртуальных сервера под одной лицензией Windows Server Standard.
Для удаленного входа вам нужны права на вход через службы удаленных рабочих столов
После того, как сервер был повышен до контроллера домена, вы не можете управлять локальными пользователями и группами с помощью оснастки управления компьютером mmc. При попытке открыть консоль «Локальные пользователи и группы» ( lusrmgr.msc ) появляется следующая ошибка:
Как видите, на контроллере домена нет локальных групп. Вместо локальной группы Пользователи удаленного рабочего стола контроллер домена использует встроенную доменную группу Пользователи удаленного рабочего стола (находится в контейнере Builtin). Вы можете управлять этой группой из консоли ADUC или из командной строки контроллера домена.
Отобразите членов доменной группы Пользователи удаленного рабочего стола на контроллере домена с помощью команды:
net localgroup "Пользователи удаленного рабочего стола"
Как видите, он пуст. Добавьте в него пользователя домена it-pro (в нашем примере это обычный пользователь домена без прав администратора):
net localgroup "Пользователи удаленного рабочего стола" /add corp\it-pro
Убедитесь, что пользователь добавлен в эту группу:
net localgroup "Пользователи удаленного рабочего стола"
Вы также можете убедиться, что пользователь теперь является членом доменной группы пользователей удаленного рабочего стола, с помощью оснастки ADUC ( dsa.msc ).
Однако даже после этого пользователь по-прежнему не может подключиться к контроллеру домена через удаленный рабочий стол с ошибкой:
Для удаленного входа вам необходимо право на вход через службы удаленных рабочих столов. По умолчанию этим правом обладают члены группы «Администраторы». Если группа, в которую вы входите, не имеет права или если право было удалено из группы администраторов, вам необходимо предоставить право вручную.
Групповая политика: разрешить вход через службы удаленных рабочих столов
Чтобы разрешить пользователю домена или группе удаленное подключение RDP к Windows, необходимо предоставить ему привилегии SeRemoteInteractiveLogonRight. По умолчанию этим правом обладают только члены группы «Администраторы». Это разрешение можно предоставить с помощью политики Разрешить вход через службы удаленных рабочих столов.
Чтобы разрешить удаленное подключение к контроллерам домена для членов группы «Пользователи удаленного рабочего стола», вам необходимо изменить настройки этой политики на вашем контроллере домена:
- Запустите редактор локальной групповой политики ( gpedit.msc );
- Перейдите в раздел GPO «Конфигурация компьютера» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Назначение прав пользователя»;
- Найдите политику Разрешить вход через службы удаленных рабочих столов;
После повышения роли сервера до контроллера домена в этой локальной политике остается только группа Администраторы (это администраторы домена).
Обратите внимание, что группа, которую вы добавили в политику «Разрешить вход в систему через службы удаленных рабочих столов», не должна присутствовать в политике «Запретить вход в систему через службы удаленных рабочих столов», поскольку она имеет более высокий приоритет (см. статью Ограничение доступа к сети). под локальными аккаунтами). Кроме того, если вы ограничиваете список компьютеров, на которых пользователи могут входить в систему, вам необходимо добавить имя контроллера домена в свойства учетной записи AD (атрибут пользователя LogonWorkstations).
Примечание. Чтобы разрешить пользователю локальный вход в ДК (через консоль сервера), необходимо добавить учетную запись или группу в политику «Разрешить локальный вход». По умолчанию это разрешение разрешено для следующих групп домена:
- Операторы резервного копирования
- Администраторы
- Операторы печати
- Операторы серверов
- Операторы аккаунта
Лучше создать в домене новую группу безопасности, например, AllowLogonDC, и добавить в нее учетные записи пользователей, которым необходим удаленный доступ к контроллеру домена. Если вы хотите разрешить доступ ко всем контроллерам домена AD сразу, вместо редактирования локальной политики на каждом контроллере домена лучше добавить группу пользователей в политику контроллеров домена по умолчанию с помощью консоли GPMC.msc (изменить параметры политики в том же разделе: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя -> Разрешить вход через службы удаленных рабочих столов).
Предупреждение. Если вы изменяете политику контроллеров домена по умолчанию, не забудьте добавить группы администраторов домена/предприятия в политику Разрешить вход через службы удаленных рабочих столов, иначе они потеряют удаленный доступ к контроллерам домена.
Теперь пользователи (группы), добавленные вами в политику, смогут подключаться к контроллерам домена AD через RDP.
Если вам нужно предоставить пользователям без прав администратора разрешения на запуск/остановку определенных служб на контроллере домена, воспользуйтесь следующим руководством.
Отказано в доступе к запрошенному сеансу RDP
В некоторых случаях при подключении по RDP к контроллеру домена может появиться ошибка:
Если вы подключаетесь к контроллеру домена под учетной записью пользователя без прав администратора, это может быть связано с двумя проблемами:
Процесс создания учетной записи пользователя на серверах Windows почти не изменился, начиная с Server 2003. Здесь я покажу на сервере 2012. После установки контроллера домена создание организационных единиц и учетных записей пользователей — самые первые задачи. Существует несколько способов создания учетной записи пользователя в контроллере домена server 2012. Вы можете создать учетную запись пользователя из оснастки «Пользователи и компьютеры AD», используя команду DsAdd в командной строке, используя командлет New-ADUser в WindowsPowershell и из Центра администрирования AD.
Создание учетной записи пользователя в контроллере домена Server 2012
Здесь я создам учетную запись пользователя на контроллере домена server 2012 с помощью оснастки "Пользователи и компьютеры AD".
Шаг 1. Откройте оснастку «Пользователи и компьютеры AD»
Откройте оснастку «Пользователи и компьютеры AD» в диспетчере серверов. Вы также можете открыть оснастку «Пользователи и компьютеры AD», набрав dsa.msc в программе RUN. Вы можете открыть приложение RUN, нажав [Клавиша Windows] + [R] на клавиатуре.
Шаг 2. Создайте организационное подразделение
Организационная единица или просто OU — это объект-контейнер домена AD, который может содержать пользователей, компьютеры и другие объекты. По сути, вы создаете учетные записи пользователей и компьютеры внутри OU. Я создам OU с именем Management. Щелкните правой кнопкой мыши домен в разделе "Пользователи и компьютеры AD", выберите "Создать" и щелкните "Подразделение".
Введите Management, чтобы назвать подразделение. Установите флажок Защитить контейнер от случайного удаления. Эта опция защитит этот объект от случайного удаления.
Шаг 3. Создайте нового пользователя
Щелкните правой кнопкой мыши подразделение Management, выберите "Создать" и выберите "Пользователь".
Теперь введите пароль. Убедитесь, что пользователь должен сменить пароль при следующем входе в систему. Пользователь будет вынужден изменить пароль при входе в систему. Нажмите «Далее».
Проверьте конфигурацию пользователя и нажмите "Готово".
Вы успешно создали учетную запись пользователя. Вы можете открыть свойства учетной записи пользователя, чтобы настроить параметры.
Этот процесс полезен, если вам нужно создать несколько учетных записей пользователей. Но представьте, если вам нужно создать сотни или тысячи пользователей. Этот процесс займет очень много времени. Таким образом, чтобы создать множество пользователей за считанные минуты, вы можете использовать сценарии Windows PowerShell с помощью командлета New-ADuser или пакетный сценарий с помощью команды DsAdd.
На контроллере домена Windows Server 2012 R2 установлены пароль по умолчанию и администратор. Но чтобы защитить сервер от повреждений, нам всегда приходится создавать другого администратора на локальном сервере для входа в систему и управления локальным сервером.
Как создать учетную запись локального администратора? Пожалуйста, следуйте этому отрывку, чтобы сделать.
1. Создайте учетную запись локального администратора с помощью Command
Команда Net user обычно используется для добавления и удаления учетной записи пользователя на контроллере домена, локальном компьютере. Теперь следуйте инструкциям, чтобы добавить к нему новую учетную запись локального администратора.
Шаг 1. Войдите в систему Windows Server 2012 R2 с учетной записью администратора.
Шаг 2. Нажмите Win + X, чтобы запустить командную строку (администратор).
Шаг 3: Добавьте учетную запись пользователя на локальный сервер с помощью этой команды и нажмите Enter.
сетевой пользователь гений abc@12345 /add
Шаг 4. Добавьте новую учетную запись пользователя в локальную группу администраторов.
сетевые администраторы локальной группы гений /добавить
После успешного выполнения команды введите команду "net user" и нажмите Enter, вы обнаружите, что новая учетная запись пользователя "genius" была создана как локальный администратор.
2. Создайте учетную запись локального администратора в разделе «Управление компьютером»
Учетная запись локального администратора должна быть создана с помощью двух основных операций. Создайте одного нового пользователя в разделе «Локальные пользователи и группы» — «Пользователи», а затем добавьте учетную запись пользователя в группу «Администраторы» в разделе «Локальные пользователи и группы» — «Группы». Администратор — минимальное членство в группе, необходимое для выполнения этой процедуры.
Шаг 1. Откройте Управление компьютером, нажав Win + X.
Шаг 2. В дереве консоли нажмите Пользователи.
Управление компьютером\Системные инструменты\Локальные пользователи и группы\Пользователи
Шаг 3. В меню "Действия" нажмите "Новый пользователь".
Шаг 4. Дважды введите соответствующую информацию в диалоговом окне.
Шаг 5. Установите или снимите флажки для:
- Пользователь должен сменить пароль при следующем входе в систему
- Пользователь не может изменить пароль
- Срок действия пароля не ограничен
- Аккаунт отключен
Шаг 6. Нажмите «Создать», а затем «Закрыть».
Шаг 7. Выберите «Группы» и щелкните правой кнопкой мыши «Добавить в группу» в разделе «Администраторы». Затем выберите учетную запись пользователя «Клара», чтобы добавить ее в эту группу.
Подробнее об этом читайте, чтобы добавить пользователя в локальную группу администраторов.
Несомненно, локальный администратор, созданный указанными выше способами, делает управление локальным сервером безопасным и удобным. Но, к сожалению, они работают только тогда, когда вы можете получить доступ к серверу 2012 r2. Если вы хотите создать локального администратора для сервера 2012 r2, даже если вы заблокированы, для вас доступен другой способ с помощью Windows Password Genius.
Домашняя папка, также называемая сетевой папкой, позволяет пользователям создавать резервные копии своих файлов. Эти файлы могут перемещаться по любому компьютеру в домене, где пользователь входит в систему.
Шаг 1. Создайте папку на одном из жестких дисков
Шаг 2. Щелкните правой кнопкой мыши папку, созданную на предыдущем шаге, и прокрутите меню. Нажмите Свойства
Шаг 3. Нажмите «Расширенный доступ».
Шаг 4. Установите флажок "Открыть общий доступ к этой папке". Нажмите Разрешения
Шаг 5. Выберите «Все» в разделе «Группа или имена пользователей» и нажмите «Удалить». Когда закончите, нажмите Добавить
Шаг 6. Найдите пользователей домена с помощью кнопки "Проверить имена". Когда вы его нашли, выберите его и нажмите OK
Шаг 7. Предоставьте полный доступ к разрешениям для пользователей домена
Шаг 8. Откройте панель управления диспетчером серверов и нажмите Инструменты. Прокрутите меню вниз и нажмите «Пользователи и компьютеры Active Directory».
Шаг 9. Выберите всех пользователей, которым вы хотите создать домашнюю папку, щелкните правой кнопкой мыши и прокрутите меню вниз. Нажмите Свойства
Шаг 10. Откройте вкладку «Профиль» и проверьте домашнюю папку. Укажите путь в формате \\\\%username% и нажмите Применить. Нажмите "ОК"
Читайте также: