10.07.2021

Как управлять учетными записями пользователей в Active Directory. Часть 3: Включение, выключение и установка срока действия для пользователей

Пользовательские учетные записи одни из самых популярных объектов в AD. Они нужны для аутентификации и авторизации на рабочих компьютерах и во многих сервисах, интегрированных с AD. Решение различных проблем связанных с УЗ пользователей, а также управление ими является одной из главных рутин для администраторов и специалистов хелпдеска. Данное руководство поможет вам сделать это несколькими способами. Чтобы управлять УЗ пользователей, необходимо войти на контроллер домена или сервер или устройство с установленными средствами удаленного администрирования сервера (RSAT) для Active Directory Domain Services.

 

Для того, чтобы не было ошибок доступа нам нужен аккаунт администратора домена или группы операторов учетных записей (Account Operators group) или нам нужна УЗ, которая делегирована на создание пользовательских объектов в домене или в нужной нам организационной единице (OU), которую мы будем использовать для хранения аккаунтов.

Как включить и отключить учетную запись пользователя в Active Directory

Когда вы хотите убрать возможность логина в AD для учетной записи пользователя, вы можете отключить ее. В том случае если объект пользователя отключен, но он вам снова нужен по какой-то причине, например, сотрудник вернулся из декретного отпуска, вы можете включить его снова. Вот руководство, как это сделать несколькими способами.

Включение и отключение УЗ пользователя с помощью Active Directory Users and Computers

Чтобы включить или отключить пользователя с помощью ADUC, сделайте следующее:

Войдите в Active Directory Users and Computers (dsa.msc). Найдите OU или контейнер, где содержится нужный вам аккаунт, щелкните правой кнопкой по OU и выберите «Find...». В поле "Name" введите имя объекта и нажмите кнопку Find Now. В поле "Search" щелкните правой кнопкой мыши на юзера и выберите Enable account для включения УЗ или Disable account для ее отключения в зависимости от того, что вам нужно, и нажмите OK.

Включение и отключение аккаунта пользователя с помощью cmd.exe

Это задача для dsmod.exe, для включения учетной записи используйте его со следующими параметрами:

dsmod.exe "CN=GSoul,CN=Users,DC=office,DC=local" -disabled no

А эта команда отключит учетную запись:

dsmod.exe user "CN=GSoul,CN=Users,DC=office,DC=local" -disabled yes

Включение и отключение учетной записи пользователя с помощью Windows PowerShell

Ниже приведен код PowerShell для включения учетной записи пользователя:

Import-Module ActiveDirectory
Enable-ADAccount -Identity "CN=GRobinson,CN=Users,DC=office,DC=local"

А эта предназначена для отключения учетной записи пользователя:

Import-Module ActiveDirectory
Disable-ADAccount -Identity "CN=GRobinson,CN=Users,DC=office,DC=local"

Как установить срок действия учетной записи для пользователя

Учетные записи пользователей могут быть настроены с истечением срока действия после определенного периода времени.

Установка срока действия учетной записи с помощью Active Directory Users and Computers

Чтобы установить срок действия учетной записи в ADUC, выполните следующие простые шаги:

Откройте ADUC (dsa.msc), перейдите к OU или контейнеру, в котором находится нужный пользователь, щелкните правой кнопкой мыши на белом пространстве и выберите Find.... В поле Name введите имя или начало имени и нажмите кнопку Find Now. В результатах поиска выберите юзера, которому нужно установить срок действия. Щелкните правой кнопкой мыши на пользователя и выберите Properties. Перейдите на вкладку Account, в нижней части вкладки измените параметр Account expires (Истечение срока действия учетной записи) на End of: и выберите нужную дату. Нажмите OK, чтобы сохранить изменения.

Установка срока действия учетной записи с помощью командной строки

Используйте dsmod.exe для установки истечения срока действия учетной записи в Active Directory:

dsmod.exe user "CN=GSoul,CN=Users,DC=office,DC=local" -acctexpires 90

Установка срока действия учетной записи с помощью Windows PowerShell

Чтобы установить срок действия учетной записи для пользователя в Employees OU, выполните следующий PowerShell скрипт:

Import-Module ActiveDirectory
Set-ADAccountExpiration -Identity "CN=GSoul,OU=Employees,DC=office,DC=local" -DateTime "11/11/2021 12:00:00"