10.07.2021

Как управлять учетными записями пользователей в Active Directory. Часть 5: Изменение нескольких пользователей одновременно

Пользовательские учетные записи одни из самых популярных объектов в AD. Они нужны для аутентификации и авторизации на рабочих компьютерах и во многих сервисах, интегрированных с AD. Решение различных проблем связанных с УЗ пользователей, а также управление ими является одной из главных рутин для администраторов и специалистов хелпдеска. Данное руководство поможет вам сделать это несколькими способами. Чтобы управлять УЗ пользователей, необходимо войти на контроллер домена или сервер или устройство с установленными средствами удаленного администрирования сервера (RSAT) для Active Directory Domain Services.

 

Для того, чтобы не было ошибок доступа нам нужен аккаунт администратора домена или группы операторов учетных записей (Account Operators group) или нам нужна УЗ, которая делегирована на создание пользовательских объектов в домене или в нужной нам организационной единице (OU), которую мы будем использовать для хранения аккаунтов.

Как изменить несколько пользователей одновременно

Иногда возникает необходимость изменить один атрибут для нескольких объектов. Изменение нескольких объектов одновременно немного отличается от редактирования одного пользователя, есть несколько способов добиться этого.

Изменение нескольких пользователей одновременно с помощью Active Directory Users and Computers

ADUC хорош, когда вам нужен простой фильтр для группировки пользователей. В нем есть механизм выбора, например, вы можете выбрать несколько пользователей, зажав кнопку ctrl, или группу, зажав кнопку shift. Вы также можете легко выбрать всех пользователей в OU или контейнере нажав Ctrl + A.

Чтобы изменить несколько пользователей с помощью ADUC, выполните следующие действия:

В Active Directory Users and Computers (dsa.msc) перейдите к OU или контейнеру, в котором находятся нужные пользователи. Выберите пользователей, выделив их, удерживая кнопку Shift.

Щелкните объекты правой кнопкой мыши и выберите Properties.

Измените атрибуты, которые вы хотите изменить, и нажмите OK.

Изменение нескольких пользователей одновременно с Active Directory Administrative Center

Active Directory Administrative Center отличается от ADUC тем, что предоставляет дополнительные фильтры.

Запустите Active Directory Administrative Center и выберите OU в качестве базовой области для фильтра. Разверните верхнюю панель, нажав на кнопку с маленькой стрелкой в правом верхнем углу. Нажмите кнопку Add criteria:

Добавьте критерии, которые вы хотите использовать, например, пользователей с истекшим сроком действия паролей, или вы можете создать фильтр по одному из атрибутов. Выберите фильтр и нажмите кнопку Add, чтобы добавить его. Вы можете использовать такие соответствия, как “начинается с”(starts with), “равно”(equals), “не равно”(does not equal) и прочие.

После получения списка объектов на основе вашего фильтра нажмите Ctrl+A, чтобы выделить их все, и нажмите Properties.

Измените атрибуты, которые вы хотите, и нажмите OK.

Изменение нескольких пользователей одновременно с помощью Windows PowerShell

Настройка фильтра в PowerShell более сложна, ее лучше всего использовать для многократного изменения нескольких пользовательских объектов.

В нашем примере мы отфильтруем все учетные записи с именем, начинающимся на "admin", и включим функцию предотвращения случайного удаления(Prevent from accidental deletion) для всех этих учетных записей:

Import-Module ActiveDirectory
Get-ADUser -ldapfilter "(sAMAccountName=admin*)" | Set-ADObject - ProtectedFromAccidentalDeletion $true