Создание суффиксов UPN (User Principal Name) для Active Directory в домене polygon.local

Posted by

Задача, обеспечить вход пользователя в домен () с применением имени в формате (User Principal Name) к примеру Derek@navy.mil.

Запускаем оснастку Active Directory Domains and Trusts (Active Directory – домены и доверие):

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Domains and Trusts», далее правой кнопкой мыши открываем меню «Properties» (Свойства). (см. Скриншот ниже)

Открываем свойства Домены и Доверие.

 

 

 

 

 

 

 

В окне свойств в поле «Alternative UPN Suffixes» (Дополнительные UPN-суффиксы) вводим дополнительный суффикс (navy.mil) и нажимаем кнопку Add (Добавить). После закрывает оснастку Active Directory Domains and Trusts с сохранение сделанных изменений.

Добавляем в домен polygon.local альтернативный DNS-суффикс.

 

 

 

 

 

 

Создаём учётную запись через GUI интерфейс:

Создаём учётную запись через GUI интерфейс:

 

 

 

 

 

 

 

 

и ставим пароль Aa1234567

Создаём учётную запись через консоль командной строки  интерфейс

(за основу можно взять материал в этой статье)

C:\Windows\system32>dsadd user «cn=derek,ou=it,dc=polygon,dc=local» -pwd Aa1234567 -upn derek@navy.mil -fn Derek -ln Derek

dsadd succeeded:cn=derek,ou=it,dc=polygon,dc=local

, поясню

-Pwd – указываем с каким пароль создавать учётную запись.

-upn – имя входа пользователя пред-Windows 2000

-fn – имя пользователя, которое в графическом интерфейсе заполняется в поле «Имя»

-ln – фамилия пользователя, указываемая в поле «Фамилия» мастера создания пользовательской учетной записи

 

Теперь попробуем войти на рабочую станцию с использование созданной учетной записи Derek и суффиксом @navy.mil.

Входим на рабочую станцию с суффиксом @navy.mil

 

 

 

 

 

 

 

Не имеет значения, как заходить в домен на рабочей станции, либо через альтернативный DNS-суффикс, либо стандартный вход:

Обычный вход в домен polygon.local тоже работает.

 

 

 

 

 

 

 

А теперь попробуем войти на домен контроллер dc1.polygon.local от имени учетной записи Derek@navy.mil. Должно появиться сообщение о том, что используемая политика для домен контроллера препятствует входу.

Попробуем войти на домен контроллер с альтернативным суффиксом.

 

Для того чтобы данной учетной записи Derek@navy.mil предоставить разрешение на локальный вход на домен контроллер dc1.polygon.local следует запустить:

«Start» – «Control Panel» – «Administrative Tools» – запускаем оснастку «Group Policy Management» (Управление групповой политикой). Раскрываем лес polygon.local , после домен и переходим к отображению всех политик в домене (Group Policy Objects).

Открываем на редактирование «Default Domain Controllers Policy».

Редактируем политику для Default Domain Controllers Policy на разрешение входа с альтернативным суффиксом.

 

Теперь предоставим права локального входа в систему, для пользователя Derek@navy.mil

Раскрываем узел «Computer Configuration» (Конфигурация компьютера) – «Policies» (Политики ) – «Windows Settings» (Конфигурация Windows ) – «Security Settings» (Параметры безопасности) – «Local Policies» (Локальные политики) – «User Rights Assignment» (Назначение прав пользователя) – выбираем элемент «Allow log on locally» (Локальный вход в систему) и добавляем список пользователей (в нашем случае Derek@polygon.local), которым разрешено входить локально на контроллер домена.

Добавляем учетную запись derek@navy.mil на доступ на локальный вход.

 

 

 

 

 

 

Настройку произвели, теперь закрываем окно редактора управления групповыми политиками с сохранением внесенных изменений. Чтобы ускорить применение групповых политик в окне командной строки набираем команду gpupdate /force. Теперь мы сможем зайти на домен контроллер под учетной записью Derek@navy.mil:

Окно входа на домен контроллер с использование альтернативного суффикса @navy.mil

 

 

 

 

 

 

 

 

 

Вот собственно и всё.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

16 − четырнадцать =