Задача, обеспечить вход пользователя в домен (polygon.local) с применением имени в формате UPN (User Principal Name) к примеру Derek@navy.mil.
Запускаем оснастку Active Directory Domains and Trusts (Active Directory – домены и доверие):
«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Domains and Trusts», далее правой кнопкой мыши открываем меню «Properties» (Свойства). (см. Скриншот ниже)
В окне свойств в поле «Alternative UPN Suffixes» (Дополнительные UPN-суффиксы) вводим дополнительный суффикс (navy.mil) и нажимаем кнопку Add (Добавить). После закрывает оснастку Active Directory Domains and Trusts с сохранение сделанных изменений.
Создаём учётную запись через GUI интерфейс:
и ставим пароль Aa1234567
Создаём учётную запись через консоль командной строки интерфейс
(за основу можно взять материал в этой статье)
C:\Windows\system32>dsadd user “cn=derek,ou=it,dc=polygon,dc=local” -pwd Aa1234567 -upn derek@navy.mil -fn Derek -ln Derek
dsadd succeeded:cn=derek,ou=it,dc=polygon,dc=local
, поясню
-Pwd – указываем с каким пароль создавать учётную запись.
-upn – имя входа пользователя пред-Windows 2000
-fn – имя пользователя, которое в графическом интерфейсе заполняется в поле «Имя»
-ln – фамилия пользователя, указываемая в поле «Фамилия» мастера создания пользовательской учетной записи
Теперь попробуем войти на рабочую станцию с использование созданной учетной записи Derek и суффиксом @navy.mil.
Не имеет значения, как заходить в домен на рабочей станции, либо через альтернативный DNS-суффикс, либо стандартный вход:
А теперь попробуем войти на домен контроллер dc1.polygon.local от имени учетной записи Derek@navy.mil. Должно появиться сообщение о том, что используемая политика для домен контроллера препятствует входу.
Для того чтобы данной учетной записи Derek@navy.mil предоставить разрешение на локальный вход на домен контроллер dc1.polygon.local следует запустить:
«Start» – «Control Panel» – «Administrative Tools» – запускаем оснастку «Group Policy Management» (Управление групповой политикой). Раскрываем лес polygon.local , после домен и переходим к отображению всех политик в домене (Group Policy Objects).
Открываем на редактирование «Default Domain Controllers Policy».
Теперь предоставим права локального входа в систему, для пользователя Derek@navy.mil
Раскрываем узел «Computer Configuration» (Конфигурация компьютера) – «Policies» (Политики ) – «Windows Settings» (Конфигурация Windows ) – «Security Settings» (Параметры безопасности) – «Local Policies» (Локальные политики) – «User Rights Assignment» (Назначение прав пользователя) – выбираем элемент «Allow log on locally» (Локальный вход в систему) и добавляем список пользователей (в нашем случае Derek@polygon.local), которым разрешено входить локально на контроллер домена.
Настройку произвели, теперь закрываем окно редактора управления групповыми политиками с сохранением внесенных изменений. Чтобы ускорить применение групповых политик в окне командной строки набираем команду gpupdate /force. Теперь мы сможем зайти на домен контроллер под учетной записью Derek@navy.mil:
Вот собственно и всё.