Hantera användarkonton i Active Directory-användare och -datorer

Du kan skapa, ta bort och hantera säkerhetsobjekt, inklusive användarkonton, i Active Directory-konsolen Användare och datorer. Den här konsolen är tillgänglig när komponenterna Active Directory Domain Services (AD DS) och Active Directory Lightweight Directory Services (AD LDS) i verktygen för fjärrserveradministration installeras på en Windows Server- eller klientdator. Om du vill skapa, ta bort och hantera säkerhetsbehörigheter måste du ha rätt behörigheter. Som standard kan medlemmar i gruppen Domänadministratörer och Företagsadministratörer hantera användar-, grupp- och datorkonton. Medlemmar i gruppen Kontooperatörer kan skapa, ändra och ta bort användarkonton men kan inte hantera grupper eller behörigheter.

Förutsättningar

• En dator som kör Windows Server eller ett Windows-klientoperativsystem med AD DS- och AD LDS-komponenterna i fjärrserveradministrationsverktygen installerade.

• Datorn måste vara ansluten till en domän och det användarkonto som du använder måste ha rätt behörighet för att hantera användarkonton i domänen.

Hantera användarkonton

Följande avsnitt i den här artikeln innehåller information om hur du hanterar användarkonton på servern:

• Skapa ett användarkonto
• Hantera gruppmedlemskap
• Återställ ett användarlösenord
• Inaktivera ett användarkonto
• Aktivera ett användarkonto
• Ta bort ett användarkonto
• Egenskaper för användarkonto

Skapa ett användarkonto

När du lägger till ett användarkonto kan den tilldelade användaren logga in på en domänansluten dator. Du kan ge användaren behörighet att komma åt nätverksresurser som delade mappar, skrivare och program. Utför följande steg för att skapa ett användarkonto med hjälp av Active Directory-användare och -datorer:

1. I active directory-konsolen Användare och datorer expanderar du domänträdet och väljer den container eller organisationsenhet som du vill vara värd för användarkontot.
2. På åtgärdsmenyn väljer du Ny och sedan Användare.
3. I dialogrutan Nytt objekt – användare anger du följande information och väljer sedan Nästa:
   • Förnamn: Användarens förnamn (valfritt)
   • Initialer: Användarens initialer (valfritt)
   • Efternamn: Användarens efternamn (valfritt)
   • Fullständigt namn: Användarens fullständiga namn (krävs)
   • Användarens inloggningsnamn: Användarnamn (krävs)
4. På den andra sidan i dialogrutan Nytt objekt – användare anger du följande information och väljer sedan Nästa:
   • Lösenord: Kan vara det tilldelade lösenordet eller ett tillfälligt lösenord som användaren ändrar vid nästa inloggning.
   • Bekräfta: En dubblett av det tilldelade lösenordet eller det tillfälliga lösenordet.
   • Användaren måste ändra lösenordet vid nästa inloggning. Markera den här kryssrutan om du vill tvinga användaren att ändra lösenordet vid nästa inloggning.
   • Användaren kan inte ändra lösenord. Markera den här kryssrutan om du vill hindra användaren från att ändra lösenordet.
   • Lösenordet upphör aldrig att gälla. Markera den här kryssrutan om du vill undanta kontot från lösenordsprinciper.
   • Kontot är inaktiverat. Markera den här kryssrutan om du vill skapa kontot i inaktiverat tillstånd.
5. Granska sammanfattningssidan i dialogrutan Nytt objekt – användare . Välj Slutför för att skapa kontot.

Hantera gruppmedlemskap

Säkerhetsbehörigheter, till exempel för delade mappar, tilldelas oftast till säkerhetsgrupper i stället för till enskilda användarkonton. Genom att hantera vilka grupper en användare är medlem i hanterar du ofta de resurser som användarkontot har åtkomst till. Utför följande steg för att hantera gruppmedlemskapet för ett konto.

1. Leta upp och välj det användarkonto som du vill hantera medlemskapet för i active directory-konsolen Användare och datorer.
2. På menyn Åtgärd väljer du Egenskaper.
3. I dialogrutan egenskaper för användarens konto väljer du fliken Medlem .
4. Om du vill ta bort användarkontot från en grupp väljer du gruppen i listan, väljer Ta bort och väljer sedan OK för att stänga dialogrutan egenskaper för användarkontot.
5. Om du vill lägga till användarkontot i en grupp väljer du Lägg till.
6. I dialogrutan Välj grupper anger du namnet på den grupp som du vill lägga till kontot i och väljer sedan OK. Om du är osäker på gruppnamnet använder du knappen Avancerat för att söka i domänen efter grupper och knappen Kontrollera namn för att verifiera namnet.
7. Välj OK för att stänga dialogrutan för användarkontoegenskaper och tillämpa ändringarna.

Återställa ett användarlösenord

Utför följande steg för att återställa ett användarkontolösenord med hjälp av Active Directory-konsolen Användare och datorer:

1. Leta upp det användarkonto som du vill återställa lösenordet för i Active Directory-konsolen Användare och datorer.
2. På åtgärdsmenyn väljer du Återställ lösenord.
3. I dialogrutan Återställ lösenord anger du följande information och väljer sedan OK.
   • Nytt lösenord: Nytt lösenord för användaren.
   • Bekräfta lösenord: Ange samma lösenord igen.
   • Användaren måste ändra lösenordet vid nästa inloggning. Markera den här kryssrutan om du vill tvinga användaren att ändra lösenordet nästa gång de loggar in.
   • Lås upp användarkontot. Om kontot är utelåst på grund av att användaren har angett för många felaktiga lösenord markerar du den här kryssrutan för att låsa upp kontot.

Inaktivera ett användarkonto

Utför följande steg för att inaktivera ett användarkonto med hjälp av active directory-konsolen Användare och datorer:

1. Leta upp det användarkonto som du vill inaktivera i Active Directory-konsolen Användare och datorer.
2. På åtgärdsmenyn väljer du Inaktivera konto.
3. I dialogrutan Active Directory Domain Services väljer du OK. Kontot är inaktiverat.

När ett konto är inaktiverat förblir en inloggad användare inloggad men kan inte utföra nya inloggningar.

Aktivera ett användarkonto

Utför följande steg för att aktivera ett användarkonto med hjälp av active directory-konsolen Användare och datorer:

1. Leta upp det användarkonto som du vill aktivera i active directory-konsolen Användare och datorer.
2. På åtgärdsmenyn väljer du Aktivera konto.
3. I dialogrutan Active Directory Domain Services väljer du OK. Kontot är aktiverat.

Ta bort ett användarkonto

Om du tar bort ett konto från Active Directory tas kontot bort. Bästa praxis är att inaktivera konton innan du tar bort dem om kontot har behörighet till resurser som inte kan nås via andra metoder. Utför följande steg för att ta bort ett konto med hjälp av Active Directory-konsolen Användare och datorer:

1. Leta upp det användarkonto som du vill aktivera i active directory-konsolen Användare och datorer.
2. På åtgärdsmenyn väljer du Ta bort.
3. I dialogrutan Active Directory Domain Services väljer du OK. Kontot tas bort.

Du kan återställa borttagna konton med hjälp av Papperskorgen i Active Directory om du aktiverar papperskorgen innan du tar bort kontot. Om papperskorgen inte är aktiverad måste du utföra en auktoritativ återställning av AD DS med hjälp av en säkerhetskopia av AD DS som innehåller kontot.

Egenskaper för användarkonto

Följande lista innehåller alla flikar på sidan Egenskaper för användarkonto , inklusive flikar som endast visas om alternativet Avancerade funktioner är aktiverat. Du kan aktivera det här alternativet på menyn Visa i Active Directory-konsolen Användare och datorer. Den här informationen lagras med kontot som attribut för AD DS-kontoobjektet.

• Allmänt
• Adress
• Konto
• Profil
• Telefoner
• Organisation
• Profil för fjärrskrivbordstjänster
• COM+
• Attributredigeraren
• Säkerhet
• Miljö
• Sessioner
• Fjärrkontroll
• Publicerade certifikat
• Medlem av
• Replikering av lösenord
• Uppringning
• Objekt

Allmänt

Fliken Allmänt på sidan egenskaper för användarkontot innehåller följande fält som är relaterade till användarens namn och beskrivning:

• Förnamn
• Initialer
• Efternamn
• Visningsnamn
• Beskrivning
• Kontor
• Telefonnummer
• Webbsida

Adress

På fliken Adress på sidan egenskaper för användarkonto kan du lagra platsinformation med kontot och innehåller följande fält:

• Gata
• P.O. Box
• Stad
• Delstat eller provins
• Postnummer/Postkod
• Land/region

Konto

På fliken Konto på sidan Egenskaper för användarkonto kan du konfigurera olika kontoinställningar. Dessa inkluderar inloggningstimmar, de specifika datorer som kontot kan logga in på och de typer av kryptering som kontot stöder. Du kan också ange om kontot kan delegeras och ange om eller när kontot ska upphöra att gälla. Den här fliken innehåller följande inställningar:

• Användarens inloggningsnamn, inklusive användarens inloggningsdomän
• Användarens inloggningsnamn (pre-Windows 2000)
• Inloggningstider
• Logga in på
• Låsa upp konto
• Användaren måste ändra lösenordet vid nästa inloggning
• Användaren kan inte ändra lösenord
• Lösenordet löper aldrig ut
• Lagra lösenord med reversibel kryptering
• Kontot är inaktiverat
• Smartkort krävs för interaktiv inloggning
• Kontot är känsligt och kan inte delegeras
• Använd endast Kerberos DES-krypteringstyper för det här kontot
• Det här kontot stöder Kerberos AES 128-bitarskryptering
• Det här kontot stöder Kerberos AES 256-bitarskryptering
• Kräv inte Kerberos-förautentisering
• Kontot upphör att gälla

Profil

På fliken Profil på sidan egenskaper för användarkonton kan du konfigurera information för roamande profil, inloggningsskript och inställningar för hemkatalog. Den här fliken innehåller följande fält:

• Profilsökväg
• Inloggningsskript
• Hemkatalog

Telefoner

På fliken Telefoner på sidan med användarkontoegenskaper kan du lagra telefonnummerinformation med ett användarkonto. Den innehåller följande fält:

• Startsida
• Personsökare
• Mobil
• Faxmaskin
• IP-telefon
• Noteringar

Organisation

På fliken Organisation på sidan egenskaper för användarkonton kan du lagra information om en användare, inklusive jobbtitel och avdelning. Du kan också använda den här fliken för att ange en chef och se vilka användarkonton som visas som direktrapporter. Den här fliken innehåller följande fält:

• Befattning
• Avdelning
• Företag
• Chef
• Direktrapporter

Profil för fjärrskrivbordstjänster

På fliken Tjänstprofil för fjärrskrivbord på sidan för användarkontoegenskaper kan du konfigurera en användarprofil för fjärrskrivbordstjänsten. Den här fliken innehåller följande inställningar:

• Sökväg för användarprofil för fjärrskrivbordstjänster
• Hemmapp för Fjärrskrivbordstjänster
• Neka användaren behörighet att logga in på värdservern för fjärrskrivbordssession

COM+

På fliken COM+ på sidan för användarkontoegenskaper kan du ange vilken COM+-partitionsuppsättning som ett användarkonto är associerat med.

Attributredigeraren

På fliken Attributredigerare på sidan för användarkontoegenskaper kan du redigera varje kontoattribut direkt. Attributredigeraren visar även attribut som inte exponeras via användaregenskapernas sidgränssnitt.

Säkerhet

På fliken Säkerhet på sidan med användarkontoegenskaper kan du se de säkerhetsbehörigheter som gäller för kontot. Genom att välja knappen Avancerat kan du även konfigurera granskning av användningen av dessa behörigheter.

Miljö

På fliken Miljö på sidan för användarkontoegenskaper kan du konfigurera specifika program för att börja logga in i miljön Fjärrskrivbordstjänster och om du vill ansluta klientenheter, skrivare och huvudklientskrivaren vid inloggning.

Sessioner

På fliken Sessioner på sidan egenskaper för användarkonto kan du konfigurera timeout- och återanslutningsinställningar för Fjärrskrivbordstjänster. Du kan konfigurera följande inställningar på den här fliken:

• Avsluta en frånkopplad session
• Gräns för aktiv session
• Gräns för inaktiv session
• Vilken åtgärd som ska vidtas när en sessionsgräns nås eller om anslutningen bryts
• Om du vill tillåta återanslutning från en klient eller endast den ursprungliga klienten

Fjärrkontroll

På fliken Fjärrstyrning på sidan för användarkontoegenskaper kan du konfigurera fjärrskrivbordstjänsters fjärrstyrningsinställningar. Den här fliken innehåller följande fält:

• Aktivera fjärrstyrning
• Kräv användarens behörighet
• Kontrollnivå (visa/interagera)

Publicerade certifikat

Fliken Publicerade certifikat på sidan egenskaper för användarkontot visar alla X509-certifikat som publicerats för användarkontot och lagras i Active Directory.

Medlem av

På fliken Medlem på sidan med användarkontoegenskaper kan du lägga till eller ta bort medlemskap i säkerhetsgrupper.

Replikering av lösenord

På fliken Lösenordsreplikering på sidan för användarkontoegenskaper kan du ange vilka skrivskyddade domänkontrollanter som lagrar cachelagrade kopior av användarkontots lösenord.

Uppringning

På fliken Uppringning på sidan med användarkontoegenskaper kan du konfigurera följande nätverksåtkomstbehörigheter för nätverkspolicyservern:

• Tillåt åtkomst
• Neka åtkomst
• Styr åtkomst med NPS-nätverkspolicy
• Kontrollera Caller-ID
• Inget återanrop
• Inställd av uppringare
• Alltid återkomma till
• Tilldela statiska IP-adresser
• Tillämpa statiska vägar

Objekt

På fliken Objekt på sidan egenskaper för användarkonto kan du visa information om objektet för säkerhetsobjektet och konfigurera inställningen Skydda objekt från oavsiktlig borttagning .