You are on page 1of 96


Module 3: Managing Users and Service Accounts

Module 3: Managing Users and Service Accounts
Contents: Lesson 1: Lab A: Lesson 2: Lab B: Lesson 3: Lab C: Lesson 4: Lab D: Create and Administer User Accounts Create and Administer User Accounts Configure User Object Attributes Configure User Object Attributes Automate User Account Creation Automate User Account Creation Create and Configure Managed Service Accounts Create and Configure Managed Service Accounts

Module Overview



Module 3: Managing Users and Service Accounts

In this module, you will learn to create and support user accounts. User accounts stored in Active Directory® Domain Services (AD DS) are the fundamental components of identity. Because of their importance, knowledge of user accounts and the tasks related to supporting them are critical aspects in administering the accounts successfully in a 2/96


Module 3: Managing Users and Service Accounts

Windows® enterprise. Managing an enterprise network brings with it a unique set of challenges related to user management. Employees are hired, moved, married, and divorced, and many eventually leave the organization. At times, employees forget their passwords or lock out their accounts by logging on incorrectly. Administrators must respond to all these events, and your ability to work effectively with user accounts can make a big difference in your overall productivity. This module begins with a discussion of options for creating user accounts by using the Active Directory Users and Computers snap­in and Windows PowerShell®. This module also introduces several options for automating the creation of users. Of course, creating a user is only the first step in the life cycle of a user in a domain. After creating the user, you must configure attributes that define both the properties of the security principal (the “account”) and properties that define and manage the user. You must 3/96

• Configure the account­related properties of a user object. • Create and administer managed service accounts. You must be able to move the user between organizational units (OUs).com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 4/96 . Lesson 1: Create and Administer User Accounts https://skillpipe.07/06/13 Module 3: Managing Users and Service Accounts also know how and when to administer the account—to perform password resets and to unlock the account. you will be able to: • Create and administer user accounts. for example.courseware-marketplace. deprovision the account by disabling or deleting it. Objectives After completing this module. This module will cover the procedures used to support a user object through its life cycle—procedures you can perform by using both the Windows interface and the command­line or automation tools. and eventually. • Automate the creation of user accounts.

 and secure processes regarding the administration of user accounts are therefore the cornerstone of enterprise security management. including password https://skillpipe.courseware-marketplace. Objectives After completing this lesson.07/06/13 Module 3: Managing Users and Service Accounts A user account is the cornerstone of identity and access (IDA) in AD 5/96 . you will be able to: • Create and configure the account­related properties of a user object. • Identify the purpose and requirements of user account attributes. efficient. • Perform common administrative tasks to support user accounts. Consistent.

 Active Directory user objects include numerous attributes that are either only indirectly related to the https://skillpipe. when you look closely.07/06/13 Module 3: Managing Users and Service Accounts reset and account unlock. • Enable and disable user 6/96 . and rename user accounts. • Delete. and perhaps the security identifier (SID)) is just a subset of attributes of a user object. However. User Account User objects are often referred to as user accounts. move. password. what you think of as an “account” (the user name.

 both sets of activities are subject to the logon rights. the generation of the security token that includes the user’s SID. User accounts—the actual “account” attributes of the user object—enable authentication. A domain user account enables logon to any computer in the domain. A user account can be created and stored in Active Directory. and manager properties). https://skillpipe.courseware-marketplace. and access to resources throughout the domain. Of course. which is the logon process during which the identity of the user is validated by comparing the user’s logon name and password. the account SID is compared with permissions on resources that the user attempts to access.07/06/13 Module 3: Managing Users and Service Accounts account (such as the profile path property). or are attributes of the human being whom the account represents (such as the email address. after the user logs on. 7/96 . and the mechanism through which permissions in an access control list (ACL) are compared to the SIDs in the token to determine the level of access to a resource. phone number. Note Module 1 described the logon process.

 enabling local logon and access to local resources. The New­ADUser command creates a user object and accepts parameters that specify properties of the user. beyond the scope of this course.07/06/13 Module 3: Managing Users and Service Accounts privileges. Local user accounts are. and permissions assigned to the account. Although Active Directory accounts are the focus of this course. Create Users with Windows PowerShell Use the Active Directory Module for Windows PowerShell to create objects in Active Directory.courseware-marketplace. The following command shows the basic https://skillpipe. accounts can also be stored in the local security accounts manager (SAM) database. for the most 8/96 .

New­ADUser accepts a number of parameters that specify properties of the user object. The ­ChangePasswordAtLogon parameter specifies that the user must change the password at next logon. N e w A D U s e r– N a m e“ A m yS t r a n d e ”– S a m A c c o u n t N a m e" A m y S ”https://skillpipe.07/06/13 Module 3: Managing Users and Service Accounts parameters required to create a user 9/96 . If it is set to Read­Host –AsSecurestring “AccountPassword”. N e w A D U s e r– N a m e< s t r i n g >– S a m A c c o u n t N a m e< p r e W i n d o w s2 0 0 0 l o g o nn a m e >A c c o u n t P a s s w o r d( R e a d H o s t– A s S e c u r e s t r i n g “ A c c o u n t P a s s w o r d ” )– E n a b l e d$ t r u e– C h a n g e P a s s w o r d A t L o g o n $ t r u e The ­AccountPassword parameter specifies the password. The following command creates a user with some of the more important fields populated. you are prompted for a user password.courseware-marketplace.

 for example.courseware-marketplace. and ­ Company. ­ProfilePath. D C = C o n t o s o .I T "– C h a n g e P a s s w o r d A t L o g o n$ t r u e Most parameter names are self­explanatory: ­ 10/96 . Type Get­Help New­ADuser ­detailed or search the Windows Server® 2008 Help And Support Center for comprehensive documentation of the New­ADUser parameters.D C = C o m ’D e s c r i p t i o n" V i c eP r e s i d e n t . Demonstration: Create a User Object https://skillpipe.07/06/13 Module 3: Managing Users and Service Accounts G i v e n N a m e“ A m y ”– S u r n a m e“ S t r a n d e ”– D i s p l a y N a m e“ A m y S t r a n d e ”– A c c o u n t P a s s w o r d( C o n v e r t T o S e c u r e S t r i n g– A s P l a i n T e x t“ P a $ $ w 0 r d ”– F o r c e )– E n a b l e d$ t r u e– P a t h‘ O U = I T .

 which serve as the logon credentials for a user. A user object also includes several other attributes that describe and manage the user. To create a user object by using Active Directory Users or Computers.07/06/13 Module 3: Managing Users and Service Accounts A user object. perform the following steps: 1. You can use either the Active Directory Users or Computers console. includes the user name and password. or Active Directory Administrative Center to create a user object. point to 11/96 https://skillpipe. often referred to as a user . Right­click the OU or container in which you want to create the user.

 in fact. It must be unique within the container or OU. meant for the initials of a user’s middle name. 2. Make modifications to it if necessary. you will need to enter a unique name in the Full name field. type the user’s first name. The Full name field is populated automatically. the common name (CN) and display name properties. type the user’s last name.courseware-marketplace. https://skillpipe. Note that this property is. In the User logon name box. The CN of a user is the name displayed in the details pane of the snap­in. if you are creating a user object for a person with the same name as an existing user in the same OU or container. 6. 4.07/06/13 Module 3: Managing Users and Service Accounts New. and from the drop­down list. In the Initials 12/96 . Therefore. 5. 3. The Full name field is used to create several attributes of a user object. In the Last name box. select the UPN Suffix that will be appended to the user logon name following the @ symbol. not the initials of the user’s first and last name. type the user’s middle initial(s). and then click User. In the First name box. type the name that the user will log on with. most notably.

 However. Appropriate support staff can always https://skillpipe. often called the "downlevel" logon name. The DNS name of your Active Directory domain will always be available as a suffix and cannot be removed. certain applications may have other restrictions. 10. Enter an initial password for the user in the Password and Confirm password boxes. Active Directory Domains and Trusts. In the Active Directory database.07/06/13 Module 3: Managing Users and Service Accounts User names in Active Directory can contain some special characters (including periods. click Properties. 9.courseware-marketplace. Right­click the root of the snap­in. The list of available UPN suffixes can be managed by using the Active Directory Domains and Trusts snap­ 13/96 . and use the UPN Suffixes tab to add or remove suffixes. 7. We recommend that you always select this option so that the user can create a new password unknown to the IT staff. the name for this attribute is sAMAccountName. which let you generate accurate user names such as O’Hare and Smith­Bates. Select User must change password at next logon. 8. hyphens. In the User logon name (pre­Windows 2000) box. enter the pre­Windows 2000 logon name. so we recommend that you use only standard letters and numerals until you have fully tested the applications in your enterprise for compatibility with special characters in logon names. Click Next. and apostrophes).

12. 3. 11. Review the summary and then click Finish. Click Next. and then click Properties. Name Attributes https://skillpipe. However. a user object in Active Directory supports dozens of additional properties. 1. These can be configured after the object has been created. But only users should know their passwords on a day­to­day basis.07/06/13 Module 3: Managing Users and Service Accounts reset the user’s password at a future date if they need to log on as the user or access the user’s resources. such as name and password settings. The New Object – User interface allows you to configure a limited number of account­related properties. 2. Configure user 14/96 . Right­click the user object you created. Click OK.courseware-marketplace.

 Email addresses. It is important to understand the distinctions between them. It is also sometimes called the samid. behind the scenes. Consider using email addresses as UPNs. certainly meet that requirement.07/06/13 Module 3: Managing Users and Service Accounts There are several attributes related to the name of a user object and an account. • The User logon name is the userPrincipalName (UPN) attribute.courseware-marketplace. • A user’s User logon name (pre­Windows 2000) is. If your Active Directory https://skillpipe. which must be unique for the whole world. The UPN consists of a logon name and a UPN suffix which is. the DNS name of the domain in which you create the object. The UPN must be unique for the entire forest. the sAMAccountName attribute. by 15/96 . It must be unique for the entire domain.

 There is no requirement for uniqueness of the displayName attribute. which is shown in the first column in the details pane of the Active Directory Users and Computers snap­in. Therefore.07/06/13 Module 3: Managing Users and Service Accounts domain name is not the same as your email domain name. It must be unique in the 16/96 . stored as the cn attribute. • The display name is the displayName attribute that appears in the Microsoft® Exchange global address list (GAL). Question: What do you do in your organization to ensure the uniqueness of name attributes. and then click Properties. The Name field is actually the common name (CN). To do this. including the New Object–User dialog box. • The Name of a user. the distinguishedName attribute. which must be unique within the forest.courseware-marketplace. open the Active Directory Domains and Trusts snap­in. FirstName syntax. you can create a naming convention for your organization that specifies that the displayName attribute takes the LastName. although it is certainly easier to locate users in the GAL if each has a unique display name. right­click the root of the snap­in. The cn must be unique in the OU because it is the first element of the distinguished name (DN). It can be easier to locate users in the GAL if they are sorted by last name. and what naming conventions do you use? https://skillpipe. you must add the email domain name as an available UPN suffix. This name is also presented as Full Name in some interfaces.

Property Logon Hours Description Click Logon Hours to configure the hours during which a user is allowed to log on to the network. https://skillpipe.07/06/13 Module 3: Managing Users and Service Accounts Account Attributes On the Account tab of a user’s Properties dialog box. you can find the attributes that are directly related to the fact that a user is a security principal. The following table summarizes the account 17/96 .courseware-marketplace. meaning that it is an identity to which permissions and rights can be assigned.

User Cannot Change Password Select this check box if you have more than one person using the same domain user account (such as Guest) or to maintain control over user account 18/96 . User Must Change Password At Next Logon Select this check box if you want the user to change the password you have entered the first time he or she logs on.07/06/13 Module 3: Managing Users and Service Accounts Log On To Click Log On To if you want to limit the workstations to which the user can log on. exists to support applications that require knowledge of the user password. which stores the password in Active Directory without using its powerful. If it is not absolutely required. This is called Computer Restrictions in other parts of the user interface and corresponds to the userWorkstations attribute. You cannot select this option if you have selected User Must Change Password At Next Logon. You must have NetBIOS over TCP/IP enabled to use this feature. This option will automatically clear the User Must Change Password At Next  Logon setting. Account Is Disabled Select this check box to disable the user —account—for example. Selecting this option will automatically clear the mutually exclusive User Cannot Change Password option. Store Password Using Reversible Encryption This option. when  creating an object for a newly hired employee who does not yet need access to the network. You cannot select this option if you have selected Password Never Expires. do not enable this option because it weakens https://skillpipe. This option is commonly used to manage service account passwords. This option is commonly used to manage service account passwords. because it uses the computer name rather than the Media Access Control (MAC) address of its network card to restrict logon. Password Never Expires Select this check box if you never want the password to expire. because the two are mutually exclusive. nonreversible encryption hashing algorithm.

 and they provide an additional. physical identification component to the authentication process.courseware-marketplace. Account Expires Use the Account Expires controls to specify when an account expires. User Account Management 19/96 . Account Is Trusted For Delegation This option enables a service account to impersonate a user to access network resources on behalf of a user. Passwords stored by using reversible encryption are similar to those stored as plaintext. It is used more often for service accounts in three­tier (or multitier) application infrastructures. certainly not for a user object representing a human being. or inserted into. a system.07/06/13 Module 3: Managing Users and Service Accounts password security significantly. They are attached to. Smart Card Is Required For Interactive Logon Smart cards are portable. This option is not typically selected. tamper­resistant hardware devices that store unique identification information for a user.

 there are a number of tasks that you perform that are considered “Account Management” tasks.courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts After you have created a user account. These tasks may include the following: • Renaming a user account • Resetting a user password • Unlocking a user account • Disabling or enabling a user account • Moving a user account 20/96 .

The Rename User dialog box appears and prompts you to enter additional name attributes. Right­click the user. 5. If the user forgets his or her password and attempts to log on. Type the Display name. Type the new common name (CN) for the user. To rename a user in the Active Directory Users and Computers snap­in. perform the following steps: 1. there can be one or more attributes you must change. Type the User logon name and User logon name (pre­Windows 2000).07/06/13 Module 3: Managing Users and Service Accounts • Deleting a user account Renaming a User Account When a user account needs to be renamed. 4. Type the Full name (which corresponds to the cn and name attributes) Type the First name and Last name. he or she will receive https://skillpipe. and then click Rename. 3. 21/96 .courseware-marketplace. 6. and press Enter.

Communicate the temporary password to the user in a secure manner. You can also use the Set­ADAccountPassword PowerShell command to reset a user’s password. 3. Select the User Must Change Password At Next Logon check box. unique. and then click Reset Password. It is a best practice to force the user to change the password at the next 22/96 . https://skillpipe. Before the user can log on successfully. 5. Enter the new password in both the New Password and Confirm Password boxes. strong password for the user.courseware-marketplace. For example. so that the user creates a password known only by the user. you will have to reset the password. To reset a user's password in the Active Directory Users and Computers snap­in: 1. Click OK. the following command will reset Amy Strande’s password. The Reset Password dialog box appears. It is a best practice to assign a temporary.07/06/13 Module 3: Managing Users and Service Accounts a logon message. You do not need to know the user’s old password to do so. Right­click the user object. 2. 4.

 a logon failure is generated. d c = c o n t o s o . To unlock a user account in the Active Directory Users and Computers snap­in.o u = I T . When a user attempts to log on with an incorrect password. Note You will learn to configure account lockout policies in Module 10. the account is locked out. Your lockout policy can define a period of time after which a lockout account is automatically 23/96 . When too many logon failures occur within a specified period of time. A lockout policy is designed to prevent an intruder from attempting to penetrate the enterprise network by logging on repeatedly with various passwords until he or she finds a correct password.07/06/13 Module 3: Managing Users and Service Accounts S e t A D A c c o u n t P a s s w o r d– i d e n t i t y‘ c n = a m ys t r a n d .courseware-marketplace. defined by the lockout policy.d c = c o m ’– R e s e t–N e w P a s s w o r d( C o n v e r t T o S e c u r e S t r i n g– A s P l a i n T e x t“ P a $ $ w 0 r d 2 ”– F o r c e ) Unlocking a User Account An Active Directory domain supports account lockout policies. perform the following steps: https://skillpipe. But when a user is trying to log on and discovers that he or she is locked out. The next time the user attempts to log on. a notification clearly states the account lockout. it is likely he or she will contact the help desk for support.

Windows Server 2008 also provides the option to unlock a user’s account when you choose the Reset Password command. Right­click the user object. Watch for drives mapped with alternate credentials: A common cause of account lockout is a drive mapped with alternate credentials. select the Unlock the user’s account check box. 3. and then click Properties.courseware-marketplace. perform the following step: • In the Reset Password dialog 24/96 . in fact. To unlock a user account while resetting the user's password. You can now assign a new password. and unlock the user’s account in one dialog box. Select the Unlock Account check box. forget the password. specify that the user must change the password at next logon. Click the Account tab. This method is particularly handy when a user’s account is locked out because the user did. 2. and the Windows client attempts repeatedly to connect to the drive. that account will be https://skillpipe.07/06/13 Module 3: Managing Users and Service Accounts 1. If the password is changed.

 Therefore. it is important not to leave user accounts open. U n l o c k A D A c c o u n t– i d e n t i t y‘ c n = a m ys t r a n d . d c = c o n t o s o . https://skillpipe. disable the account. Each user is a member of Domain Users and of the Authenticated Users special identity. you can use the following command.courseware-marketplace. That means you should configure password policies and auditing—both discussed in other modules­­and procedures to ensure that accounts are being used appropriately.07/06/13 Module 3: Managing Users and Service Accounts locked out. By default. each user account has at least read access to the information stored in Active Directory. or if an employee will be absent for an extended period of time.d c = c o m ’ Disabling and Enabling User Accounts User accounts are security principals that can be given access to network resources. If a user account is provisioned before it is 25/96 . To disable an account in the Active Directory Users and Computers snap­in: • Right­click a user and then click Disable Account. To unlock a user account by using Windows PowerShell.o u = I T .

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 26/96 . and then click Move. Click the folder to which you want to move the user account.07/06/13 Module 3: Managing Users and Service Accounts If an account is already disabled. and then click OK. the Enable Account command will appear when you right­click the user. To disable or enable a user account with Windows PowerShell. you can drag the user object to the destination OU. • Enable­ADAccount –identity <name> • Disable­ADAccount –identity <name> Moving a User Account To move a user object in the Active Directory Users and Computers snap­in. Alternatively.courseware-marketplace. perform the following steps: 1. https://skillpipe. 2. you can delete it from your directory. Right­click the user. use the following cmdlets. Deleting a User Account When an account is no longer necessary.

 perform the following steps: 1.courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts To delete a user account in Active Directory Users and Computers. and then click Delete. Lab A: Create and Administer User Accounts https://skillpipe. Confirm the prompt. 27/96 . You are prompted to confirm your choice because of the significant implications of deleting a security principal. Select the user and press Delete; or right­click the user.

 click 6425C­NYC­DC1. point to Administrative Tools. 8. and in the Actions pane. In the Actions pane. Open Windows Explorer and then browse to D:\Labfiles\Lab03a. .courseware-marketplace. Run Lab03a_Setup. In Hyper­V™ Manager. 6. 3. Close the Windows Explorer window. you will use the available virtual machine environment. The lab setup script runs.Coleman_Admin with the password Pa$$w0rd.Coleman • Password: Pa$$w0rd • Domain: Contoso 5. Log on by using the following credentials: • User name: Pat. you must complete the following steps: 1. 28/96 https://skillpipe. Lab03a. click Connect. When it is complete. click Start. On the host computer. click Start. press any key to continue. Before you begin the lab. 7.07/06/13 Module 3: Managing Users and Service Accounts Lab Setup For this lab. Use the account Pat. and then click Hyper­V Manager. 2. Wait until the virtual machine starts.bat with administrative credentials.

 Chris Mayo leaves the organization. an online university for adult education. Task 1: Create a user account with Active Directory Users and Computers. https://skillpipe.. Pat. You must create accounts for these users. Run Active Directory Users and Computers with administrative credentials.Coleman_Admin. The main tasks for this exercise are as follows: 1. Pa$$w0rd.07/06/13 Module 3: Managing Users and Service Accounts Lab Scenario You are the administrator of Contoso. After some time.courseware-marketplace. Create a user account with Windows PowerShell. you will create user accounts with both the Active Directory Users and Computers snap­in and Windows PowerShell. Create a user account with Active Directory Users and Computers. 1. and his account must be administered according to the company policy for user account life­cycle management. Ltd. 2. Use the 29/96 . Exercise 1: Create User Accounts In this exercise. Two new employees have been hired: Chris Mayo and Amy Strande. with the password.

 Use the account. create a user account for Amy Strande in the Employees OU.Mayo • Password: Pa$$w0rd • Specify that the user must change the password at the next logon Task 2: Create a user account with Windows PowerShell. with the password. At the PS prompt. Create a user account for Chris Mayo in the Employees OU. Pat. Pa$$w0rd.Coleman_Admin. • First Name: Chris • Last Name: Mayo • User Logon Name: 30/96 .07/06/13 Module 3: Managing Users and Service Accounts 2. Run the Active Directory Module for Windows PowerShell with administrative credentials.Mayo • User Logon Name (Pre­Windows 2000): Chris. 1.Strande • First Name: Amy • Last Name: Strande https://skillpipe. 2.courseware-marketplace. • SamAccountName: Amy.

 in the Employees OU. you will perform common tasks that support user accounts through their life cycle in Active Directory. Administer a user account.Strande@contoso. • Display Name: Strande. Amy • Description: Research Assistant 3. Exercise 2: Administer User Accounts In this exercise.courseware-marketplace. Administer the life cycle of a user account.07/06/13 Module 3: Managing Users and Service Accounts • User Principal Name: 31/96 . Results: In this exercise. The main tasks for this exercise are as follows: 1. https://skillpipe. you created user accounts named. In Active Directory Users and Computers. open the properties of the user account you just created and confirm that the attributes were set correctly. Chris Mayo and Amy Strande.

Which commands can you use in Windows PowerShell to reset the password. and enable the account? Task 2: Administer the life cycle of a user account. The user account for Amy Strande is currently disabled because no password was specified by using the PowerShell command. and specify that she must change the password at the next logon. In Active Directory Users and Computers.07/06/13 Module 3: Managing Users and Service Accounts Task 1: Administer a user account. 3. 2. Ltd. specify that the password must be changed at the next logon. What parameter should you have used with PowerShell to specify a password? In Active Directory Users and Computers. reset the password for Amy Strande to Pa$$w0rd. 4. The Contoso. enable Amy Strande's user account.courseware-marketplace. 32/96 . policy for the life cycle management of a user account states the following: https://skillpipe.

1. Delete the user account for Chris Mayo. the user's account must be deleted.courseware-marketplace. 14. Note Do not shut down the virtual machine after you finish this lab because the settings you have configured here will be used in Lab B. Results: In this exercise. you enabled Amy Strande's account and deleted Chris Mayo's account. including leave of absence. a disabled user account must be deleted. https://skillpipe. 33/96 . It has been 60 days since you disabled Chris Mayo and company procedures specify that after 60 days. Chris Mayo has left Contoso.07/06/13 Module 3: Managing Users and Service Accounts • When a user leaves the organization for any reason. the user's account must be disabled immediately and moved to the Disabled Accounts OU. Disable his account and move it to the Disabled Accounts OU. • Sixty days after the termination of a user. Log off from NYC­DC1. Ltd.

 which attribute can be modified to prompt for the password when you are creating a user account with Windows PowerShell? Question: What happens when you create a user account that has a password that does not meet the requirements of the domain? Lesson 2: Configure User Object Attributes 34/96 .courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts Lab Review Questions Question: In this lab.

07/06/13 Module 3: Managing Users and Service Accounts A user object in Active Directory is far more than just a handful of properties related to the user's security 35/96 . Objectives After completing this lesson. you will explore many of the more useful attributes of user objects. and you will learn how to administer these attributes for one or more users. you will be able to: • View and modify hidden attributes of user objects. or account. A user object includes attributes that describe the individual and his or her relationship with the organization. and the contact information and configuration of the user's experience on his or her computer. In this lesson.courseware-marketplace. https://skillpipe.

courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts • Identify the purpose and requirements of user object attributes. https://skillpipe. • Modify the attributes of multiple users. A Tour of User Attributes When you create a user with the New Object – User Wizard of the Active Directory Users and Computers snap­ 36/96 . you are prompted for some common properties. • Create users from user account templates. simultaneously. • Manage user attributes from Windows PowerShell.

 however. A user object in Active Directory. supports dozens of additional properties that you can configure at any time with the Active Directory Users and Computers snap­in. The attributes of a user object fall into several broad categories that appear on tabs of the dialog box. 37/96 . https://skillpipe. right­click the user.courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts including logon names. To read and modify the attributes of a user object. and the user’s first name and last name. and then click Properties.

 and Organization tabs. and organizational relationships. and account flags.07/06/13 Module 3: Managing Users and Service Accounts • Account attributes: The Account tab. passwords. Here. Group memberships and the primary group will be discussed in another module. Sessions. These properties include logon names. • Remote access: The Dial­in tab. groups and change the user’s primary group. The General tab contains the name properties that are configured when you create a user object. logon script. You can add the user to. which corresponds to the info attribute and is a very useful general­purpose text field that is underused by many enterprises. and home folder. you can configure the user’s profile path. along with the basic description and contact information. company. You can enable and configure remote access https://skillpipe. These tabs enable you to configure and manage the user’s experience when the user is connected to a Remote Desktop Services session. The Organization tab shows the job title. and remove the user from. Environment. • User configuration management: The Profile tab. department. • Remote Desktop Services: The Remote Desktop Services 38/96 . Telephones. Remote control. • Personal information: The General. Address. • Group membership: The Member Of tab. Many of these attributes can be configured when you create a new user with the Active Directory Users and Computers snap­in. The Account Properties section details the account attributes. The Address and Telephones tabs provide detailed contact information. The Telephones tab is also where Microsoft chose to put the Notes field. and Personal Virtual Desktop tabs.courseware-marketplace.

07/06/13 Module 3: Managing Users and Service Accounts permission for a user on the Dial­in tab. View All Attributes The Attribute Editor tab allows you to view and edit all attributes of a user 39/96 . The Attribute Editor tab is not visible until you enable Advanced Features from the View menu of the Microsoft Management Console (MMC). This tab enables you to assign the user to an Active Directory COM+ partition set. • Applications: The COM+ tab. This feature facilitates the management of distributed applications. https://skillpipe.courseware-marketplace.

https://skillpipe. This attribute is a list of the security identifiers (SIDs) of all the groups to which the user belongs. Instead. the attribute is not stored as part of the user object or dynamically maintained. They also cannot be used in Lightweight Directory Access Protocol (LDAP) queries. The easiest way to understand backlinks is to look at an example: the memberOf attribute. Backlinks are attributes that result from references to the object from other objects. Therefore. The Filter button enables you to choose to see even more attributes.07/06/13 Module 3: Managing Users and Service Accounts The Attribute Editor displays all the system attributes of the selected object. including nested groups. You do not ever write directly to the user’s memberOf attribute—it is dynamically maintained by Active 40/96 . A user’s memberOf attribute is updated automatically by Active Directory when the user is referred to by a group’s member attribute. the Attribute Editor tab does not display them by default. When a user is added to a group. it is calculated when needed. the member attribute of a group is called a forward link attribute.courseware-marketplace. Therefore. Because of the processing required to produce constructed attributes. which takes a few processor cycles. Active Directory must calculate the effective membership of the user. it is the group’s member attribute that is changed: The distinguished name of the user is added to this multivalued attribute. An example is the tokenGroups attribute. including backlinks and constructed attributes. A constructed attribute is one of the results from a calculation performed by Active Directory. To determine the value of tokenGroups.

Select several user objects by holding the CTRL key as you click each .07/06/13 Module 3: Managing Users and Service Accounts Question: Are you using any of the hidden attributes in your organization? If so. how do you read and modify those attributes? Modify Attributes of Multiple Users The Active Directory Users and Computers snap­in enables you to modify the properties of multiple user objects simultaneously. To modify attributes of multiple users in the Active Directory Users and Computers snap­in: 1. or by 41/96 https://skillpipe.


Module 3: Managing Users and Service Accounts

using any other multiselection technique. Be certain that you select only objects of one class, such as users. 2. After you have multiselected the objects, right­click any one of them, and then click Properties.

When you have multiselected the user objects, a subset of properties is available for modification: • General: Description, Office, Telephone Number, Fax, Web page, and E­mail • Account: UPN suffix, Logon hours, Computer restrictions (logon workstations), all Account options, and Account expires • Address: Street, P.O. Box, City, State/province, ZIP/Postal Code, and Country/region • Profile: Profile path, Logon script, and Home folder • Organization: Job Title, Department, Company, and Manager

Modify User Attributes by Using Windows PowerShell



Module 3: Managing Users and Service Accounts

The Get­ADUser and the Set­ADuser cmdlets can both be used to modify one or more user objects. For example, you can use the Get­ADUser cmdlet to specify an existing user (or multiple users) and then pipe the results to the Set­ADuser cmdlet to modify attributes. The syntax is shown as follows.

G e t A D U s e rU s e r N a m e|S e t A D U s e r[ p a r a m e t e rv a l u e … ]

The UserName placeholder specifies the distinguished name of the user that will be 43/96


Module 3: Managing Users and Service Accounts

modified. The Set­ADUser parameters indicate the attributes to change and the new values. For example, the following command changes the office attribute of Tony Krijnen.

G e t A D U s e rT o n y . K r i j n e n|S e t A D U s e r– o f f i c e" S t o c k h o l m "

Modifying attributes for Several Users at Once
You can use the Get­ADUser cmdlet to view several users, based upon specific criteria. To perform this task, you need to provide a filter parameter as follows.

G e t A D U s e r– F i l t e r‘ N a m e– l i k e“ * ” ’– S e a r c h B a s e “ O U = P r o d u c t i o n ,D C = C o n t o s o ,D C = C o m ”

This command displays all users (indicated as an asterisk *) in the Production OU. You can then pipe this information to the Set­ADUser cmdlet to modify the attributes as follows.

G e t A D U s e r– F i l t e r‘ N a m e– l i k e“ * ” ’– S e a r c h B a s e “ O U = P r o d u c t i o n ,D C = C o n t o s o ,D C = C o m ” | S e t -A D u s e r– D e p a r t m e n t 44/96

 For example. Demonstration: Create a User Template Users in a domain often share many similar properties. refer to the additional reading links in the student companion 45/96 .courseware-marketplace.L t d ” This command modifies the department and company attributes for all users located in the Production OU.07/06/13 Module 3: Managing Users and Service Accounts “ P r o d u c t i o n ”– C o m p a n y“ C o n t o s o . For a list of parameters that you can set by using the Set­ADuser cmdlet. all sales https://skillpipe.

 and roaming profile path. When you create a new user. and have home folders and roaming profiles stored on the same server. you can create a template account for sales . logon hours. For example. a home folder. rather than create a blank account and populate each property.courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts representatives can belong to the same security groups. To create a user account template. set the full name to begin with an underscore (_). Windows has supported the concept of user account templates. A user account template is a generic user account prepopulated with common properties. Create a user account and prepopulate appropriate attributes. as in _Sales User. For example. you can simply copy an existing user account. The underscore will cause all templates to appear at the top of the list of users in an OU. 2. which is preconfigured with group memberships.0. 46/96 https://skillpipe. log on to the network during similar hours. Tip Use a naming standard that makes templates easy to find. Since the days of Windows NT 4. Disable the template user account. perform the following steps: 1.

 type the user's first name. In the First name box. To create a user based on the template. 5. type the user's password. and then select the appropriate user principal name (UPN) suffix in the drop­down list. . Right­click the template user account. type the user's last name. 4. and then click Copy. In the Last name box. 3. 8. Modify the Full name value if necessary. 7. In the Password box and the Confirm password box. In the User logon name (pre­Windows 2000) box. In the User logon name box. so ensure that you disable the account.courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts The template account itself should not be used to log on to the network. Select the appropriate password options. type the user logon name. Click Next. perform the following steps: 1. 47/96 https://skillpipe. type the user's pre­ Windows 2000 user name. 2. 9. The Copy Object – User Wizard appears.

 It is not useful to configure any other attributes in the template. • General tab. The following list summarizes the attributes that are copied. clear Account is disabled to enable the new 48/96 .07/06/13 Module 3: Managing Users and Service Accounts 10. Create Users with Templates It is important to realize that not all attributes are copied.courseware-marketplace. If the user account from which the new user account was copied was disabled. https://skillpipe. because they will not be copied. No properties are copied from the General tab.

 company. Question: What other methods do you use to create new user accounts with common attributes? Lab B: Configure User Object Attributes https://skillpipe. division. • Organization tab.courseware-marketplace. • Account tab. • Member Of tab. Department. and employee type.07/06/13 Module 3: Managing Users and Service Accounts • Address tab. Group membership and primary group are copied. • Profile tab. Profile path. 49/96 . account options. These attributes include assistant. and home folder path are copied. city. logon script. and account expiration are copied. ZIP or postal code.O. Logon hours. state or province. home drive. box. logon workstations. Note that the street address itself is not copied. and manager are copied. and country or region are copied. Note There are other attributes that are copied that are not even visible in the user Properties dialog box.

 click Start. point to Administrative Tools.courseware-marketplace. Wait until the virtual machine starts. click Start. Before you begin the lab. 50/96 . and then click Hyper­V Manager. click Connect. you will use the available virtual machine environment. On the host computer. 3. and in the Actions pane. click 6425C­NYC­DC1. In Hyper­V® Manager. https://skillpipe. you must complete the following steps: 1. In the Actions pane.07/06/13 Module 3: Managing Users and Service Accounts Lab Setup For this lab.

8. press any key to continue.courseware-marketplace. Log on by using the following credentials: • User name: Pat. 6.Coleman • Password: Pa$$w0rd • Domain: Contoso 5. an online university for adult education.Coleman_Admin with the password Pa$$w0rd. Close the Windows Explorer window. Ltd. Use the account Pat. Lab03b. Exercise 1: Examine User Object Attributes https://skillpipe.07/06/13 Module 3: Managing Users and Service Accounts 4. Lab Scenario You are the administrator of Contoso.bat with administrative credentials. Changes in the Sales department require you to modify the attributes of Sales users. When it is complete. 7. Additionally. you decide to make it easier to create new accounts for sales people by preparing a user account template. The lab setup script runs. Open Windows Explorer and then browse to D:\Labfiles\ 51/96 .. Run Lab03b_Setup.

2. 2. The main tasks for this exercise are as follows: 1. you will examine the attributes of a user object. Pat. Run Active Directory Users and Computers with administrative credentials. Enable the Advanced Features view of the Active Directory Users and 52/96 https://skillpipe. Analyze the naming and display of user object attributes. Account and Organization tabs. Task 1: Explore the properties of an Active Directory user object. Pa$$w0rd. Use the account. 1. attributes have been configured on the General. with the password. Explore the properties of an Active Directory user object.07/06/13 Module 3: Managing Users and Service Accounts In this domain. Open the properties of Tony Krijnen in the Employees OU.courseware-marketplace. Explore all attributes of an Active Directory user object. 3. and then close the Properties dialog .Coleman_Admin. 1. Examine each of these tabs. 3. In this sample contoso. Task 2: Explore all attributes of an Active Directory user object. Address.

Properties dialog box  tab General General General General General General General Address Address First name Last name Display name Description Office Telephone number E­mail Street City                            53/96 Property name Attribute name as shown on the Attribute Editor tab . Examine the Attribute Editor tab of Tony Krijnen's Properties dialog box.courseware-marketplace. 2. identify the corresponding attribute name on the Attribute Editor tab. • For each of the following attributes in the Tony Krijnen Properties dialog box.07/06/13 Module 3: Managing Users and Service Accounts Computers snap­in. Task 3: Analyze the naming and display of user object attributes.

 you examined user object attributes. Use the Attribute Editor tab to answer the following questions.07/06/13 Module 3: Managing Users and Service Accounts Address Address Organization Organization Organization ZIP/Postal Code Country Job Title Department Company                Questions: 54/96 . which one? What about carLicense? • What is the distinguished name (DN) of Tony Krijnen's object? • What is Tony's UPN? On which other tab does the attribute appear. show up on a normal tab of the Properties dialog box? If so. • Does the employeeID attribute. https://skillpipe. and how is it labeled and displayed? 2. 3.courseware-marketplace. Why might the sn attribute be named sn? What is the use of the c attribute? Results: In this exercise. shown on the Attribute Editor tab.

07/06/13 Module 3: Managing Users and Service Accounts Exercise 2: Manage User Object Attributes In this exercise. 55/96 . Members of the task force are being relocated to Headquarters and will report directly to Ariane. you will manage the attributes of user objects.courseware-marketplace. 2. Modify the attributes of multiple user objects. Select the following users in the Employees OU: Adam Barr. https://skillpipe. Anav Silverman. A special Marketing task force has been established by Ariane Berthier. and András Tóth. Ajay Solanki. 1. Adrian Lannin. Allan Guinot. Manage user attributes from the command prompt. Task 1: Modify the attributes of multiple user objects. Configure the following properties for the users: • Office: Headquarters. the Vice President of Marketing. The main tasks for this exercise are as follows: 1. Ajay Manchepalli.

07/06/13 Module 3: Managing Users and Service Accounts • Description: Marketing Task Force. The Manager attribute is a linked attribute. Open the properties of Ariane Berthier and examine the Direct Reports. Pa$$w0rd. 3. The other side of the link is the Direct Reports attribute. After changing the attributes. 4. . Open the Active Directory Module for Windows PowerShell with administrative credentials. open the properties of Adam Barr and examine the attributes you just changed. 2. Task 2: Manage user attributes by using Windows PowerShell. with the password. • Manager: Ariane Berthier. Use the account. Pat.courseware-marketplace. Tip Users in the Marketing Task Force share a common Description property. Use Windows PowerShell to configure all Marketing Task Force members to have 56/96 https://skillpipe. 1. Use Windows PowerShell to list the e­mail addresses and description of all users in the Marketing Task Force.Coleman_Admin.

https://skillpipe. The main tasks for this exercise are as follows: 1. you managed user objects by using Active Directory Users and Computers and Windows PowerShell.07/06/13 Module 3: Managing Users and Service Accounts a home drive mapped to U: and a home directory mapped to \\NYC­ DC1\Taskforceusers\%UserName%. Create a new user account based on a template. Task 1: Create a user account template for Sales. Exercise 3: Create Users from a Template In this 57/96 .courseware-marketplace. Results: In this exercise. In Active Directory Users and Computers. 4. you will create a user account template and then generate a new user account based on that template. Create a user account template for Sales. 2. confirm that the changes you made were applied correctly by examining the properties of Adam Barr.

 create an account for a new sales person.courseware-marketplace. Ltd.Sales • Password: Pa$$w0rd • User must change password at next logon • Account is disabled • Member of: Sales • Department: Sales • Company: Contoso.07/06/13 Module 3: Managing Users and Service Accounts • In the Employees 58/96 . • In the Employees OU. • Manager: Anibal Sousa • Account Expires: Last day of the current year Task 2: Create a new user account based on a template. based on the https://skillpipe. create a template account for new sales people with the following properties: • First Name and Last Name: blank • Full Name: _Sales User (note the underscore at the beginning of the name) • User Logon Name: Template.

07/06/13 Module 3: Managing Users and Service Accounts _Sales User template. in the Employees OU.Young • Password: Pa$$w0rd • Account is enabled Results: In this exercise. The account should have the following properties: • First Name: Rob • Last Name: Young • User logon name: Rob. The account has all the attributes you configured for the _Sales User template.courseware-marketplace. Lab Review Questions Question: What methods have you learned for modifying attributes of new and existing users? Lesson 3: Automate User Account Creation https://skillpipe. you created a user account named. Rob 59/96 .

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 60/96 . you will be able to: • Export user attributes with CSVDE. In this lesson. you will learn several of these techniques. https://skillpipe. • Import users with CSVDE.courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts Although the procedures discussed in Lessons 1 and 2 can be applied to create a small number of users. Objectives After completing this lesson. you will need more advanced techniques to automate the creation of user accounts when a large number of users must be added to the domain.

Export Users with CSVDE CSVDE is a command­line tool that exports or imports Active Directory objects to or from a comma­delimited text file (also known as a comma­separated value text file.csv file). or .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 61/96 .courseware-marketplace. and opened with familiar tools such as Notepad and Microsoft Office Excel®.07/06/13 Module 3: Managing Users and Service Accounts • Import users with LDIFDE. • Import users with Windows PowerShell. Comma­delimited files can be created. https://skillpipe. modified.

 which you can do with the following four parameters: • ­d RootDN. The default is subtree. this command will export all objects in your Active Directory domain. You will work with a filter in the lab for this lesson.07/06/13 Module 3: Managing Users and Service Accounts The following is the basic syntax of the CSVDE command for export. The default is the domain itself. • ­l ListOfAttributes. Specifies the distinguished name of the container from which the export will begin. For more information. Filter is an LDAP query syntax. Specifies the scope of the search relative to the container specified by ­d. c s v d eff i l e n a m e However. Specifies the attributes that will be exported. Filters the objects returned within the scope configured by ­d and ­ 62/96 . separated by a comma. or subtree (this container and all subcontainers). SearchScope can be either base (this object only).com/fwlink/?LinkId=168752. The LDAP query syntax is beyond the scope of this course. onelevel (objects within this container). as in • ­p SearchScope. Use the LDAP name for each attribute.courseware-marketplace. see http://go. • ­r Filter. You will want to limit the scope of the export.

objectClass. s n . s A M A c c o u n t N a m e . as illustrated in the following example.givenName. D C = c o n t o s o .07/06/13 Module 3: Managing Users and Service Accounts ­l DN. c o m Import Users with CSVDE https://skillpipe. D N . u s e r . L i s a . a n d r e w s . u s e r . Each object follows. and must contain exactly the attributes listed on the first line. one per line. O U = U s e r A c c o u n t s . D C = c o n t o s o . O U = U s e r A c c o u n t s . J o n e s . l i s a . a n d r e w s @ c o n t o s o . D a v i d . D C = c o m " .userPrincipalName The output of a CSVDE export lists the LDAP attribute names on the first line. g i v e n N a m e . c o m " C N = L i s aA n d r e w s . A n d r e w s . d a v i d . o b j e c t C l a s s .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 63/96 . O U = E m p l o y e e s . u s e r P r i n c i p a l N a m e " C N = D a v i dJ o n e s . j o n e s .sAMAccountName. d a v i d . j o n e s @ c o n t o s o . l i s a .courseware-marketplace. D C = c o m " .sn. O U = E m p l o y e e s .

c s v d eiff i l e n a m ek The ­i parameter specifies import mode; without it.courseware-marketplace.csv file. the default mode of CSVDE is https://skillpipe. you will find that CSVDE is a powerful way to take advantage of that information to automate user account creation. The following is the basic syntax of the CSVDE command for 64/96 . If you have user information in existing Office Excel or Microsoft Office Access® databases.07/06/13 Module 3: Managing Users and Service Accounts CSVDE can also create user accounts by importing a .

 After you have reset the password. c o m " C N = L i s aA n d r e w s . last name and first name. u s e r . are configured by the file.courseware-marketplace. j o n e s @ c o n t o s o . the user account will be disabled initially. O U = E m p l o y e e s . you can enable the object. u s e r . O U = E m p l o y e e s . s n . c o m This file. a n d r e w s . D C = c o m " . a n d r e w s @ c o n t o s o . g i v e n N a m e . s A M A c c o u n t N a m e . O U = U s e r A c c o u n t s . D C = c o m " . o b j e c t C l a s s . l i s a . Each object follows. d a v i d . D a v i d . and must contain exactly the attributes listed on the first line. J o n e s . You cannot use the CSVDE to import passwords. will create a user object for Lisa Andrews in the Employees OU. O U = U s e r A c c o u n t s . D N . D C = c o n t o s o . one per line. when imported by the CSVDE command. a sample file will be as follows. l i s a . The user logon names.csv or . A n d r e w s . The ­f parameter identifies the file name to import from or export 65/96 . j o n e s . The ­k parameter is useful during import operations because it instructs CSVDE to ignore errors. including Object Already Exists The import file itself is a comma­delimited text file (. L i s a .07/06/13 Module 3: Managing Users and Service Accounts export. u s e r P r i n c i p a l N a m e " C N = D a v i dJ o n e s . for example. For more information about CSVDE. type csvde /? or search the Windows Server 2008 https://skillpipe. including details regarding its parameters and usage to export directory objects.txt) in which the first line defines the imported attributes by their LDAP attribute names. d a v i d . and without a password. D C = c o n t o s o .

 LDIF is a draft Internet standard for file format that can be used to perform batch operations against directories that conform to the LDAP standards. The LDIFDE command implements these batch operations by using LDIF files. The LDIF file format consists of a block of lines that together constitute a single https://skillpipe. Import Users with LDIFDE You can also use LDIFDE. including 66/96 .07/06/13 Module 3: Managing Users and Service Accounts Help and Support Center.exe to import or export Active Directory objects.courseware-marketplace. and batch operations that modify objects in the directory. LDIF supports both import and export operations.

comprising an operation. c o m m a i l :b o b b y . Each line. c o mm a i l :b o n n i e . For example. O U = E m p l o y e e s . The contents of the LDIF file would look similar to the following example. consists of an attribute name followed by a colon and the value of the attribute. D C = c o n t o s o . O U = U s e r A c c o u n t s . m o o r e @ c o n t o s o . d n :C N = B o n n i eK e a r n e y . D C = c o n t o s o .07/06/13 Module 3: Managing Users and Service Accounts operation. D C = c o mc h a n g e t y p e :a d do b j e c t C l a s s :t o p o b j e c t C l a s s :p e r s o no b j e c t C l a s s :o r g a n i z a t i o n a l P e r s o n o b j e c t C l a s s :u s e rc n :B o b b yM o o r es n :M o o r et i t l e :L e g a l d e s c r i p t i o n :L e g a l( N e wY o r k )g i v e n N a m e :B o b b yd i s p l a y N a m e : M o o r e . k e a r n e y @ c o n t o s o . Multiple operations in a single file are separated by a blank line.L t d .courseware-marketplace. s A M A c c o u n t N a m e :b o n n i e .L t d .s A M A c c o u n t N a m e : b o b b y .B o n n i ec o m p a n y :C o n t o s o . c o m https://skillpipe. D C = c o mc h a n g e t y p e :a d do b j e c t C l a s s :t o p o b j e c t C l a s s :p e r s o no b j e c t C l a s s :o r g a n i z a t i o n a l P e r s o n o b j e c t C l a s s :u s e rc n :B o n n i eK e a r n e ys n :K e a r n e yt i t l e : O p e r a t i o n sd e s c r i p t i o n :O p e r a t i o n s( L o n d o n )g i v e n N a m e : B o n n i ed i s p l a y N a m e :K e a r n e y . O U = U s e r A c c o u n t s . m o o r e @ c o n t o s o . suppose you wanted to import user objects for two sales representatives named Bonnie Kearney and Bobby Moore. m o o r eu s e r P r i n c i p a l N a m e :b o b b y . k e a r n e y @ c o n t o s o .B o b b yc o m p a n y :C o n t o s o . k e a r n e yu s e r P r i n c i p a l N a m e : b o n n i e . O U = E m p l o y e e s . c o m d n :C N = B o b b yM o o r e .com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 67/96 .

 because the LDIF format is also a standard. The two most important switches for the LDIFDE command are: • ­i. Turns on import mode. After creating or obtaining an LDIF file. specifies the type of operation: add.courseware-marketplace.ldf. From a command prompt. l d f The command accepts a variety of modifications by using parameters. The next line. or delete. changeType. The most https://skillpipe. or to which to export. For example. you can perform the operations specified by the file. l d i f d e– i– fn e w u s e r s . by using the LDIFDE command. the LDIF file format is not as intuitive or familiar as the comma­ separated text format. • ­f filename. many directory services and databases can export LDIF files. type ldifde /? for usage information. the following command will import objects from the file named Newusers. As you can 68/96 . modify. The file from which to import. Without this parameter.07/06/13 Module 3: Managing Users and Service Accounts Each operation begins with the DN attribute of the object that is the target of the operation. LDIFDE exports information. However.

 this is useful when importing objects from another domain.07/06/13 Module 3: Managing Users and Service Accounts useful parameters are summarized in the following table. base (the immediate child objects of the container only). The default is the root of the domain. https://skillpipe. Command General parameters ­i ­f filename ­s servername ­c FromDN ToDN Usage Import mode (Default is export mode) Import or export filename The domain controller to bind to for the query Convert occurrences of FromDN to ToDN. For example. or 69/96 . or onelevel (the container and its immediate child containers). of the search. Useful  if you want to export a limited number of attributes. The scope. The default is (objectClass=*). meaning all objects. Can be subtree (the container and all child containers). ­l list Comma­separated list of attributes to include in export for resulting objects. ­v ­j path ­? Turn on verbose mode Log file location Help Export­specific parameters ­d RootDN ­r Filter ­p SearchScope The root of the LDAP search.courseware-marketplace. LDAP search filter.

07/06/13 Module 3: Managing Users and Service Accounts ­o list List of attributes (comma­separated) to omit from export for resulting objects. Useful if you want to export all but a few 70/96 . Import Users with Windows PowerShell The Active Directory Module for Windows PowerShell can also utilize the contents of a CSV file to import objects into Active Directory Domain Services.courseware-marketplace. Two cmdlets are used to perform this task: https://skillpipe. Import­specific parameters ­k Ignore errors and continue processing if Constraint Violation or Object Already Exists errors appear.

csv file is then passed to the New­ADUser cmdlet.courseware-marketplace. the Users.csv file is imported by using the Import­CSV cmdlet. The following example shows how to use these two cmdlets to create a large number of users with specific attributes in AD DS. S u r n a m eG i v e n N a m e$ _ .07/06/13 Module 3: Managing Users and Service Accounts • Import­CSV. Lab C: Automate User Account Creation https://skillpipe. c s v|f o r e a c h{ N e w A D U s e rS a m A c c o u n t N a m e $ _ . • New­ 71/96 . Attributes are listed and are provided by the matching attribute values in the CSV file. D C = C O M "A c c o u n t P a s s w o r d( C o n v e r t T o S e c u r e S t r i n gA s P l a i n T e x t $ _ . I m p o r t C S VU s e r s . S a m A c c o u n t N a m eN a m e$ _ . O U = U s e r A c c o u n t s . D C = F A B R I K A M . This cmdlet creates objects from CSV files that can then be piped into other PowerShell cmdlets. This cmdlet is used to create the objects that have been imported from the Import­CSV cmdlet. N a m eS u r n a m e$ _ . G i v e n N a m eP a t h " O U = F i n a n c e . S a m A c c o u n t N a m eF o r c e )E n a b l e d$ t r u e } In the example. Each entry within the Users.

 you must complete the following steps: 1. Wait until the virtual machine starts. and in the Actions pane. click Start. In Hyper­V™ Manager. point to Administrative Tools. click 6425C­NYC­DC1. 2. 3. In the Actions pane. click Start. click Connect. https://skillpipe. Before you begin the lab. and then click Hyper­V Manager. On the host computer.07/06/13 Module 3: Managing Users and Service Accounts Lab Setup For this lab. you will use the available virtual machine 72/96 .

 When it is complete. 6. in both comma­delimited text format and in LDIF format. Close the Windows Explorer window. an online university for adult education. Open Windows Explorer and then browse to D:\Labfiles\Lab03c.courseware-marketplace.. Exercise 1: Export and Import Users with CSVDE https://skillpipe. You are hiring several new employees. The lab setup script runs.bat with administrative credentials. The Human Resources department has provided you with extracts from their database. 8. Log on by using the following credentials: • User name: Pat. 73/96 . Use the account Pat. press any key to continue. Run Lab03c_Setup. 7. You want to import those data files to create user accounts for the new hires.Coleman_Admin with the password Pa$$w0rd.07/06/13 Module 3: Managing Users and Service Accounts 4. Lab Scenario You are the administrator of Contoso.Coleman • Password: Pa$$w0rd • Domain: Contoso 5. Lab03c.

o b j e c t C l a s s . 2.Examine the file. The main tasks for this exercise are as follows: 1.07/06/13 Module 3: Managing Users and Service Accounts In this exercise. Task 1: Export users with CSVDE. s n . s A M A c c o u n t N a m e . Pa$$w0rd. 4. you will use the CSVDE command to export user attributes and to create new user accounts from a comma­delimited text file. Pat.Type the following command. u s e r P r i n c i p a l N a m e 3. 1.Open the Command Prompt with administrative credentials. g i v e n N a m e .Coleman_Admin. and then close it.courseware-marketplace. Export users with CSVDE. 74/96 . c s vr" ( n a m e = A p r i l * ) "l D N .csv in Notepad. c s v d efD : \ L A B F I L E S \ L A B 0 3 C \ U s e r s N a m e d A p r i l . with the password. Import users with CSVDE. 2. Use the account. and then press Enter.Open D:\LABFILES\LAB03C\UsersNamedApril.

• If you have had the Active Directory Users and Computers snap­in open during this exercise. Confirm that the users were created successfully. and pre­Windows 2000 logon name are populated according to the instructions in NewUsers. c s vk The two users are imported.csv with Notepad. Run Active Directory Users and Computers with administrative credentials. https://skillpipe. 2. Examine the accounts to confirm that first name. 4. c s v d eifD : \ L a b f i l e s \ L A B 0 3 C \ N e w U s e r s 75/96 . Use the account. with the password. Examine the information about the users listed in the file.07/06/13 Module 3: Managing Users and Service Accounts Task 2: Import users with CSVDE.csv. Open D:\LABFILES\LAB03C\NewUsers. 1. last name. you might have to refresh your view to see the newly created accounts. In the command prompt.Coleman_Admin. user principal name. Pa$$w0rd. 3. type the following command and then press Enter. Pat.

Results: In this exercise. however.courseware-marketplace. Task 1: Import users with LDIFDE. 7. is not a typical delimited text file. Examine the information about the users that is listed in the file. 6. Enable the two accounts. 1. LDIFDE can be used to import users. Close NewUsers. Reset the passwords of the two accounts to Pa$$w0rd.ldf with Notepad.07/06/13 Module 3: Managing Users and Service Accounts 5.csv. The main task for this exercise is as follows: • Import users with LDIFDE. 76/96 https://skillpipe. you will use LDIFDE to import two users. In this exercise. Exercise 2: Import Users with LDIFDE Similar to CSVDE. you exported and imported accounts by using csvde. Open D:\LABFILES\LAB03C\NewUsers. The LDIF file .

courseware-marketplace. you might have to refresh your view to see the newly created accounts. 6. confirm that the users were created successfully. In Active Directory Users and Computers. l d i f d eifD : \ L a b f i l e s \ L A B 0 3 C \ N e w U s e r s . • If you have had the Active Directory Users and Computers snap­in open during this exercise.ldf.ldf. 4. Type the following command. Close NewUsers. l d fk The two users are imported. 77/96 . 7. Examine the accounts to confirm that user properties are populated according to the instructions in NewUsers. and then press Enter. 5.07/06/13 Module 3: Managing Users and Service Accounts 2. Enable the two accounts. Reset the passwords of the two accounts to Pa$$w0rd. https://skillpipe.

 If prompted for credentials.csv” and then save the file.ps1 with Notepad. 4. Open D:\LABFILES\LAB03C\ImportUsers. change “path and filename to csv” to “D:\LABFILES\LAB03C\ImportUsers.07/06/13 Module 3: Managing Users and Service Accounts Results: In this exercise. Open the Active Directory Module for Windows PowerShell with administrative 78/96 https://skillpipe. you imported the accounts for Bobby Moore. 1. 3. Examine the contents of the file. Close Active Directory Users and Computers when you are finished 2. use Contoso\Administrator with the password of Pa$$w0rd. Exercise 3: Import Users by Using Windows PowerShell The main task for this exercise is as follows: • Import users with PowerShell. Open Active Directory Users and Computers and under .courseware-marketplace. Next to $ create a new organizational unit named Import Users. and Bonnie Kearney. Task 1: Import users with PowerShell.

 you imported user accounts by using PowerShell. and then press Enter after each command. When prompted to change the execution policy press enter to accept the default option of “Y”. 7.07/06/13 Module 3: Managing Users and Service Accounts credentials. Use CONTOSO\administrator with the password of Pa$$ 79/96 . S e t E x e c u t i o n P o l i c yr e m o t e s i g n e d D : \ l a b f i l e s \ L a b 0 3 c \ i m p o r t u s e r s . Open Active Directory Users and Computers and verify that the user accounts have been imported into the Import Users OU. p s 1 6. Type the following commands. Results: In this exercise. At the password prompt. type Pa$$w0rd. 5. Lab Review Question Question: What scenarios lend themselves to importing users with CSVDE and LDIFDE? Lesson 4: Create and Configure Managed Service https://skillpipe.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 80/96 . Just like normal user accounts.07/06/13 Module 3: Managing Users and Service Accounts Accounts Note The content in this lesson only applies to Windows Server 2008 R2. Objectives https://skillpipe.courseware-marketplace. Many applications use services that require an account for service startup and authentication. One common issue that most organizations face is how to securely manage accounts used for network services. service accounts also need to be managed effectively to ensure security and reliability.

courseware-marketplace. you will be able to: • Describe the challenges of using standard user accounts for services. • Configure and administer managed service 81/96 . These https://skillpipe. • Describe what a managed service account is.07/06/13 Module 3: Managing Users and Service Accounts After completing this lesson. Challenges of Using Standard User Accounts for Services Many applications such as Microsoft SQL® Server or Microsoft Exchange Server contain services that are installed on the server that hosts the application.

 a service account is used. https://skillpipe. such as the built­in Local Service. A standard user account may be used for multiple services on various servers throughout the environment.courseware-marketplace. To help centralize administration. Services often run in the background and do not require any user interaction. This includes tasks such as changing the password and resolving situations that cause an account lockout. such as the following: • Extra administration effort to securely manage the service account password. there are a number of associated challenges. Network Service. many organizations choose to use a domain­based account to run application services. • Difficult to determine where a domain­based account is being used as a service account.07/06/13 Module 3: Managing Users and Service Accounts services typically run at server startup or are triggered by other events. For a service to start up and 82/96 . It is important to know where and how a standard user account is being used when it is associated with an application service. This does provide some benefit over using a local account; however. A service account may be an account that is local to the computer. or Local System accounts. which may go against the security policy of your organization. A simple task such as changing the password may cause authentication issues for some applications. A service account may also be configured to use a domain­based account located in AD DS. Service accounts are also typically configured to have passwords do not expire.

 A misconfigured SPN causes authentication problems with the application service. the computer name is changed. the SPN registrations may need to be manually modified to reflect the change.07/06/13 Module 3: Managing Users and Service Accounts • Extra administration effort to manage the service principal name (SPN). The following topics provide information on the requirements and use of managed service accounts in Windows Server 2008 R2. or if a DNS host name property is modified. What Is a Managed Service Account? https://skillpipe. To meet these 83/96 .courseware-marketplace. Using a standard user account may require manual administration of the service principal name (SPN). If the logon account of the service changes. Windows Server 2008 R2 and Windows 7 introduces a new object called a managed service account (also called virtual service accounts in Windows 7).

 if the samaccountproperty of the https://skillpipe. A managed service account automatically maintains its own password including password 84/96 . For example. • Simplified Service Principal Name (SPN) management.courseware-marketplace. Managed service accounts provide the following benefits to simplify administration: • Automatic password management.07/06/13 Module 3: Managing Users and Service Accounts A managed service account can provide an application with its own unique account. while eliminating the need for an administrator to manually administer the credentials for this account. SPN management can be automatically managed if your AD DS domain is configured at the Windows Server 2008 R2 domain functional level.

NET Framework 3. To simplify and provide full automatic password and SPN management. or if the DNS host name property is modified. if you have a domain controller running Windows Server 2008 or Windows Server 2003. you can update the Active Directory schema to Windows Server 2008 R2.07/06/13 Module 3: Managing Users and Service Accounts computer is changed. the managed service account SPN will automatically be changed from the old name to the new name for all managed service accounts on the computer. The only disadvantage is that the domain administrator must manually configure SPN data for the managed service 85/96 .courseware-marketplace. and the Active Directory Module for Windows PowerShell are both installed on the server. we recommend that the AD DS domain be at the Windows Server 2008 R2 functional level. You also must ensure that the . https://skillpipe. the server that runs the service or application must be running Windows Server 2008 R2. Note A managed service account cannot be shared between multiple computers or be used in server clusters where the service is replicated between nodes. to support this feature.x. However. Requirements for Using Managed Service Accounts To use a managed service account.

 or mixed­ mode environments. or Windows Server 2003 with the Active Directory Management Gateway Service. Windows Server 2003. Windows Server 2008 with the Active Directory Management Gateway Service. you must perform the following tasks: 86/96 .courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts To update the schema in Windows Server 2008. Configure and Administer Managed Service Accounts https://skillpipe. Note The Active Directory Management Gateway Service allows administrators with domain controllers running Windows Server 2003 or Windows Server 2008 to use Windows PowerShell cmdlets to manage managed service accounts. Run adprep/forestprep at the forest level and run adprep/domainprep at the domain level. 2. Deploy a domain controller running Windows Server 2008 R2.

courseware-marketplace. N e w A D S e r v i c e A c c o u n t[ S A M A c c o u n t N a m e< S t r i n g > ][ P a t h < S t r i n g > ] 2. On the domain . use the Active Directory Module for Windows PowerShell to create a new managed service account.07/06/13 Module 3: Managing Users and Service Accounts After the domain and server prerequisites have been set. Install the managed service account on the server that contains the service or 87/96 https://skillpipe. The following command can be used as an example of the base command. you can use the following process to create a managed service account: 1.


Module 3: Managing Users and Service Accounts

application. The following command is run on the local server.
I n s t a l l A D S e r v i c e A c c o u n tI d e n t i t y< A D S e r v i c e A c c o u n t >


Configure the service or application to use the managed service account.

Windows PowerShell provides a number of cmdlets that can be used to administer managed service accounts. Management tasks include: • Finding managed service accounts. • Associating or removing management service accounts on a computer. • Installing a managed service account on a computer. • Deleting a managed service account. • Resetting the password of a managed service account.

Lab D: Create and Administer Managed Service Accounts 88/96


Module 3: Managing Users and Service Accounts

Lab Setup
For this lab, you will use the available virtual machine environment. Before you begin the lab, you must complete the following steps: 1. On the host computer, click Start, point to Administrative Tools, and then click Hyper­V Manager. 2. In Hyper­V™ Manager, click 6425C­NYC­DC1, and in the Actions pane, click Start. 3. In the Actions pane, click Connect. Wait until the virtual machine starts.



Module 3: Managing Users and Service Accounts


Log on by using the following credentials: • User name: Administrator • Password: Pa$$w0rd • Domain: Contoso


Start 6425C­NYC­SVR1. Do not log on until directed to do so.

Lab Scenario
You are a network administrator for Contoso, Ltd. You have been asked to implement a managed service account for an application that will be installed on NYC­SVR1. For this project, you must complete the following tasks: 1. Create a managed service account called, App1_SVR1, and assign it to NYC­ SVR1. 2. Install the App1_SRV1 service account on NYC­SVR1.

Exercise: Create and Associate a Managed Service Account
You have been asked to create a managed service account called, App1_SVR1, to be used by an application located on NYC­SVR1. 90/96

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 91/96 . with the password. Use the account. Pa$$w0rd. At the prompt.07/06/13 Module 3: Managing Users and Service Accounts The main tasks for this exercise are as follows: 1. 2. N e w A D S e r v i c e A c c o u n t– N a m eA p p 1 _ S V R 1 https://skillpipe. type the following command. On NYC­DC1. and then press Enter. these steps are the same as the LabAnswer key. Install a managed service account on a server.courseware-marketplace. 1. Task 1: Use Windows PowerShell to create and associate a managed service account. Use Windows PowerShell to create and associate a managed service account. Administrator. open the Active Directory Module for Windows Powershell console with administrative credentials. Note Because of the complexity of the PowerShell commands. 2.

A d d A D C o m p u t e r S e r v i c e A c c o u n t– i d e n t i t yN Y C S V R 1– S e r v i c e A c c o u n tA p p 1 _ S V R 1 4. This is found under the Remote Server Installation Tools node. and then press Enter. Task 2: Install a managed service account on a server. H o s t C o m p u t e r s– A 5. 1. . 3. type the following command. Open Server Manager and install the Active Directory Module for Windows PowerShell. 92/96 https://skillpipe. with the password. At the prompt. 6. type the following command. Switch to the NYC­SVR1 virtual machine. Log on to NYC­SVR1 as Contoso\Administrator.07/06/13 Module 3: Managing Users and Service Accounts 3. and then press Enter. Pa$$w0rd. At the prompt. Close all open windows on NYC­DC1. Verify that the App1_SVR1 service account is associated with NYC­SVR1.courseware-marketplace. G e t A D S e r v i c e A c c o u n tF i l t e r' N a m el i k e" * " '|F T N a m e .

 click This account. you would use the actual service that should be assigned the managed service account. In the Services console. click the Log On tab.courseware-marketplace. 9. 10. In the Disk Defragmenter Properties dialog box. 8. Note The Disk Defragmenter service is just used as an example for this lab. point to Administrative Tools. https://skillpipe. I n s t a l l A D S e r v i c e A c c o u n tI d e n t i t yA p p 1 _ S V R 1 6. Clear the password for both the Password and Confirm password boxes. The Administrator: Active Directory Module for Windows Powershell console opens. In a production environment. right­click Disk Defragmenter. On the Log On tab. and then type Contoso\App1_SVR1$. Click OK. At the prompt. and then press Enter. Click Start. 7. Click Start. 5. type the following command. and then click Services. and then click Properties. point to Administrative Tools.07/06/13 Module 3: Managing Users and Service Accounts 93/96 . and then click Active Directory Module for Windows PowerShell.

 you created and installed a managed service account. Close all open windows on NYC­SVR1. https://skillpipe. revert the virtual machines to their initial state. 13. complete the following steps: 1. To do this. 4. Click OK at all prompts. click Revert. Right­click 6425C­NYC­DC1 in the Virtual Machines list.courseware-marketplace. In the Revert Virtual Machine dialog box. Close the Services console. To prepare for the next lab When you finish the lab. start Hyper­V Manager. Results: In this exercise. Repeat these steps for 6425C­NYC­SVR1. 2. 12.07/06/13 Module 3: Managing Users and Service Accounts 11. 94/96 . On the host computer. and then click Revert.

07/06/13 Module 3: Managing Users and Service Accounts Module Review and Takeaways Review Questions 95/96 . Which administration tool should you use to create and manage user accounts within your organization? 2. Which user account attributes will be important to use within your network environment? https://skillpipe.

com/reader/Print/be1aba64-6bbe-4ff5-82e5-4d7e5b9d8ee0?ChapterNumber=5&FontSize=3&FontType=segoe 96/96 .courseware-marketplace.07/06/13 Module 3: Managing Users and Service Accounts Windows Server 2008 R2 Features Introduced in this Module Windows Server 2008 R2 feature Active Directory Module for Windows PowerShell Managed Service Accounts Used to run Active Directory cmdlets for administering various AD  DS tasks Used to automate password and SPN management for service accounts used by applications and services Description https://skillpipe.