Membuat Pengguna
Untuk membuat pengguna di Active Directory Domain Services, buat objek pengguna di kontainer domain tempat Anda ingin menempatkan pengguna. Pengguna dapat dibuat di akar domain, dalam unit organisasi, atau dalam kontainer.
Saat membuat objek pengguna, Anda juga harus mengatur atribut, yang tercantum dalam tabel berikut, untuk mengatur objek sebagai pengguna legal yang dikenali oleh Active Directory Domain Services dan sistem Keamanan Windows.
| Atribut | Deskripsi |
|---|---|
| Cn | Menentukan nama objek pengguna dalam direktori. Ini akan menjadi nama khusus relatif objek (RDN). |
| sAMAccountName | Menentukan string yang merupakan nama yang digunakan untuk mendukung klien dan server dari versi Windows sebelumnya. sAMAccountName harus kurang dari 20 karakter untuk mendukung klien dari versi Windows sebelumnya. sAMAccountName harus unik di antara semua objek utama keamanan dalam domain. Anda harus melakukan kueri terhadap domain untuk memverifikasi bahwa sAMAccountName unik dalam domain. sAMAccountName adalah atribut opsional. Server akan membuat nilai sAMAccountName acak jika tidak ada yang ditentukan. |
Anda juga dapat mengatur atribut lain. Atribut pengguna berikut diatur dengan nilai default jika Anda tidak secara eksplisit mengaturnya pada waktu pembuatan.
| Atribut | Deskripsi |
|---|---|
| accountExpires | Menentukan kapan akun akan kedaluwarsa. Defaultnya adalah TIMEQ_FOREVER, yang menunjukkan bahwa akun tidak akan pernah kedaluwarsa. |
| nTSecurityDescriptor | Deskriptor keamanan dibuat berdasarkan aturan tertentu. Untuk informasi selengkapnya, lihat Bagaimana Deskriptor Keamanan Diatur pada Objek Direktori Baru. |
| objectCategory | Menentukan kategori pengguna. Defaultnya adalah "Orang". |
| nama | Menentukan nama pengguna. Defaultnya adalah nilai yang ditetapkan untuk cn. |
| pwdLastSet | Menentukan kapan pengguna terakhir kali mengatur kata sandi. Defaultnya adalah nol, yang menunjukkan bahwa pengguna harus mengubah kata sandi saat masuk berikutnya. |
| userAccountControl | Berisi nilai yang menentukan beberapa fitur masuk dan akun untuk pengguna. Secara default, bendera berikut diatur:
|
| memberOf | Menentukan grup atau grup tempat pengguna menjadi anggota langsung. Defaultnya adalah "Pengguna Domain". |
Pengguna dibuat dengan mengikat ke kontainer yang diinginkan lalu menggunakan salah satu metode berikut. Atribut cn dan sAMAccountName harus diatur sebelum pengguna diterapkan ke server.
| Metode | Deskripsi |
|---|---|
| IADsContainer.Create | Atribut cn diambil dari parameter bstrRelativeName . Pengguna baru harus dilakukan dengan memanggil IADs.SetInfo atau objek tidak akan dibuat. Untuk informasi selengkapnya, lihat Contoh Kode untuk Membuat Pengguna. |
| IDirectoryObject::CreateDSObject | Atribut cn diambil dari parameter pszRDNName . Pengguna baru diterapkan saat CreateDSObject dipanggil. Untuk informasi selengkapnya, lihat Contoh Kode untuk Membuat Pengguna. |
| DirectoryEntries.Add | Atribut cn diambil dari parameter nama . Objek pengguna baru harus dilakukan dengan memanggil DirectoryEntry.CommitChanges atau objek tidak akan dibuat. Untuk informasi selengkapnya, lihat Menambahkan Objek Direktori. |
Pengguna baru harus diterapkan ke server sebelum atribut apa pun selain cn dan sAMAccountName dapat dimodifikasi. Ini karena akun pengguna sebenarnya tidak ada sampai pengguna diterapkan. Jika atribut diambil atau dimodifikasi untuk objek yang tidak ada di server, kesalahan akan terjadi. Ini termasuk memanggil metode IADsUser.SetPassword. Misalnya, urutan berikut akan diikuti saat membuat pengguna dengan IADsContainer.Create:
- Panggil IADsContainer.Create untuk membuat pengguna di cache lokal dengan cn yang ditentukan.
- Atur atribut sAMAccountName ke nilai yang diinginkan dengan metode IADs.Put .
- Sekarang ubah atribut lain, seperti userAccountControl. Pembatasan ini juga berlaku untuk properti ADSI, seperti IADsUser.AccountDisabled, dan metode seperti IADsUser.SetPassword.
- Hubungi IADs.SetInfo untuk menerapkan pengguna baru ke server.
Saat akun pengguna baru dibuat, akun tersebut dinonaktifkan secara default. Akun harus diaktifkan secara manual atau terprogram. Untuk mengaktifkan akun pengguna secara terprogram, hapus bendera ADS_UF_ACCOUNTDISABLE dari atribut userAccountControl .
Saat akun pengguna baru dibuat, atribut userAccountControl untuk akun secara otomatis memiliki set bendera UF_PASSWD_NOTREQD, yang menunjukkan bahwa tidak ada kata sandi yang diperlukan untuk akun tersebut. Jika kebijakan keamanan domain tempat akun dibuat memerlukan kata sandi untuk semua akun pengguna, maka bendera UF_PASSWD_NOTREQD harus dihapus dari atribut userAccountControl untuk akun tersebut.