Windows не удается создать новый объект пользователя в AD

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами разобрали всевозможные виды RAID массивов и как и где их применяют. Движемся дальше и сегодня я вам хочу рассказать, о интересной ситуации при создании учетной записи в Active Directory, при попытке это осуществить я получил ошибку "Windows не удается создать новый объект пользователя". Давайте разбираться в чем дело.

Описание ситуации вызвавшей ошибку

Появилась у меня тут задача создать одну сервисную учетную запись, с помощью которой планировалось запускать сервис на сервере. В качестве имени было выбрано proxy. Когда я открыл оснастку "Active Directory - Пользователи и компьютеры", то на финальном шаге, где нужно было нажать кнопку "Готово" я получил ошибку:

В английском варианте это будет выглядеть вот так:

Устранение ошибки имя входа используется в Windows 2000

Если внимательно вчитаться, то Active Directory нам сообщает, что в вашем домене присутствует учетная запись у которой такой же SamAccountName.

Напоминаю прописные истины Active Directory:

• Имя входа пользователя (пред-Windows 2000), оно же SamAccountName должно быть уникальным в домене, чтобы обеспечить обратную совместимость с Windows NT 4.0.
• Имя входа пользователя (Usеr Principal Name, UPN) оно же UserPrincipalName, должно быть уникальным в рамках всего леса.

Так, что если вы видите ошибку "Windows не удается создать новый объект пользователя, так как уже используется имя входа" при создании нового пользователя, она связана по трем причинам:

1. У вас есть дублирующая учетная запись пользователя в домене с таким же SamAccountName
2. У вас есть контакт у которого такое же имя
3. Вы пытаетесь создать учетную запись, SamAccountName, которой зарезервирован самой системой и Active Directory.

Перед тем, как мы все решим проблему, я бы хотел вам привести пример с моим тестовым пользователем Барбоскиным Геннадием Викторовичем. Вот о каком значении идет речь в ошибке barboskin.g (Имя входа пользователя (пред-Windows 2000)).

То же самое вы можете вывести через PowerShell и командлет Get-ADUser:

Поиск существующих SamAccountName

Ранее у меня была похожая задача, где мне нужно было производить поиск одинаковых SamAccountName в рамках леса, советую так же посмотреть. Но тут мои поиску сужаются в рамки домена. Искать вы можете двумя методами, через оснастку ADUC и через PowerShell, я не говорю про сторонние утилиты.

Напоминаю, что в моем примере я хотел создать учетную запись PROXY, давайте осуществим поиск по ней.

Как видим PowerShell ничего не нашел

Тоже самое я проделаю и через оснастку "Пользователи и компьютеры". Для этого нажмите значок лупы и на уровне леса произведите поиск по нужному вам значению. В моем примере по имени PROXY ничего не нашлось и я все продолжал получать ошибку "Windows не удается создать новый объект пользователя, так как уже используется имя входа PROXY, предназначенное для более ранних версий, чем Windows 2000".

Зарезервированные имена в Active Directory

Когда я давным давно готовился к сертификационным экзаменам Microsoft, я много читал при подготовке к ним и припомнил, что Microsoft резервирует красивые имена SamAccountName для себя, под различные встроенные группы и учетные записи, вот подробный список:

• • ANONYMOUS
  • AUTHENTICATED USER
  • BATCH
  • BUILTIN
  • CREATOR GROUP
  • CREATOR GROUP SERVER
  • CREATOR OWNER
  • CREATOR OWNER SERVER
  • DIALUP
  • DIGEST AUTH
  • INTERACTIVE
  • INTERNET
  • LOCAL
  • LOCAL SYSTEM
  • NETWORK
  • NETWORK SERVICE
  • NT AUTHORITY
  • NT DOMAIN
  • NTLM AUTH
  • NULL
  • PROXY
  • REMOTE INTERACTIVE
  • RESTRICTED
  • SCHANNEL AUTH
  • SELF
  • SERVER
  • SERVICE
  • SYSTEM
  • TERMINAL SERVER
  • THIS ORGANIZATION
  • USERS
  • WORLD

И если вы обратите внимание, тут присутствует то имя PROXY, которое запрещено.

Еще я нашел нюансы в этой таблице, сама Microsoft пишет, что все эти имена запрещены к использованию в операционных системах Windows Server 2003 и выше, но есть нюансы. Я для тестирования решил создать на своем контроллере домена Windows Server 2012 R2, учетную запись SERVICE

А вот уже в Windows Server 2016 ее уже нельзя создать, так как там уже она зарезервирована под служебную. Уровень домена Active Directory у меня был Windows Server 2012

Дополнительные ссылки

• https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduser?view=winserver2012-ps
• https://support.microsoft.com/en-us/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and

На этом у меня все, вы теперь поняли причины по которым вы не сможете создать учетную запись в Active Directory. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.