Windows не удается создать новый объект пользователя в AD

Windows не удается создать новый объект пользователя в AD

Active DirectoryДобрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами разобрали всевозможные виды RAID массивов и как и где их применяют. Движемся дальше и сегодня я вам хочу рассказать, о интересной ситуации при создании учетной записи в Active Directory, при попытке это осуществить я получил ошибку "Windows не удается создать новый объект пользователя". Давайте разбираться в чем дело.

Описание ситуации вызвавшей ошибку

Появилась у меня тут задача создать одну сервисную учетную запись, с помощью которой планировалось запускать сервис на сервере. В качестве имени было выбрано proxy. Когда я открыл оснастку "Active Directory - Пользователи и компьютеры", то на финальном шаге, где нужно было нажать кнопку "Готово" я получил ошибку:

Windows не удается создать новый объект пользователя, так как уже используется имя входа PROXY, предназначенное для более ранних версий, чем Windows 2000. Выберите другое имя и повторите попытку.

Windows не удается создать новый объект пользователя, так как уже используется имя входа PROXY, предназначенное для более ранних версий, чем Windows 2000. Выберите другое имя и повторите попытку.
В английском варианте это будет выглядеть вот так:

Windows cannot create the new user object because the pre-Windows 2000 logon name PROXY is already in use. Select another name, and then try again.

Windows cannot create the new user object because the pre-Windows 2000 logon name PROXY is already in use. Select another name, and then try again.
Устранение ошибки имя входа используется в Windows 2000

Если внимательно вчитаться, то Active Directory нам сообщает, что в вашем домене присутствует учетная запись у которой такой же SamAccountName.

Напоминаю прописные истины Active Directory:

  • Имя входа пользователя (пред-Windows 2000), оно же SamAccountName должно быть уникальным в домене, чтобы обеспечить обратную совместимость с Windows NT 4.0.
  • Имя входа пользователя (Usеr Principal Name, UPN) оно же UserPrincipalName, должно быть уникальным в рамках всего леса.

Так, что если вы видите ошибку "Windows не удается создать новый объект пользователя, так как уже используется имя входа" при создании нового пользователя, она связана по трем причинам:

  1. У вас есть дублирующая учетная запись пользователя в домене с таким же SamAccountName
  2. У вас есть контакт у которого такое же имя
  3. Вы пытаетесь создать учетную запись, SamAccountName, которой зарезервирован самой системой и Active Directory.

Перед тем, как мы все решим проблему, я бы хотел вам привести пример с моим тестовым пользователем Барбоскиным Геннадием Викторовичем. Вот о каком значении идет речь в ошибке barboskin.g (Имя входа пользователя (пред-Windows 2000)).

Пример Имя входа пользователя (пред-Windows 2000)

То же самое вы можете вывести через PowerShell и командлет Get-ADUser:

Get-ADUser -Filter 'SamAccountName -like "barboskin.g"' | FT Name,SamAccountName,UserPrincipalName -A

PowerShell посмотреть Имя входа пользователя (пред-Windows 2000)
Поиск существующих SamAccountName

Ранее у меня была похожая задача, где мне нужно было производить поиск одинаковых SamAccountName в рамках леса, советую так же посмотреть. Но тут мои поиску сужаются в рамки домена. Искать вы можете двумя методами, через оснастку ADUC и через PowerShell, я не говорю про сторонние утилиты.

Напоминаю, что в моем примере я хотел создать учетную запись PROXY, давайте осуществим поиск по ней.

Get-ADUser -Filter 'SamAccountName -like "PROXY"' | FT Name,SamAccountName,UserPrincipalName -A

Как видим PowerShell ничего не нашел

Поиск существующих SamAccountName через PowerShell

Тоже самое я проделаю и через оснастку "Пользователи и компьютеры". Для этого нажмите значок лупы и на уровне леса произведите поиск по нужному вам значению. В моем примере по имени PROXY ничего не нашлось и я все продолжал получать ошибку "Windows не удается создать новый объект пользователя, так как уже используется имя входа PROXY, предназначенное для более ранних версий, чем Windows 2000".

Поиск SamAccountName через оснастку ADUC

Зарезервированные имена в Active Directory

Когда я давным давно готовился к сертификационным экзаменам Microsoft, я много читал при подготовке к ним и припомнил, что Microsoft резервирует красивые имена SamAccountName для себя, под различные встроенные группы и учетные записи, вот подробный список:

    • ANONYMOUS
    • AUTHENTICATED USER
    • BATCH
    • BUILTIN
    • CREATOR GROUP
    • CREATOR GROUP SERVER
    • CREATOR OWNER
    • CREATOR OWNER SERVER
    • DIALUP
    • DIGEST AUTH
    • INTERACTIVE
    • INTERNET
    • LOCAL
    • LOCAL SYSTEM
    • NETWORK
    • NETWORK SERVICE
    • NT AUTHORITY
    • NT DOMAIN
    • NTLM AUTH
    • NULL
    • PROXY
    • REMOTE INTERACTIVE
    • RESTRICTED
    • SCHANNEL AUTH
    • SELF
    • SERVER
    • SERVICE
    • SYSTEM
    • TERMINAL SERVER
    • THIS ORGANIZATION
    • USERS
    • WORLD

И если вы обратите внимание, тут присутствует то имя PROXY, которое запрещено.

Зарезервированные имена в Active Directory
Еще я нашел нюансы в этой таблице, сама Microsoft пишет, что все эти имена запрещены к использованию в операционных системах Windows Server 2003 и выше, но есть нюансы. Я для тестирования решил создать на своем контроллере домена Windows Server 2012 R2, учетную запись SERVICE

Учетная запись Service в Active Directory
А вот уже в Windows Server 2016 ее уже нельзя создать, так как там уже она зарезервирована под служебную. Уровень домена Active Directory у меня был Windows Server 2012

Уровень домена AD

Дополнительные ссылки

  • https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduser?view=winserver2012-ps
  • https://support.microsoft.com/en-us/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and

На этом у меня все, вы теперь поняли причины по которым вы не сможете создать учетную запись в Active Directory. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *