Създаване на домейн на windows 7. Как да добавите компютър към домейна по различни начини

Често е необходимо да добавите Linux машина към съществуващ домейн на Windows. Например, за да направите файлов сървър с помощта на Samba. Много е лесно да направите това, за това имате нужда от Kerberos клиент, Samba и Winbind.

Препоръчително е да актуализирате преди инсталиране:

Sudo aptitude актуализиране sudo aptitude надстройка

Можете да инсталирате всички тези неща с командата:

Sudo aptitude инсталира krb5-user samba winbind

Може също да се наложи да инсталирате следните библиотеки:

Sudo aptitude инсталира libpam-krb5 libpam-winbind libnss-winbind

Или, ако използвате Ubuntu Desktop, същите пакети могат да бъдат доставени чрез мениджъра на пакети Synaptic.

След това трябва да конфигурирате всички горепосочени инструменти за работа с вашия домейн. Да приемем, че искате да влезете в домейн DOMAIN.COM, чийто домейн контролер е сървърът dc.domain.comс IP адрес 192.168.0.1 ... Този сървър е и основният DNS сървър за домейна. В допълнение, да приемем, че имате втори домейн контролер, известен още като DNS - dc2.domain.comс IP 192.168.0.2 ... Вашият компютър ще бъде извикан smbsrv01.

DNS настройка

Първо, трябва да промените настройките на DNS на вашето устройство, като регистрирате домейн контролера като DNS сървър и желания домейн като домейн за търсене.

Ако имате статичен IP адрес, тогава в Ubuntu Desktop това може да стане чрез Network Manager, в Ubuntu Server трябва да промените съдържанието на файла /etc/resolv.conf на нещо подобно:

Domain domain.com търсене domain.com nameserver 192.168.0.1 nameserver 192.168.0.2

В съвременните дистрибуции файлът resolv.conf се създава автоматично и не е необходимо да го редактирате ръчно. За да получите желания резултат, трябва да добавите необходимите промени във файла: /etc/resolvconf/resolv.conf.d/head Данните, които ще бъдат добавени към него, ще бъдат автоматично вмъкнати във файла /etc/resolv.conf

Ако IP адресът е динамичен и е присвоен от DHCP сървъра, тогава след рестартиране на resolv.conf може да се образува "грешен" resolv.conf, например има само един сървър за имена 192.168.0.1 и домейн и търсене не са Трябва да редактирате /etc/dhcp/dhclient.conf За да се покажат записите за домейн и търсене, трябва да премахнете коментара преди заместващия ред за име на домейн и да въведете своя домейн:

Замени името на домейна "domain.com";

За да добавите друг сървър за имена, трябва да премахнете коментара пред добавените домейн-име-сървъри и да посочите IP адреса на сървъра:

Добавяне на сървъри за имена на домейн 192.168.0.2;

За да приложите промените, остава да рестартирате услугата:

/etc/init.d/рестартиране на мрежата

Сега се уверете, че сте задали правилното име на хост във файла / etc / hostname:

Smbsrv01

Освен това трябва да редактирате файла / etc / hosts, така че да съдържа запис с пълното име на домейн на компютъра и задължителнократко име на хост, което се отнася до един от вътрешните IP адреси:

# Имената на този компютър 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01

Веднага трябва да проверите дали нашият домейн контролер пингува нормално, с краткото и пълно име, така че в бъдеще да не получавате грешки, че домейн контролерът не е намерен:

Ping dc ping dc.domain.com

Не е необходимо, но ако промените нещо, рестартирайте компютъра си, за да приложите промените.

Настройка за синхронизиране на времето

След това трябва да конфигурирате синхронизиране на времето с контролера на домейна. Ако разликата е повече от 5 минути, няма да можем да получим лист от Kerberos. За еднократна синхронизация можете да използвате командата:

Sudo net time set dc

Ако в мрежата има сървър за точно време, можете да го използвате или който и да е публичен:

Ntpdate ntp.mobatime.ru

Автоматичната синхронизация се конфигурира с помощта на ntpd, този демон периодично ще се синхронизира. Първо трябва да го инсталирате:

Sudo aptitude инсталира ntp

Сега редактирайте вашия /etc/ntp.conf файл, за да добавите информация за вашия времеви сървър:

# Трябва да говорите с NTP сървър или два (или три). сървър dc.domain.com

След това рестартирайте демона ntpd:

Рестартиране на Sudo /etc/init.d/ntp

Сега е време да настроите директно взаимодействие с домейна.

Конфигуриране на удостоверяване на Kerberos

Default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 препращаем = true proxiable = true v4_instance_resolve = false v4_name_convert = (host = (rcmd = host ftp = ftp) plain = (нещо = нещо друго)) fcc-lags-ticke DOMAIN.COM = (kdc = dc kdc = dc2 admin_server = dc default_domain = DOMAIN.COM) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false

Разбира се, ще трябва да промените domain.com на вашия домейн и dc и dc2 на вашите домейн контролери. Между другото, може да се наложи да напишете пълните имена на домейн контролерите dc.domain.com и dc2.domain.com. Тъй като имам регистриран домейн за търсене на DNS, не е необходимо да правя това.

Обърнете специално внимание на регистъра на името на домейна – навсякъде, където домейнът е изписан с главни букви, той трябва да бъде изписан с главни букви. В противен случай, магически, нищо може да работи.

Това не са всички възможни опции за конфигурация на Kerberos, а само основни. Те обаче обикновено са достатъчни.

Сега е време да проверим дали можем да влезем в домейна. За да направите това, изпълнете командата

Кинит [защитен с имейл]

Вместо потребителско име, естествено си струва да въведете името на съществуващ потребител на домейн.

Името на домейна трябва да бъде изписано с главни букви!

Ако не сте получили никакви грешки, значи сте конфигурирали всичко правилно и домейнът ви дава билет за Kerberos. Между другото, някои често срещани грешки са изброени по-долу.

Можете да проверите дали билетът е получен, като изпълните командата

Можете да изтриете всички билети (по принцип не ви трябват) с командата

Често срещани грешки в kinit

Kinit (v5): Изкривяването на часовника е твърде голямо при получаване на първоначални идентификационни данни

Това означава, че времето на вашия компютър не е синхронизирано с контролера на домейна (вижте по-горе).

Kinit (v5): Предварителното удостоверяване не бе успешно при получаване на първоначални идентификационни данни

Въведохте неправилна парола.

Kinit (v5): Отговорът на KDC не отговаря на очакванията при получаване на първоначални идентификационни данни

Най-странната грешка. Уверете се, че името на областта в krb5.conf и домейнът в командата kinit са с главни букви:

DOMAIN.COM = (# ... kinit [защитен с имейл] kinit (v5): Клиентът не е намерен в базата данни на Kerberos, докато получава първоначални идентификационни данни

Посоченият потребител не съществува в домейна.

Настройка на Samba и влизане в домейн

За да влезете в домейна, трябва да регистрирате правилните настройки във файла /etc/samba/smb.conf. На този етап трябва да се интересувате само от някои от опциите от раздела. По-долу е даден пример за част от конфигурационен файл на Samba с коментари относно значението на важни параметри:

# Тези две опции трябва да бъдат написани с главни букви, като работна група # без последната секция след точката, а сферата е пълното име на домейн workgroup = DOMAIN realm = DOMAIN.COM # Тези две опции са отговорни за оторизация чрез AD сигурност = ADS криптиране пароли = истина # Просто важно dns прокси = без опции за сокет = TCP_NODELAY # Ако не искате samba да се опитва да стане лидер в домейн или работна група от време на време, # или дори да стане контролер на домейн, тогава винаги пишете тези пет опции в този формуляр главен домейн = без локален главен = без предпочитан главен = без ниво на OS = 0 влизания в домейн = не # Деактивиране на поддръжката на принтера зареждане на принтери = не показване на съветника за добавяне на принтер = без printcap име = / dev / null деактивиране на spoolss = да

След като редактирате smb.conf, изпълнете командата

Testparm

Той ще провери конфигурацията ви за грешки и ще даде обобщение за нея:

# testparm Заредете smb конфигурационни файлове от /etc/samba/smb.conf Зареденият файл на услугите OK. Роля на сървъра: ROLE_DOMAIN_MEMBER Натиснете enter, за да видите дъмп на вашите дефиниции на услуги

Както можете да видите, ние сме задали правилните параметри, за да може нашият компютър да стане член на домейна. Сега е моментът да опитате да влезете директно в домейна. За да направите това, въведете командата:

Net ads join -U потребителско име -D DOMAIN

И ако успеете, ще видите нещо подобно на:

# net ads join -U потребителско име -D DOMAIN Въведете потребителско име "s парола: Използване на кратко име на домейн - DOMAIN Joined" SMBSRV01 "to realm" domain.com "

Използвани параметри за командата net

U потребителско име% парола: Задължителен параметър, вместо потребителско име, трябва да замените потребителско име с права на администратор на домейна и да посочите парола.

D DOMAIN: DOMAIN - самият домейн, домейнът може да бъде пропуснат, но е по-добре да го правите през цялото време - няма да стане по-лошо.

S win_domain_controller: win_domain_controller, можете да го оставите празно, но има моменти, когато сървърът не намира автоматично контролера на домейна.

createcomputer = "OU / OU / ...": В AD често се използва OU (организационна единица), има OU = Office в корена на домейна, OU = Cabinet в него, за незабавно добавяне към желания, можете да го зададете така: sudo net ads join -U потребителско име createcomputer = "Офис / Кабинет".

Ако няма повече съобщения, значи всичко е наред. Опитайте да пингувате компютъра си по име от друг член на домейна, за да се уверите, че всичко е регистрирано в домейна както трябва.

Можете също да въведете командата:

Net ads testjoin

Ако всичко е наред, можете да видите:

#net ads testjoin Присъединяването е ОК

Но понякога след съобщението за присъединяване към домейна се показва грешка като тази:

Актуализацията на DNS не бе успешно!

Това не е много добре, в този случай се препоръчва да прочетете раздела за конфигуриране на DNS точно по-горе и да разберете какво сте направили нередно. След това трябва да премахнете компютъра от домейна и да опитате да го въведете отново. Ако сте твърдо убедени, че всичко е конфигурирано правилно и DNS все още не е актуализиран, тогава можете ръчно да добавите запис за вашия компютър към вашия DNS сървър и всичко ще работи. Разбира се, ако няма други грешки и сте влезли успешно в домейна. Въпреки това, по-добре е да разберете защо DNS не се актуализира автоматично. Това може да се дължи не само на вашия компютър, но и на неправилна конфигурация на AD.

Преди да разберете защо DNS не се актуализира, не забравяйте да рестартирате компютъра си, след като влезете в домейна! Възможно е това да реши проблема.

Ако всичко е минало добре, тогава поздравления, успешно сте влезли в домейна! Можете да разгледате AD и да се уверите сами. Също така е добра идея да проверите дали можете да видите ресурсите в домейна. За да направите това, инсталирайте smbclient:

Sudo aptitude инсталира smbclient

Вече можете да видите ресурсите на компютрите в домейна. Но за това трябва да имате билет за kerberos, т.е. ако ги премахнем, ще ги получим отново чрез kinit (виж по-горе). Нека видим какви ресурси се предоставят на мрежата от компютъра на работната станция:

Smbclient -k -L работна станция

Трябва да видите списък на споделянията на този компютър.

Конфигуриране на Winbind

Ако трябва по някакъв начин да работите с потребители на домейни, например, да конфигурирате SMB топки с контрол на достъпа, тогава ще ви трябва, в допълнение към самата Samba, Winbind, специален демон, който служи за свързване на системата за управление на локалните потребители и Linux групи с Сървър на Active Directory. Казано по-просто, Winbind е необходим, ако искате да видите потребители на домейна на вашата Ubuntu машина.

Winbind ви позволява да проектирате всички потребители и всички AD групи във вашата Linux система, като им присвоите идентификатори от определен диапазон. По този начин можете да присвоите потребители на домейни към собствениците на папки и файлове на вашия компютър и да извършвате всякакви други операции, свързани с потребители и групи.

За да конфигурирате Winbind, се използва същият файл /etc/samba/smb.conf. Добавете следните редове към секцията:

# Опции за картографиране на потребители на домейни и виртуални потребители в системата чрез Winbind. # Обхвати от идентификатори за виртуални потребители и групи. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Тези опции не трябва да се изключват. winbind enum groups = yes winbind enum users = yes # Използвайте домейн по подразбиране за потребителски имена. Без тази опция имената на потребители и групи # ще се използват с домейна, т.е. вместо потребителско име - ДОМЕЙН \ потребителско име. # Това може да е точно това, което искате, но обикновено е по-лесно да активирате тази опция. winbind use default domain = yes # Ако искате да разрешите използването на командния ред за потребители на домейна, тогава # добавете следния ред, в противен случай / bin / false template shell = / bin / bash # За автоматично актуализиране на билета на Kerberos от модул pam_winbind.so добавете реда winbind refresh tickets = да

Настроики:

idmap uid = 10000 - 40000

idmap gid = 10000 - 40000

в новите версии на Samba вече са остарели и когато проверявате конфигурацията на samba с помощта на testparm, ще бъде издадено предупреждение:

ПРЕДУПРЕЖДЕНИЕ: Опцията "idmap uid" е остаряла

ПРЕДУПРЕЖДЕНИЕ: Опцията "idmap gid" е остаряла

За да премахнете предупрежденията, трябва да замените тези редове с нови:

idmap config *: диапазон = 10000-20000

idmap config *: backend = tdb

Сега рестартирайте демона Winbind и Samba в следния ред:

Sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start

Стартирайте

Sudo testparm

Вижте дали има грешки или предупреждения, ако се появи:

„Rlimit_max: rlimit_max (1024) под минималното ограничение на Windows (16384)“

Без рестартиране, можете да го поправите по следния начин:

Ulimit -n 16384

За да запазите след рестартиране, редактирайте файла /etc/security/limits.conf

# Добавете следните редове в края на файла: * - nofile 16384 root - nofile 16384

След рестартиране проверете дали Winbind е установил доверителна връзка с AD с командата:

# wbinfo -t проверката на тайната на доверието за домейн DCN чрез RPC повиквания беше успешна

И също така, че Winbind видя потребители и групи от AD с командите:

Wbinfo -u wbinfo -g

Тези две команди трябва да връщат съответно списък с потребители и групи от домейна. Или с префикса DOMAIN \, или без него, в зависимост от това коя стойност сте посочили за параметъра "winbind use default domain" в smb.conf.

Така че Winbind работи, но все още не е интегриран в системата.

Добавяне на Winbind като източник за потребители и групи

За да може вашият Ubuntu да работи прозрачно с потребителите на домейни, по-специално, за да можете да присвоявате потребители на домейни към собствениците на папки и файлове, трябва да кажете на Ubuntu да използва Winbind като допълнителен източник на информация за потребители и групи.

За да направите това, променете два реда във файла /etc/nsswitch.conf:

Passwd: compat група: compat

добавяне към тях в края на winbind:

Passwd: compat winbind group: compat winbind

Файлове: dns mdns4_minimal mdns4

ubuntu server 14.04, файлът /etc/nsswitch.conf не съдържаше реда "файлове: dns mdns4_minimal mdns4" вместо това беше: "hosts: files mdns4_minimal dns wins", което преобразувах в: "hosts: dns mdns4_minim files" mdnsmdns4 след което всичко заработи

Сега проверете дали Ubuntu пита Winbind за потребителска и групова информация, като стартирате

Getent passwd getent група

Първата команда трябва да върне цялото съдържание на вашия / etc / passwd файл, тоест вашите локални потребители, плюс потребители на домейна с идентификатори от диапазона, който сте посочили в smb.conf. Вторият трябва да направи същото за групите.

Сега можете да вземете всеки потребител на домейн и да го направите, например, собственик на файл.

Упълномощаване в Ubuntu чрез потребители на домейн

Въпреки факта, че всички потребители на домейна всъщност са станали пълноправни потребители на системата (както може да се види, като изпълните последните две команди от предишния раздел), все още е невъзможно да влезете в системата под нито един от тях. За да активирате възможността за упълномощаване на потребители на домейн на Ubuntu машина, трябва да конфигурирате PAM да работи с Winbind.

Онлайн оторизация

За Ubuntu 10.04 и по-нова версиядобавете само един ред към вашия /etc/pam.d/common-session файл като PAM така или иначе върши доста добра работа с оторизацията:

Сесия по избор pam_mkhomedir.so skel = / etc / skel / umask = 0077

За Ubuntu 13.10за да се появи полето за ръчно влизане, добавете следния ред към всеки файл от папката /etc/lightdm/lightdm.conf/ по-долу:

Greeter-show-manual-login = true

За Ubuntu 9.10 и по-долуще трябва да редактирате няколко файла (но никой не забранява използването на този метод в 10.04 - той също работи):

Последователността от редове във файловете има значение!

/etc/pam.d/common-auth

Изисква се удостоверяване pam_env.so достатъчно удостоверяване pam_unix.so likeauth nullok try_first_pass удостоверяване достатъчно pam_winbind.so use_first_pass krb5_auth krb5_ccache_type = FILE изисква удостоверяване pam_deny.so

/etc/pam.d/common-account

Достатъчен акаунт pam_winbind.so Необходим е акаунт pam_unix.so

/etc/pam.d/common-session

Сесия по избор pam_mkhomedir.so skel = / etc / skel / umask = 0077 сесия по избор pam_ck_connector.so nox11 сесия изисква pam_limits.so сесия изисква pam_env.so сесия се изисква pam_unix.so

/etc/pam.d/обща парола

Парола достатъчна pam_unix.so try_first_pass use_authtok nullok sha512 shadow парола достатъчна pam_winbind.so необходима парола pam_deny.so

И накрая, трябва да пренасрочите стартирането на Winbind при стартиране на системата след всички други услуги (по подразбиране започва от индекс 20). За да направите това, изпълнете следната команда в терминала:

Sudo bash -c "за i в 2 3 4 5; направете mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; готово"

Което е еквивалентно на изпълнение за всяко ниво (в примера - 4) на командата:

Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

В някои случаи winbind може да има различно ниво на изпълнение (например S02winbind). Затова първо проверете имената на файловете, като изпълните командата „ls /etc/rc(2,3,4,5).d/ | grep winbind "(без кавички).

Готово, всички настройки са завършени. Рестартирайте и опитайте да влезете с потребителски акаунт на домейн.

Офлайн авторизация

Често възниква ситуация, когато домейн контролерът е недостъпен поради различни причини - превантивна поддръжка, прекъсвания на електричеството или сте донесли лаптопа си вкъщи и искате да работите. В този случай Winbind може да бъде конфигуриран да кешира потребителски акаунти на домейна. За да направите това, трябва да направите следното. Добавете следните редове към секцията /etc/samba/smb.conf на файла:

# Възможност за офлайн упълномощаване, когато домейн контролерът не е наличен winbind офлайн влизане = да # Период на кеширане на акаунта, по подразбиране е 300 секунди winbind cache time = 300 # Опционална настройка, но елиминира досадните паузи, посочете контролера на домейн dc, # можете също посочете ip, но това е лоша форма на парола сървър = dc

Това обикновено е достатъчно. Ако възникнат грешки, тогава трябва да създадете файл /etc/security/pam_winbind.conf със следното съдържание:

Внимание! При използване на съветите по-долу може да възникне напълно произволна грешка „Удостоверяването е неуспешно“! Следователно всичко, което правите, правите на свой собствен риск и риск!

# # конфигурационен файл pam_winbind # # /etc/security/pam_winbind.conf # # включете отстраняване на грешки = no # поискайте кеширано влизане, ако е възможно # (изисква "winbind offline logon = yes" в smb.conf) cached_login = yes # удостоверяване използвайки kerberos krb5_auth = yes # когато използвате kerberos, поискайте тип кеш за идентификационни данни "FILE" krb5 # (оставете празно, за да направите само автентификация на krb5, но нямате билет # след това) krb5_ccache_type = FILE # направете успешното удостоверяване в зависимост от членството на един SID # (може също да вземе име); require_membership_of = тих = да

След това файлът /etc/pam.d/gnome-screensaver става:

Достатъчно удостоверяване pam_unix.so nullok_secure удостоверяване достатъчно pam_winbind.so use_first_pass необходимо удостоверяване pam_deny.so

И също така файлът /etc/pam.d/common-auth се променя:

Удостоверяване по избор pam_group.so достатъчно удостоверяване pam_unix.so nullok_secure use_first_pass удостоверяване достатъчно pam_winbind.so use_first_pass необходимо удостоверяване pam_deny.so

За да можете да управлявате компютър с операционна система Windows, е необходимо да извършите операцията по добавяне на компютър към домейн. След това, използвайки семейството на Windows Server, ще бъде възможно да се извършват различни операции по управление, включително чрез групови правила. Операцията за свързване към компютърен домейн е проста.

Добавяне на компютър към домейна.

Началото на процедурата за присъединяване към домейн от семейство операционни системи Windows започва с настройка на мрежова връзка и проверка на връзката между сървъра и компютъра.

1. Натиснете клавишната комбинация Win + Rи в прозореца, който се отваря, въведете ncpa.cpl.

2. В прозореца, който се отваря, изберете необходимия мрежов контролер (на обикновен компютър, като правило, той е един) и щракнете с десния бутон върху този интерфейс. След това в менюто, което се показва, изберете " Имоти".

3. След това в нов прозорец изберете " Интернет протокол версия 4 (TCP / IPv4 IP)". По-нататък" Имоти".

4. В прозореца, който ще се отвори, ще можете да конфигурирате мрежовия интерфейс. Ако домейнът има DHCP сървър и клиентите не трябва да конфигурират статични адреси, тогава проверяваме дали квадратчетата за отметка са срещу " Получавайте IP адрес автоматично" и " Получавайте адреса на DNS сървъра автоматично". Натиснете" Добре"и можете да затворите всички отворени прозорци.

5. Ако в домейна не се използва DHCP сървър или са конфигурирани статични адреси за клиенти, тогава трябва да регистрирате необходимите мрежови настройки (например, както е на фигурата).

След като сте регистрирали IP адреса, маската на подмрежата, шлюза по подразбиране (ако има такъв), предпочитан DNS сървър, алтернативен DNS сървър (ако има такъв), щракнете върху " Добре"и затворете всички прозорци.

6. След като конфигурирате мрежата, ще се появи прозорец " Настройване на мрежово местоположение". Ние избираме" Корпоративна мрежа".

7. Появява се мрежово потвърждение, което посочва това "Местоположението на мрежата се промени на" Enterprises ".

8. Натиснете отново клавишната комбинация Win + Rи пишем cmdза да отворите командния ред.

9. В командния ред проверяваме връзката със сървъра. За да направим това, пишем пинги IP сървър(например пинг 192.168.56.10). Получаваме отговор от сървъра.

10. На клиентския компютър щракнете с десния бутон върху " Компютър", по-нататък" Имоти".

11. В прозореца, който се отваря, изберете " Промяна на параметрите".

12. След това щракнете върху " Промяна".

13. Изберете " Член е на домейна:"и влезте име на домейн(например syst.local), щракнете върху " Добре".

14. За да промените името на компютър или домейн, трябва да въведете потребителско име и парола (потребителят на домейна трябва да има права да добави компютър към домейна), след което " Добре".

15. След успешно добавяне на компютър към домейна ще се появи съответно известие - " Добре дошли в домейна syst.local"(вместо syst.local ще има име на домейн).

16. Ако отворите домейн контролер, тогава в кутията с инструменти " Потребители и компютри на Active Directory"в контейнера Компютрисе появява компютърът, който е въведен в домейна.

Това завършва процедурата за свързване на компютъра към домейна.

Можете също да гледате видеоклип за свързване на компютър към домейн тук:

Прочетете също:

Здравейте, скъпи любители на компютрите и читатели на блога MyFirstComp.ru. Днес ще разгледаме една доста важна тема, с която всеки системен администратор е срещал или със сигурност ще се сблъска в близко бъдеще. Корпоративна локална мрежа на средно или голямо предприятие в 99% от случаите има структура на домейн. Това е продиктувано преди всичко от политиката за сигурност на предприятието. По този начин всички компютри в мрежата използват настройките на основния компютър - домейна (сигурността може да бъде осигурена от защитна стена или защитник, който може лесно да бъде деактивиран).

Сега предлагам да разгледаме пример как да добавите към домейна компютър, работещ с Windows 7. Въпреки че по принцип добавянето на компютри с други версии на windows към домейна не е много различно - основното е да разберете същността.

Първо, вкарваме мрежовия кабел в компютъра =). Сега трябва да настроите мрежовата си връзка. Щракнете с десния бутон върху компютъра в тавата и отворете Центъра за мрежи и споделяне.

В прозореца, който се показва, щракнете върху Промяна на настройките на адаптера - всички налични мрежови връзки ще се отворят. Трябва да изберем Local Area Connection, да щракнете с десния бутон върху него и да изберете Properties.

В прозореца, който се отваря, трябва да въведете данни като IP адрес, маска на подмрежата, шлюз и DNS сървър. Трябва да получите нещо подобно.

Щракнете върху OK, като по този начин запазите промените. Това завършва подготвителната част на работата. Сега нека преминем директно към добавянето на компютъра към домейна.

Щракнете върху Старт, щракнете с десния бутон върху Компютър, изберете Свойства. В лявата част на прозореца намираме елемента Допълнителни системни параметри и щракваме върху него с левия бутон на мишката. В прозореца, който се показва, отворете раздела Име на компютъра.

Щракнете върху OK. Ще бъдете подканени да въведете потребителско име и парола, които имат право да присъединяват компютри към домейна, например администратор на домейн. След това е необходимо рестартиране.

В края на рестартирането компютърът ви ще бъде в домейна.

Ако компютърът изпадне от домейна

Да, случва се. Компютърът може без никаква причина да откаже да види домейна. Съответно, оторизацията няма да работи.

След това отново влизаме в компютъра в домейна, както е показано по-горе и рестартираме отново.

Етикети: windows, домейн, компютър

myfirstcomp.ru

Как да добавите компютър с Windows 7 към домейн

Добавянето на компютър към домейн ви позволява да се насладите на предимства на домейна като мащабируемост, централизирано управление, групови политики, настройки за сигурност и други.

Преди да свържете вашата Windows 7 машина към домейна, уверете се, че са изпълнени следните условия:

Използвате Windows 7 Professional, Ultimate или Enterprise - само тези Windows 7 дистрибуции могат да бъдат включени в домейна. windows 7 Home не може, дори не се опитвайте.

Имате мрежова карта (NIC) - безжична карта ще свърши работа

Вие сте физически свързани към локална мрежа, от която е достъпен контролерът на домейн. Моля, имайте предвид, че Windows 7 може да бъде включен в домейн без мрежова връзка с последния (тази функция се появи в домейн на Windows Server 2008 R2), но това е тема за отделна статия.

Имате правилния IP адрес за мрежата, към която сте свързани. Можете да го конфигурирате ръчно или да го получите от DHCP сървър.

"Виждате" контролера на домейн в мрежата.

Имате правилно конфигуриран DNS сървър - без правилни DNS настройки, вашият компютър не може да бъде въведен в домейна.

Имате права на локален администратор - обикновен потребител не може да направи това.

Трябва да знаете името на домейна и да имате активен потребителски/администраторски акаунт в домейна. По подразбиране всеки потребител на домейн може да добави 10 машини към домейна. Но тази настройка може да бъде променена от администратора на домейна.

Има 3 опции за добавяне на машина от 7 към домейна: с помощта на графичния интерфейс (Моят компютър-> Свойства-> Промяна на настройките-> раздел Име на компютъра), с помощта на помощната програма на командния ред NETDOM, с помощта на командата Power Shell (добави- компютър). Няма да се спирам подробно на първия, всички го знаят много добре.

С помощта на помощната програма NETDOM можете да решите проблема с свързването към домейн от командния ред. Но по подразбиране тази помощна програма не работи! Как да накарам netdom да работи на Windows 7?

Отворете прозорец на командния ред с права на администратор и въведете следния ред:

Netdom join% computername% /domain:winitpro.ru / userd: DOMAIN \ administrator / с парола:

Забележка: Заменете winitpro.ru с името на вашия домейн и въведете правилното потребителско име и парола. домейн с правилното ви име на домейн и, разбира се, въведете съответните потребителски разрешения. Също така имайте предвид допълнителното „d“ в опциите / userd и / passwordd, това не е печатна грешка.

Рестартирайте компютъра си. Това е всичко, вече сте в домейна!

Вижте също статията: как да предотвратите излизане от домейна, както и функцията за присъединяване към офлайн домейн в Windows Server 2008.

winitpro.ru

/ как да добавите компютър към домейн на Windows

Добър ден, скъпи читатели на блога pyatilistnik.org, днес искам да ви кажа как да добавите компютър към домейна на windows server 2008 R2. Какво е домейн може да прочетете в статията Въведение в основните понятия на Active Directory. Има няколко начина да добавите компютър към активната директория на домейна.

Как да добавите компютър към домейн

И така, има няколко метода за въвеждане на компютър в домейна, единият през GUI интерфейса, но вторият е за любителите на командите, но и двата имат свои собствени сценарии на приложение. Нека ви напомня, че за да добавите компютър към AD, трябва да имате идентификационни данни на потребител или администратор на домейн. По подразбиране обикновен потребител може да добави до 10 компютъра към AD, но ако желаете, можете да заобиколите това, като увеличите броя или можете да делегирате необходимите права за акаунта.

1. Чрез графичния интерфейс

Отидете в свойствата на My Computer, за да направите това, щракнете с десния бутон и изберете Properties от контекстното меню. Или натиснете клавишната комбинация Win + Pause Break, която също ще отвори прозореца със свойства на системата.

как да добавите компютър към домейн на windows

Щракнете върху Промяна на параметрите

Как да добавите компютър към домейн на Windows 2008 R2

В раздела Име на компютъра щракнете върху бутона Промяна

Как да добавите компютър към домейн на Windows 2008 R2

Задаваме името на компютъра с максимум 16 знака, по-добре е веднага да зададете разбираемо за вас име, което отговаря на вашите стандарти.

Как да добавите компютър към домейн на Windows 2008 R2

И ние пишем името на домейна, щракваме върху OK

посочете суфикса на домейна

Ние въвеждаме идентификационни данни, които имат право да влизат в сървъра в домейна, по подразбиране всеки потребител може да влезе до 10 пъти в домейна, освен ако разбира се не сте го забранили.

Въведете идентификационни данни

успешно добавяне към активната директория на домейна

Не забравяйте, че веднага след като сте въвели сървъра в AD, той също трябва незабавно да конфигурира статичен IP адрес и едва след това да се рестартира

След рестартиране виждаме, че всичко е наред и сме членове на домейна и вие успяхте да въведете компютъра в домейна.

2. Помощна програма Netdom

Отворете (командния ред) cmd. По-рано описах как да отворите командния ред на Windows. Удобството на този метод е, че може да се направи под формата на скрипт и да се предаде, например, на отдалечен потребител, който няма достатъчно познания как да направи това.

Netdom join% composername% /domain:contoso.com / userd: contosoadmin1 / passwordd: * -% composername% името на компютъра може да бъде оставено така - / домейн напишете домейн - / userd login - passwordd: * означава, че ще бъдете подканени да Въведете парола

Мисля, че не беше трудно и вие сами ще изберете метода, който ви подхожда. Полезно е да знаете и двете, тъй като е по-правилно сървърът да се прави в режим на ядро, за максимална сигурност.

3. Чрез офлайн файл и помощна програма djoin.exe

Нека си представим ситуация, в която нямате връзка с контролера на компютъра, който трябва да влезете от домейна на Active Directory, но трябва да го направите, добре, мрежовият инженер все още не е конфигурирал vpn канал между офиси, Microsoft на адрес този момент има скрипт за присъединяване на офлайн домейн или както обикновено се нарича офлайн въвеждане в домейна. Офлайн присъединяването към домейна се появи с пристигането на Windows 7 и Windows Server 2008 R2. И така, как изглежда добавянето на компютър към AD домейн.

За по-голяма яснота има главен офис и отдалечен клон, те трябва да бъдат свързани заедно, разгърнати отделно за домейн, няма смисъл от клон, тъй като там има само 3 служители и според стандартите на компанията те трябва да бъде част от домейн на Active Directory.

Етапи на присъединяване към офлайн домейн

• В самото начало имате нужда от всеки компютър, свързан с контролер на домейн, върху него ще създадем специален файл, наречен blob (blob), като изпълним командата djoin / provide в командния ред, която ще създаде компютърен акаунт в Active Directory база данни
• Вторият етап е да прехвърлите този файл по пощата или по интернет и от страна на клиента, който трябва да бъде въведен в домейна, да изпълните команда с помощта на получения файл.

Параметри на помощната програма Djoin.exe

• / PROVISION - Подготвя компютърен акаунт в домейна.
• / DOMAIN - домейнът, към който искате да се присъедините.
• / MACHINE - компютърът, който се присъединява към домейна.
• / MACHINEOU е незадължителен параметър, който определя отдела, в който се създава акаунта.
• / DCNAME е незадължителен параметър, който определя контролера на целевия домейн, на който ще бъде създаден акаунтът.
• / REUSE - повторно използване на съществуващ акаунт (паролата ще бъде нулирана).
• / SAVEFILE - запазване на подготвителните данни във файл, намиращ се на посочения път.
• / NOSEARCH - пропускане на откриване на конфликти на акаунти; Изисква се DCNAME (по-добра производителност).
• / DOWNLEVEL - Осигурява поддръжка за Windows Server 2008 или по-стар домейн контролер.
• / PRINTBLOB – Връща blob с метаданни, кодиран в base64, за файл с отговори.
• / DEFPWD - Използвайте паролата за компютърен акаунт по подразбиране (не се препоръчва).
• / ROOTCACERTS - незадължителен параметър, активиране на CA root сертификати.
• / CERTTEMPLATE - незадължителен параметър на шаблона за компютърен сертификат. Включва CA root сертификати.
• / POLICYNAMES - незадължителен параметър, разделен с точка и запетая списък с имена на правила. Всяко име е показваното име на GPO в AD.
• / POLICYPATHS - незадължителен параметър, разделен с точка и запетая списък с пътища към правилата. Всеки път сочи към местоположението на файла с правилата на системния регистър.
• / NETBIOS - незадължителен параметър, Netbios име на компютъра за присъединяване към домейна.
• / PSITE е незадължителен параметър, постоянен сайт, където искате да поставите компютъра, за да се присъедини към домейна.
• / DSITE е незадължителен параметър на динамичния сайт, който първоначално хоства компютъра, за да се присъедини към домейна.
• / PRIMARYDNS е незадължителен параметър, основният DNS домейн на компютъра, който се присъединява към домейна.
• / REQUESTODJ - Изисква присъединяване към офлайн домейн при следващо зареждане.
• / LOADFILE - посочено по-рано с опцията / SAVEFILE.
• / WINDOWSPATH - към директорията с офлайн изображението на Windows.
• / LOCALOS - Позволява ви да посочите локалната операционна система в параметъра / WINDOWSPATH.

В тестовата среда ще създадем компютъра WKS1 и ще го добавим към домейна на Active Directory. WKS1 ще се намира в подразделението Offline_Join, нашият blob файл ще се нарича wks1.txt

djoin / provider / domain Contoso.com / машина WKS1 / machineOU "OU = Offline_Join, DC = Contoso, DC = com" / savefile c: \ test \ wks1.txt

Ако изведнъж решите, че можете да намерите полезна информация в blob файл, тогава грешите, той е криптиран и не се чете от човека.

Сега трябва да прехвърлим тези няколко килобайта на отдалечения компютър, където ще се извърши автономното въвеждане в домейна. Копирайте blob в корена на C: \ устройството, отворете командния ред и въведете командата

djoin / requestODJ / loadfile c: \ test \ wks1.txt / windowspath% systemroot% / localos

След изпълнение на командата, метаданните на компютърния акаунт от blob файла ще бъдат добавени към директорията на Windows.

С виртуални машини djoin работи, просто с гръм и трясък, няма разлика, има ключ / windowspath, указващ местоположението на VHD файла с инсталираната система.

4.добавете към домейн чрез Powershell

Отворете Powershell като администратор и въведете следната команда

Add-Computer -DomainName Име на вашия домейн

Въведете името на вашия домейн, ще получите формуляр за вход и парола

ако всичко е наред, тогава ще видите жълт надпис, че ще има рестартиране.

Както виждате, има много методи и всеки може да използва свои собствени и за свои задачи, мисля, че въпросът как да се присъедини компютър към рекламния домейн може да бъде затворен.

Материал от сайта Pyatilistnik.org

pyatilistnik.org

Как да добавите компютър към домейн

Домейните значително улесняват работата на потребителите, като ви позволяват да влезете в системата само веднъж и да забравите за всички пароли за различни устройства и файлове в голяма локална мрежа.

За да направите това, са ви необходими: 1. Администраторски права; 2. локална мрежа с домейн на windows; 3. потребителски акаунт в домейна;

4. име на домейн.

1. Можете да добавите компютър към домейн на Windows в раздела Име на компютъра в прозореца Свойства на системата. За да отворите прозореца "Свойства на системата" в операционната система Windows XP, използвайте менюто "Старт", за да отворите "Контролен панел" и щракнете върху "Система". Ако компютърът ви работи с Windows 7 или Vista, отворете "Контролен панел" и отидете в категорията "Система и сигурност", в която кликнете върху елемента "Система". На страницата, която се отваря, щракнете върху връзката „Допълнителни системни параметри“, разположена в лявата колона. 2. В прозореца "Свойства на системата", който се отваря, изберете раздела "Име на компютър". Щракнете върху бутона "Промяна" и в прозореца, който се отваря, въведете името на домейна, към който искате да включите компютъра. След това щракнете върху бутона OK. В прозореца, който се показва, въведете потребителското име и паролата на домейна. След това щракнете върху OK и рестартирайте компютъра. Вашият компютър е включен в домейна. 3. В допълнение към графичния интерфейс, можете да добавите компютъра към домейна с помощта на командния ред. Операционната система Windows XP включва помощната програма NETDOM, която може да добави компютър към домейн с помощта на командата:

netdom присъединете компютърно_име / домейн: име_на_домен / потребител: име_на_домен \ потребителско_име / парола: потребителски_пропуск.

Когато име_на_компютър, име_на_на_домен и име_потребител трябва да се заменят с имената на компютъра, домейна и потребителя, които ще бъдат добавени, а user_pass трябва да се промени с паролата на потребителя в домейна.

В Windows 7 помощната програма NETDOM е заменена от командата add-computer в PowerShell. За да присъедините компютър към домейн от конзолата в Window 7, изпълнете следната команда:

add-computer -Име на домейн име_на_домейн -идентификационен номер на домейн_име \ потребителско_име

Където domain_name и user_name също се заменят с имена на домейн и потребители.

Домейнът на windows не е предназначен за домашна употреба, той е много удобен в корпоративни мрежи с голям брой потребители с различни нива на достъп до файлове и устройства. Следователно компютрите, работещи с операционни системи за домашна употреба, тоест под професионалното ниво, нямат инструментите за присъединяване към домейна. За да добавите такива компютри, моля, първо инсталирайте отново системата.

Има по-бърз начин да стартирате прозореца със системни свойства. Ако вашата операционна система е Windows XP, щракнете с десния бутон върху иконата "Моят компютър" и в менюто, което се отваря, щракнете върху елемента "Свойства на системата". Ако вашата операционна система е Windows 7 или Vista, щракнете с десния бутон върху иконата "Компютър", изберете "Свойства на системата" и щракнете върху "Разширени системни настройки".

Когато добавите компютър към домейн, в същия раздел Име на компютъра можете да посочите описание на вашия компютър, което ще бъде намек за потребителите на домейна.

complaz.ru

Как да добавите компютър към домейна по различни начини?

Въпросът за свързване на компютър към домейн обикновено възниква от системните администратори, които трябва да създадат локална мрежа. Системата на домейна означава, че всички компютри в мрежата използват настройките на главния компютър. Нека се опитаме да разберем как да свържем компютър с Windows 7 към домейна. За други операционни системи връзката не е твърде различна.

Какви са предимствата на структурата на домейн? С него можете да използвате например групови правила и централизирано управление. Това позволява ефективна работа.

Важни изисквания

Преди да въведете компютър с Windows 7 в домейна, трябва да проверите дали компютърът отговаря на редица изисквания, дали всички настройки са завършени. Има доста от тях, въпреки че повечето от тях вече трябва да бъдат произведени. Проверете следното:

• Трябва да се използва Windows 7 от следните версии: Professional, Ultimate или Enterprise. Само тези версии могат да бъдат присъединени към домейна;
• Трябва да има мрежова карта. Но това е очевидно;
• Трябва да се установи LAN връзка. В повечето случаи, въпреки че можете да свържете Windows 7 към Windows Server 2008 R2 офлайн, това е отделна тема;
• Трябва да се посочи правилният IP адрес. Може да бъде конфигуриран ръчно, получен от DHCP сървър или може да бъде APIPA-адрес (стойностите му започват с 169.254.X.Z);
• Трябва да се уверите, че контролерите (поне един) са налични за свързване;
• Също така проверете връзката на контролера (например, можете да го пингувате, тоест да проверите качеството на връзката);
• DNS сървърът трябва да бъде конфигуриран правилно. Това е важно, ако не е конфигуриран правилно, могат да възникнат проблеми при свързване към домейна. Дори ако връзката е успешна, по-късно са възможни неуспехи;
• DNS сървърите трябва да са налични. За да направите това, трябва да проверите връзката с помощта на програмата PING;
• Проверете разрешенията на вашата локална система. Трябва да има права на локален администратор за компютъра;
• Трябва да знаете името на домейна, името на администратора и паролата.

Свързване на компютър към домейн

Има два начина да добавите компютър към домейна. Нека ги разгледаме по-отблизо.

Метод първи

Това е стандартният начин за присъединяване на компютър към домейн. Следвай тези стъпки:

• Щракнете върху иконата "Старт", щракнете с десния бутон върху прекия път "Компютър", изберете "Свойства";
• Под „Име на компютър, домейн и работни настройки“ щракнете върху „промяна на настройките“;
• Отворете раздела "Име на компютъра" и щракнете върху "Промяна";
• В секцията „Част (от нещо)“ изберете „Домейн“;
• Въведете името на домейна, към който се свързвате, щракнете върху "OK";
• Въведете отново името и паролата.

След това рестартирайте компютъра си. След това компютърът ще бъде свързан към домейна в локалната мрежа.

Метод втори

Трябва да използвате приложението NETDOM. За да свържете домейн, трябва да въведете само една команда в командния ред:

при което:

• Параметрите "DOMAIN.COM" и "DOMAIN" трябва да бъдат заменени с името на домейна. Трябва също да посочите потребителско име и парола;
• Допълнителното "d" в "user" и "password" не е печатна грешка;
• Windows 7 вече има NETDOM в операционната система. Във версии на Windows 2000, XP и 2003 трябва да инсталирате Инструменти за поддръжка.

Рестартирайте компютъра си, за да прекратите връзката.

Ами ако домейнът е отпаднал?

Това се случва, след като компютърът е свързан към домейна. Компютърът просто не го "вижда". Ще забележите това веднага, защото няма да можете да влезете. Направете следното:

• Влезте като локален администратор;
• Отидете в свойствата на системата и в елемента "Име на компютъра" имайте предвид, че компютърът е част от работна група;
• Рестартирайте компютъра си;
• След това свържете отново компютъра към домейна, както е описано по-горе;
• Моля, рестартирайте.

Сега компютърът трябва да се присъедини към домейна.

Поставяне на компютър в конкретен контейнер

Недостатъкът на описаните методи за свързване към домейн е, че компютърът се поставя в стандартен контейнер, обикновено в папка "Компютър". А за да се преместите на друго място, е необходим администратор. Но можете да поставите компютъра веднага в желания контейнер. Има два варианта за това.

Метод номер 1

За да направите това, първо се създава празен акаунт, където се намира компютърът (трябва да имате права за създаване на обект). В ADUC конзолата се създава нов акаунт със същото име, което ще се използва за свързване с домейна. След това използвайте метода на присъединяване, описан по-горе. Системата ще види акаунт, който вече съществува в домейна, но просто не е свързан с него. След съпоставяне компютърът ще се побере в желания контейнер.

Метод номер 2

Командата Powershell може да се използва:

• Влезте с администраторски права;
• В командния ред въведете "powershell" (тогава вместо това може да се използва PoSh);
• Командата за добавяне на компютър към домейна corp.company.ru от акаунта corpcompany_admin, създаване на акаунт в контейнера corp.company.ru/ Admin / Computers, където company е името на компютъра, ще изглежда така:

  add-computer -DomainName corp.company.ru -credential corp company_admin –OUPath "OU = Компютри, OU = Admin, dc = corp, dc = company, DC = ru";

• Ще се отвори нов прозорец, в който въведете паролата за потребителя company_admin;
• След това се появява прозорецът "ПРЕДУПРЕЖДЕНИЕ: Промените ще влязат в сила, след като рестартирате компютъра pcwin8" (pcwin8 означава операционна система). Рестартирайте компютъра си.

Сега компютърът ще бъде разположен в желания контейнер, където се отнася домейна.

За правилното свързване на компютъра към домейна е по-добре да го извършите от администратора, създал тази локална мрежа. Той знае за всички клопки в този домейн и следователно ще може бързо да се свърже. Ако решите сами да свържете компютъра към домейна, тогава в случай на някакъв проблем оставете компютъра в това състояние, докато специалист не извърши корекцията.

Днес ще разгледаме една доста важна тема, с която всеки системен администратор е срещал или със сигурност ще се сблъска в близко бъдеще. Корпоративна локална мрежа на средно или голямо предприятие в 99% от случаите има структура на домейн. Това е продиктувано преди всичко от политиката за сигурност на предприятието. По този начин всички компютри в мрежата използват настройките на главния компютър - домейна (може да бъде осигурена сигурност).

Сега предлагам да разгледаме пример как да добавите към домейна компютър, работещ с Windows 7. Въпреки че по принцип добавянето на компютри с други версии на Windows към домейна не е много различно - основното е да разберете същността.

Първо, вкарваме мрежовия кабел в компютъра =). Сега трябва да настроите мрежовата си връзка. Щракнете с десния бутон върху компютъра в тавата и отворете Център за мрежи и споделяне.

В прозореца, който се показва, щракнете Промяна на настройките на адаптер- всички налични мрежови връзки ще се отворят. Трябва да изберем LAN връзка, щракнете с десния бутон върху него и изберете Имоти.

В прозореца, който се отваря, трябва да въведете данни като IP адрес, маска на подмрежата, шлюз и DNS сървър. Трябва да получите нещо подобно.

Щракнете върху OK, като по този начин запазите промените. Това завършва подготвителната част на работата. Сега нека преминем директно към добавянето на компютъра към домейна.

Натиснете Започнете, щракнете с десния бутон върху елемента Компютър, избирам Имоти... В лявата част на прозореца намираме елемента Допълнителни системни параметрии щракнете върху него с левия бутон на мишката. В прозореца, който се показва, отворете раздела.

Щракнете върху OK. Ще бъдете подканени да въведете потребителско име и парола, които имат право да присъединяват компютри към домейна, например администратор на домейн. След това е необходимо рестартиране.

В края на рестартирането компютърът ви ще бъде в домейна.

Ако компютърът изпадне от домейна

Да, случва се. Компютърът може без никаква причина да откаже да види домейна. Съответно, оторизацията няма да работи.

След това отново влизаме в компютъра в домейна, както е показано по-горе и рестартираме отново.

Всеки знае, че след инсталиране на операционната система компютърът първоначално е включен в работната група (по подразбиране в WORKGROUP). В работна група всеки компютър е независима автономна система, в която има база данни на Security Accounts Manager (SAM). Когато човек влезе в компютър, се прави проверка за съществуването на акаунт в SAM и в съответствие с тези записи се предоставят определени права. Компютърът, който е въведен в домейна, продължава да поддържа своята база данни SAM, но ако потребителят влезе под акаунт на домейн, тогава той се проверява вече на контролера на домейна, т.е. компютърът се доверява на контролера на домейн за самоличността на потребителя.

Има различни начини за добавяне на компютър към домейна, но преди да направите това, трябва да се уверите, че този компютър отговаря на следните изисквания:

Имате право да присъедините компютъра към домейна (по подразбиране това право принадлежи на Enterperise Admins, Domain Admins, Administrators, Account Admins);

Компютърният обект е създаден в домейна;

Трябва да сте влезли в прикачения компютър като локален администратор.

За много администратори втората точка може да предизвика недоволство – защо да създавате компютър в AD, ако се появи в контейнера Компютри след добавянето на компютъра към домейна. Въпросът е, че не можете да създавате организационни единици в контейнера Компютри, но още по-лошо, не можете да свързвате GPO към контейнера. Ето защо е препоръчително да създадете компютърен обект в необходимата организационна единица, а не да се задоволявате с автоматично създаден компютърен акаунт. Разбира се, можете да преместите автоматично създаден компютър в необходимия отдел, но администраторите често забравят да правят такива неща.

Сега нека разгледаме начините за създаване на компютър(и) в AD:

Създавайте компютри с помощта на добавката Active Directory Users and Computers.

За този метод трябва да стартираме добавката Active Directory Users and Computers на нашия компютър, използвайки Администраторски пакетили на домейн контролер. За да направите това, щракнете върху " Старт- Контролен панел- Система и сигурност- Административни инструменти-"изберете необходимата единица, щракнете с десния бутон върху нея, изберете" Създаване - Компютър".

Въведете името на компютъра.

Създайте компютърен акаунт с помощта на командата DSADD.

Общ изглед на отбора:

dsadd компютър [-десц<описание>] [-loc<расположение>] [-член на<группа...>] [(-с<сервер>| -д<домен>)] [-у<пользователь>] [-p (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Настроики:

Описание на стойността
Задължителен параметър. Указва отличителното име (DN) на компютъра за добавяне.
-опис<описание> Посочва описание на компютъра.
-лок<размещение> Посочва местоположението на компютъра.
-член на<группа...> Добавя компютър към една или повече групи, дефинирани от разделен с интервал списък от DN<группа...>.
(-с<сервер>| -д<домен>}
-с <сервер>определя връзка с домейн контролер (DC) с име<сервер>.
-д <домен>дефинира връзка към DC в домейн<домен>.
По подразбиране: DC в домейна за влизане.
-u<пользователь> Свържете се под името<пользователь>... По подразбиране: името на влезлия в момента потребител. Възможните избори са потребителско име, домейн \ потребителско име, потребителско основно име (UPN).
-p (<пароль> | *} Потребителска парола<пользователь>... Ако въведете *, ще бъдете подканени да въведете парола.
-qТих режим: заменя целия изход със стандартен изход.
(-uc | -uco | -uci)

-ucУказва форматиране на Unicode за вход от тръба или изход към тръба.
-ucoУказва форматирането на изхода на Unicode към тръба или файл.
-uciУказва форматиране на Unicode за въвеждане от тръба или файл.

Пример за използване на командата Dsadd:

Dдобавете компютър „CN = COMP001, OU = Москва, OU = Отдели, DC = pk-помощ, DC = com“ – desc „Компютър на ИТ отдел“

Създаванеакаунт на работна станция или сървър с помощта на командата Netdom.

Общ изглед на екипа на Netdom:

NETDOM ADD<компьютер> ]
<компьютер> това е името на компютъра за добавяне
/ Домейнпосочва домейна, в който искате да създадете компютърен акаунт
/ UserDпотребителският акаунт, използван при свързване към домейна, посочен от аргумента / Domain
/ ПаролаDпаролата за потребителския акаунт, определен от аргумента / UserD. * Означава подкана за парола
/ Сървъримето на домейн контролера, използван за добавяне. Този параметър не може да се използва във връзка с параметъра / OU.
/ Ouорганизационната единица, в която искате да създадете акаунта на компютъра. Изисква RFC 1779 FQDN за организационната единица. Когато използвате този аргумент, трябва да работите директно върху посочения домейн контролер. Ако този аргумент не е посочен, акаунтът ще бъде създаден в организационната единица по подразбиране за компютърните обекти на този домейн.
/ DCпоказва, че искате да създадете компютърен акаунт за контролер на домейн. Този параметър не може да се използва във връзка с параметъра / OU.
/ SecurePasswordPromptИзползвайте защитен изскачащ прозорец, за да предоставите идентификационни данни. Използвайте този параметър, когато трябва да посочите идентификационни данни за смарт карта. Този параметър е ефективен само ако паролата е зададена във формата *.

Създайте компютърен обект с помощта на Ldifde () и Csvde ().

Администриране на компютърни акаунти в Active Directory.

Преименуване на компютър в AD.

Стартирайте командния ред и използвайте командата Netdom, за да преименувате компютъра на AD:

Netdom преименувайте компютър<Имя компьютера>/ Ново име:<Новое имя>

пример: Netdom преименуване на компютър COMP01 / Ново име: COMP02

Премахване на компютърни акаунти.

1 Премахнете акаунта на компютъра с помощта на приставката " Потребители и компютри на Active Directory". Стартирайте приставката." Потребители и компютри на Active Directory"намерете компютъра, от който се нуждаете, щракнете с десния бутон върху него, изберете" Изтрий", потвърдете изтриването

2 Можете да премахнете компютъра с помощта на командата DSRM:

DSRM

DSRM CN = COMP001, OU = Москва, OU = Отдели, DC = pk-помощ, DC = com
.

Отстранете грешката "Връзката на доверие между тази работна станция и основния домейн не можа да бъде установена."

Понякога, когато се опитва да влезе в компютъра, потребителят получава съобщение " Неуспешно установяване на доверителна връзка между тази работна станция и основния домейн". Тази грешка възниква, когато защитеният канал между машината и контролера на домейна не успее. За да коригирате това, трябва да нулирате защитения канал. Можете да използвате един от методите:

1 Отидете на добавката Active Directory Users and Computers, намерете проблемния компютър, щракнете с десния бутон върху него и изберете Нулиране на акаунт. След това компютърът трябва да се присъедини отново към домейна и да се рестартира.

2 Използване на командата Netdom:

Нулиране на Netdom<имя машины>/ домейн<Имя домена>/ Потребител0<Имя пользователя>/ Парола0<Пароль> без кавички<>

пример: Netdom reset COMP01 / сайт на домейн / Потребител0 Иванов / Парола *****

3 Използване на командата Nltest:

Nltest / сървър:<Имя компьютера>/ sc_reset:<Домен>\<Контроллер домена>