Domeinen vergemakkelijken het werk van gebruikers enorm, waardoor ze slechts één keer kunnen inloggen en alle wachtwoorden voor verschillende apparaten en bestanden op een groot lokaal netwerk kunnen vergeten.
Om dit te doen heb je nodig:
1.beheerdersrechten;
2.lokaal netwerk met Windows-domein;
3.gebruikersaccount in het domein;
4.domeinnaam.
1.
U kunt een computer aan een Windows-domein koppelen op het tabblad “Computernaam” in het venster “Systeemeigenschappen”. Om het venster Systeemeigenschappen in Windows XP te openen, gebruikt u het menu Start om het Configuratiescherm te openen en klikt u op Systeem. Als op uw computer het besturingssysteem Windows 7 of Vista is geïnstalleerd, opent u het Configuratiescherm en gaat u naar de categorie Systeem en beveiliging, waar u op het item Systeem klikt. Op de geopende pagina klikt u op de link 'Geavanceerde systeeminstellingen' in de linkerkolom.
2.
In het geopende venster “Systeemeigenschappen” selecteert u het tabblad “Computernaam”. Klik op de knop "Wijzigen" en voer in het geopende venster de naam in van het domein waaraan u de computer wilt toevoegen. Klik vervolgens op de knop OK. Voer in het venster dat verschijnt de gebruikersnaam en het wachtwoord van uw domein in. Klik daarna op OK en start uw computer opnieuw op. Uw computer is lid van een domein.
3.
Naast de grafische interface kunt u de computer via de opdrachtregel aan het domein koppelen. Het Windows XP-besturingssysteem bevat het hulpprogramma NETDOM, waarmee u een computer aan een domein kunt toevoegen met behulp van de opdracht:
Waar computernaam, domeinnaam en gebruikersnaam respectievelijk moeten worden vervangen door de namen van de computer, het domein en de gebruiker die worden toegevoegd, en user_pass moet worden gewijzigd in het wachtwoord van de gebruiker in het domein.
In Windows 7 werd het hulpprogramma NETDOM vervangen door de PowerShell-opdracht add-computer. Om een computer vanaf de console in Windows 7 aan een domein te koppelen, voert u de volgende opdracht uit:
computer toevoegen -Domeinnaam domeinnaam -referentiedomeinnaam\gebruikersnaam
Waar domeinnaam en gebruikersnaam ook worden vervangen door domein- en gebruikersnamen.
Windows-domein niet bedoeld voor thuisgebruik, het is erg handig in bedrijfsnetwerken met een groot aantal gebruikers met verschillende toegangsniveaus tot bestanden en apparaten. Daarom beschikken computers met besturingssystemen voor thuisgebruik, dat wil zeggen onder het Professional-niveau, niet over hulpmiddelen om lid te worden van een domein. Om dergelijke computers toe te voegen, moet u eerst het systeem opnieuw installeren.
Er is een snellere manier om het venster Systeemeigenschappen te openen. Als u een Windows XP-besturingssysteem heeft, klikt u met de rechtermuisknop op het pictogram "Deze computer" en klikt u in het menu dat wordt geopend op "Systeemeigenschappen". Als u een Windows 7- of Vista-besturingssysteem heeft, klikt u met de rechtermuisknop op het pictogram “Computer”, selecteert u “Systeemeigenschappen” en klikt u op “Geavanceerde systeeminstellingen”.
Wanneer u een computer aan een domein koppelt, kunt u op hetzelfde tabblad "Computernaam" een beschrijving van uw computer instellen, wat een hint zal zijn voor domeingebruikers.
De procedure voor het toevoegen van een computer die zich buiten de perimeter van uw bedrijfsomgeving bevindt aan het domein is niet ingewikkeld en bestaat uit twee stappen die moeten worden uitgevoerd op de client en op elke server die deel uitmaakt van het domein van uw organisatie.
1. Aanmaken van een antwoordbestand voor offline invoer (offline domein join) van een pc in een domein
Laten we verbinding maken met de serverconsole met behulp van Remote Desktop Protocol en de opdrachtregel of powershell-console starten. Gebruik wat jij het fijnst vindt. In het voorbeeld gebruik ik de opdrachtregel. Om dit te doen, start ik het cmd-hulpprogramma als beheerder. Om dit te doen, klikt u op Opdrachtregel klik met de rechtermuisknop en selecteer in het venster dat verschijnt Als administrator uitvoeren.
Voer via de opdrachtregelinterface de volgende opdracht in:
Djoin.exe /voorziening /domein VOORBEELD.COM/machine COMPUTER NAAM/rootcacerts/machineou " ou=desktops, dc=VOORBEELD, dc=COM" /policynames "DirectAccess-clientinstellingen" /savefile C:\BESTANDSNAAM.txt
Hulp bij het werken met het hulpprogramma Djoin.exe:
/VOORRAAD— bereidt een computeraccount voor in het domein.
/DOMEIN <имя> — <имя>domein om lid van te worden.
/MACHINE <имя> — <имя>computer die lid wordt van het domein.
/MACHINEOU
/DCNAAM
/HERGEBRUIK— een bestaand account opnieuw gebruiken (het wachtwoord wordt opnieuw ingesteld).
/SLA BESTAND OP <путь_к_файлу>— sla de voorbereidingsgegevens op in een bestand op het opgegeven pad.
/NEUSZOEKEN- sla detectie van accountconflicten over; DCNAME vereist (hogere prestaties).
/DOWNLEVEL- Biedt ondersteuning voor een Windows Server 2008 of eerdere domeincontroller.
/AFDRUKBLOB- Retourneert een met base64 gecodeerde metagegevensblob voor het responsbestand.
/DEFPWD— gebruik het standaard computeraccountwachtwoord (niet aanbevolen).
/WORTELCACERTS— optionele parameter, schakel rootcertificaten van de certificeringsinstantie in.
/CERT-TEMPLATE <имя>- optionele parameter,<имя>sjabloon voor computercertificaten. Inclusief autoriteitsbasiscertificaten
certificering.
/BELEIDSNAMEN <имена>— optionele parameter, een lijst met beleidsnamen, gescheiden door puntkomma's. Elke naam is de weergavenaam van een groepsbeleidsobject in AD.
/BELEIDSPADEN <пути>— optionele parameter, lijst met paden naar beleid, gescheiden door puntkomma's. Elk pad verwijst naar de locatie van het registerbeleidsbestand.
/NETBIOS <имя>— optionele parameter, Netbios-naam van de computer die lid wordt van het domein.
/PSITE <имя>- optionele parameter,<имя>een permanente site waar de computer kan worden geplaatst die lid wordt van het domein.
/DSITE <имя>- optionele parameter,<имя>een dynamische site waarin in eerste instantie de computer wordt geplaatst die lid wordt van het domein.
/PRIMAIRE DNS <имя>— optionele parameter, het primaire DNS-domein van de computer die lid wordt van het domein.
/VERZOEK AANJ- Vereist verbinding met een offline domein bij de volgende keer opstarten.
/LAAD BESTAND <путь_к_файлу> — <путь_к_файлу>eerder opgegeven met de parameter /SAVEFILE.
/VENSTERPATH <путь> — <путь>naar de map met de offline Windows-image.
/LOCALOS— hiermee kunt u het lokale besturingssysteem opgeven in de parameter /WINDOWSPATH.
Deze opdracht moet worden uitgevoerd door een lokale beheerder.
U moet uw computer opnieuw opstarten om de wijzigingen toe te passen.
Als resultaat van het uitvoeren van de opdracht met de bovenstaande parameters, ontvangen we een responsbestand dat al de certificaten bevat die nodig zijn om Direct Access te laten werken, een lijst met directe toegangsbeleidsregels en de vereiste DNS-naamruimte.
2. Toegang tot een computerdomein via Direct Access
We brengen het resulterende tekstbestand over naar het werkstation van de gebruiker en voeren het uit vanaf de opdrachtregel:
djoin /requestODJ /laadbestand C:\BESTANDSNAAM.txt/windowspath %SysteemRoot% /localos
Hiermee is de procedure voor het op afstand invoeren van een computer in het domein voltooid. Voer in het uitnodigingsvenster de gebruikersnaam en het wachtwoord van het domein in.
Vaak is het nodig om een Linux-machine in een bestaand Windows-domein te brengen. Om bijvoorbeeld een bestandsserver te maken met Samba. Dit is heel gemakkelijk te doen; het enige dat u nodig hebt is een Kerberos-client, Samba en Winbind.
Vóór de installatie is het raadzaam om het volgende te updaten:
Sudo aptitude-update sudo aptitude-upgrade
Je kunt al deze dingen installeren met het commando:
Sudo aptitude install krb5-user samba winbind
Mogelijk moet u ook de volgende bibliotheken installeren:
Sudo aptitude installeer libpam-krb5 libpam-winbind libnss-winbind
Of, als u Ubuntu Desktop gebruikt, kunnen dezelfde pakketten worden geïnstalleerd via de Synaptic-pakketbeheerder.
Vervolgens moet u alle bovenstaande tools configureren om met uw domein te werken. Stel dat u zich wilt aanmelden bij een domein DOMEIN.COM, waarvan de domeincontroller de server is dc.domein.com met IP-adres 192.168.0.1 . Dezelfde server is tevens de primaire DNS-server van het domein. Stel dat u bovendien een tweede domeincontroller heeft, ook wel DNS genoemd: dc2.domein.com met IP 192.168.0.2 . Uw computer wordt gebeld smbsrv01.
DNS-instellingen
Eerst moet u de DNS-instellingen op uw machine wijzigen, waarbij u de domeincontroller registreert als de DNS-server en het gewenste domein als het zoekdomein.
Als je een statisch IP-adres hebt, dan kan dit in Ubuntu Desktop gedaan worden via Netwerkbeheer, in Ubuntu Server moet je de inhoud van het bestand /etc/resolv.conf wijzigen in iets als dit:
Domein domein.com zoek domein.com naamserver 192.168.0.1 naamserver 192.168.0.2
In moderne distributies wordt het bestand resolv.conf automatisch aangemaakt en is het niet nodig om het handmatig te bewerken. Om het gewenste resultaat te krijgen, moet u de nodige wijzigingen aan het bestand toevoegen: /etc/resolvconf/resolv.conf.d/head De gegevens die eraan worden toegevoegd, worden automatisch ingevoegd in het bestand /etc/resolv.conf
Als het IP-adres dynamisch is en wordt toegewezen door een DHCP-server, kan na het opnieuw opstarten van resolv.conf een "onjuiste" resolv.conf worden gegenereerd. Er is bijvoorbeeld maar één naamserver 192.168.0.1 en domein en zoekopdracht zijn niet gespecificeerd . U moet /etc/dhcp/dhclient.conf bewerken. Om het domein en de zoekitems te laten verschijnen, moet u de opmerking vóór de vervangende domeinnaamregel verwijderen en uw domein invoeren:
Vervang domeinnaam "domain.com";
Om nog een naamserver toe te voegen, moet u de opmerking verwijderen voordat u domeinnaamservers voorzet en het server-ip opgeven:
Plaats domeinnaamservers 192.168.0.2;
Om de wijzigingen toe te passen, hoeft u alleen maar de service opnieuw te starten:
/etc/init.d/netwerk opnieuw opstarten
Zorg er nu voor dat u de juiste computernaam instelt in het bestand /etc/hostname:
Smbsrv01
Bovendien moet u het bestand /etc/hosts bewerken zodat het een vermelding bevat met de volledig gekwalificeerde domeinnaam van de computer en Nodig korte hostnaam die verwijst naar een van de interne IP's:
# Namen van deze computer 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01
We moeten onmiddellijk controleren of onze domeincontroller normaal pingt, met behulp van de korte en volledige naam, zodat we in de toekomst geen foutmelding krijgen dat de domeincontroller niet is gevonden:
Ping dc ping dc.domein.com
Niet nodig, maar als u iets wijzigt, start u de computer opnieuw op om de wijzigingen toe te passen.
Tijdsynchronisatie instellen
Vervolgens moet u de tijdsynchronisatie met de domeincontroller configureren. Als het verschil meer dan 5 minuten bedraagt, kunnen wij geen blad van Kerberos ontvangen. Voor eenmalige synchronisatie kunt u de opdracht gebruiken:
Sudo netto tijd ingesteld dc
Als er een exacte tijdserver op het netwerk is, kunt u deze of een andere openbare server gebruiken:
Ntpdate ntp.mobatime.ru
Automatische synchronisatie wordt geconfigureerd met behulp van ntpd, deze daemon zal periodiek synchronisatie uitvoeren. Eerst moet je het installeren:
Sudo aptitude installeer ntp
Bewerk nu het bestand /etc/ntp.conf om informatie over uw tijdserver op te nemen:
# Je moet wel met een of twee NTP-servers (of drie) praten. server dc.domein.com
Start vervolgens de ntpd-daemon opnieuw op:
Sudo /etc/init.d/ntp opnieuw opstarten
Nu is het tijd om directe interactie met het domein op te zetten.
Autorisatie instellen via Kerberos
Default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = ( host = ( rcmd = host ftp = ftp ) plain = (iets = iets anders ) ) fcc-mit-ticketflags = true DOMAIN.COM = (kdc = dc kdc = dc2 admin_server = dc standaard_domein = DOMAIN.COM ) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false
U moet natuurlijk domain.com wijzigen in uw domein en dc en dc2 in uw domeincontrollers. Overigens moet u wellicht de volledige namen van de domeincontrollers dc.domain.com en dc2.domain.com noteren. Omdat ik een zoekdomein heb geregistreerd in DNS, hoef ik dit niet te doen.
Besteed speciale aandacht aan het schrijven van de domeinnaam: overal waar het domein in hoofdletters wordt geschreven, moet het in hoofdletters worden geschreven. Anders zal niets op magische wijze werken.
Dit zijn niet alle mogelijke Kerberos-configuratieopties, alleen de basisopties. Meestal zijn ze echter voldoende.
Nu is het tijd om te controleren of we kunnen inloggen op het domein. Om dit te doen, voert u de opdracht uit
Kinit [e-mailadres beveiligd]
In plaats van gebruikersnaam vult u uiteraard de naam van een bestaande domeingebruiker in.
De domeinnaam moet in hoofdletters worden geschreven!
Krijg je geen foutmelding, dan heb je alles goed geconfigureerd en krijg je van het domein een Kerberos-ticket. Overigens staan hieronder enkele veelvoorkomende fouten vermeld.
U kunt verifiëren dat het ticket is ontvangen door de opdracht uit te voeren
Met het commando kun je alle tickets verwijderen (je hebt ze helemaal niet nodig).
Veel voorkomende kinit-fouten
Kinit(v5): Klokafwijking te groot bij het verkrijgen van initiële referenties
Dit betekent dat de tijd van uw computer niet wordt gesynchroniseerd met de domeincontroller (zie hierboven).
Kinit(v5): Pre-authenticatie is mislukt tijdens het ophalen van de initiële referenties
U heeft het verkeerde wachtwoord ingevoerd.
Kinit(v5): KDC-antwoord voldeed niet aan de verwachtingen bij het verkrijgen van de initiële inloggegevens
De vreemdste fout. Zorg ervoor dat de realm-naam in krb5.conf, evenals het domein in het kinit-commando, in hoofdletters worden ingevoerd:
DOMAIN.COM = ( # ... kinit [e-mailadres beveiligd] kinit(v5): Client niet gevonden in Kerberos-database tijdens het ophalen van initiële inloggegevens
De opgegeven gebruiker bestaat niet in het domein.
Samba instellen en inloggen op een domein
Om in te loggen op het domein, moet u de juiste instellingen opgeven in het bestand /etc/samba/smb.conf. In dit stadium zou u slechts geïnteresseerd moeten zijn in enkele van de opties uit de sectie. Hieronder ziet u een voorbeeld van een deel van een Samba-configuratiebestand met commentaar op de betekenis van belangrijke parameters:
# Deze twee opties moeten in hoofdletters worden geschreven, met werkgroep zonder # de laatste sectie na de punt, en realm - de volledige domeinnaam werkgroep = DOMAIN realm = DOMAIN.COM # Deze twee opties zijn verantwoordelijk voor autorisatie via AD security = ADS wachtwoorden versleutelen = true # Alleen belangrijke DNS-proxy = geen socket-opties = TCP_NODELAY # Als je niet wilt dat Samba probeert een leider te worden in een domein of werkgroep, # of zelfs een domeincontroller wordt, schrijf dan altijd deze vijf opties in dit formulier domeinmaster = geen lokale master = geen voorkeursmaster = geen os-niveau = 0 domeinaanmeldingen = nee # Printerondersteuning uitschakelen printers laden = nee toon printerwizard toevoegen = nee printcap-naam = /dev/null spoolss uitschakelen = ja
Nadat u smb.conf hebt bewerkt, voert u de opdracht uit
Testparm
Het controleert uw configuratie op fouten en geeft er een samenvatting van:
# testparm Laad smb-configuratiebestanden uit /etc/samba/smb.conf Geladen servicesbestand OK. Serverrol: ROLE_DOMAIN_MEMBER Druk op Enter om een dump van uw servicedefinities te bekijken
Zoals u kunt zien, hebben we de juiste parameters ingesteld zodat onze computer lid kan worden van het domein. Nu is het tijd om te proberen rechtstreeks in te loggen op het domein. Om dit te doen, voert u de opdracht in:
Nettoadvertenties sluiten zich aan bij -U gebruikersnaam -D DOMAIN
En als het lukt, zie je iets dat lijkt op:
# net ads join -U gebruikersnaam -D DOMAIN Voer het wachtwoord van de gebruikersnaam in: Gebruik een korte domeinnaam -- DOMAIN Deelgenomen aan "SMBSRV01" naar realm "domain.com"
Net-opdrachtopties gebruikt
U gebruikersnaam%wachtwoord: Vereiste parameter in plaats van gebruikersnaam, u moet een gebruikersnaam vervangen door domeinbeheerdersrechten en een wachtwoord opgeven.
D DOMEIN: DOMEIN - het domein zelf, u hoeft het domein niet op te geven, maar het is beter om het altijd te doen - erger wordt het niet.
S win_domain_controller: win_domain_controller kan worden weggelaten, maar er zijn momenten waarop de server niet automatisch een domeincontroller vindt.
createcomputer="OU/OU/...": In AD wordt vaak OU (Organisatie-eenheid) gebruikt, er is OU = Kantoor in de domeinroot, daarin staat OU = Kabinet, dus u kunt het onmiddellijk toevoegen aan degene die u wilt, kunt u het als volgt specificeren: sudo net ads join -U gebruikersnaam createcomputer = "Office/Cabinet".
Als er geen berichten meer zijn, is alles in orde. Probeer uw computer te pingen op de naam van een ander domeinlid om er zeker van te zijn dat alles in het domein is geregistreerd zoals het hoort.
U kunt ook de opdracht typen:
Netto-advertenties testjoin
Als alles goed is, zie je:
#net ads testjoin Deelnemen is OK
Maar soms verschijnt er na een bericht over het aanmelden bij een domein een foutmelding zoals:
DNS-update mislukt!
Dit is niet erg goed, en in dit geval is het aan te raden om het gedeelte over het instellen van DNS opnieuw iets hoger te lezen en te begrijpen wat je verkeerd hebt gedaan. Hierna moet u de computer uit het domein verwijderen en opnieuw proberen toegang te krijgen. Als u er zeker van bent dat u alles correct heeft geconfigureerd, maar de DNS nog steeds niet is bijgewerkt, kunt u handmatig een vermelding voor uw computer aan uw DNS-server toevoegen en alles zal werken. Natuurlijk, als er geen andere fouten zijn en u succesvol bent ingelogd op het domein. Het is echter beter om erachter te komen waarom de DNS niet automatisch wordt bijgewerkt. Dit kan niet alleen aan uw computer liggen, maar ook aan onjuiste AD-instellingen.
Voordat u erachter komt waarom DNS niet wordt bijgewerkt, vergeet niet uw computer opnieuw op te starten nadat u het domein heeft ingevoerd! Het is heel goed mogelijk dat dit het probleem oplost.
Als alles zonder fouten is verlopen, gefeliciteerd, dan bent u succesvol ingelogd op het domein! Je kunt in AD kijken en het zelf zien. Het is ook een goed idee om te controleren of u de bronnen in het domein kunt zien. Om dit te doen, installeert u smbclient:
Sudo aptitude installeer smbclient
U kunt nu de bronnen van domeincomputers bekijken. Maar hiervoor heb je een kerberos-ticket nodig, d.w.z. als we ze hebben verwijderd, krijgen we ze opnieuw via kinit (zie hierboven). Laten we eens kijken welke bronnen door de werkstationcomputer aan het netwerk worden geleverd:
Smbclient -k -L werkstation
U zou een lijst met gedeelde bronnen op deze computer moeten zien.
Winbind instellen
Als je op de een of andere manier met domeingebruikers moet werken, bijvoorbeeld SMB-shares met toegangscontrole moet configureren, dan heb je naast Samba zelf ook Winbind nodig - een speciale daemon die dient om het lokale Linux-gebruikers- en groepsbeheersysteem te verbinden met de Active Directoryserver. Simpel gezegd: Winbind is nodig als u domeingebruikers op uw Ubuntu-computer wilt zien.
Met Winbind kunt u alle AD-gebruikers en -groepen aan uw Linux-systeem toewijzen door ze ID's uit een bepaald bereik toe te wijzen. Op deze manier kunt u domeingebruikers toewijzen als eigenaren van mappen en bestanden op uw computer en andere bewerkingen uitvoeren die verband houden met gebruikers en groepen.
Om Winbind te configureren wordt hetzelfde bestand /etc/samba/smb.conf gebruikt. Voeg de volgende regels toe aan de sectie:
# Opties voor het matchen van domeingebruikers en virtuele gebruikers in het systeem via Winbind. # ID-bereiken voor virtuele gebruikers en groepen. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Deze opties mogen niet worden uitgeschakeld. winbind enum groups = ja winbind enum gebruikers = ja # Gebruik standaarddomein voor gebruikersnamen. Zonder deze optie worden gebruikers- en groepsnamen # gebruikt bij het domein, d.w.z. in plaats van gebruikersnaam - DOMEIN\gebruikersnaam. # Dit is misschien wat u wilt, maar het is meestal eenvoudiger om deze optie in te schakelen. winbind use default domain = yes # Als je het gebruik van de opdrachtregel wilt toestaan voor domeingebruikers, # voeg dan de volgende regel toe, anders /bin/false template shell = /bin/bash # Om het Kerberos-ticket automatisch bij te werken met de module pam_winbind. dus je moet de regel winbind refresh tickets = yes toevoegen
Opties:
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
in nieuwe versies van Samba zijn al verouderd en bij het controleren van de samba-configuratie met testparm wordt een waarschuwing gegeven:
WAARSCHUWING: de optie "idmap uid" is verouderd
WAARSCHUWING: de optie “idmap gid” is verouderd
Om waarschuwingen te verwijderen, moet u deze regels vervangen door nieuwe:
idmap-configuratie *: bereik = 10000-20000
idmap-configuratie *: backend = tdb
Start nu de Winbind- en Samba-daemon opnieuw op in de volgende volgorde:
Sudo /etc/init.d/winbind stop sudo smbd herstart sudo /etc/init.d/winbind start
Laten we lanceren
Sudo testparm
Laten we kijken of er fouten of waarschuwingen zijn als het volgende verschijnt:
"rlimit_max: rlimit_max (1024) onder de minimale Windows-limiet (16384)"
Je kunt het als volgt repareren zonder opnieuw op te starten:
Ulimit -n 16384
Om op te slaan na het opnieuw opstarten, bewerkt u het bestand /etc/security/limits.conf
# Voeg de volgende regels toe aan het einde van het bestand: * - nofile 16384 root - nofile 16384
Controleer na het opnieuw opstarten of Winbind een vertrouwensrelatie met AD heeft opgebouwd met de opdracht:
# wbinfo -t het controleren van het vertrouwensgeheim voor domein DCN via RPC-aanroepen is gelukt
En ook dat Winbind gebruikers en groepen uit AD zag met de commando's:
Wbinfo -u wbinfo -g
Deze twee opdrachten moeten respectievelijk de gebruikers en groepen uit het domein vermelden. Met of zonder het voorvoegsel DOMAIN\, afhankelijk van de waarde die u hebt opgegeven voor de parameter "winbind use default domain" in smb.conf.
Winbind werkt dus, maar is nog niet in het systeem geïntegreerd.
Winbind toevoegen als bron van gebruikers en groepen
Om ervoor te zorgen dat Ubuntu transparant kan samenwerken met domeingebruikers, in het bijzonder zodat u domeingebruikers kunt toewijzen als eigenaren van mappen en bestanden, moet u Ubuntu vertellen Winbind te gebruiken als een extra bron van gebruikers- en groepsinformatie.
Om dit te doen, wijzigt u twee regels in het bestand /etc/nsswitch.conf:
Wachtwoord: compatgroep: compat
aan het einde winbind eraan toevoegen:
Wachtwoord: compat winbind groep: compat winbind
Bestanden: dns mdns4_minimal mdns4
ubuntu server 14.04, het /etc/nsswitch.conf bestand bevatte niet de regel “files: dns mdns4_minimal mdns4” in plaats daarvan was het: “hosts: files mdns4_minimal dns wins” Wat ik daarna heb geconverteerd naar: “hosts: dns mdns4_minimal mdns4 files” waarbij alles werkte
Controleer nu of Ubuntu Winbind om gebruikers- en groepsinformatie vraagt door het uit te voeren
Getent wachtwoord getent groep
Het eerste commando zou de volledige inhoud van uw /etc/passwd-bestand moeten retourneren, dat wil zeggen uw lokale gebruikers, plus domeingebruikers met ID's uit het bereik dat u in smb.conf hebt opgegeven. De tweede zou hetzelfde moeten doen voor groepen.
Nu kunt u elke domeingebruiker nemen en hem bijvoorbeeld de eigenaar van een bestand maken.
Autorisatie in Ubuntu via domeingebruikers
Ondanks het feit dat alle domeingebruikers feitelijk volwaardige gebruikers van het systeem zijn geworden (wat kan worden geverifieerd door de laatste twee opdrachten uit de vorige sectie uit te voeren), is het nog steeds onmogelijk om als een van hen op het systeem in te loggen. Om de mogelijkheid in te schakelen om domeingebruikers te autoriseren op een computer waarop Ubuntu draait, moet u PAM configureren om met Winbind te werken.
Online autorisatie
Voor Ubuntu 10.04 en hoger voeg slechts één regel toe in het bestand /etc/pam.d/common-session, omdat PAM doet al goed werk met toestemming:
Sessie optioneel pam_mkhomedir.so skel=/etc/skel/umask=0077
Voor Ubuntu 13.10 Om het handmatige login-invoerveld te laten verschijnen, moet u de onderstaande regel toevoegen aan elk bestand uit de map /etc/lightdm/lightdm.conf/:
Greeter-show-manual-login=true
Voor Ubuntu 9.10 en lager je zult verschillende bestanden moeten bewerken (maar niemand verbiedt het gebruik van deze methode in 10.04 - het werkt ook):
De volgorde van regels in bestanden is belangrijk!
/etc/pam.d/common-auth
Auth vereist pam_env.so auth voldoende pam_unix.so likeauth nullok try_first_pass auth voldoende pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth vereist pam_deny.so
/etc/pam.d/common-account
Account voldoende pam_winbind.so account vereist pam_unix.so
/etc/pam.d/common-session
Sessie optioneel pam_mkhomedir.so skel=/etc/skel/umask=0077 sessie optioneel pam_ck_connector.so nox11 sessie vereist pam_limits.so sessie vereist pam_env.so sessie vereist pam_unix.so
/etc/pam.d/common-password
Wachtwoord voldoende pam_unix.so try_first_pass use_authtok nullok sha512 schaduwwachtwoord voldoende pam_winbind.so wachtwoord vereist pam_deny.so
En ten slotte moet u de lancering van Winbind verplaatsen bij het opstarten van het systeem na alle andere services (standaard begint het bij index 20). Om dit te doen, voert u de volgende opdracht uit in de terminal:
Sudo bash -c "voor i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; klaar"
Dat komt overeen met het uitvoeren van de opdracht voor elk niveau (4 in het voorbeeld):
Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
In sommige gevallen kan winbind een ander runlevel hebben (bijvoorbeeld S02winbind). Controleer dus eerst de bestandsnamen door het commando “ls /etc/rc(2,3,4,5).d/ | grep winbind" (zonder aanhalingstekens).
Klaar, alle instellingen zijn voltooid. Start opnieuw op en probeer in te loggen met een domeingebruikersaccount.
Off-line autorisatie
Er doet zich vaak een situatie voor waarin een domeincontroller om verschillende redenen niet beschikbaar is: onderhoud, een stroomstoring of u heeft uw laptop mee naar huis genomen en wilt werken. In dit geval kan Winbind worden geconfigureerd om domeingebruikersaccounts in de cache op te slaan. Om dit te doen, moet u het volgende doen. Voeg de volgende regels toe aan de sectie /etc/samba/smb.conf van het bestand:
# Mogelijkheid tot offline autorisatie als de domeincontroller niet beschikbaar is winbind offline logon = ja # Accountcacheperiode, standaard is 300 seconden winbind cachetijd = 300 # Optionele instelling, maar elimineert vervelende pauzes, specificeer de domeincontroller dc, # u kunt ook specificeer ip, maar dit is een slechte vorm wachtwoord server = dc
Meestal is dit voldoende. Als er fouten optreden, moet u een bestand /etc/security/pam_winbind.conf maken met de volgende inhoud:
Aandacht! Wanneer u de onderstaande tips gebruikt, kan er een volledig willekeurige fout “Authenticatie mislukt” optreden! Daarom doet u alles wat u doet op eigen risico!
# # pam_winbind configuratiebestand # # /etc/security/pam_winbind.conf # # schakel debugging debug in = nee # verzoek om login in cache indien mogelijk # (vereist "winbind offline logon = yes" in smb.conf) cached_login = ja # authenticeren met behulp van kerberos krb5_auth = ja # wanneer u kerberos gebruikt, vraag dan een "FILE" krb5 credential cache type # aan (laat leeg om alleen krb5 authenticatie uit te voeren maar daarna geen ticket te hebben) krb5_ccache_type = FILE # maak succesvolle authenticatie afhankelijk van lidmaatschap van één SID # (kan ook een naam hebben) ;require_membership_of = stil = ja
Het bestand /etc/pam.d/gnome-screensaver heeft in dit geval de vorm:
Auth voldoende pam_unix.so nullok_secure auth voldoende pam_winbind.so use_first_pass auth vereist pam_deny.so
Het bestand /etc/pam.d/common-auth is ook gewijzigd:
Auth optioneel pam_group.so auth voldoende pam_unix.so nullok_secure use_first_pass auth voldoende pam_winbind.so use_first_pass auth vereist pam_deny.so
Door een computer aan een domein te koppelen, kunt u profiteren van alle voordelen van een domein, zoals gecentraliseerd beheer, groepsbeleid en nog veel meer.
Vereisten
Voordat u een Windows 7-computer aan een domein koppelt, moet u ervoor zorgen dat aan de volgende vereisten is voldaan:
Gebruik Windows 7 Professional, Ultimate of Enterprise- alleen deze edities van Windows 7 kunnen aan een domein worden gekoppeld.
Heb je een netwerkkaart- zonder commentaar, ik denk dat je het niet bent vergeten
U bent verbonden met het lokale netwerk- Zorg ervoor dat u verbonden bent met het lokale netwerk. Hoewel Windows 7 offline aan een Windows Server 2008 R2-domein kan worden gekoppeld, is dat een onderwerp voor een ander artikel.
U heeft het juiste IP-adres- Zorg er nogmaals voor dat u verbonden bent met het netwerk en over het juiste IP-adres beschikt. Het adres kan handmatig worden geconfigureerd, verkregen van een DHCP-server, of kan worden verkregen van een APIPA-adres (dat begint met 169.254.X.Y). Als u een APIPA-adres ontvangt, heeft u gegarandeerd potentiële problemen, aangezien APIPA en AD niet samenwerken.
Domeincontrollers zijn voor u beschikbaar - of tenminste één van hen. U moet de connectiviteit met de domeincontroller testen, bijvoorbeeld door deze te pingen, hoewel een succesvolle ping niet garandeert dat de domeincontroller volledig toegankelijk is.
U moet over een correct geconfigureerde DNS-server beschikken- Zonder een goed geconfigureerde DNS-server heb je gegarandeerd problemen bij het betreden van het domein, tijdens het werk etc.
DNS-servers zijn voor u beschikbaar- Controleer uw verbinding met DNS-servers met behulp van het PING-programma en voer een NSLOOKUP-verzoek uit.
Controleer uw machtigingen op het lokale systeem- Om succesvol in te loggen op het domein, moet u over lokale computerbeheerdersrechten beschikken.
Ken uw domeinnaam, beheerdersgebruikersnaam en wachtwoord
Er zijn twee manieren om een computer aan een domein te koppelen. In dit artikel zullen we beide methoden bekijken.
Methode #1 - Traditionele manier
1. Open systeemeigenschappen door op de Start-knop te klikken, vervolgens met de rechtermuisknop op de snelkoppeling "Computer" te klikken en vervolgens op "Eigenschappen" te klikken.
2. Klik in het gedeelte 'Computernaam, domein en werkgroepinstellingen' op 'Instellingen wijzigen'.
3. Ga naar het tabblad Computernaam en klik op "Wijzigen".
4. Klik in de sectie Lid van op Domein.
5. Voer de naam in van het domein waarmee u verbinding wilt maken en klik op OK.
U wordt gevraagd uw gebruikersnaam en wachtwoord voor uw domein in te voeren.
Nadat u de computer met succes in het domein heeft ingevoerd, wordt u gevraagd opnieuw op te starten. Doe dit om uw invoer te voltooien.
Methode #2 - Gebruik NETDOM
Met NETDOM kunnen we met slechts één opdracht een computer vanaf de opdrachtregel in een domein brengen.
NETDOM in Windows 7 is opgenomen in het besturingssysteem, in tegenstelling tot Windows 2000/XP/2003, waar het nodig was om ondersteuningsprogramma's te installeren.
Open een opdrachtprompt als beheerder:
en voer het volgende commando in:
Opmerking: Vervang DOMAIN.COM en DOMAIN door uw domeinnaam en geef uiteraard uw domeingebruikersnaam en wachtwoord op. Let ook op de extra "d" in "user" en "password", dit NIET typfout.
Netdom wordt lid van %computernaam% /domein:DOMAIN.COM /userd:DOMAIN\administrator /passwordd 
@ssw0rd
Om de procedure te voltooien, start u uw computer opnieuw op.
Als je, net als ik, hi-tech nieuws altijd nauwlettend in de gaten houdt, dan raad ik je aan je te abonneren op de uitstekende nieuwssite Informua.net. Alleen het meest interessante hoogtechnologische nieuws en nog veel meer.
Hallo, beste computerliefhebbers en lezers van de MyFirstComp.ru-blog. Vandaag zullen we kijken naar een vrij belangrijk onderwerp dat elke systeembeheerder is tegengekomen of in de nabije toekomst zeker zal tegenkomen. Het lokale bedrijfsnetwerk van een middelgrote of grote onderneming heeft in 99% van de gevallen een domeinstructuur. Dit wordt in de eerste plaats bepaald door het beveiligingsbeleid van de onderneming. Alle computers in het netwerk gebruiken dus de instellingen van de hoofdcomputer: het domein (beveiliging kan worden geboden door een firewall of verdediger, die eenvoudig kan worden uitgeschakeld).
Nu stel ik voor om te kijken naar een voorbeeld van hoe je een computer met Windows 7 aan een domein kunt toevoegen. Hoewel het toevoegen van computers met andere versies van Windows aan een domein in principe niet veel anders is - het belangrijkste is om de essentie te begrijpen.
Sluit eerst de netwerkkabel aan op de computer =). Nu moet u uw netwerkverbinding configureren. Klik met de rechtermuisknop op de computer in de lade en open Netwerkcentrum.
In het venster dat verschijnt, klikt u op Adapterinstellingen wijzigen - alle beschikbare netwerkverbindingen worden geopend. We moeten Local Area Connection selecteren, er met de rechtermuisknop op klikken en Eigenschappen selecteren.
In het venster dat wordt geopend, moet u gegevens invoeren zoals IP-adres, subnetmasker, gateway en DNS-server. Het zou ongeveer zo moeten zijn.
Klik op OK en sla daarmee de wijzigingen op. Hiermee is het voorbereidende deel van het werk voltooid. Laten we nu verder gaan met het toevoegen van een computer aan het domein.
Klik op Start, klik met de rechtermuisknop op Computer en selecteer Eigenschappen. Zoek in het linkergedeelte van het venster het item Geavanceerde systeeminstellingen en klik er met de linkermuisknop op. In het venster dat verschijnt, opent u het tabblad Computernaam.
Klik OK. U wordt gevraagd een gebruikersnaam en wachtwoord in te voeren die het recht hebben om computers aan het domein toe te voegen, bijvoorbeeld een domeinbeheerder. Hierna is een herstart vereist.
Aan het einde van het opnieuw opstarten bevindt uw computer zich in het domein.
Als de computer het domein heeft verlaten
Ja, dit gebeurt ook. Het kan zijn dat de computer plotseling weigert het domein te zien. Dienovereenkomstig zal autorisatie niet werken.
Vervolgens voeren we de computer opnieuw in het domein in zoals hierboven weergegeven en starten we opnieuw op.
Tags: vensters, domein, computer
mijneerstecomp.ru
Een Windows 7-pc koppelen aan een domein
Door een pc aan een domein te koppelen, kunt u genieten van domeingoodies zoals schaalbaarheid, gecentraliseerd beheer, groepsbeleid, beveiligingsinstellingen en nog veel meer.
Voordat u uw Windows 7-machine aan het domein toevoegt, moet u ervoor zorgen dat aan de volgende voorwaarden wordt voldaan:
U gebruikt Windows 7 Professional, Ultimate of Enterprise - alleen deze Windows 7-distributies kunnen in het domein worden opgenomen. Windows 7 Home is niet mogelijk, probeer het niet eens.
U hebt een netwerkkaart (NIC) - een draadloze kaart is voldoende
U bent fysiek verbonden met het lokale netwerk van waaruit de domeincontroller toegankelijk is. Houd er rekening mee dat Windows 7 kan worden opgenomen in een domein zonder een netwerkverbinding met dit laatste (deze functie verscheen in een domein op Windows Server 2008 R2), maar dit is een onderwerp voor een apart artikel.
U beschikt over het juiste IP-adres voor het netwerk waarmee u bent verbonden. U kunt het handmatig configureren of het van een DHCP-server ophalen.
U “ziet” de domeincontroller over het netwerk.
U heeft de DNS-server correct geconfigureerd. Zonder de juiste DNS-configuratie kan uw computer niet in het domein worden ingevoerd.
U beschikt over lokale beheerdersrechten; een eenvoudige gebruiker kan dit niet doen.
U moet de domeinnaam kennen en een actief gebruikers-/beheerdersaccount op het domein hebben. Standaard kan elke domeingebruiker 10 machines aan het domein toevoegen. Maar deze instelling kan door de domeinbeheerder worden gewijzigd.
Er zijn 3 opties om een machine met 7 in het domein op te nemen: met behulp van de grafische interface (Mijn computer-> Eigenschappen-> Instellingen wijzigen-> tabblad Computernaam), met behulp van het NETDOM-opdrachtregelhulpprogramma, met behulp van de Power Shell (add-computer ) opdracht. Ik zal niet in detail treden over de eerste; iedereen weet dit al heel goed.
Met het hulpprogramma NETDOM kunt u het probleem van het verbinden met een domein vanaf de opdrachtregel oplossen. Maar standaard werkt dit hulpprogramma niet! Hoe krijg ik netdom werkend in Windows 7?
Open een opdrachtpromptvenster met beheerdersrechten en voer de volgende regel in:
Netdom wordt lid van %computernaam% /domein:winitpro.ru /userd:DOMAIN\administrator /passwordd:
Opmerking: vervang winitpro.ru door uw domeinnaam en voer de juiste gebruikersnaam en wachtwoord in. domein met uw juiste domeinnaam, en voer uiteraard de juiste gebruikersgegevens in. Let ook op de extra “d” in de parameters /userd en /passwordd, dit is geen typefout.
Start je computer opnieuw op. Dat is alles, u bevindt zich nu in het domein!
Lees ook het artikel: hoe u het verlaten van een domein verbiedt, evenals de functie om offline aan domeinen deel te nemen in Windows Server 2008.
winitpro.ru
/ hoe u een computer in een Windows-domein kunt invoeren
Goedemiddag, beste lezers van de blog pyatilistnik.org, vandaag wil ik je vertellen hoe je een computer kunt toevoegen aan een Windows Server 2008 R2-domein. Wat een domein is, leest u in het artikel Inleiding tot de basisconcepten van Active Directory. Er zijn verschillende manieren om een computer toe te voegen aan de actieve directory van het domein.
Hoe u een computer aan een domein kunt koppelen
En dus zijn er verschillende methoden om een computer in een domein binnen te gaan, de ene is via de GUI-interface, en de tweede is voor commandofans, maar beide hebben hun eigen toepassingsscenario's. Ik wil u eraan herinneren dat u, om een computer aan AD toe te voegen, over gebruikers- of domeinbeheerdersreferenties moet beschikken. Standaard kan een gewone gebruiker maximaal 10 computers toevoegen aan AD, maar indien gewenst kan dit worden omzeild door het aantal te verhogen, of kunnen de benodigde rechten voor het account worden gedelegeerd.
1. Via GUI
Ga naar de eigenschappen van Deze computer door met de rechtermuisknop te klikken en Eigenschappen te selecteren in het contextmenu. Of druk op de Win+Pause Break-toetsencombinatie, waardoor ook het venster met systeemeigenschappen wordt geopend.
hoe u een computer in een Windows-domein kunt invoeren
Klik op Instellingen wijzigen
Een computer toevoegen aan een Windows 2008 R2-domein
Klik op het tabblad Computernaam op de knop Wijzigen
Een computer toevoegen aan een Windows 2008 R2-domein
De computernaam stellen wij in op maximaal 16 tekens; het is beter om direct een naam in te stellen die voor u duidelijk is en voldoet aan uw normen.
Een computer toevoegen aan een Windows 2008 R2-domein
En schrijf de domeinnaam, klik op OK
geef het domeinachtervoegsel aan
We voeren standaard inloggegevens in die het recht hebben om de server in het domein te betreden; elke gebruiker kan maximaal 10 keer het domein betreden, tenzij u dit uiteraard verbiedt.
Voer uw inloggegevens in
succesvolle toevoeging aan domein active directory
Vergeet niet dat zodra u de server in AD heeft ingevoerd, deze ook onmiddellijk een statisch IP-adres moet configureren en pas daarna opnieuw moet opstarten
Na het opnieuw opstarten zien we dat alles in orde is en dat we lid zijn van het domein en dat het je is gelukt om de pc in het domein te betreden.
2. Netdom-hulpprogramma
Open (opdrachtregel) cmd. Eerder heb ik beschreven hoe je de Windows-opdrachtregel opent. Het gemak van deze methode is dat het in de vorm van een script kan worden gedaan en bijvoorbeeld kan worden verzonden naar een externe gebruiker die niet voldoende kennis heeft hoe dit moet worden gedaan.
Netdom join %competername% /domain:contoso.com /userd:contosoadmin1 /passwordd:* - %competername% de computernaam kan zo blijven - /domain we schrijven het domein - /userd login - wachtwoordd:* betekent dat u gevraagd worden een wachtwoord in te voeren
Ik denk dat het niet moeilijk was en je kiest de methode die bij je past. Het is handig om beide te weten, omdat het beter is om de server in de kernmodus te zetten voor maximale beveiliging.
3. Via het offlinebestand en het hulpprogramma djoin.exe
Laten we ons een situatie voorstellen waarin op uw computer, die u wilt invoeren met een Active Directory-domein, er geen verbinding is met de controller, maar u dit moet doen, welnu, de netwerkingenieur heeft nog geen VPN-kanaal tussen kantoren geconfigureerd, Microsoft heeft voor dit moment een offline domein-join-script of, zoals het ook wel wordt genoemd, autonome toegang tot het domein. Offline domeindeelname verscheen met de komst van Windows 7 en Windows Server 2008 R2. Hoe ziet het toevoegen van een computer aan een AD-domein eruit?
Voor de duidelijkheid: er is een hoofdkantoor en een filiaal op afstand, ze moeten aan elkaar worden gekoppeld, er moet een apart domein worden ingezet, het heeft geen zin in een filiaal, aangezien er maar 3 werknemers zijn, en volgens de bedrijfsnormen moeten ze deel uitmaken van het Active Directory-domein.
Fasen van offline domeindeelname
- Helemaal aan het begin heb je elke computer nodig die verbinding heeft met een domeincontroller. Daarop zullen we een speciaal bestand maken, het wordt een blob genoemd (binair groot object), door de opdracht djoin /provision uit te voeren op de opdrachtregel, waarmee een computeraccount wordt aangemaakt in de Active Directory-database
- De tweede fase is het overbrengen van dit bestand, via e-mail of internet, en aan de clientzijde, die in het domein moet worden ingevoerd, een opdracht uitvoeren met behulp van het ontvangen bestand.
hulpprogrammaparameters djoin.exe
- /PROVISION - bereidt een computeraccount voor in het domein.
- /DOMAIN - het domein waar u lid van wilt worden.
- /MACHINE - computer die lid wordt van het domein.
- /MACHINEOU is een optionele parameter die de afdeling specificeert waar het account is aangemaakt.
- /DCNAME is een optionele parameter die de doeldomeincontroller specificeert waarop het account wordt gemaakt.
- /REUSE - hergebruik een bestaand account (het wachtwoord wordt opnieuw ingesteld).
- /SAVEFILE - sla de voorbereidingsgegevens op in een bestand op het opgegeven pad.
- /NOSEARCH - detectie van accountconflicten overslaan; DCNAME vereist (hogere prestaties).
- /DOWNLEVEL - Biedt ondersteuning voor een Windows Server 2008 of eerdere domeincontroller.
- /PRINTBLOB - Retourneert een met base64 gecodeerde metagegevensblob voor het responsbestand.
- /DEFPWD - gebruik het standaard computeraccountwachtwoord (niet aanbevolen).
- /ROOTCACERTS - optionele parameter, schakel basiscertificaten van de certificeringsinstantie in.
- /CERTTEMPLATE - optionele parameter van de computercertificaatsjabloon. Inclusief CA-rootcertificaten.
- /POLICYNAMES - optionele parameter, een lijst met beleidsnamen, gescheiden door puntkomma's. Elke naam is de weergavenaam van een groepsbeleidsobject in AD.
- /POLICYPATHS - optionele parameter, een lijst met paden naar beleid, gescheiden door puntkomma's. Elk pad verwijst naar de locatie van het registerbeleidsbestand.
- /NETBIOS is een optionele parameter, Netbios is de naam van de computer die lid wordt van het domein.
- /PSITE - een optionele parameter, een permanente site waar de computer kan worden geplaatst die lid wordt van het domein.
- /DSITE is een optionele parameter van de dynamische site waarin de computer die deelneemt aan het domein in eerste instantie wordt geplaatst.
- /PRIMARYDNS - optionele parameter, het primaire DNS-domein van de computer die lid wordt van het domein.
- /REQUESTODJ - Vereist verbinding met een offline domein bij de volgende keer opstarten.
- /LOADFILE - eerder opgegeven met de parameter /SAVEFILE.
- /WINDOWSPATH - naar de map met de offline Windows-afbeelding.
- /LOCALOS - hiermee kunt u het lokale besturingssysteem opgeven in de parameter /WINDOWSPATH.
In de testomgeving maken we een computer met de naam WKS1 en voegen we deze toe aan het Active Directory-domein. WKS1 bevindt zich in de Offline_Join-divisie, ons blobbestand heet wks1.txt
djoin /provision /domain Contoso.com /machine WKS1 /machineOU "OU=Offline_Join,DC=Contoso,DC=com" /savefile c:\test\wks1.txt
Als je plotseling besluit dat je nuttige informatie in een blob-bestand kunt vinden, dan vergis je je, het is gecodeerd en niet leesbaar voor mensen.
Nu moeten we deze paar kilobytes doorsturen naar een externe computer, waar autonome toegang tot het domein zal worden uitgevoerd. Kopieer de blob naar de hoofdmap van station C:\, open de opdrachtregel en voer de opdracht in
djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos
Na het uitvoeren van de opdracht worden de metagegevens van het computeraccount uit het blobbestand toegevoegd aan de Windows-map.
djoin werkt net zo goed met virtuele machines, het maakt geen verschil, er is een /windowspath-sleutel die verwijst naar de locatie van het VHD-bestand met het geïnstalleerde systeem.
4. toevoegen aan domein via Powershell
Open Powershell als beheerder en voer deze opdracht in
Add-Computer -DomainName uw domeinnaam
Voer de naam van uw domein in, u ziet een formulier waarin u uw login en wachtwoord kunt invoeren
als alles in orde is, ziet u een geel bericht dat aangeeft dat er een herstart zal plaatsvinden.
Zoals je kunt zien, zijn er veel methoden en kan iedereen zijn eigen methoden gebruiken en voor zijn eigen taken denk ik dat de vraag hoe je een computer aan het advertentiedomein kunt koppelen, kan worden gesloten.
Materiaal van de site Pyatilistnik.org
pyatilistnik.org
Hoe u een computer aan een domein toevoegt
Domeinen vergemakkelijken het werk van gebruikers enorm, waardoor ze slechts één keer kunnen inloggen en alle wachtwoorden voor verschillende apparaten en bestanden op een groot lokaal netwerk kunnen vergeten.
Hiervoor heeft u het volgende nodig: 1.beheerdersrechten; 2. lokaal netwerk met een Windows-domein; 3.gebruikersaccount in het domein;
4.domeinnaam.
1. U kunt uw computer opnemen in het Windows-domein op het tabblad “Computernaam” in het venster “Systeemeigenschappen”. Om het venster Systeemeigenschappen in het Windows XP-besturingssysteem te openen, gebruikt u het menu Start om het Configuratiescherm te openen en klikt u op Systeem. Als op uw computer het besturingssysteem Windows 7 of Vista is geïnstalleerd, opent u het “Configuratiescherm” en gaat u naar de categorie “Systeem en beveiliging”, waar u op het item “Systeem” klikt. Op de geopende pagina klikt u op de link 'Geavanceerde systeeminstellingen' in de linkerkolom. 2. Selecteer in het geopende venster “Systeemeigenschappen” het tabblad “Computernaam”. Klik op de knop "Wijzigen" en voer in het geopende venster de naam in van het domein waaraan u de computer wilt toevoegen. Klik vervolgens op de knop OK. Voer in het venster dat verschijnt de gebruikersnaam en het wachtwoord van uw domein in. Klik daarna op OK en start uw computer opnieuw op. Uw computer is lid van een domein. 3. Naast de grafische interface kunt u de computer via de opdrachtregel aan het domein koppelen. Het Windows XP-besturingssysteem bevat het hulpprogramma NETDOM, waarmee u een computer aan een domein kunt toevoegen met behulp van de opdracht:
netdom join computernaam /domein:domeinnaam /userd:domeinnaam\gebruikersnaam /wachtwoord:gebruikerspas.
Waar computernaam, domeinnaam en gebruikersnaam respectievelijk moeten worden vervangen door de namen van de computer, het domein en de gebruiker die worden toegevoegd, en user_pass moet worden gewijzigd in het wachtwoord van de gebruiker in het domein.
In Windows 7 werd het hulpprogramma NETDOM vervangen door de PowerShell-opdracht – add-computer. Om een computer vanaf de console in Windows 7 aan een domein te koppelen, voert u de volgende opdracht uit:
computer toevoegen -Domeinnaam domeinnaam -referentiedomeinnaam\gebruikersnaam
Waar domeinnaam en gebruikersnaam ook worden vervangen door domein- en gebruikersnamen.
Het Windows-domein is niet bedoeld voor thuisgebruik; het is erg handig in bedrijfsnetwerken met een groot aantal gebruikers met verschillende toegangsniveaus tot bestanden en apparaten. Daarom beschikken computers met besturingssystemen voor thuisgebruik, dat wil zeggen onder het Professional-niveau, niet over hulpmiddelen om lid te worden van een domein. Om dergelijke computers toe te voegen, moet u eerst het systeem opnieuw installeren.
Er is een snellere manier om het venster Systeemeigenschappen te openen. Als u een Windows XP-besturingssysteem heeft, klikt u met de rechtermuisknop op het pictogram "Deze computer" en klikt u in het menu dat wordt geopend op "Systeemeigenschappen". Als u een Windows 7- of Vista-besturingssysteem heeft, klikt u met de rechtermuisknop op het pictogram “Computer”, selecteert u “Systeemeigenschappen” en klikt u op “Geavanceerde systeeminstellingen”.
Wanneer u een computer aan een domein koppelt, kunt u op hetzelfde tabblad "Computernaam" een beschrijving van uw computer instellen, wat een hint zal zijn voor domeingebruikers.
complaz.ru
Hoe kan ik een computer in een domein invoeren met behulp van verschillende opties?
De vraag hoe een computer met een domein moet worden verbonden, doet zich meestal voor bij systeembeheerders die een lokaal netwerk moeten creëren. Een domeinsysteem betekent dat alle computers in het netwerk de instellingen van de hoofd-pc gebruiken. Laten we proberen uit te zoeken hoe we een computer met het Windows 7-besturingssysteem op het domein kunnen aansluiten. Voor andere besturingssystemen is de verbinding niet al te verschillend.
Wat zijn de voordelen van een domeinstructuur? Met zijn hulp kunt u bijvoorbeeld groepsbeleid en gecentraliseerd beheer gebruiken. Dit maakt efficiënt werken mogelijk.
Belangrijke vereisten
Voordat u een Windows 7-computer in het domein invoert, moet u controleren of de pc aan een aantal eisen voldoet en of alle instellingen zijn voltooid. Er zijn er nogal wat, hoewel de meeste al geproduceerd zouden moeten zijn. Controleer het volgende:
- De volgende versies van Windows 7 moeten worden gebruikt: Professional, Ultimate of Enterprise. Alleen deze versies kunnen aan het domein worden toegevoegd;
- Er moet een netwerkkaart aanwezig zijn. Maar dit spreekt voor zich;
- Er moet een lokale netwerkverbinding tot stand worden gebracht. Hoewel het mogelijk is om Windows 7 offline met Windows Server 2008 R2 te verbinden, is dit in de meeste gevallen een apart onderwerp;
- Het juiste IP-adres moet worden opgegeven. Het kan handmatig worden geconfigureerd, verkregen van een DHCP-server, of het kan een APIPA-adres zijn (de waarden beginnen met 169.254.X.Z);
- U moet ervoor zorgen dat de controllers (minstens één) beschikbaar zijn voor verbinding;
- Controleer ook de controllerverbinding (u kunt deze bijvoorbeeld pingen, dat wil zeggen, controleer de kwaliteit van de verbinding);
- De DNS-server moet correct zijn geconfigureerd. Dit is belangrijk; als het niet correct is geconfigureerd, kunnen er problemen optreden bij het verbinden met het domein. Zelfs als de verbinding succesvol is, zijn mislukkingen later mogelijk;
- DNS-servers moeten beschikbaar zijn. Om dit te doen, moet u de verbinding controleren met behulp van het PING-programma;
- Controleer uw lokale machtigingen. U moet over lokale computerbeheerdersrechten beschikken;
- U moet de domeinnaam, de beheerdersnaam en het wachtwoord weten.
Een pc verbinden met een domein
Er zijn twee manieren om een computer aan een domein toe te voegen. Laten we ze in meer detail bekijken.
Eerste methode
Dit is de standaardmanier om een pc aan een domein te koppelen. Volg deze stappen:
- Klik op het pictogram "Start", klik met de rechtermuisknop op de snelkoppeling "Computer", selecteer "Eigenschappen";
- In het item “Computernaam, domein en werkinstellingen” klikt u op “Instellingen wijzigen”;
- Open het tabblad “Computernaam” en klik op “Wijzigen”;
- Selecteer in het gedeelte 'Deel van (iets)' de optie 'Domein';
- Voer de naam in van het domein waarmee u verbinding maakt en klik op “OK”;
- Voer uw naam en wachtwoord opnieuw in.
Start vervolgens uw computer opnieuw op. Hierna wordt de pc verbonden met het domein op het lokale netwerk.
Tweede methode
U moet de NETDOM-applicatie gebruiken. Om een domein te verbinden, hoeft u slechts één opdracht op de opdrachtregel in te voeren:
Waarin:
- De parameters “DOMAIN.COM” en “DOMAIN” moeten worden vervangen door de domeinnaam. U moet ook uw login en wachtwoord opgeven;
- De extra "d" in "gebruiker" en "wachtwoord" is geen typefout;
- In Windows 7 is NETDOM al opgenomen in het besturingssysteem. In versies van Windows 2000, XP en 2003 moet u Support Tools installeren.
Om de verbinding te voltooien, start u uw pc opnieuw op.
Wat te doen als het domein “uitgevallen” is?
Dit gebeurt nadat de pc is verbonden met het domein. De computer ‘ziet’ het simpelweg niet. Dit merk je direct, want inloggen lukt niet. Doe het volgende:
- Log in als lokale beheerder;
- Ga naar systeemeigenschappen en merk in het gedeelte "Computernaam" op dat de pc deel uitmaakt van een werkgroep;
- Start je computer opnieuw op;
- Sluit vervolgens de pc opnieuw aan op het domein zoals hierboven beschreven;
- Opnieuw opstarten.
De computer zou nu lid moeten worden van het domein.
Een computer in een specifieke container plaatsen
Het nadeel van de beschreven methoden om verbinding te maken met een domein is dat de pc in een standaardcontainer wordt geplaatst, meestal in de map 'Computer'. En om naar een andere locatie te verhuizen is een beheerder nodig. Maar u kunt de computer direct in de gewenste container plaatsen. Hiervoor zijn twee opties.
Methode nummer 1
Om dit te doen, maakt u eerst een leeg account aan waar de computer zich bevindt (u moet rechten hebben om een object te maken). In de ADUC-console wordt een nieuw account aangemaakt met dezelfde naam die zal worden gebruikt om verbinding te maken met het domein. Gebruik dan de hierboven beschreven aansluitmethode. Het systeem ziet een account dat al bestaat in het domein, maar er eenvoudigweg niet aan is toegewezen. Na het matchen past de computer in de gewenste container.
Methode nummer 2
U kunt de Powershell-opdracht gebruiken:
- Inloggen met beheerdersrechten;
- Voer op de opdrachtregel “powershell” in (dan kunt u in plaats daarvan PoSh gebruiken);
- De opdracht om een pc op te nemen in het corp.company.ru-domein onder het corpcompany_admin-account, waarbij een account wordt aangemaakt in de container corp.company.ru/Admin/Computers, waarbij bedrijf de naam van de computer is, ziet er als volgt uit:
add-computer -DomainName corp.company.ru -credential corp company_admin –OUPath "OU=Computers,OU=Admin,dc=corp,dc=company,DC=ru";
- Er wordt een nieuw venster geopend waarin u het gebruikerswachtwoord company_admin invoert;
- Vervolgens verschijnt het venster “WAARSCHUWING: De wijzigingen worden van kracht nadat u de computer pcwin8 opnieuw hebt opgestart” (pcwin8 betekent besturingssysteem). Start je computer opnieuw op.
Nu komt de pc in de gewenste container te staan, waar het domein linkt.
Om een PC correct aan te sluiten op een domein, kun je dit beter laten doen door de beheerder die dit lokale netwerk heeft aangemaakt. Hij kent alle valkuilen op dit gebied en kan daardoor snel schakelen. Als u besluit uw computer zelf aan het domein te koppelen, laat dan in geval van problemen de pc in deze staat staan totdat een specialist een correctie heeft uitgevoerd.
