Een Windows 7-domein aanmaken Een computer op verschillende manieren aan het domein toevoegen

laat een reactie achter 6,950

Vaak is het nodig om een Linux-machine toe te voegen aan een bestaand Windows-domein. Om bijvoorbeeld een bestandsserver te maken met Samba. Het is heel eenvoudig om dit te doen, hiervoor heb je een Kerberos-client, Samba en Winbind nodig.

Het is raadzaam om te updaten voordat u installeert:

Sudo aptitude-update sudo aptitude-upgrade

Je kunt al deze dingen installeren met de opdracht:

Sudo aptitude install krb5-user samba winbind

Mogelijk moet u ook de volgende bibliotheken installeren:

Sudo aptitude installeer libpam-krb5 libpam-winbind libnss-winbind

Of, als u Ubuntu Desktop gebruikt, kunnen dezelfde pakketten worden geleverd via de Synaptic-pakketbeheerder.

Vervolgens moet u alle bovenstaande tools configureren om met uw domein te werken. Stel dat u zich wilt aanmelden bij een domein DOMEIN.COM, waarvan de domeincontroller de server is dc.domein.com met IP-adres 192.168.0.1 ... Deze server is ook de primaire DNS-server voor het domein. Bovendien, laten we zeggen dat je een tweede domeincontroller hebt, ook wel DNS genoemd - dc2.domein.com met IP 192.168.0.2 ... Uw computer wordt gebeld smbsrv01.

DNS-configuratie

Eerst moet u de DNS-instellingen op uw computer wijzigen door de domeincontroller te registreren als de DNS-server en het gewenste domein als het zoekdomein.

Als je een statisch IP-adres hebt, kan dit in Ubuntu Desktop worden gedaan via Netwerkbeheer, in Ubuntu Server moet je de inhoud van het bestand /etc/resolv.conf wijzigen in iets als dit:

Domein domein.com zoeken domein.com naamserver 192.168.0.1 naamserver 192.168.0.2

In moderne distributies wordt het bestand resolv.conf automatisch aangemaakt en hoeft u het niet handmatig te bewerken. Om het gewenste resultaat te krijgen, moet u de nodige wijzigingen aan het bestand toevoegen: /etc/resolvconf/resolv.conf.d/head De gegevens die eraan worden toegevoegd, worden automatisch ingevoegd in het bestand /etc/resolv.conf

Als het IP-adres dynamisch is en is toegewezen door de DHCP-server, kan er na het herstarten van resolv.conf een "onjuiste" resolv.conf "worden gevormd, er is bijvoorbeeld maar één naamserver 192.168.0.1 en domein en zoeken zijn dat niet U moet /etc/dhcp/dhclient.conf bewerken Om het domein en de zoekrecords te laten verschijnen, moet u de opmerking vóór de regel vervangende domeinnaam verwijderen en uw domein invoeren:

Vervang domeinnaam "domain.com";

Om nog een nameserver toe te voegen, moet je de opmerking voor de prepend domain-name-servers verwijderen en het server-ip specificeren:

Prepend-domeinnaamservers 192.168.0.2;

Om de wijzigingen toe te passen, blijft het om de service opnieuw te starten:

/etc/init.d/networking restart

Zorg er nu voor dat je de juiste hostnaam instelt in het /etc / hostname-bestand:

Smbsrv01

Bovendien moet u het bestand /etc /hosts bewerken zodat het een vermelding bevat met de volledige domeinnaam van de computer en nodig een korte hostnaam die verwijst naar een van de interne IP's:

# De namen van deze computer 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01

U moet onmiddellijk controleren of onze domeincontroller normaal pingt, aan de hand van de korte en volledige naam, zodat u in de toekomst geen foutmeldingen krijgt dat de domeincontroller niet is gevonden:

Ping dc ping dc.domein.com

Niet nodig, maar als u iets wijzigt, start u uw computer opnieuw op om de wijzigingen toe te passen.

Tijdsynchronisatie-instelling

Vervolgens moet u tijdsynchronisatie configureren met de domeincontroller. Als het verschil meer dan 5 minuten is, kunnen we geen blad van Kerberos ontvangen. Voor een eenmalige synchronisatie kunt u de opdracht gebruiken:

Sudo netto tijd ingesteld dc

Als er een exacte tijdserver op het netwerk is, kunt u deze of een openbare server gebruiken:

Ntpdate ntp.mobatime.ru

Automatische synchronisatie is geconfigureerd met ntpd, deze daemon zal periodiek synchroniseren. Eerst moet je het installeren:

Sudo aptitude install ntp

Bewerk nu uw /etc/ntp.conf-bestand om uw tijdserverinformatie toe te voegen:

# U moet wel met een of twee NTP-servers (of drie) praten. server dc.domein.com

Start vervolgens de ntpd-daemon opnieuw:

Sudo /etc/init.d/ntp herstart

Nu is het tijd om directe interactie met het domein op te zetten.

Kerberos-verificatie configureren

Default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = (host = (rcmd = host ftp = ftp) plain = (iets = iets anders)) fcc-mit-ticketflags = true DOMAIN.COM = (kdc = dc kdc = dc2 admin_server = dc default_domain = DOMAIN.COM) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false

U moet natuurlijk domain.com wijzigen in uw domein en dc en dc2 in uw domeincontrollers. Overigens moet u wellicht de volledige namen van de domeincontrollers dc.domain.com en dc2.domain.com noteren. Aangezien ik een geregistreerd DNS-zoekdomein heb, hoef ik dit niet te doen.

Besteed speciale aandacht aan het register van de domeinnaam - waar het domein in hoofdletters is geschreven, moet het in hoofdletters worden geschreven. Anders zou op magische wijze niets kunnen werken.

Dit zijn niet alle mogelijke Kerberos-configuratieopties, alleen basisopties. Meestal zijn ze echter voldoende.

Nu is het tijd om te controleren of we kunnen inloggen op het domein. Voer hiervoor het commando . uit

Kinito [e-mail beveiligd]

In plaats van gebruikersnaam is het natuurlijk de moeite waard om de naam van een bestaande domeingebruiker in te voeren.

De domeinnaam moet in hoofdletters worden geschreven!

Als je geen fouten hebt ontvangen, dan heb je alles correct geconfigureerd en geeft het domein je een Kerberos-ticket. Overigens worden hieronder enkele veelvoorkomende fouten opgesomd.

U kunt controleren of het ticket is ontvangen door de opdracht uit te voeren

Je kunt alle tickets verwijderen (die je over het algemeen niet nodig hebt) met het commando

Veelvoorkomende kinit-fouten

Kinit (v5): Klok scheefstand te groot bij het verkrijgen van initiële inloggegevens

Dit betekent dat de tijd van uw computer niet wordt gesynchroniseerd met de domeincontroller (zie hierboven).

Kinit (v5): Pre-authenticatie mislukt bij het verkrijgen van initiële inloggegevens

U heeft een onjuist wachtwoord ingevoerd.

Kinit (v5): KDC-antwoord kwam niet overeen met de verwachtingen bij het verkrijgen van de eerste inloggegevens

De vreemdste fout. Zorg ervoor dat de realm-naam in krb5.conf en het domein in de kinit-opdracht een hoofdletter hebben:

DOMAIN.COM = (# ... kinit [e-mail beveiligd] kinit (v5): Client niet gevonden in Kerberos-database terwijl initiële referenties worden opgehaald

De opgegeven gebruiker bestaat niet op het domein.

Samba instellen en domeinaanmelding

Om het domein te betreden, moet u de juiste instellingen registreren in het bestand /etc/samba/smb.conf. In dit stadium zou u alleen geïnteresseerd moeten zijn in enkele van de opties uit de sectie. Hieronder ziet u een voorbeeld van een gedeelte van een Samba-configuratiebestand met opmerkingen over de betekenis van belangrijke parameters:

# Deze twee opties moeten in hoofdletters worden geschreven, met werkgroep zonder # de laatste sectie na de punt, en realm is de volledige domeinnaam werkgroep = DOMAIN realm = DOMAIN.COM # Deze twee opties zijn verantwoordelijk voor autorisatie via AD security = ADS encrypt wachtwoorden = waar # Gewoon belangrijk dns-proxy = geen socketopties = TCP_NODELAY # Als je niet wilt dat samba af en toe een leider in een domein of werkgroep wordt, # of zelfs een domeincontroller wordt, schrijf dan altijd deze vijf opties in deze vorm domeinmaster = geen lokale master = geen voorkeursmaster = geen os-niveau = 0 domeinaanmeldingen = nee # Printerondersteuning uitschakelen printers laden = no show printerwizard toevoegen = geen printcap-naam = / dev / null spoolss uitschakelen = ja

Nadat u smb.conf hebt bewerkt, voert u de opdracht uit:

Testparm

Het zal uw configuratie controleren op fouten en er een samenvatting van geven:

# testparm Laad smb-configuratiebestanden van /etc/samba/smb.conf Geladen services-bestand OK. Serverrol: ROLE_DOMAIN_MEMBER Druk op enter om een dump van uw servicedefinities te zien

Zoals u kunt zien, hebben we de juiste parameters ingesteld zodat onze computer lid kan worden van het domein. Dit is het moment om te proberen rechtstreeks in te loggen op het domein. Voer hiervoor de opdracht in:

Net advertenties join -U gebruikersnaam -D DOMAIN

En als het lukt, ziet u iets dat lijkt op:

# net ads join -U gebruikersnaam -D DOMAIN Voer gebruikersnaam "s wachtwoord in: gebruik korte domeinnaam - DOMAIN Lid geworden" SMBSRV01 "naar realm" domain.com "

Gebruikte parameters voor het net-commando

U gebruikersnaam% wachtwoord: Vereiste parameter, in plaats van gebruikersnaam, moet u een gebruikersnaam vervangen door domeinbeheerdersrechten en een wachtwoord opgeven.

D-DOMEIN: DOMEIN - het eigenlijke domein zelf, het domein kan worden weggelaten, maar het is beter om het altijd te doen - het zal niet erger worden.

S win_domain_controller: win_domain_controller, je kunt het leeg laten, maar er zijn momenten waarop de server de domeincontroller niet automatisch vindt.

createcomputer = "OU / OU / ...": In AD wordt vaak OU (Organizational Unit) gebruikt, er is OU = Office in de root van het domein, daarin OU = Cabinet, om onmiddellijk toe te voegen aan de gewenste, je kunt het als volgt specificeren: sudo net ads join -U gebruikersnaam createcomputer = "Office / Cabinet".

Als er geen berichten meer zijn, is alles in orde. Probeer uw computer op naam van een ander domeinlid te pingen om er zeker van te zijn dat alles in het domein is geregistreerd zoals het hoort.

U kunt ook de opdracht typen:

Net advertenties testjoin

Als alles goed is, kun je zien:

#net ads testjoin Meedoen is OK

Maar soms, na het bericht over het lid worden van het domein, wordt een fout als deze weergegeven:

DNS-update mislukt!

Dit is niet erg goed, in welk geval het wordt aanbevolen om de sectie over het configureren van DNS hierboven te lezen en te begrijpen wat je verkeerd hebt gedaan. Daarna moet u de computer uit het domein verwijderen en opnieuw proberen in te voeren. Als u er vast van overtuigd bent dat alles correct is geconfigureerd en DNS nog steeds niet is bijgewerkt, kunt u handmatig een vermelding voor uw computer toevoegen aan uw DNS-server en alles zal werken. Natuurlijk, als er geen andere fouten zijn en u succesvol bent ingelogd op het domein. U kunt echter maar beter uitzoeken waarom DNS niet automatisch wordt bijgewerkt. Dit kan niet alleen te wijten zijn aan uw computer, maar ook aan een onjuiste AD-configuratie.

Voordat u erachter komt waarom DNS niet wordt bijgewerkt, moet u eraan denken om uw computer opnieuw op te starten nadat u het domein hebt ingevoerd! Het is mogelijk dat dit het probleem oplost.

Als alles goed is gegaan, gefeliciteerd, je bent met succes het domein binnengegaan! Je kunt in AD kijken en het zelf zien. Het is ook een goed idee om te controleren of u de bronnen in het domein kunt zien. Installeer hiervoor smbclient:

Sudo aptitude install smbclient

U kunt nu de bronnen van computers in het domein bekijken. Maar hiervoor moet je een kerberos-ticket hebben, d.w.z. als we ze hebben verwijderd, krijgen we ze weer via kinit (zie hierboven). Laten we eens kijken welke bronnen door de werkstationcomputer aan het netwerk worden geleverd:

Smbclient -k -L werkstation

U zou een lijst met Shares op deze computer moeten zien.

Winbind configureren

Als je op de een of andere manier met domeingebruikers moet werken, bijvoorbeeld SMB-ballen configureren met toegangscontrole, dan heb je, naast Samba zelf, Winbind nodig, een speciale daemon die dient om de lokale gebruiker en het Linux-groepsbeheersysteem te verbinden met de Active Directory-server. Simpel gezegd, Winbind is nodig als u domeingebruikers op uw Ubuntu-machine wilt zien.

Met Winbind kunt u alle gebruikers en alle AD-groepen in uw Linux-systeem projecteren door ID's uit een gespecificeerd bereik aan hen toe te wijzen. U kunt dus domeingebruikers toewijzen aan de eigenaren van mappen en bestanden op uw computer en alle andere bewerkingen uitvoeren die verband houden met gebruikers en groepen.

Om Winbind te configureren, wordt hetzelfde bestand /etc/samba/smb.conf gebruikt. Voeg de volgende regels toe aan de sectie:

# Opties voor het in kaart brengen van domeingebruikers en virtuele gebruikers in het systeem via Winbind. # Bereiken van identifiers voor virtuele gebruikers en groepen. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Deze opties mogen niet worden uitgeschakeld. winbind enum groepen = ja winbind enum gebruikers = ja # Gebruik standaard domein voor gebruikersnamen. Zonder deze optie worden gebruikers- en groepsnamen # gebruikt met het domein, d.w.z. in plaats van gebruikersnaam - DOMAIN \ gebruikersnaam. # Dit is misschien precies wat je wilt, maar het is meestal gemakkelijker om deze optie in te schakelen. winbind gebruik standaard domein = yes # Als u het gebruik van de opdrachtregel voor domeingebruikers wilt toestaan, # voeg dan de volgende regel toe, anders / bin / false template shell = / bin / bash # Om het Kerberos-ticket automatisch bij te werken door de module pam_winbind.so voeg de regel toe winbind refresh tickets = yes

Parameters:

idmap uid = 10000 - 40000

idmap gid = 10000 - 40000

in nieuwe versies van Samba zijn al verouderd en bij het controleren van de samba-configuratie met testparm, wordt een waarschuwing gegeven:

WAARSCHUWING: De optie "idmap uid" is verouderd

WAARSCHUWING: De optie "idmap gid" is verouderd

Om de waarschuwingen te verwijderen, moet u deze regels door nieuwe vervangen:

idmap-configuratie *: bereik = 10000-20000

idmap config *: backend = tdb

Start nu de Winbind- en Samba-daemon opnieuw in de volgende volgorde:

Sudo /etc/init.d/winbind stop sudo smbd herstart sudo /etc/init.d/winbind start

Launch

Sudo testparm

Kijk of er fouten of waarschuwingen zijn als deze verschijnen:

"Rlimit_max: rlimit_max (1024) onder de minimale Windows-limiet (16384)"

Zonder opnieuw op te starten, kunt u het als volgt oplossen:

Ulimit -n 16384

Om op te slaan na opnieuw opstarten, bewerk het bestand /etc/security/limits.conf

# Voeg de volgende regels toe aan het einde van het bestand: * - nofile 16384 root - nofile 16384

Controleer na het opnieuw opstarten of Winbind een vertrouwensrelatie met AD heeft opgebouwd met de opdracht:

# wbinfo -t controle van het vertrouwensgeheim voor domein DCN via RPC-aanroepen geslaagd

En ook dat Winbind gebruikers en groepen uit AD zag met de commando's:

Wbinfo -u wbinfo -g

Deze twee opdrachten zouden respectievelijk een lijst met gebruikers en groepen uit het domein moeten retourneren. Ofwel met het voorvoegsel DOMAIN \, of zonder, afhankelijk van de waarde die je hebt opgegeven voor de parameter "winbind use default domain" in smb.conf.

Winbind werkt dus, maar is nog niet in het systeem geïntegreerd.

Winbind toevoegen als bron voor gebruikers en groepen

Om ervoor te zorgen dat uw Ubuntu transparant werkt met domeingebruikers, in het bijzonder, zodat u domeingebruikers kunt toewijzen aan de eigenaren van mappen en bestanden, moet u Ubuntu vertellen Winbind te gebruiken als een aanvullende bron van informatie over gebruikers en groepen.

Wijzig hiervoor twee regels in het bestand /etc/nsswitch.conf:

Passwd: compat groep: compat

toe te voegen aan het einde van winbind:

Passwd: compat winbind group: compat winbind

Bestanden: dns mdns4_minimal mdns4

ubuntu-server 14.04, het bestand /etc/nsswitch.conf bevatte niet de regel "bestanden: dns mdns4_minimal mdns4" in plaats van: "hosts: bestanden mdns4_minimal dns wins" die ik heb geconverteerd naar: "hosts: dns mdns4_minimal bestanden" mdns waarna alles werkte

Controleer nu of Ubuntu Winbind om gebruikers- en groepsinformatie vraagt door te starten

Getent passwd getent groep

De eerste opdracht zou de volledige inhoud van uw /etc/passwd-bestand moeten retourneren, dat wil zeggen uw lokale gebruikers, plus domeingebruikers met ID's uit het bereik dat u hebt opgegeven in smb.conf. De tweede zou hetzelfde moeten doen voor de groepen.

Nu kunt u elke domeingebruiker nemen en hem bijvoorbeeld de eigenaar van een bestand maken.

Autorisatie in Ubuntu via domeingebruikers

Ondanks het feit dat alle domeingebruikers in feite volwaardige gebruikers van het systeem zijn geworden (zoals te zien is door de laatste twee commando's uit de vorige sectie uit te voeren), is het nog steeds onmogelijk om onder een van hen in te loggen op het systeem. Om de mogelijkheid in te schakelen om domeingebruikers op een Ubuntu-machine te autoriseren, moet u PAM configureren om met Winbind te werken.

Online autorisatie

Voor Ubuntu 10.04 en hoger voeg slechts één regel toe aan uw /etc/pam.d/common-session bestand als PAM doet hoe dan ook behoorlijk goed werk van autorisatie:

Sessie optioneel pam_mkhomedir.so skel = / etc / skel / umask = 0077

Voor Ubuntu 13.10 om het handmatige login-veld te laten verschijnen, voegt u de volgende regel toe aan een bestand uit de /etc/lightdm/lightdm.conf/ map hieronder:

Greeter-show-manual-login = true

Voor Ubuntu 9.10 en lager je zult verschillende bestanden moeten bewerken (maar niemand verbiedt het gebruik van deze methode in 10.04 - het werkt ook):

De volgorde van regels in bestanden is belangrijk!

/etc/pam.d/common-auth

Auth vereist pam_env.so auth voldoende pam_unix.so likeauth nullok try_first_pass auth voldoende pam_winbind.so use_first_pass krb5_auth krb5_ccache_type = BESTAND auth vereist pam_deny.so

/etc/pam.d/common-account

Account voldoende pam_winbind.so account vereist pam_unix.so

/etc/pam.d/common-session

Sessie optioneel pam_mkhomedir.so skel = / etc / skel / umask = 0077 sessie optioneel pam_ck_connector.so nox11 sessie vereist pam_limits.so sessie vereist pam_env.so sessie vereist pam_unix.so

/etc/pam.d/common-password

Wachtwoord voldoende pam_unix.so try_first_pass use_authtok nullok sha512 shadow wachtwoord voldoende pam_winbind.so wachtwoord vereist pam_deny.so

Ten slotte moet u het opstarten van Winbind opnieuw plannen bij het opstarten van het systeem na alle andere services (het begint standaard bij index 20). Voer hiervoor de volgende opdracht uit in de terminal:

Sudo bash -c "voor i in 2 3 4 5; doe mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; klaar"

Wat gelijk staat aan het uitvoeren van voor elk niveau (in het voorbeeld - 4) het commando:

Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

In sommige gevallen kan winbind een ander runlevel hebben (bijvoorbeeld S02winbind). Controleer dus eerst de bestandsnamen door het commando “ls /etc/rc(2,3,4,5).d/ | . uit te voeren grep winbind "(zonder aanhalingstekens).

Klaar, alle instellingen zijn voltooid. Start opnieuw op en probeer in te loggen met een domeingebruikersaccount.

Offline autorisatie

Vaak ontstaat er een situatie waarin de domeincontroller om verschillende redenen niet beschikbaar is - preventief onderhoud, black-outs, of je hebt je laptop mee naar huis genomen en wilt werken. In dit geval kan Winbind worden geconfigureerd om domeingebruikersaccounts in de cache op te slaan. Om dit te doen, moet u het volgende doen. Voeg de volgende regels toe aan de /etc/samba/smb.conf sectie van het bestand:

# Mogelijkheid van offline autorisatie wanneer domeincontroller niet beschikbaar is winbind offline aanmelding = ja # Account cachingperiode, standaard gelijk aan 300 seconden winbind cachetijd = 300 # Optionele instelling, maar elimineert vervelende pauzes, specificeer de domeincontroller dc, # u kunt ook specificeren ip, maar dit is een slecht wachtwoord server = dc

Dit is meestal voldoende. Als er fouten optreden, moet u een bestand /etc/security/pam_winbind.conf maken met de volgende inhoud:

Aandacht! Een volledig willekeurige "Authenticatie mislukt"-fout kan optreden bij het gebruik van de onderstaande tips! Daarom doet u alles wat u doet op eigen risico en risico!

# # pam_winbind configuratiebestand # # /etc/security/pam_winbind.conf # # zet debugging aan debug = nee # verzoek indien mogelijk een cache-login aan # (vereist "winbind offline logon = yes" in smb.conf) cached_login = yes # authenticeren gebruik van kerberos krb5_auth = yes # vraag bij gebruik van kerberos om een "BESTAND" krb5-referentiecache type # (laat leeg om alleen krb5-authenticatie uit te voeren, maar heb daarna geen ticket #) krb5_ccache_type = FILE # maak succesvolle authenticatie afhankelijk van lidmaatschap van één SID # (kan ook een naam aannemen); required_membership_of = stil = ja

Het bestand /etc/pam.d/gnome-screensaver wordt dan:

Auth voldoende pam_unix.so nullok_secure auth voldoende pam_winbind.so use_first_pass auth vereist pam_deny.so

En ook het bestand /etc/pam.d/common-auth verandert:

Auth optioneel pam_group.so auth voldoende pam_unix.so nullok_secure use_first_pass auth voldoende pam_winbind.so use_first_pass auth vereist pam_deny.so

Om een computer met het Windows-besturingssysteem te kunnen besturen, is het noodzakelijk om de bewerking van het toevoegen van een pc aan een domein uit te voeren. Vervolgens is het met behulp van de Windows Server-familie mogelijk om verschillende beheerbewerkingen uit te voeren, waaronder het gebruik van Groepsbeleid. De bediening om verbinding te maken met een pc-domein is eenvoudig.

Een computer toevoegen aan het domein.

Het begin van de procedure om lid te worden van een domein van een familie van Windows-besturingssystemen begint met het opzetten van een netwerkverbinding en het controleren van de verbinding tussen de server en de pc.

1. Druk op de toetsencombinatie Win + R en typ in het venster dat wordt geopend ncpa.cpl.

2. Selecteer in het geopende venster de vereiste netwerkcontroller (op een gewone computer is dit er in de regel één) en klik met de rechtermuisknop op deze interface. Selecteer vervolgens in het menu dat verschijnt " Eigenschappen".

3. Selecteer vervolgens in een nieuw venster " Internetprotocol versie 4 (TCP / IPv4 IP)". Verder " Eigenschappen".

4. In het geopende venster kunt u de netwerkinterface configureren. Als het domein een DHCP-server heeft en clients geen statische adressen hoeven te configureren, controleren we of de selectievakjes tegenovergesteld zijn " Automatisch een IP-adres verkrijgen" en " Automatisch DNS-serveradres verkrijgen". Druk op" oke"en u kunt alle geopende vensters sluiten.

5. Als er geen DHCP-server wordt gebruikt in het domein of als statische adressen zijn geconfigureerd voor clients, moet u de benodigde netwerkinstellingen registreren (bijvoorbeeld zoals in de afbeelding).

Nadat u het IP-adres, Subnetmasker, Standaardgateway (indien aanwezig), Voorkeurs-DNS-server, Alternatieve DNS-server (indien aanwezig) hebt geregistreerd, klikt u op " oke"en sluit alle vensters.

6. Nadat u het netwerk heeft geconfigureerd, verschijnt er een venster " Een netwerklocatie instellen". We kiezen" Bedrijfsnetwerk".

7. Er verschijnt een netwerkbevestiging waarin staat dat: "De netwerklocatie is gewijzigd in" Enterprises ".

8. Druk nogmaals op de toetsencombinatie Win + R en we typen cmd om de opdrachtregel te openen.

9. In de opdrachtregel controleren we de verbinding met de server. Om dit te doen, typen we ping en Server IP(Bijvoorbeeld 192.168.56.10 pingen). We krijgen een reactie van de server.

10. Klik op de clientcomputer met de rechtermuisknop op " Computer", Verder " Eigenschappen".

11. Selecteer in het geopende venster " Wijzig parameters".

12. Klik vervolgens op " Wijziging".

13. Kies " Is lid van het domein:"en ga naar binnen" domeinnaam(Bijvoorbeeld syst.local), Klik " oke".

14. Om de naam van een computer of domein te wijzigen, moet u een gebruikersnaam en wachtwoord invoeren (de domeingebruiker moet rechten hebben om een computer aan het domein toe te voegen), en vervolgens " oke".

15. Na het succesvol toevoegen van een computer aan het domein, zal een overeenkomstige melding verschijnen - " Welkom bij het syst.local-domein"(in plaats van syst.local komt er een domeinnaam).

16. Als u een domeincontroller opent, dan in de toolbox " Active Directory-gebruikers en computers"in de container Computers de pc die in het domein is ingevoerd, wordt weergegeven.

Hiermee is de procedure voor het verbinden van de pc met het domein voltooid.

Je kunt hier ook een video bekijken over het verbinden van een pc met een domein:

Als de computer buiten het domein viel

Ja, het gebeurt. De computer mag zonder enige reden weigeren het domein te zien. Dienovereenkomstig zal autorisatie niet werken.

Vervolgens voeren we de computer opnieuw in het domein in zoals hierboven weergegeven en herstarten we opnieuw.

Tags: windows, domein, computer

mijneerstecomp.ru

Een Windows 7-pc toevoegen aan een domein

Door een pc aan een domein toe te voegen, kun je genieten van domeinvoordelen zoals schaalbaarheid, gecentraliseerd beheer, groepsbeleid, beveiligingsinstellingen en meer.

Voordat u uw Windows 7-machine aan het domein toevoegt, moet u ervoor zorgen dat aan de volgende voorwaarden is voldaan:

U gebruikt Windows 7 Professional, Ultimate of Enterprise - alleen deze Windows 7-distributies kunnen in het domein worden opgenomen. windows 7 Home kan het niet, probeer het niet eens.

U hebt een netwerkkaart (NIC) - een draadloze kaart is voldoende

U bent fysiek verbonden met een lokaal netwerk van waaruit de domeincontroller toegankelijk is. Houd er rekening mee dat Windows 7 kan worden opgenomen in een domein zonder een netwerkverbinding met de laatste (deze functie verscheen in een domein op Windows Server 2008 R2), maar dit is een onderwerp voor een apart artikel.

U heeft het juiste IP-adres voor het netwerk waarmee u bent verbonden. U kunt het handmatig configureren of verkrijgen van een DHCP-server.

Je "ziet" de domeincontroller op het netwerk.

U hebt een correct geconfigureerde DNS-server - zonder de juiste DNS-instellingen kan uw computer niet in het domein komen.

U hebt lokale beheerdersrechten - een eenvoudige gebruiker kan dit niet doen.

U moet de domeinnaam kennen en een actief gebruikers-/beheerdersaccount op het domein hebben. Standaard kan elke domeingebruiker 10 machines aan het domein toevoegen. Maar deze instelling kan worden gewijzigd door de domeinbeheerder.

Er zijn 3 opties om een machine van 7 aan het domein toe te voegen: met behulp van de grafische interface (Deze computer-> Eigenschappen-> Instellingen wijzigen-> Computernaam-tabblad), met behulp van het NETDOM-opdrachtregelhulpprogramma, met behulp van de Power Shell-opdracht (add- computer). Op de eerste zal ik niet in detail uitweiden, dat weet iedereen maar al te goed.

Met het hulpprogramma NETDOM kunt u het probleem oplossen van verbinding maken met een domein vanaf de opdrachtregel. Maar standaard werkt dit hulpprogramma niet! Hoe krijg ik netdom werkend op Windows 7?

Open een opdrachtpromptvenster met beheerdersrechten en voer de volgende regel in:

Netdom join% computernaam% /domain:winitpro.ru / userd: DOMAIN \ administrator / wachtwoord:

Opmerking: Vervang winitpro.ru door uw domeinnaam en voer de juiste gebruikersnaam en wachtwoord in. domein met uw juiste domeinnaam, en voer natuurlijk de juiste gebruikersrechten in. Let ook op de extra "d" in de / user en / passwordd opties, dit is geen typfout.

Start je computer opnieuw op. Dat is alles, u bevindt zich nu op het domein!

Bekijk ook het artikel: hoe voorkomen dat u uitlogt bij het domein, evenals de functie voor offline deelnemen aan domeinen in Windows Server 2008.

winitpro.ru

/ hoe een computer aan een Windows-domein toe te voegen

Goedemiddag, beste lezers van het blog pyatilistnik.org, vandaag wil ik je vertellen hoe je een computer toevoegt aan het Windows Server 2008 R2-domein. Wat een domein is, leest u in het artikel Inleiding tot de basisconcepten van Active Directory. Er zijn verschillende manieren om een computer toe te voegen aan de actieve directory van het domein.

Een computer toevoegen aan een domein

En dus zijn er verschillende methoden om een computer in het domein in te voeren, één via de GUI-interface, maar de tweede is voor liefhebbers van commando's, maar beide hebben hun eigen toepassingsscenario's. Laat me u eraan herinneren dat u, om een computer aan AD toe te voegen, over gebruikers- of domeinbeheerdersreferenties moet beschikken. Standaard kan een gewone gebruiker maximaal 10 computers aan AD toevoegen, maar als je wilt, kun je dit omzeilen door het aantal te verhogen, of je kunt de benodigde rechten voor het account delegeren.

1. Via de grafische interface

Ga naar de eigenschappen van Deze computer, klik hiervoor met de rechtermuisknop en selecteer Eigenschappen in het contextmenu. Of druk op de toetscombinatie Win + Pause Break, waarmee ook het venster met systeemeigenschappen wordt geopend.

hoe een computer aan een Windows-domein toe te voegen

Klik op Wijzig parameters

Een computer toevoegen aan een Windows 2008 R2-domein

Klik op het tabblad Computernaam op de knop Wijzigen

Een computer toevoegen aan een Windows 2008 R2-domein

Wij stellen de computernaam in op maximaal 16 karakters, het is beter om direct een voor u begrijpelijke naam in te stellen die aan uw eisen voldoet.

Een computer toevoegen aan een Windows 2008 R2-domein

En we schrijven de naam van het domein, klik op OK

specificeer het domeinachtervoegsel

We voeren inloggegevens in die het recht hebben om de server in het domein te betreden, standaard kan elke gebruiker tot 10 keer in het domein komen, tenzij je het natuurlijk niet hebt verboden.

Voer inloggegevens in

succesvolle toevoeging aan domein active directory

Vergeet niet dat zodra u de server in AD hebt ingevoerd, deze ook onmiddellijk een statisch IP-adres moet configureren en pas daarna opnieuw moet opstarten

Na het opnieuw opstarten zien we dat alles in orde is en we zijn lid van het domein en het is je gelukt om de pc in het domein te betreden.

2. Netdom-hulpprogramma

Open (opdrachtregel) cmd. Eerder heb ik beschreven hoe u de Windows-opdrachtregel opent. Het gemak van deze methode is dat het in de vorm van een script kan worden gedaan en bijvoorbeeld kan worden doorgegeven aan een externe gebruiker die niet genoeg weet hoe dit moet.

Netdom join% competername% /domain:contoso.com / userd: contosoadmin1 / passwordd: * -% competername% computernaam kan als volgt worden achtergelaten - / domain write domain - / userd login - passwordd: * betekent dat u wordt gevraagd om Vul een wachtwoord in

Ik denk dat het niet moeilijk was en je kiest zelf de methode die bij je past. Het is handig om beide te kennen, aangezien het juister is om de server in de core-modus te doen, voor maximale veiligheid.

3. Via offline bestand en hulpprogramma djoin.exe

Stel je een situatie voor dat je geen verbinding hebt met de controller op de computer die je wilt invoeren vanuit het Active Directory-domein, maar dat moet je doen, nou, de netwerkingenieur heeft nog geen vpn-kanaal geconfigureerd tussen kantoren, Microsoft op dit moment heeft een offline domein join script of zoals het ook gebruikelijk is om het offline input in het domein te noemen. Offline domeintoetreding verscheen met de komst van Windows 7 en Windows Server 2008 R2. En hoe ziet het toevoegen van een computer aan een AD-domein eruit?

Voor alle duidelijkheid: er is een hoofdkantoor en een filiaal op afstand, ze moeten aan elkaar worden gekoppeld, afzonderlijk worden ingezet voor een domein, het heeft geen zin in een filiaal, aangezien er maar 3 werknemers zijn, en volgens bedrijfsnormen zouden ze deel uitmaken van een Active Directory-domein.

Deelnamestadia voor offline domein

Helemaal aan het begin heb je een computer nodig die is aangesloten op een domeincontroller, daarop zullen we een speciaal bestand met de naam blob (blob) maken door de opdracht djoin / provision op de opdrachtregel uit te voeren, waarmee een computeraccount in de Active Directory wordt gemaakt database
De tweede stap is om dit bestand via e-mail of internet over te brengen en aan de kant van de klant, die in het domein moet worden ingevoerd, een opdracht uit te voeren met behulp van het ontvangen bestand.

Djoin.exe hulpprogramma parameters

/ BEPALING - Bereidt een computeraccount in het domein voor.
/ DOMAIN - het domein waar je lid van wilt worden.
/ MACHINE - de computer om lid te worden van het domein.
/ MACHINEOU is een optionele parameter die de afdeling definieert waarin het account wordt aangemaakt.
/ DCNAME is een optionele parameter die de doeldomeincontroller aangeeft waarop het account wordt gemaakt.
/ HERGEBRUIK - hergebruik een bestaand account (het wachtwoord wordt opnieuw ingesteld).
/ SAVEFILE - sla voorbereidingsgegevens op in een bestand dat zich op het opgegeven pad bevindt.
/ NOSEARCH - detectie van accountconflicten overslaan; DCNAME vereist (betere prestaties).
/ DOWNLEVEL - Biedt ondersteuning voor een Windows Server 2008 of eerdere domeincontroller.
/ PRINTBLOB - Retourneert een met base64 gecodeerde blob met metagegevens voor een responsbestand.
/ DEFPWD - Gebruik het standaardwachtwoord van de computeraccount (niet aanbevolen).
/ ROOTCACERTS - optionele parameter, CA-rootcertificaten inschakelen.
/ CERTTEMPLATE - optionele parameter van de computercertificaatsjabloon. Inclusief CA-rootcertificaten.
/ POLICYNAMES - optionele parameter, door puntkomma's gescheiden lijst met beleidsnamen. Elke naam is de weergavenaam van een groepsbeleidsobject in AD.
/ POLICYPATHS - optionele parameter, door puntkomma's gescheiden lijst met beleidspaden. Elk pad verwijst naar de locatie van het registerbeleidsbestand.
/ NETBIOS - optionele parameter, Netbios-naam van de computer om lid te worden van het domein.
/ PSITE is een optionele parameter, een permanente site waar u de computer wilt plaatsen om lid te worden van het domein.
/ DSITE is een optionele parameter van de dynamische site die in eerste instantie de computer host om lid te worden van het domein.
/ PRIMARYDNS is een optionele parameter, het primaire DNS-domein van de computer die lid wordt van het domein.
/ REQUESTODJ - Vereist offline lidmaatschap van het domein bij de volgende keer opstarten.
/ LOADFILE - eerder opgegeven met de optie / SAVEFILE.
/ WINDOWSPATH - naar de map met de offline Windows-afbeelding.
/ LOCALOS - Hiermee kunt u het lokale besturingssysteem opgeven in de parameter / WINDOWSPATH.

In de testomgeving maken we de WKS1 computer aan, en voegen we deze toe aan het Active Directory domein. WKS1 bevindt zich in de onderverdeling Offline_Join, ons blob-bestand heet wks1.txt

djoin / provision / domein Contoso.com / machine WKS1 / machineOU "OU = Offline_Join, DC = Contoso, DC = com" / savefile c: \ test \ wks1.txt

Als je plotseling besluit dat je nuttige informatie in een blob-bestand kunt vinden, dan heb je het mis, het is versleuteld en niet leesbaar voor mensen.

Nu moeten we deze paar kilobytes overbrengen naar de externe computer, waar de autonome invoer in het domein zal worden uitgevoerd. Kopieer de blob naar de hoofdmap van de C: \-schijf, open een opdrachtprompt en voer de opdracht in

djoin / requestODJ / loadfile c: \ test \ wks1.txt / windowspath% systemroot% / localos

Nadat de opdracht is uitgevoerd, worden de metagegevens van het computeraccount uit het blobbestand toegevoegd aan de Windows-map.

Met virtuele machines werkt djoin, gewoon met een knal, het maakt niet uit, er is een / windowspath-sleutel die de locatie van het VHD-bestand met het geïnstalleerde systeem aangeeft.

4.toevoegen aan domein via Powershell

Open Powershell als beheerder en voer de volgende opdracht in:

Add-Computer -Domeinnaam uw domeinnaam

Voer de naam van uw domein in, u krijgt een inlog- en wachtwoordinvoerformulier

als alles in orde is, ziet u een gele inscriptie waarin staat dat er opnieuw wordt opgestart.

Zoals je kunt zien, zijn er veel methoden en iedereen kan zijn eigen en voor zijn eigen taken gebruiken, ik denk dat de vraag hoe een computer aan het advertentiedomein kan worden toegevoegd, kan worden gesloten.

Materiaal van de site Pyatilistnik.org

pyatilistnik.org

Een computer toevoegen aan een domein

Domeinen vergemakkelijken het werk van gebruikers aanzienlijk, zodat u zich slechts één keer op het systeem hoeft aan te melden en alle wachtwoorden voor verschillende apparaten en bestanden in een groot lokaal netwerk vergeet.

Hiervoor heeft u nodig: 1. Beheerdersrechten; 2. lokaal netwerk met Windows-domein; 3. gebruikersaccount in het domein;

4. domeinnaam.

1. U kunt een computer toevoegen aan een Windows-domein op het tabblad Computernaam in het venster Systeemeigenschappen. Om het venster "Systeemeigenschappen" in het besturingssysteem Windows XP te openen, gebruikt u het menu "Start" om het "Configuratiescherm" te openen en klikt u op "Systeem". Als uw computer Windows 7 of Vista gebruikt, opent u het "Configuratiescherm" en gaat u naar de categorie "Systeem en beveiliging", waarin u op het item "Systeem" klikt. Klik op de pagina die wordt geopend op de link "Extra systeemparameters" in de linkerkolom. 2. Selecteer in het geopende venster "Systeemeigenschappen" het tabblad "Computernaam". Klik op de knop "Wijzigen" en voer in het geopende venster de naam in van het domein waaraan u de computer wilt toevoegen. Klik vervolgens op de OK-knop. Voer in het venster dat verschijnt de gebruikersnaam en het wachtwoord van het domein in. Klik vervolgens op OK en start uw computer opnieuw op. Uw computer is opgenomen in het domein. 3. Naast de grafische interface kunt u de computer toevoegen aan het domein via de opdrachtregel. Het besturingssysteem Windows XP bevat het hulpprogramma NETDOM, dat een computer aan een domein kan toevoegen met de opdracht:

netdom join computernaam / domein: domeinnaam / gebruiker: domeinnaam \ gebruikersnaam / wachtwoord: gebruikerspas.

Waar computernaam, domeinnaam en gebruikersnaam moeten worden vervangen door de namen van de computer, het domein en de gebruiker die moeten worden toegevoegd, en gebruikerspas moet worden gewijzigd in het wachtwoord van de gebruiker in het domein.

In Windows 7 is het NETDOM-hulpprogramma vervangen door de opdracht add-computer in PowerShell. Voer de volgende opdracht uit om een computer vanaf de console aan een domein toe te voegen in Windows 7:

add-computer -Domeinnaam domein_naam -referentie domeinnaam \ gebruikersnaam

Waar domeinnaam en gebruikersnaam ook vervangen door domein- en gebruikersnamen.

Het Windows-domein is niet bedoeld voor thuisgebruik; het is erg handig in bedrijfsnetwerken met een groot aantal gebruikers met verschillende toegangsniveaus tot bestanden en apparaten. Daarom hebben computers met besturingssystemen voor thuisgebruik, dat wil zeggen onder het professionele niveau, niet de tools om lid te worden van het domein. Om dergelijke computers toe te voegen, moet u eerst het systeem opnieuw installeren.

Er is een snellere manier om het venster Systeemeigenschappen te openen. Als uw besturingssysteem Windows XP is, klikt u met de rechtermuisknop op het pictogram "Deze computer" en klikt u in het menu dat wordt geopend op het item "Systeemeigenschappen". Als uw besturingssysteem Windows 7 of Vista is, klikt u met de rechtermuisknop op het pictogram "Computer", selecteert u "Systeemeigenschappen" en klikt u op "Geavanceerde systeeminstellingen".

Wanneer u een computer aan een domein toevoegt, kunt u op hetzelfde tabblad Computernaam een beschrijving van uw computer opgeven, wat een hint zal zijn voor domeingebruikers.

complaz.ru

Hoe voeg je op verschillende manieren een computer toe aan het domein?

De kwestie van het verbinden van een computer met een domein komt meestal van systeembeheerders die een lokaal netwerk moeten creëren. Domeinsysteem betekent dat alle computers in het netwerk de instellingen van de hoofd-pc gebruiken. Laten we proberen uit te zoeken hoe we een computer met Windows 7 kunnen verbinden met het domein. Voor andere besturingssystemen is de verbinding niet al te verschillend.

Wat zijn de voordelen van een domeinstructuur? Hiermee kunt u bijvoorbeeld Groepsbeleid en Centraal beheer gebruiken. Dit zorgt voor efficiënt werken.

Belangrijke vereisten:

Voordat je een Windows 7-computer in het domein invoert, moet je controleren of de pc aan een aantal eisen voldoet, of alle instellingen zijn voltooid. Er zijn er nogal wat, hoewel de meeste al zouden moeten worden geproduceerd. Controleer het volgende:

Windows 7 van de volgende versies moet worden gebruikt: Professional, Ultimate of Enterprise. Alleen deze versies kunnen worden toegevoegd aan het domein;
Er moet een netwerkkaart aanwezig zijn. Maar dit is vanzelfsprekend;
Er moet een LAN-verbinding tot stand worden gebracht. In de meeste gevallen, hoewel u Windows 7 offline met Windows Server 2008 R2 kunt verbinden, is dit een apart onderwerp;
Het juiste IP-adres moet worden opgegeven. Het kan handmatig worden geconfigureerd, verkregen van een DHCP-server, of het kan een APIPA-adres zijn (de waarden beginnen met 169.254.X.Z);
U moet ervoor zorgen dat de controllers (ten minste één) beschikbaar zijn voor verbinding;
Controleer ook de verbinding van de controller (u kunt deze bijvoorbeeld pingen, dat wil zeggen, controleer de kwaliteit van de verbinding);
De DNS-server moet correct zijn geconfigureerd. Dit is belangrijk, als het niet correct is geconfigureerd, kunnen er problemen optreden bij het verbinden met het domein. Zelfs als de verbinding succesvol is, zijn mislukkingen later mogelijk;
DNS-servers moeten beschikbaar zijn. Om dit te doen, moet u de verbinding controleren met behulp van het PING-programma;
Controleer uw lokale systeemmachtigingen. Lokale beheerdersrechten voor de computer moeten aanwezig zijn;
U moet de domeinnaam, beheerdersnaam en wachtwoord weten.

Een pc verbinden met een domein

Er zijn twee manieren om een computer aan het domein toe te voegen. Laten we ze eens nader bekijken.

Methode één:

Dit is de standaardmanier voor een pc om lid te worden van een domein. Volg deze stappen:

Klik op het pictogram "Start", klik met de rechtermuisknop op de snelkoppeling "Computer", selecteer "Eigenschappen";
Klik onder "Computernaam, domein en werkinstellingen" op "instellingen wijzigen";
Open het tabblad "Computernaam" en klik op "Wijzigen";
Selecteer in de sectie "Deel (van iets)" "Domein";
Voer de naam in van het domein waarmee u verbinding maakt, klik op "OK";
Voer de naam opnieuw in en het wachtwoord.

Start vervolgens uw computer opnieuw op. Daarna wordt de pc verbonden met het domein in het lokale netwerk.

Methode twee

U moet de NETDOM-app gebruiken. Om een domein te koppelen, hoeft u slechts één opdracht op de opdrachtregel in te voeren:

Waarin:

De parameters "DOMAIN.COM" en "DOMAIN" moeten worden vervangen door de domeinnaam. U moet ook een gebruikersnaam en wachtwoord opgeven;
De extra "d" in "gebruiker" en "wachtwoord" is geen typfout;
Windows 7 heeft al NETDOM in het besturingssysteem. In versies van Windows 2000, XP en 2003 moet u Support Tools installeren.

Start uw pc opnieuw op om de verbinding te beëindigen.

Wat als het domein wordt verwijderd?

Dit gebeurt nadat de pc is verbonden met het domein. De computer "ziet" het gewoon niet. U merkt dit direct, want u kunt niet inloggen. Doe het volgende:

Log in als lokale beheerder;
Ga naar de systeemeigenschappen en merk in het item "Computernaam" op dat de pc deel uitmaakt van een werkgroep;
Start je computer opnieuw op;
Verbind vervolgens de pc opnieuw met het domein zoals hierboven beschreven;
Start opnieuw op.

De computer zou nu lid moeten worden van het domein.

Een computer in een specifieke container plaatsen

Het nadeel van de beschreven methoden om verbinding te maken met een domein is dat de pc in een standaardcontainer wordt geplaatst, meestal in de map "Computer". En om te verhuizen naar een andere locatie is een beheerder nodig. Maar u kunt de computer gelijk in de gewenste container plaatsen. Hiervoor zijn er twee mogelijkheden.

Methode nummer 1

Om dit te doen, wordt eerst een leeg account aangemaakt, waar de computer zich bevindt (u moet rechten hebben om een object aan te maken). In de ADUC-console wordt een nieuw account aangemaakt met dezelfde naam die zal worden gebruikt om verbinding te maken met het domein. Gebruik dan de hierboven beschreven join-methode. Het systeem ziet een account dat al in het domein bestaat, maar er gewoon niet aan is gekoppeld. Na het matchen past de computer in de gewenste container.

Methode nummer 2

De Powershell-opdracht kan worden gebruikt:

Log in met beheerdersrechten;
Voer bij de opdrachtprompt "powershell" in (dan kan in plaats daarvan PoSh worden gebruikt);
De opdracht om een pc toe te voegen aan het corp.company.ru-domein vanuit het corpcompany_admin-account, door een account aan te maken in de corp.company.ru/Admin / Computers-container, waar bedrijf de naam van de computer is, ziet er als volgt uit:
add-computer -DomainName corp.company.ru -credential corp company_admin –OUPath "OU = Computers, OU = Admin, dc = corp, dc = bedrijf, DC = ru";
Er wordt een nieuw venster geopend waarin het wachtwoord voor de company_admin-gebruiker wordt ingevoerd;
Vervolgens verschijnt het venster "WAARSCHUWING: de wijzigingen worden van kracht nadat u de computer pcwin8 opnieuw hebt opgestart" (pcwin8 staat voor besturingssysteem). Start je computer opnieuw op.

Nu komt de pc in de gewenste container te staan, waar het domein naar verwijst.

Voor een correcte verbinding van de pc met het domein, is het beter om dit uit te voeren door de beheerder die dit lokale netwerk heeft aangemaakt. Hij kent alle valkuilen in dit domein en kan daardoor snel schakelen. Als u besluit de computer zelf op het domein aan te sluiten, laat dan bij een probleem de pc in deze staat totdat een specialist de correctie uitvoert.

Vandaag zullen we een nogal belangrijk onderwerp beschouwen dat elke systeembeheerder is tegengekomen of in de nabije toekomst zeker zal tegenkomen. Een zakelijk lokaal netwerk van een middelgrote of grote onderneming heeft in 99% van de gevallen een domeinstructuur. Dit wordt in de eerste plaats gedicteerd door het beveiligingsbeleid van de onderneming. Alle computers op het netwerk gebruiken dus de instellingen van de hoofdcomputer - het domein (beveiliging kan worden gegarandeerd).

Allereerst steken we de netwerkkabel in de computer =). Nu moet u uw netwerkverbinding instellen. Klik met de rechtermuisknop op de computer in de lade en open Netwerkcentrum.

Klik in het venster dat verschijnt op Verander adapterinstellingen- alle beschikbare netwerkverbindingen worden geopend. We moeten kiezen lAN-verbinding, klik er met de rechtermuisknop op en selecteer Eigenschappen.

In het geopende venster moet u gegevens invoeren zoals IP-adres, subnetmasker, gateway en DNS-server. Zoiets zou je moeten krijgen.

Klik op OK en sla de wijzigingen op. Hiermee is het voorbereidende deel van het werk afgerond. Laten we nu direct naar het toevoegen van de computer aan het domein gaan.

Duw Begin, klik met de rechtermuisknop op het item Computer, Kiezen Eigenschappen... In het linkerdeel van het venster vinden we het item Aanvullende systeemparameters en klik erop met de linkermuisknop. Open het tabblad in het venster dat verschijnt.

Aan het einde van het opnieuw opstarten bevindt uw computer zich in het domein.

Als de computer buiten het domein viel

Ja, het gebeurt. De computer mag zonder enige reden weigeren het domein te zien. Dienovereenkomstig zal autorisatie niet werken.

Vervolgens voeren we de computer opnieuw in het domein in zoals hierboven weergegeven en herstarten we opnieuw.

Iedereen weet dat na installatie van het besturingssysteem de computer in eerste instantie wordt opgenomen in de werkgroep (standaard in WORKGROUP). In een werkgroep is elke computer een zelfstandig autonoom systeem waarin zich een Security Accounts Manager (SAM) database bevindt. Wanneer een persoon inlogt op een computer, wordt gecontroleerd op het bestaan van een account in SAM en worden, in overeenstemming met deze records, bepaalde rechten verleend. De computer die in het domein wordt ingevoerd, blijft zijn SAM-database onderhouden, maar als de gebruiker inlogt onder een domeinaccount, wordt er al op de domeincontroller gecontroleerd, d.w.z. de computer vertrouwt de domeincontroller voor de identiteit van de gebruiker.

Er zijn verschillende manieren om een computer aan het domein toe te voegen, maar voordat u dit doet, moet u ervoor zorgen dat deze computer aan de volgende vereisten voldoet:

U hebt het recht om de computer toe te voegen aan het domein (standaard behoort dit recht toe aan Enterperise Admins, Domain Admins, Administrators, Account Admins);

Het computerobject is gemaakt in het domein;

U moet als lokale beheerder op de aangesloten computer zijn aangemeld.

Bij veel beheerders kan het tweede punt wrok veroorzaken - waarom een computer in AD maken als deze in de container Computers verschijnt nadat de computer aan het domein is toegevoegd. Het punt is dat je geen organisatie-eenheden kunt maken in de container Computers, maar erger nog, je kunt geen GPO's aan de container binden. Daarom is het aan te raden om een computerobject aan te maken in de gewenste organisatie-eenheid en niet tevreden te zijn met een automatisch aangemaakt computeraccount. Natuurlijk kunt u een automatisch aangemaakte computer naar de gewenste afdeling verplaatsen, maar beheerders vergeten dit vaak te doen.

Laten we nu eens kijken naar manieren om een computer(s) in AD te maken:

Maak computers met de module Active Directory: gebruikers en computers.

Voor deze methode moeten we de module Active Directory: gebruikers en computers op onze computer uitvoeren met: Beheerderspakket of op een domeincontroller. Klik hiervoor op " Start- Configuratiescherm- Systeem en beveiliging- Systeembeheer-"selecteer de gewenste eenheid, klik er met de rechtermuisknop op, selecteer" Aanmaken- Computer".

Voer de naam van de computer in.

Maak een computeraccount aan met de opdracht DSADD.

Algemeen beeld van het team:

dsad computer [-desc<описание>] [-loc<расположение>] [-lid van<группа...>] [(-s<сервер>| -D<домен>)] [-u<пользователь>] [-P (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Parameters:

Waarde Beschrijving
Vereiste parameter. Specificeert de DN-naam (DN) van de computer die moet worden toegevoegd.
-beschrijf<описание> Specificeert een beschrijving van de computer.
-loc<размещение> Specificeert de locatie van de computer.
-lid van<группа...> Voegt een computer toe aan een of meer groepen, gedefinieerd door een door spaties gescheiden lijst van DN's<группа...>.
(-s<сервер>| -D<домен>}
-s <сервер>specificeert een verbinding met een domeincontroller (DC) met de naam<сервер>.
-D <домен>definieert een verbinding met een DC in een domein<домен>.
Standaard: DC in het aanmeldingsdomein.
-u<пользователь> Verbinden onder de naam<пользователь>... Standaard: de naam van de momenteel ingelogde gebruiker. Mogelijke keuzes zijn gebruikersnaam, domein \ gebruikersnaam, primaire gebruikersnaam (UPN).
-P (<пароль> | *} Gebruikerswachtwoord<пользователь>... Als * wordt ingevoerd, wordt u om een wachtwoord gevraagd.
-Q Stille modus: vervangt alle uitvoer door standaarduitvoer.
(-uc | -uco | -uci)

-uc Specificeert Unicode-opmaak voor invoer van een pijp of uitvoer naar een pijp.
-uco Specificeert de opmaak van de Unicode-uitvoer naar een pijp of bestand.
-uci Specificeert Unicode-opmaak voor invoer vanuit een pijplijn of bestand.

Een voorbeeld van het gebruik van de opdracht Dsadd:

Dsadd computer “CN = COMP001, OU = Moskou, OU = Afdelingen, DC = pk-help, DC = com” –desc “Computer van IT-afdeling”

creatiewerkstation- of serveraccount met de opdracht Netdom.

Algemeen beeld van het Netdom-team:

NETDOM TOEVOEGEN<компьютер> ]
<компьютер> dit is de naam van de computer die moet worden toegevoegd
/ Domein specificeert het domein waarin u een computeraccount wilt maken
/ GebruikerD het gebruikersaccount dat wordt gebruikt bij het verbinden met het domein gespecificeerd door het / Domain argument
/ WachtwoordD het wachtwoord voor het gebruikersaccount dat is opgegeven met het argument / UserD. * Betekent een wachtwoordprompt
/ Server de naam van de domeincontroller die is gebruikt om toe te voegen. Deze parameter kan niet worden gebruikt in combinatie met de parameter / OU.
/ Ou de organisatie-eenheid waarin u het computeraccount wilt aanmaken. Vereist de RFC 1779 FQDN voor de organisatie-eenheid. Wanneer u dit argument gebruikt, moet u rechtstreeks op de opgegeven domeincontroller werken. Als dit argument niet wordt opgegeven, wordt het account gemaakt in de standaardorganisatie-eenheid voor de computerobjecten van dit domein.
/ DC geeft aan dat u een computeraccount voor een domeincontroller wilt maken. Deze parameter kan niet worden gebruikt in combinatie met de parameter / OU.
/ SecurePasswordPrompt Gebruik een beveiligd pop-upvenster om inloggegevens op te geven. Gebruik deze parameter wanneer u smartcardreferenties moet opgeven. Deze parameter is alleen effectief als het wachtwoord is ingesteld in de vorm *.

Maak een Computer-object met Ldifde () en Csvde ().

Beheer computeraccounts in Active Directory.

Een computer hernoemen naar AD.

Start de opdrachtregel en gebruik de opdracht Netdom om de computer te hernoemen naar AD:

Netdom hernoemen computer<Имя компьютера>/ Nieuwe naam:<Новое имя>

Voorbeeld: Netdom hernoemen computer COMP01 / Nieuwe naam: COMP02

Computeraccounts verwijderen.

1 Verwijder het computeraccount met de module " Active Directory-gebruikers en computers". Voer de module uit." Active Directory-gebruikers en computers"zoek de computer die je nodig hebt, klik er met de rechtermuisknop op, selecteer" Verwijderen", Bevestig verwijdering

2 U kunt de computer verwijderen met de opdracht DSRM:

DSRM

DSRM CN = COMP001, OU = Moskou, OU = Afdelingen, DC = pk-help, DC = com
.

Los de fout op "De vertrouwensrelatie tussen dit werkstation en het primaire domein kan niet tot stand worden gebracht."

Soms, wanneer de gebruiker probeert de computer binnen te komen, ontvangt de gebruiker een bericht " Kan geen vertrouwensrelatie tot stand brengen tussen dit werkstation en het primaire domein". Deze fout treedt op wanneer het beveiligde kanaal tussen de machine en de domeincontroller faalt. Om dit op te lossen, moet u het beveiligde kanaal opnieuw instellen. U kunt een van de volgende methoden gebruiken:

1 Ga naar de module Active Directory: gebruikers en computers, zoek de probleemcomputer, klik er met de rechtermuisknop op en selecteer Account opnieuw instellen. Daarna moet de computer opnieuw worden toegevoegd aan het domein en opnieuw worden opgestart.

2 De opdracht gebruiken netwerk:

Netdom resetten<имя машины>/ domein<Имя домена>/ Gebruiker0<Имя пользователя>/ Wachtwoord0<Пароль> zonder citaten<>

Voorbeeld: Netdom reset COMP01 / domeinsite / Gebruiker0 Ivanov / Wachtwoord *****

3 Het commando gebruiken Nltest:

Nltest / server:<Имя компьютера>/ sc_reset:<Домен>\<Контроллер домена>