Как ввести компьютер в домен Windows 7

Создание и администрирование объекта компьютер в Active Directory

Как ввести компьютер в домен Windows 7

Компьютеры относятся к еще одному типу объектов Active Directory, но в отличие от пользователей и групп AD к ним нет должно внимания и соответственно администраторы пренебрегают их администрированием. Но компьютеры так же как и группы, пользователи AD имеют свой SID и соответственно их можно заключать в группы, назначать им доступ к ресурсам, управлять ими средствами групповых политик.

Способы создания компьютера в AD

Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP).

В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager).

При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права.

Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.

  Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:

— у вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена ( Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));

— объект компьютера создан в домене;

— вы должны войти в присоединяемый компьютер как локальный администратор.

 У многих администраторов второй пункт может вызвать негодование, — зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен.

Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера.

Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.

Теперь разберем способы создания компьютера (компьютеров) в AD:

 Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры»

Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена.

Для этого необходимо нажать «Пуск- Панель управления- Система и безопасность- Администрирование- Active Directory – пользователи и компьютеры» выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите «Создать- Компьютер«.

Впишите имя компьютера.

 Создание учетной записи компьютера с помощью команды DSADD

Общий вид команды:

           dsadd computer [-desc ] [-loc ] [-memberof ]  [{-s | -d }] [-u ]  [-p { | *}] [-q] [{-uc | -uco | -uci}]Параметры:Значение                Описание

        Обязательный параметр. Задает различающееся имя (DN) добавляемого компьютера.

-desc         Задает описание компьютера.
-loc        Задает размещение компьютера.
-memberof   Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN .
{-s | -d }
                        -s задает подключение к контроллеру домена(DC) с именем .
                        -d задает подключение к DC в домене .                        По умолчанию: DC в домене входа.

-u        Подключение под именем . По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).

-p { | *}       Пароль пользователя . Если введена *,  будет запрошен пароль.
-q                      «Тихий» режим: весь вывод заменяется  стандартным выводом.
{-uc | -uco | -uci}    

                         -uc Задает форматирование ввода из канала или вывода в канал в Юникоде.

                         -uco Задает форматирование вывода в канал или файл в Юникоде.

                         -uci Задает форматирование ввода из канала или файла в Юникоде.

Пример использования команды Dsadd:

 Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com”  –desc “Компьютер отдела IT”

 Создание  учетной записи рабочей станции или сервера с помощью команды Netdom.

Общий вид команды Netdom:

 NETDOM ADD [/Domain:домен] [/UserD:пользователь] [/PasswordD:[пароль | *]] [/Server:сервер] [/OU:путь к подразделению] [/DC] [/SecurePasswordPrompt]
  это имя добавляемого компьютера
/Domain           указывает домен, в котором требуется создать учетную запись компьютера
/UserD             учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD      пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server            имя контроллера домена, используемого для добавления.  Этот параметр нельзя использовать одновременно с параметром /OU.
/OU                 подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC                 указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt    Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.

Читайте также  Как открыть буфер обмена на Windows 7

 Администрирование учетной записи компьютеров в Active Directory

Переименование компьютера в AD.

Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:

Netdom renamecomputer /Newname:

Пример: Netdom renamecomputer COMP01 /Newname: COMP02

Удаление учетных записей компьютера.

1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«.

Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление

2 Удалить компьютер можно с помощью команды DSRM:

DSRM

Пример:

DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com

Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».

Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«.

Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал.

Можно воспользоваться одним из методов:

1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.

2 С помощью команды Netdom:

Netdom reset /domain /User0 /Password0   без кавычек

Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****
Перезагрузка компьютера не нужна.

3 С помощью команды Nltest:

Nltest  /server: /sc_reset:\

Пример:Nltest  /server:Comp01 /sc_reset:pk-help.com\ad1
Перезагрузка компьютера не нужна.

Источник: http://pk-help.com/server/computers-ad

Как добавить компьютер в домен windows 2008 R2 / как ввести компьютер в домен Windows

Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочется рассказать как добавить компьютер в домен windows server 2008 R2.

Что такое домен можно почитать в статье Введение в основные понятия Active Directory.

  Для того чтобы добавить компьютер в domain active directory, существует несколько способов.

Как ввести компьютер в домен

И так методов ввести компьютер в домен несколько, один через GUI интерфейс, а вот второй для любителей команд, но тот и другой имеют свои сценарии применения.

Напомню, что для того чтобы добавить компьютер в AD, у вас должны быть учетные данные пользователя, либо администратора домена.

Рядовой пользователь по умолчанию может вносить до 10 компьютеров в AD, но при желании это можно обойти, увеличив цифру, либо можно делегировать нужные права для учетной записи.

1. Через графический интерфейс

Перейдите в свойства Моего компьютера, для этого щелкните правым кликом и выберите из контекстного меню Свойства. Либо нажать сочетание клавиш Win+Pause Break, что тоже откроет окно свойств системы.

как ввести компьютер в домен Windows

Нажимаем Изменить параметры

Как добавить компьютер в домен windows 2008 R2

На вкладке Имя компьютера жмем кнопку Изменить

Как добавить компьютер в домен windows 2008 R2

Задаем имя компьютера максимум 16 символов, лучше сразу задавать понятное для вас имя, соответствующее вашим стандартам.

Как добавить компьютер в домен windows 2008 R2

И пишем название домена, жмем ОК

указываем суффикс домена

Вводим учетные данные имеющие право на ввод сервера в домен, по умолчанию каждый пользователь может ввести до 10 раз в domain, если конечно вы этого не запретили.

Вводим учетные данные

Видим что все ок и мы добавили ваш ПК в домен Windows.

успешное добавление в domain active directory

Не забывайте, что как только вы ввели сервер в AD ему так же нужно сразу произвести настройка статического ip адреса и только потом перезагружаемся

Перезагрузка сервера

После перезагрузки видим, что все хорошо и мы являемся членами домена и вам удалось ввести пк в домен.

2. Утилита Netdom

Открываем (командную строку) cmd. Ранее я описывал как открыть командную строку Windows. Удобство этого метода, в том, что можно сделать в виде скрипта и передать его например для удаленного пользователя, у которого не хватает знаний как это сделать.

Читайте также  Безопасный режим Windows 10 без загрузочного диска

Netdom join %competername% /domain:contoso.com /userd:contosoadmin1 /passwordd:* — %competername% имя компа можно оставить так — /domain пишем домен — /userd логин — passwordd:* означает что будет предложено ввести пароль

Думаю было не сложно и вы сами выберете себе метод, подходящий именно вам. Полезно знать оба так как правильнее сервера делать все же в режиме core, для максимальной безопасности.

3. Через Offline файл и утилиту djoin.exe

Представим себе ситуацию, что у вас на компьютере, который требуется ввести с домен Active Directory, нет связи с контроллером, а сделать то нужно, ну вот не настроил еще сетевой инженер vpn канал между офисами, у Microsoft на этот момент есть сценарий Offline domain join или как его еще принято называть автономный ввод в домен. Offline domain join появился с приходом Windows 7 и Windows Server 2008 R2. И так как же выглядит добавление компьютера в домен AD.

Вот для наглядности, есть главный офис и удаленный филиал, их нужно связать вместе, разворачивать отдельный под домен, в филиале смысла нет, так как там всего допустим 3 сотрудника, а по стандартам компании они должны быть частью домена Active Directory.

Этапы Offline domain join

  • В самом начале вам необходим любой компьютер имеющий связь с контроллером домена, на нем мы будем создавать специальный файл, он называется blob (большой двоичный объект), через выполнение в командной строке команды djoin /provision, которая создаст в базе Active Directory, учетную запись компьютера
  • Второй этап это передать данный файл, через почту или интернет, и на стороне клиента, которого нужно ввести в домен выполнить команду с применением полученного файла.

Параметры утилиты djoin.exe

  • /PROVISION — подготавливает учетную запись компьютера в домене.
  • /DOMAIN — домена, к которому необходимо присоединиться.
  • /MACHINE — компьютера, присоединяемого к домену.
  • /MACHINEOU — необязательный параметр, определяющий подразделение, в котором создается учетная запись.
  • /DCNAME — необязательный параметр, определяющий целевой контроллер домена , на котором будет создана учетная запись.
  • /REUSE — повторно использовать существующую учетную запись (пароль будет сброшен).
  • /SAVEFILE — сохранить данные подготовки в файл, расположенный по указанному пути.
  • /NOSEARCH — пропустить обнаружение конфликтов учетных записей; требуется DCNAME (более высокая производительность).
  • /DOWNLEVEL — обеспечивает поддержку контроллера домена Windows Server 2008 или более ранней версии.
  • /PRINTBLOB — возвращает большой двоичный объект метаданных в кодировке base64 для файла ответов.
  • /DEFPWD — использовать пароль учетной записи компьютера по умолчанию (не рекомендуется).
  • /ROOTCACERTS — необязательный параметр, включить корневые сертификаты центра сертификации.
  • /CERTTEMPLATE — необязательный параметр, шаблона сертификата компьютера. Включает корневые сертификаты центра сертификации.
  • /POLICYNAMES — необязательный параметр, список имен политик, разделенных точкой с запятой. Каждое имя является отображаемым именем объекта групповой политики в AD.
  • /POLICYPATHS — необязательный параметр, список путей к политикам, разделенных точкой с запятой. Каждый путь указывает на расположение файла политик реестра.
  • /NETBIOS — необязательный параметр, Netbios-имя компьютера, присоединяемого к домену.
  • /PSITE — необязательный параметр, постоянного сайта, в который нужно поместить компьютер, присоединяемый к домену.
  • /DSITE — необязательный параметр, динамического сайта, в который первоначально помещается компьютер, присоединяемый к домену.
  • /PRIMARYDNS — необязательный параметр, основной DNS-домен компьютера, присоединяемого к домену.
  • /REQUESTODJ — требует автономного присоединения к домену при следующей загрузке.
  • /LOADFILE — , указанный ранее с помощью параметра /SAVEFILE.
  • /WINDOWSPATH — к каталогу с автономным образом Windows.
  • /LOCALOS — позволяет указывать в параметре /WINDOWSPATH локальную операционную систему.

В тестовой среде мы создадим компьютер WKS1, его мы и будем добавлять в домен Active Directory. WKS1 будет находится в подразделении Offline_Join, blob файл у нас будет называться wks1.txt

djoin /provision /domain Contoso.com /machine WKS1 /machineOU «OU=Offline_Join,DC=Contoso,DC=com» /savefile c:\test\wks1.txt

В итоге у меня добавилась компьютерная учетная запись WKS1

Если вы вдруг решите, что в blob файле вы сможете отыскать полезную информацию, то вы заблуждаетесь, она зашифрована и не читабельна для человека.

Теперь нам необходимо переправить эти пару килобайт на удаленный компьютер, где и будет производится автономный ввод в домен. Копируете blob допустим в корень диска C:\, открываете командную строку и вводите команду

djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos

После выполнения команды, будут добавлены метаданные учетной записи компьютера из blob файла в директорию Windows.

С виртуальными машинами djoin работает, так же на ура, ей разницы нет, есть ключ /windowspath указывает на расположение VHD-файла с установленной системой.

4. добавить в домен через Powershell

Открываем Powershell от имени администратора и вводим вот такую команду

Add-Computer -DomainName имя вашего домена

Указываете имя вашего домена, у вас вылезет форма ввода логина и пароля

если все ок, то вы увидите желтую надпись, о том что будет перезагрузка.

Как видите методов очень много и каждый сможет использовать свой и под свои задачи, я думаю вопрос как присоединить компьютер к домену ad, можно закрывать.

Материал сайта Pyatilistnik.org

Источник: http://pyatilistnik.org/kak-dobavit-kompyuter-v-domen-windows-2008-r2-2/

Подключаем ПК к домену

Вы хотите подключить компьютер к локальной сети, но не знаете, как подключить его к домену? Сделать это очень просто, причем можно использовать разные способы.

Вопрос подключения компьютера к домену обычно возникает у системных администраторов, которым нужно создать локальную сеть.

Читайте также  Глючит мышка Windows 7

Доменная система означает, что все компьютеры в сети используют настройки основного ПК.

Давайте попробуем разобраться, как подключить к домену компьютер с операционной системой Windows 7. Для других ОС подключение не слишком отличается.

Какие преимущества дает доменная структура? С ее помощью можно использовать, например, групповые политики и централизированное управление. Это позволяет наладить эффективную работу.

Важные требования

Перед тем, как вводить компьютер на виндовс 7 в домен, необходимо проверить, удовлетворяет ли ПК ряду требований, все ли настройки выполнены. Их довольно много, хотя большинство из них уже должны быть произведены. Проверьте следующее:

  • Должна использоваться виндовс 7 следующих версий: Professional, Ultimate или Enterprise. Только эти версии можно подключать к домену;
  • Должна присутствовать сетевая карта. Но это самой собой разумеющееся;
  • Должно быть выполнено подключение по локальной сети. В большинстве случаев, хотя можно подключить виндовс 7 к Windows Server 2008 R2 в оффлайн режиме, но это отдельная тема;
  • Должен быть указан правильный IP адрес. Его можно настроить вручную, получить от DHCP-сервера или это может быть APIPA-address (его значения начинаются с 169.254.X.Z);
  • Нужно убедиться, что котроллеры (хотя бы один) доступен для подключения;
  • Также проверьте соединение контроллера (например, его можно пропинговать, то есть проверить, какое качество соединения);
  • DNS сервер должен быть правильно настроен. Это важно, если он настроен некорректно, могут возникнуть проблемы при подключении к домену. Даже если подключение выполнится успешно, сбои возможны потом;
  • DNS сервера должны быть доступны. Для этого нужно проверить подключение при помощи программы PING;
  • Посмотрите ваши права в локальной системе. Должны присутствовать права локального администратора компьютера;
  • Нужно знать название доменного имени, имя администратора и пароль.

Ввести компьютер в домен можно двумя способами. Давайте рассмотрим их более подробно.

Первый метод

Это стандартный способ подключения ПК к домену. Выполните следующие шаги:

  • Нажмите значок «Пуск», щелкните правой клавишей мышки по ярлыку «Компьютер», выберите «Свойства»;
  • В пункте “Имя компьютера, домен и рабочие настройки» нажмите «изменить настройки»;
  • Откройте вкладку «Имя компьютера» и нажмите «Изменить»;
  • В разделе «Часть (чего-то)» выберите «Домен»;
  • Введите имя домена, к которому выполняется подключение, нажмите «OK»;
  • Введите имя еще раз, и пароль.

Затем выполните перезагрузку компьютера. После этого ПК будет подключен к домену в локальной сети.

Второй метод

Необходимо использовать приложение NETDOM. Чтобы подключить домен, в командной строке нужно ввести всего одну команду:

[[{«type»:»media»,»view_mode»:»media_original»,»fid»:»334″,»attributes»:{«alt»:»»,»class»:»media-image»,»height»:»123″,»typeof»:»foaf:Image»,»width»:»938″}}]]

При этом:

  • Параметры «DOMAIN.COM» и «DOMAIN» нужно заменить на имя домена. Также нужно указать логин и пароль;
  • Дополнительная «d» в «user» и «password» не являются опечаткой;
  • В виндовс 7 NETDOM уже есть в операционной системе. В версиях виндовс 2000, XP и 2003 нужно установить Support Tools.

Чтобы завершить подключение, перезагрузите ПК.

Что делать, если домен «выпал»?

Это происходит уже после подключения ПК к домену. Компьютер его просто не «видит». Вы это сразу заметите, потому как не сможете авторизоваться. Сделайте следующее:

  • Авторизуйтесь как локальный администратор;
  • Перейдите в свойства системы и в пункте «Имя компьютера» отметьте, что ПК – часть рабочей группы;
  • Перезагрузите компьютер;
  • Затем снова подключите ПК к домену, как было описано выше;
  • Выполните перезагрузку.

Теперь компьютер должен подключиться к домену.

Помещение компьютера в определенный контейнер

Недостаток описанных методов подключения к домену – ПК размещается в стандартном контейнере, обычно в папке «Компьютер». И чтобы переместить в другое место, необходим администратор. Но можно расположить компьютер сразу в нужном контейнере. Для этого есть два варианта.

Метод номер 1

Для этого сначала создается пустая учетная запись, куда и размещается компьютер (нужно, чтобы у вас были права на создание объекта).

В консоле ADUC новая учетная запись создается с тем же именем, которое будет использоваться для подключения к домену. Затем используйте метод соединения, описанный выше.

Система увидит учетную запись, которая уже существует в домене, но просто не сопоставлена с ним. После сопоставления компьютер поместится в нужном контейнере.

Метод номер 2

Можно использовать команду Powershell:

  • Войдите в систему с правами администратора;
  • В командной строке введите «powershell» (затем вместо нее можно будет использовать PoSh);
  • Команда для включения ПК в домен corp.company.ru из под учетной записи corp\company_admin, создающая учетную запись в контейнере corp.company.ru/ Admin /Computers, где company – название компьютера, будет выглядеть так:add-computer -DomainName corp.company.ru -credential corp\ company_admin –OUPath «OU=Computers,OU=Admin,dc=corp,dc=company,DC=ru»;
  • Откроется новое окно, в котором введите пароль пользователя company_admin;
  • Затем появится окно «WARNING: The changes will take effect after you restart the computer pcwin8» (pcwin8 означает операционную систему). Перезагрузите компьютер.

Теперь ПК будет расположен в нужном контейнере, там, куда ссылается домен.

Для корректного подключения ПК к домену выполнять его лучше администратору, который создал данную локальную сеть.

Он знает обо всех подводных камнях в этом домене, и поэтому сможет быстро выполнить подключение.

Если вы решили соединить компьютер с доменом самостоятельно, то в случае какой-либо проблемы оставьте ПК в таком состоянии, пока специалист не выполнит коррекцию.

Источник: http://computerkafe.ru/network/podklyuchaem-pk-k-domenu

Понравилась статья? Поделить с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: