Как ввести компьютер в домен: Как ввести компьютер в домен? На примере компьютера под управлением Windows 7

Содержание

Ввод рабочей станции под Linux в домен Windows Server 2012

Автор nibbl На чтение 3 мин. Опубликовано 2019-11-15
Обновлено 2019-11-15

Следующий шаг после установки WPS офиса в списке был – ввод Linux в домен Windows

В данной статье будет рассмотрен вопрос 🔥🔥🔥 о том, как нужно вводить компьютер под управлением ALT Linux в домен который находится на Windows Server 2012 ✅ (но версия тут не играет роли) и подготовительные шаги для этого действия, а также до настройка с подключением сетевых дисков и окна с логином ⭐️

подписывайтесь на мой канал Яндекс дзена!Вы будете первым узнавать о новых материалах!

Вводим в домен Alt Linux

Для того что ввести станцию в домен надо сначала подготовить ее к этому, для этого делаем след шаги:

Выставляем на станции точное время (или время равное с контроллером домена)
Редактируем файл /etc/resolv. conf и прописываем там ДНС контроллера домена
search имяДомена.lcl
nameserver ДНСконтроллераДомена
Еще проверяем ДНС тут /etc/net/ifaces/<interface>/resolv.conf
проверяем файл HOST /etc/hosts
127.0.0.1 localhost.localdomain localhost
127.0.0.1 имяКомпа.имяДомена имяКомпа
если вы во время установки системы не ввели имя станции, то можно переименовать компьютер сейчас /etc/sysconfig/network
Теперь надо установить пакеты которые позволят ввести станцию в домен (Поставить все обновления на linux перед этим не забудте)
apt-get install task-auth-ad-sssd
apt-get install task-auth-ad-sssd
Заходим в настройки системы (или из терминала набираем AAC) и заходим в меню Аутентификация
Переключаем чекбокс на пункт Active Directory и заполняем эти моля так:
Домен: ИМЯДОМЕНА. LCL
Рабочая группа: ИМЯДОМЕНА
Имя компьютера: имя компьютера
PS соблюдайте регистр!!!
Нажимаем ок, вводим логип и пароля администратора Домена
Перезагружаем компьютер и проверяем )

Сейчас каждый подумает, что это сложно и долго, но если присмотреться, то все эти же действия мы делаем когда вводим в домен нашу станцию под Windows))) так что все не так и сложно!

Окно авторизации с логином

После ввода в домен станции, следующая глобальная проблема была с тем, что постоянно приходилось вводить логин и пароль и это очень не нравилось юзерам, а хотелось, что бы было как в windows , что бы в окне авторизации автоматически стоял логин пользователя и оставалось ввести только пароль.

что бы в В Alt Linux такое сделать нужно сделать след:

открыть файл /etc/lightdm/lightdm.conf
находим строчку greeter-hide-users и после = пишем false (greeter-hide-users = false)

Теперь, после того как вы зайдете в систему под юзером, он запомнит его и при повторном входе у вас уже будет заполнено поле логин. все)

Ввод компьютера Ubuntu в домен Active Directory Windows

При создании материала использовал следующие источники:

Обновиться

sudo apt-get update
sudo apt-get upgrade

Установить

sudo apt-get install krb5-user samba winbind
sudo apt-get install libpam-krb5 libpam-winbind libnss-winbind

krb5-user — пакет для протокола Kerberos, который используется для аутентификации в Windows;

samba — позволяет стать членом домена;

winbind — позволяет использовать учетные записи пользователей из ActiveDirectory.

Настройка DNS

Изменить настройки DNS на вашей машине, прописав в качестве DNS сервера контроллер домен и в качестве домена поиска — контроллер домен. В Ubuntu Desktop это можно сделать через Network Manager, в Ubuntu Server необходимо изменить содержимое файла /etc/resolv.conf

Вместо «mydomain.com» — Ваш домен. Вместо IP-адресов — IP-адреса Ваших контроллеров домена.

domain mydomain.com
search mydomain.com
nameserver 192.168.0.1
nameserver 192.168.0.2

Задать нужное имя компьютера в файле /etc/hostname

ubuntu01

Отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP

127.0.0.1	localhost
127.0.1.1	ubuntu01.mydomain.com	ubuntu01

Проверить, что нормально пингуется контроллер домена

ping dc
ping dc.mydomain.com

Настройка синхронизации времени

Установить ntpd

sudo apt-get install ntp

Исправить файл /etc/ntp. conf, добавив в него информацию о вашем сервере времени:

server dc.mydomain.com

После чего перезапустить демон ntpd:

sudo /etc/init.d/ntp restart

Настройка авторизации через Kerberos

Изменить файл /etc/krb5.conf указав название своего домена вместо DOMAIN.COM и своего контроллера домена

Обратить внимание на регистр написания имени домена. Везде, где домен был написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре.

[libdefaults]
	default_realm = MYDOMAIN.COM

[realms]
	MYDOMAIN.COM = {
		kdc = dc.mydomain.com
		kdc = dc2.mydomain.com
		admin_server = dc.mydomain.com
		default_domain = mydomain.com
	}

[domain_realm]
	.mydomain.com = MYDOMAIN.COM
	mydomain.com = MYDOMAIN.COM

Проверить, что мы можем авторизоваться в домене. Для этого выполнить команду

kinit Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Вместо username вписать имя существующего пользователя домена. Имя домена необходимо писать заглавными буквами! Если не получили никаких ошибок — значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Убедиться в том, что билет получен, можно выполнив команду

klist

Удалить все билеты

kdestroy

Настройка Samba и вход в домен

Необходимо прописать правильные настройки в файле /etc/samba/smb.conf

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена 
   workgroup = MYDOMAIN
   realm = MYDOMAIN.COM

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные 
   dns proxy = no 
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

После того, как будет отредактирован smb. conf, выполнить команду testparm.

testparm

# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Ввести компьютер в домен

net ads join -U username -D MYDOMAIN

# net ads join -U username -D MYDOMAIN
Enter username's password:
Using short domain name -- MYDOMAIN
Joined 'ubuntu01' to dns domain 'mydomain.com'

Если больше никаких сообщений нет — значит всё хорошо. Для проверки выполнить команду

net ads testjoin

#net ads testjoin
Join is OK

Если всё прошло без ошибок, то успешно вошли в домен! Посмотреть в AD и увидеть добавленный компьютер ubuntu01. Чтобы видеть ресурсы в домене, установите smbclient:

sudo apt-get install smbclient

Теперь можно просматривать ресурсы компьютеров домена. Для этого нужно иметь билет kerberos — получаем через kinit. Посмотрим какие ресурсы предоставлены в сеть компьютером workstation:

smbclient -k -L workstation

Настройка Winbind

Добавить в файл /etc/samba/smb.conf в секцию [global] следующие строки:

# Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.

# Диапазоны идентификаторов для виртуальных пользователей и групп.
   dmap config * : range = 10000-20000
   idmap config * : backend = tdb   
# Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
# Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
# будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   winbind use default domain = yes
# Если вы хотите разрещить использовать командную строку для пользователей домена, то
# добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
# Для автоматического обновления билета Kerberos модулем pam_winbind. so нужно добавить строчку
   winbind refresh tickets = yes

Перезапустить демон Winbind и Samba в следующем порядке:

sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start

Запустить

sudo testparm

Если появится «rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»

То отредактировать файл /etc/security/limits.conf

# Добавить в конец файла строки:
*               -    nofile            16384
root            -    nofile            16384

Перегрузиться. Запустить testparm — Не должно быть ошибок. Проверить, что Winbind установил доверительные отношения с AD командой:

# sudo wbinfo -t
checking the trust secret for domain DCN via RPC calls succeeded

Убедиться, что Winbind увидел пользователей и группы из AD командами:

sudo wbinfo -u
sudo wbinfo -g

Добавление Winbind в качестве источника пользователей и групп

Измените в файле /etc/nsswitch. conf две строчки, добавив в конце winbind:

passwd:         compat
group:          compat

на

passwd:         compat winbind
group:          compat winbind

Привести строку files в файле /etc/nsswitch.conf к виду:

files:          dns mdns4_minimal[NotFoud=return] mdns4

Проверить, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив:

sudo getent passwd
sudo getent group
sudo getent passwd 'usernameAD'
sudo getent group 'groupnameAD'

Авторизация в Ubuntu через пользователей домена

Создадим в каталоге домашних папок пользователей подкаталог для доменных пользователей в соответствии с настройками нашего smb.conf (в качестве имени каталога используем NetBIOS-имя домена):

sudo mkdir /home/MYDOMAIN

Проверить, что после установки библиотеки libpam-winbind соответствующие PAM-модули для Winbind активирован.

sudo pam-auth-update

В появившемся окне должна быть включена (отмечена *) опция «Winbind NT/Active Directory authentication»

Добавьте строку в конец файла /etc/pam. d/common-session

session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

Для появиления поля ручного ввода логина необходимо добавить в файл /etc/lightdm/lightdm.conf/ строку greeter-show-manual-login=true

[SeatDefaults]
greeter-show-manual-login=true

Для скрытия списка пользователей необходимо добавить в файл /etc/lightdm/lightdm.conf/ строку greeter-hide-users=true

[SeatDefaults]
greeter-hide-users=true

Для разрешения входа пользователей AD группы groupdomain можно исправить файл /etc/pam.d/common-auth добавив параметр require_membership_of к вызову pam_winbind.so

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of=groupdomain
auth    requisite                       pam_deny. so
auth    required                        pam_permit.so
auth    optional                        pam_cap.so

Если указанная группа не работает, можно указать SID группы

auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of=S-1-5-...

Узнать SID группы по имени можно командой:

wbinfo -n 'groupdomain'

Как добавить пользователя и компьютер в домен под SAMBA ?

Много-много копивставки:

Сервер как PDC домена

Для создания Primary Domain Controller (PDC) необходимо в smb.conf внести/изменить следующие записи

[global]

# Имя сервера; если данный параметр не определен,
# то он примет значение, соответствующее имени хоста.
netbios name = COOLSERVER

# Имя домена
workgroup = COOLDOMAIN

# Режим работы системы авторизации сервера.
security = user

# Разрешение на использование шифрованных паролей
encrypt passwords = yes

# Путь к локальному файлу паролей
smb passwd file = /etc/samba/smbpasswd

# Стать мастер-браузером для домена
local master = yes

# Быть PDC
domain master = yes

# Сразу при старте постараться стать мастер-браузером домена
preferred master = yes

# Быть сервером паролей домена
domain logons = yes

# Расположение профайла пользователей домена
logon path = \\%L\Profiles\%U

# Административная группа домена, присутствие в списке
# пользователя «administrator» весьма желательно, без
# этого данный пользователь не получит административных
# прав на клиентских машинах Windows.
domain admin group = root @wheel administrator

# Быть WINS-сервером. WINS-сервер имеет смысл когда в сети более 10
# машин, работающих по протоколу SMB. Наличие такого сервера в сложных
# сетях существенно снижает широковещательный трафик.
wins support = yes

# Порядок разрешения имен NetBIOS, по аналогии с записью в
# /etc/host.conf для разрешения имен DNS. Значение wins
# имеет смысл только при наличии в сети wins-сервера,
# в противном случае оно замедлит работу.
name resolve order = wins lmhosts bcast

Также необходимо создать ресурсы для работы домена.

Ресурс netlogon необходим для работы PDC и домена в целом. Он просто должен существовать.

[netlogon]

comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
write list = admin, administrator

Данный ресурс необходим для создания и хранения профайлов пользователей домена:

[Profiles]

path = /var/lib/samba/profiles
browseable = no
read only = no
create mask = 0600
directory mask = 0700

При создании пользователя домена в /var/lib/samba/profiles автоматически создается каталог с именем, идентичным имени создаваемого пользователя и принадлежащий ему (с правами 0700). В этом каталоге будут храниться личные настройки пользователя.

Для того, чтобы включить клиентскую машину в домен, необходимо произвести следующие действия.

Прежде всего необходимо создать локального пользователя системы с именем, соответствующим NetBIOS-name подключаемой к домену машины.

К имени на конце добавляется символ “$”. Для добавления машины с именем machine_name необходимо от имени пользователя root выполнить следующие команды:

# /usr/sbin/useradd -g machines -d /dev/null -c «machine nickname» -s
/bin/false machine_name$

# passwd -l machine_name$

Теперь, когда создан пользователь (символ “$” в конце имени означает что это NetBIOS-имя компьютера, а не имя пользователя), можно добавить его в домен, выполнив от имени root команду: smbpasswd -a -m machine_name.

Теперь компьютер подключен к домену.

Если у вас фря

Во фряшке также пользователя можно создать так:
pw useradd -n Name -c Commentariy -d Direktoriya -g group -s Shell

Не забывайте засталвлять самбу перечитать конфигурацию после ваших настроек.

Работу со созданию машинного акаунта можно переложить на Samba, включив в smb.conf следующую запись:

[global]

add user script = /usr/sbin/useradd -d /dev/null -g machines -s
/bin/false -M %u

Теперь Samba будет принимать от клиентских машин запросы на включение в домен и автоматически регистрировать их аналогично NT Server.

С этого момента начинает существовать домен и PDC на базе Samba-сервера. Пользователи могут входить под своими именами и паролями с любой машины домена с сохранением настроек, а также самостоятельно менять свои пользовательские пароли без помощи администратора сети.
Учетные записи пользователей

Все учетные записи хранятся в файле /etc/samba/smbpasswd.

Учетные записи пользователей, используемые Samba делятся на две категории:

записи о компьютерах, входящих в домен;
*

записи о пользователях, зарегистрированных на данном сервере.

Следует учитывать, что для того, что бы создать и использовать любую учетную запись в /etc/samba/smbpasswd, предварительно необходимо создать соответствующую запись в /etc/passwd. Общее правило — для каждого пользователя в /etc/samba/smbpasswd обязательно должен существовать пользователь в /etc/passwd. Обратное утверждение неверно.

Для управления учетными записями предназначена утилита smbpasswd; полный список ее возможностей можно узнать из соответствующей man-страницы, здесь же рассмотрим наиболее частые методы использования.

Создание нового пользователя:

# smbpasswd -a

Смена пароля у существующего пользователя:

# smbpasswd

Удаление существующего пользователя:

# smbpasswd -x

Приостановление учетной записи без удаления:

# smbpasswd -d

Подключение данного компьютера к существующему домену:

# smbpasswd -j -U

Настройка контроллера домена, репликация контроллеров домена, цены, стоимость

Внедрение контроллера домена: от 16000 ₽

Введение компьютера в домен: 4000 ₽ за компьютер с версией ОС Professional.

От 9000 ₽ за компьютер с версией ОС ниже Professional + стоимость ОС

Что такое контроллер домена (КД) и зачем он нужен

Домен — базовая единица в ИТ-инфраструктуре. В него входят пользователи, компьютеры, серверы, и другие объекты. Информация о домене хранится на специальном выделенном сервере, под управлением операционной системы Windows Server, называемой контроллером домена. По сути, сформирован единый эффективный инструмент, содержащий базу данных элементов сети, их настройки и права доступа. Он включает в себя также группировки отдельных элементов, взаимоотношения между устройствами и доменами. При развитии ИТ инфраструктуры организации возникает необходимость централизованного управления компьютерной сетью. Уже при количестве компьютеров более 5 удобнее использовать сеть с центром управления.

Какие же преимущества даёт использование контроллера домена

Повышение безопасности.
Парольная политика дает возможность контролировать пароли, следить за их устойчивостью к попыткам взлома. Сторонние устройства, находящиеся в локальной сети, но не являющиеся членами домена, будут ограничены в доступе к ресурсам сети. При использовании файрволлов, которые умеют интегрироваться с доменами (например, Kerio Control) легко ограничить доступ в интернет по группам безопасности домена.

Централизованное управление доступом
Допустим, наши пользователи пользуются общей сетевой папкой, доступ к которой скомпрометирован. Чтобы поменять пароль, необходимо подойти к каждому компьютеру, где подключена папка, и прописать новый пароль. Но что делать, если таких компьютеров 30, 50 или 100? От администратора потребуются титанические усилия. При наличии контроллера домена смена пароля проводится с одного рабочего места, изменения произойдут одновременно на всех компьютерах в домене.

Централизованное управление политиками.
Компьютеры и пользователей часто делят на группы (например, отделы предприятия) и назначают каждой группе правила и ограничения. В зависимости от принадлежности к доменным группам безопасности возможно разграничение доступа к локальным и сетевым ресурсам, начиная от сетевых папок, и заканчивая разрешением на запуск локальных программ.

Поддержка приложений, требующих наличия контроллера домена.
Например, для работы программы почтового сервера Exchange необходим контроллер домена. В технических требованиях для инсталляции программных средств ЕГАИС также указано наличие домена. Используя домен можно сделать сквозную аутентификацию в 1С, т.е. пользователь вводит пароль на вход в операционную систему и под этим же логином он заходит в 1С. Это решает проблему, когда в 1С пользователи используют простые пароли, что встречается очень часто и сильно снижает безопасность баз.

Единая настройка пользовательских компьютеров и серверов.
Единая настройка включает в себя, например, запрет на использование внешних носителей, запрет на запуск запрещенных приложений, использование единых списков баз для пользователей при использовании программы 1С, автоматическое подключение сетевых ресурсов (сетевые диски, принтеры), общие настройки пользовательского компьютера (настройки браузеров, фон рабочего стола, электронных подписей в MS Outlook и т. п.). Применяя такой сервер, можно задать политику использования программ (запретить запуск определённой программы на каком диске она бы ни находилась, включить\отключить обновления и т.д.) даже не прерывая работу пользователей. Просто делаем соответствующую настройку на сервере и после перезапуска компьютеров запрет применяется. Особенно это удобно, если таких правил много. При введении новой рабочей станции придётся либо каждый раз проделывать одни и те же действия, либо просто добавить компьютер в определённую группу и все правила, созданные за всё время, буду автоматически применены к компьютеру.

Внедрение контроллера домена

Внедрение контроллера домена лучше начинать, когда количество компьютеров не превысило 10 шт. Тогда этот процесс не будет очень трудозатратным. Для установки роли контроллера домена не требуется мощный сервер, поэтому можно использовать практически любой компьютер, но так как контроллер домена хранит важную информацию об инфраструктуре сети, включая пароли пользователей, схемы разграничения прав и т. п., его выход из строя приводит к приостановке некоторых сервисов, сбоях при авторизации и доступе к ресурсам. Для таких случаев в инфраструктуру вводят резервный контроллер домена, перенимающий управление при отключении или поломке основного.

Частыми ошибками при развёртывании контроллера домена являются:

Некорректные настройки DNS-сервера, которые приводят к проблемам с доступом к сетевым ресурсам и сайтам в Интернете.

Недостаточно продуманные группы безопасности, что приводит к неправильной раздаче прав доступа на файлы и папки.

Администраторы не учитывают, что ввести в домен можно только компьютер с версией Windows не ниже Professional. Версии Home и Single Language не поддерживаются.

Отсутствие вторичного контроллера домена

Сотрудники нашей компании помогут внедрить контроллер домена в существующую инфраструктуру, или с нуля в новый офис, когда инфраструктура только создается. Причем процесс перехода оптимизирован, возможные неудобства для пользователей будут минимальными.

Имя и домен компьютера. Чтобы проверить, входит ли компьютер в домен или рабочую группу. Что такое домен

Ввод компьютера в домен позволяет использовать все преимущества домена, такие как централизированное управление, групповые политики и многое, многое другое.

Предварительные требования

Перед вводом компьютера под управлением Windows 7 в домен убедитесь что следующие предварительные требования соблюдены:

Используется Windows 7 Professional, Ultimate или Enterprise
— только эти редакции Windows 7 могут быть подключены к домену.

У вас есть сетевая карта
— собсвенно без комментариев, думаю вы не забыли об этом

Вы подключены к локальной сети
— Убедитесь что вы подключены к локальной сети. Хотя Windows 7 может быть присоединена к домену Windows Server 2008 R2 в оффлайн режca, это тема для отдельной статьи.

Вы имеете правильный IP адрес
— Ещё раз убедитесь что вы подключены к сети и получили правильный IP адрес. Адрес может быть настроен вручную, получен от DHCP сервера или может быть получен APIPA address (который начинается с 169.254.X.Y). Если вами получен APIPA адрес, вы гарантированно получите потенциальные проблемы, так как APIPA и AD не работают совместно.

Вам доступны котроллеры домена —
или как минимум один из них. Вы должны проверить связь с контроллером домена, например пропинговав его, хотя успешный пинг не гарантирует что контроллер домена полностью доступен.

Вы должны иметь правильно настроенный DNS сервер
— Без правильно настроенного DNS сервера вы гарантированно получите проблемы при вводе в домен, во время работы и прочее.

Вам доступны DNS сервера
— Проверьте ваше подключение к DNS серверам с помощью программы PING и выполните запрос NSLOOKUP.

Проверьте свои права на локальной системе
— Для успешного ввода в домен у вас должны быть права локального администратора компьютера.

Знайте ваше доменное имя, имя администратора и пароль

Существует два способа ввода компьютера в домен. В данной статье мы рассмотрим оба способа

Метод #1 — Традиционный способ

1. Откройте свойства системы, нажав кнопку Start, затем правой кнопкой мыши на ярлыке «Computer», и нажмите «Properties».

2. В разделе «Computer name, domain, and workgroup settings» нажмите «Change settings».

3. Перейдите в вкладку Computer Name и нажмите «Change».

4. В разделе Member of кликните Domain.

5. Введите имя домена, к которому вы хотите подключиться и нажмите OK.

Вам будет предложено ввести имя пользователя домена и пароль.

После успешного ввода компьютера в домен вам будет предложено перегрузиться. Для завершения ввода сделайте это.

Метод #2 — Используем NETDOM

С помощью NETDOM мы можем выполнить ввод компьютера в домен из командной строки с помощью всего одной команды.

NETDOM в Windows 7 включен в операционную систему, в отличие от Windows 2000/XP/2003 где необходимо было устанавливать Support Tools.

Откройте командную строку от имени администратора:

и введите следующую команду:

Замечание
: Замените DOMAIN.COM и DOMAIN на ваше имя домена и естественно укажите ваше доменные логин и пароль. Обратите внимание также на дополнительную «d» в «user» и «password», это НЕ
опечатка.

Netdom join %computername% /domain:DOMAIN.COM /userd:DOMAIN\administrator /passwordd@ssw0rd

Для заверешения процедуры перегрузите компьютер.

Если вы как и я всегда внимательно отслеживаете новости hi-tech то советую подписаться на отличный новостной сайт Informua.net. Только самые интересные новости высоких технологий и многое другое.

Вам понадобится

— права администратора;
— локальная сеть с доменом Windows;
— учетная запись пользователя в домене;
— имя домена.

Инструкция

Включить компьютер в домен Windows можно на вкладке «Имя компьютера» в окне «Свойства системы». Чтобы открыть окно «Свойства системы» в операционной системе Windows XP, с помощью меню «Пуск» откройте «Панель управления» и щелкните по пункту «Система». Если на вашем компьютере установлена операционная система Windows 7 или Vista, откройте «Панель управления» и перейдите в категорию «Система и безопасность», в которой щелкните по пункту «Система». На открывшейся странице кликните по ссылке «Дополнительные параметры системы», расположенной в левой боковой колонке.

В открывшемся окне «Свойства системы» выберите вкладку «Имя компьютера». Нажмите кнопку «Изменить» и в открывшемся окне введите имя домена, в который вы хотите . Далее кликните по кнопке OK. В появившемся окне введите имя пользователя домена и его пароль. После этого нажмите кнопку OK и перезагрузите компьютер. Ваш компьютер включен в домен.

Кроме графического интерфейса можно включить компьютер в домен с помощью командной строки. В состав операционной системы Windows XP включена утилита NETDOM, которая может добавить компьютер в домен с помощью команды:

netdom join computer_name /domain:domain_name /userd:domain_name\user_name /passwordd:user_pass.

Где computer_name, domain_name и user_name нужно соответственно заменить именами добавляемого компьютера, домена и пользователя, а user_pass поменять на пароль пользователя в домене. В Windows 7 утилита NETDOM была заменена командой в PowerShell – add-computer. Чтобы включить компьютер в домен из консоли в Window 7, выполните следующую команду:

Add-computer -DomainName domain_name -credential domain_name\user_name

Где domain_name и user_name также замените именами домена и пользователя.

Видео по теме

Обратите внимание

Домен Windows не предназначен для домашнего использования, он очень удобен в корпоративных сетях с большим количеством пользователей, имеющих разный уровень доступа к файлам и устройствам. Поэтому компьютеры, работающие под управлением операционных систем для домашнего использования, то есть ниже уровня Professional, не имеют инструментов включения в домен. Для добавления таких компьютеров сначала переустановите систему.

Полезный совет

Существует более быстрый способ запустить окно «Свойства системы». Если у вас операционная система Windows XP, щелкните правой кнопкой мыши по значку «Мой компьютер» и в раскрывшемся меню кликните по пункту «Свойства системы». Если у вас операционная система Windows 7 или Vista, сделайте клик правой кнопкой по значку «Компьютер», выберите пункт «Свойства системы» и щелкните по пункту «Дополнительные параметры системы».

При включении компьютера в домен на той же вкладке «Имя компьютера» вы можете задать описание вашего компьютера, которое будет подсказкой для пользователей домена.

Источники:

как домен подключать

Было бы ужасно неудобно, если бы люди обращались друг к другу не по имени, а числу, соответствующему дню рождения или номеру телефона. Поэтому, если бы имен не существовало, их бы стоило придумать.

Каждому компьютеру при подключении к глобальной сети Интернет присваивается собственный уникальный номер, называемый IP ADRESS.

У каждого web-ресурса также есть свой IP Адрес. У официального сайта компании Яндекс IP Адрес 213.180.204.11 Это число трудно запоминать, однако если его написать в адресной строке, то браузер откроет сайт компании Яндекс. Доменное Имя у этого сайта www. yandex.ru соответствующее IP-адресу 213.180.204.11.

Наличие доменного имени, вместо числового эквивалента, дает возможность обращаться к компьютеру по имени, которое идентифицирует владельца IP адреса. Доменное имя выполняет функцию уникального имени в Интернет и представляет собой более простой и, естественно, красивый вариант записи этого адреса.

Доменное Имя (англ. domain name) — уникальный идентификатор, который присваивается определенному IP-адресу (двух одинаковых быть не может).

Доменные Имена обслуживается и централизованно администрируются набором серверов доменных имен DNS. DNS (Domain Name Service) — служба доменных имен. Наряду с цифровыми адресами, DNS позволяет использовать собственные имена компьютеров, так называемые Доменные Имена.

Вся информация о Доменных Именах хранится в центральной базе данных DNS, представляющей собой несколько мощных компьютеров, разбросанных по всему миру. В этой базе хранится информация о дате регистрации, о физическом или юридическом владельце Доменного Имени, а также путь к так называемому серверу имен — NAMESERVER, где содержится информация, на которую указывает Доменное Имя.

Единый каталог Internet, определяющий основу DNS, находится в государственной организации SRI International — Menlo Park, CA, US (Менло Парк, Калифорния, США).

Доменное Имя это буквенный адрес компьютера.

Доменное Имя или буквенный адрес компьютера может быть:

доменное имя первого (верхнего) уровня — first level domain;
доменное имя второго уровня — second level domain;
доменное имя третьего уровня — third level domain. Доменные Имена первого уровня подразделяются на:

	Организационные доменные имена первого уровня в США:		Географические доменные имена первого уровня:
arpa	— Old style Arpanet	af	— Afghanistan (Афганистан)
biz	— businesses firms (коммерческие)	ca	— Canada (Канада)
com	— commercial (коммерческие)	cc	— Cocos Islands (Кокосовые Острова)
edu	— US educational (образование)	de	— Germany (Германия)
gov	— US government (правительство)	fr	— France (Франция)
int	— international (международные)	ru	— Russia (Россия)
info	— information services	se	— Sweden (Швеция)
mil	— US military (военные США)	tv	— Tuvalu (Тувалу)
nato	— NATO field (НАТО)	uk	— United Kingdom (Великобритания)
org	— non-profit organization	zw	— Zimbabwe (Зимбабве)
net	— network (сетевые услуги)	ws	— Western Samoa (Западная Самоа)

На сайте www. nic.ru представлены все Географические Доменные Имена первого уровня.

Доменное имя первого уровня выглядит так — www.ru (Российская зона интернета)

Так пишется доменное имя второго уровня — www.сайт

Доменное имя третьего уровня состоит из домена второго уровня к которому слева добавлен поддомен. Например — noyabrsk.ur.ru («Ноябрьск.ру» — сайт города Ноябрьск)

Любая сеть, локальная или глобальная, имеет сложную структуру и построение. При этом каждый компьютер, который подключается к сетке имеет свое уникальное доменное имя компьютера (в глобальной сети это понятие можно отнести не к наименованию компьютера, а к имени сайта), которое можно сравнить, например, с фактическим адресом проживания любого человека и его непосредственным именем, фамилией и отчеством.

Таким образом, чтобы отыскать в сети определенное устройство, идентифицировать его, просмотреть о нем информацию, использовать его ресурсы, необходимо знать лишь его имя и случае наличия прав доступа использовать его ресурсы или информацию, размещенную на нем.

Доменные имена были придуманы уже давно. Фактически они стали заменой физических адресов (IP-адрес), которые в той или иной сети являются уникальными. Этот шаг упростил посещение того или иного сайта, локального ресурса за счет того, что теперь пользователю совершенно не обязательно запоминать 4 блока цифр, которые могут быть в свою очередь трехзначными, а знать лишь доменное имя.

Так называемым дешифратором доменных имен в физический адрес являются DNS-сервера (Domain Name Server). Иными словами, при посещении определенного сайта, пользователь вводит текстовый вариант адреса, который в свою очередь преобразовывается в IP-адрес без участия человека и перенаправляет его на нужный сайт или ресурс. Конечно же это упростило запоминание, ведь гораздо проще запомнить какое-то слово, чем набор цифр, которых может быть до 12-ти.

В сети Интернет имеются четкие разграничения по зонам. Например, государственным структурам, как правило, присваивается имя организации в домене.org. Если речь идет об определенных интернет-магазинах, коммерческих организациях, то их как правило размещают в зоне, которое соответствует масштабам их сферы деятельности: ya.ru используется в России, а ya.ua в Украине; aliexpress.com прописывается в любой точке земного шара, но перед этим именем в адресной строке указывается регион, а соответственно и язык интерфейса сайта, откуда пользователь пытается посетить данный Интернет-магазин, например, ru.aliexpress.com, но в качестве домена везде выступает.com.

Что же касаемо домена и непосредственного имени компьютера в локальной сети, то его название зависит от системного администратора, который выполнял построение и последующее обслуживание сети и вносил то или иное устройство в состав сетки.

Имея подобные данные, пользователь может использовать ресурсы удаленного компьютера (сервера) в своих целях, например, для скачивания на локальную машину определенных файлов или данных, которые ему необходимы. Если же рассматривать этот вопрос на глобальном уровне, то информация о доменном имени позволяет посетить тот или иной сайт, где физически размещен Интернет-ресурс и т. д.

Для того, чтобы определить доменное имя конкретного компьютера в локальной сети, можно воспользоваться одним из способов:

Просмотр на локальной машине.

Подобную информацию можно отобразить, выполнив следующие действия:

кликнуть ПКМ по «Мой компьютер»;
в контекстном меню выбрать строку «Свойства»;
доменное имя компьютера будет отображаться в поле «Полное имя».

В состав полного имени входит наименование компьютера, после которого прописывается имя домена.

Примечание: полное имя и компьютера будут совпадать в том случае, если эта машина не подключена ни к одному домену и входит лишь в состав рабочей группы.

Средства системного администратора.

Системный администратор, который занимался непосредственным построением локальной сети, а также тех, кто обладает достаточным количеством прав доступа (привилегиями) имеют возможность просматривать Active Directory, в которой отображаются все компьютеры, входящие в данную сеть. Соответственно и получение того или иного доменного имени компьютера не является проблемой.

Что же касаемо глобальной сети, то здесь важно не доменное имя сайта, которое можно в принципе отыскать поисковой системе, если ввести соответствующий тематический запрос, а непосредственно IP-адрес. Это необходимо, например, на предприятиях, работающих с Интернет-банкингом, позволяющий совершать платежи удаленно, не посещая каждый раз отделение банка с платежными поручениями. Для того, чтобы получить IP-адрес компьютера или сервера, зная доменное имя, можно воспользоваться одним из следующих способов:

запустить командную строку и ввести комбинацию символов ping «доменное имя», после чего на экране последовательно отобразятся четыре строчки, в которых будет указан физический адрес компьютера;
перейти по ссылке http://url-sub.ru/tools/web/iphost/ , ввести в соответствующем поле имя компьютера, а затем кликнуть по кнопке узнать и необходимая информация будет выведена на экран;
для получения географического размещения того или иного сервера, необходимо перейти, например, по ссылке http://www. ip-ping.ru/ipinfo/ , ввести IP-адрес, который можно получить, используя один из вышеперечисленных способов, и вся необходимая информация будет отображена у Вас на экране.

Вконтакте

Для того, чтобы узнать домен компьютера, для этого нужно просто зайти в свойства «Компьютер», «Имя компьютера» и там посмотреть.

Давайте с вами попробуем разобраться, что же такое домен, и для чего он нужен.

Обычно, под словом «домен», мы, как правило, понимаем то, что это где-то в Интернете.

Вообще-то это так и есть. Домен, это зона пространства Интернета.

Например, у нас есть сайт. У этого сайта есть доменное имя.

Адреса веб-сайтов всегда заканчиваются двумя буквами.

Вот эти последние две буквы это и есть домен.

Домен, это то имя, которое указывает на принадлежность сайта к тому или иному государству. Домен «ua» принадлежит Украине, «ru» — России, «us» или «com» считаются американскими сайтами, «by» — Белорусскими.

То есть, по последним буквам адреса мы можем узнать, к какой стране принадлежит тот или иной сервер. Правда, не всегда бывают соответствия, и чтобы что-то уточнить, это можно сделать с помощью запроса в «Гугле».

Но есть ещё другое, что подразумевается под доменным именем. В системе «Windows-7» под выражением «доменное имя» подразумевается название группы, в которой компьютер находится.

Здесь всё зависит от того, являетесь ли вы участником локальной сети, или же просто пользователь.

Для того, чтобы посмотреть доменное имя вашего компьютера сделайте следующее:

1. Становитесь на значок «Компьютер».

2. Нажимаете правую кнопку мышки, и ищете в контекстном меню «свойства».

3. Заходите туда. Свойства компьютера также можно вызвать с помощью комбинации клавиш ALT+Enter. При этом надо стать на значок «Компьютер.

4. в разделе «Имя компьютера» можете посмотреть доменное имя.

Вообще-то, по умолчанию доменное имя компьютера в «Windows-7» «Рабочая группа».

Успехов!

Доменное имя компьютера это

Автор admin На чтение 11 мин. Просмотров 5 Опубликовано 10.12.2020

Что является доменным именем компьютера

Доменное имя: что это?

Как узнать доменное имя компьютера?

Подобную информацию можно отобразить, выполнив следующие действия:

В состав полного имени входит наименование компьютера, после которого прописывается имя домена.

Примечание: полное имя и компьютера будут совпадать в том случае, если эта машина не подключена ни к одному домену и входит лишь в состав рабочей группы.

Источник

Что такое доменное имя компьютера, пример

Понять, что такое доменное имя компьютера, очень просто. Это его название, которое присваивается устройству при выходе в интернет. Уникальное имя может принадлежать только одному компьютеру.

Что такое доменное имя и для чего его присваивают

Домен – это часть адреса, определяющая место компьютера пользователя в сети. Каждый ПК при подключении к интернету получает собственный номер – IP-адрес. Эти данные представляют собой комплекс чисел. Но более удобно пользоваться не сложными цифровыми комбинациями, а словами. Доменное имя компьютера – это буквенное обозначение расположения ресурса. Двух одинаковых названий не бывает.

Все адреса поступают в DNS (Domain Name Service) – хранилище данных. В нем находятся сведения об адресах, записанных в числовом выражении и в виде слов.

Доменные имена компьютеров, зарегистрированных в домене первого уровня, условно объединены в группы:

Домен второго уровня указывает адрес сайта, который регистрируют внутри верхней зоны. Эти имена оформляют на платной основе. Подробнее о том, где лучше купить домен второго уровня можно узнать здесь.

Третий уровень обозначает дополнительную структуру сервиса – форум или блог.

Пример

Пример доменного имени компьютера поможет разобраться в структуре названий, принятых в интернете. Символы, входящие в адрес, разделяются точкой. Начинают с последнего уровня, справа записывают суффикс, относящийся к верхней зоне:

Выбрать запоминающееся имя непросто, большинство из них уже занято. На нашем сайте можно купить имя, которое привлечет к вам посетителей и повлияет на успешность бизнеса.

Как узнать доменное имя компьютера

Если машина входит в локальную сеть, имя выбирает системный администратор. Чтобы узнать такое доменное имя компьютера, выполняют несложные действия:

У системного администратора есть возможность получить название каждого устройства, входящего в сеть, просматривая Active Directory. В этом параметре отображаются все машины рабочей группы и их имена.

Как ввести компьютер в домен: варианты подключения

Существуют два основных способа ввести компьютер в домен:

В первом случае подключение выполняют непосредственно с ПК. Для этого необходимо:

Другой способ введения в домен доступен только системному администратору. Для этого посредством утилиты NETDOM ему нужно ввести специальную команду на сервере.

Удаленная перезагрузка, блокировка компьютера в домене

Чтобы самостоятельно перезагрузить удаленный компьютер в локальной группе, пользователь должен иметь сетевой доступ.

Как вывести компьютеры из домена

Нередко возникают ситуации, когда устройство надо вывести из домена. Операции доступны для всех версий Windows.

Зачем это нужно

Процедуру вывода ПК проводят, чтобы упорядочить домен. Существует несколько причин:

Вывод ПК из домена предотвращает такие ошибки.

Методы вывода ПК

Существует несколько простых способов вывести компьютер из домена:

Хорошо подобранное имя важно и для решения глобальных задач, и для устранения проблем рабочей группы.

Источник

Что такое домен Windows и каковы его преимущества?

Если вы используете компьютер на работе или в школе, он почти наверняка является частью домена Windows. Но что это на самом деле означает? Что делает домен, и каковы преимущества присоединения компьютера к нему?

Давайте посмотрим, что такое домен Windows, как они работают и почему компании используют их.

Что такое домен Windows?

Домен Windows — это, по сути, сеть управляемых компьютеров, используемых в бизнес-среде. По крайней мере, один сервер, называемый контроллер домена, отвечает за другие устройства. Это позволяет сетевым администраторам (обычно ИТ-персоналу) управлять компьютерами в домене с помощью пользователей, настроек и многого другого.

Поскольку домены предназначены не для домашних пользователей, только для Windows версии Professional или Enterprise

могу присоединиться к одному. Вам также потребуется копия Windows Server для контроллера домена, поскольку она включает в себя необходимое программное обеспечение, такое как Active Directory (подробнее об этом позже).

Как вы знаете, если ваш компьютер находится в домене?

Если у вас есть домашний компьютер, очень маловероятно, что вы находитесь в домене. Вы можете создать домен в своей домашней сети, но в этом нет особого смысла. Но если вы используете компьютер, предоставленный вашей работой или школой, он почти наверняка находится в домене.

Чтобы проверить, является ли ваш компьютер частью домена, откройте Панель управления и нажмите система запись. Заглянуть под Имя компьютера раздел. Если вы видите Workgroup вход с РАБОЧАЯ (по умолчанию) или другое имя в списке, ваш компьютер не находится в домене. Точно так же, если вы видите Домен здесь, то ваш компьютер находится в домене.

Эти шаги также позволяют вам найти ваше доменное имя на вашем компьютере.

Домены против рабочих групп

Прежде чем мы обсудим больше о доменах, мы должны кратко упомянуть, как они сравниваются с рабочими группами. Если компьютер не принадлежит домену, он входит в рабочую группу

, Они гораздо более слабые, чем домены, поскольку у них нет центральной власти. У каждого компьютера свои правила.

В современных версиях Windows рабочие группы на самом деле являются формальностью, особенно когда Microsoft отказывается от функции HomeGroup.

, Windows никогда не просит вас настроить один, и они используются только для обмена файлами между устройствами в вашей сети

, Microsoft хочет, чтобы вы использовали OneDrive для этого

в настоящее время, поэтому, если вы не хотите настраивать свою собственную рабочую группу, вам не нужно беспокоиться об этом.

Что такое учетная запись пользователя домена?

В отличие от персонального компьютера, подключенный к домену ПК не использует локальные учетные записи

, Вместо этого контроллер домена управляет логинами. Используя Microsoft Active Directory, программное обеспечение для управления пользователями, сетевые администраторы могут легко создавать новых пользователей и отключать старых. Они также могут добавлять пользователей в определенные группы, чтобы разрешить доступ к частным папкам сервера.

С помощью доменной учетной записи вы можете войти на любой компьютер в домене. Вы начнете с новой учетной записи на этом компьютере, но это позволит вам использовать любой компьютер в вашей компании при необходимости. Благодаря учетным записям домена бывшие сотрудники не могут войти в систему. Если они попытаются войти со своим старым паролем, они увидят сообщение, что им отказано в доступе.

Экран входа в Windows выглядит немного иначе, когда вы используете компьютер, подключенный к домену. Вместо локального имени пользователя вам необходимо убедиться, что вы входите в домен под своим именем пользователя. Таким образом, ваш логин будет выглядеть примерно так MyDomain \ StegnerB01.

Контроль домена и групповая политика в Windows

Самым большим преимуществом доменов является простота управления несколькими компьютерами одновременно. Без домена ИТ-персоналу пришлось бы индивидуально управлять каждым компьютером в компании. Это означает настройку параметров безопасности, установку программного обеспечения и управление учетными записями пользователей вручную. Хотя это может работать для крошечной компании, это не масштабируемый подход, и он быстро станет неуправляемым.

Наряду с управлением пользователями Active Directory присоединение компьютеров к домену позволяет использовать групповую политику. Мы обсудили, как групповая политика полезна на вашем ПК

, но он действительно предназначен для корпоративного использования.

Используя контроллер домена, администраторы могут настраивать все виды безопасности и использовать политики для всех компьютеров. Например, групповая политика упрощает применение всех следующих методов:

Это лишь небольшая часть того, что позволяет групповая политика. Администраторы могут настроить эти изменения один раз и применить их ко всем компьютерам, даже к новым, которые они настроят позже.

Присоединиться или оставить домен в Windows

Как правило, добавление компьютера в домен или его отключение не является вашей работой. ИТ-персонал вашей компании позаботится о том, чтобы присоединиться до того, как вы получите компьютер, и заберет ваш компьютер, когда вы уйдете. Для завершения, однако, мы упомянем, как этот процесс работает здесь.

Возвращайтесь к Панель управления> Система снова. На Имя компьютера, домен и параметры рабочей группы страницу, нажмите Изменить настройки. Вы увидите Свойства системы окно. Нажмите на + Изменить кнопка рядом с Чтобы переименовать этот компьютер или изменить его домен коробка.

Здесь вы увидите окно, позволяющее изменить имя вашего компьютера (это не единственное место, где это можно сделать в Windows 10). Что еще более важно, вы увидите Член поле ниже. Проверить Домен Bubble и введите имя домена, чтобы присоединиться к нему. Windows подтвердит это, поэтому вам нужно иметь домен, чтобы присоединиться к нему.

После перезагрузки ПК ваш компьютер будет находиться в домене. Чтобы покинуть домен, повторите этот процесс, но выберите Workgroup вместо пузыря. Конечно, для этого вам понадобится пароль администратора домена.

Домен Мастера

Мы рассмотрели, что делают домены Windows и как они используются. По сути, домены позволяют администраторам контролировать большое количество бизнес-ПК из центрального местоположения. Локальный пользователь имеет меньший контроль над управляемым доменом ПК, чем персональный. Без доменов управление корпоративными компьютерами было бы кошмаром для ИТ-персонала.

С новыми сотрудниками и компьютерами, постоянно заменяющими отдельных сотрудников и старые машины, хорошо отлаженная система является ключом для бесперебойной работы бизнес-компьютеров. Чтобы обеспечить бесперебойную работу вашего ПК, ознакомьтесь с нашим руководством для начинающих по установке Windows 10.

Кредит изображения: kovaleff / Depositphotos

Источник

Ввод компьютера в домен Windows

Зачастую возникает необходимость ввести Linux-машину в существующий домен Windows. Например, чтобы сделать файловый сервер с помощью Samba. Сделать это очень просто, для этого вам понадобятся клиент Kerberos, Samba и Winbind.

Перед установкой желательно обновиться:

sudo aptitude update
sudo aptitude upgrade

Установить всё это добро можно командой:

sudo aptitude install krb5-user samba winbind

Также может понадобиться установить следующие библиотеки:

sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind

Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic.

Далее вам потребуется настроить все вышеперечисленные инструменты для работы с вашим доменом. Допустим, вы хотите войти в домен DOMAIN.COM, доменконтроллером которого является сервер dc.domain.com с IP адресом 192.168.0.1. Этот же сервер является и первичным DNSсервером домена. Кроме того допустим у вас есть второй доменконтроллер¹⁾, он же DNS — dc2.domain.com с IP 192.168.0.2. Ваш же компьютер будет называться smbsrv01.

Настройка DNS

Для начала необходимо изменить настройки DNS на вашей машине, прописав в качестве DNS сервера доменконтроллер²⁾ и в качестве домена поиска — нужный домен.

Если у вас статический IP-адрес, то в Ubuntu Desktop это можно сделать через Network Manager, в Ubuntu Server необходимо изменить содержимое файла /etc/resolv.conf на примерно такое:

domain domain.com
search domain.com
nameserver 192.168.0.1
nameserver 192.168.0. 2

В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно. Для получение нужного результата нужно добавить необходимые изменения в файл: /etc/resolvconf/resolv.conf.d/head Данные которые будут добавлены в него, будут автоматически вставлены в файл /etc/resolv.conf

Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться «неправильный» resolv.conf’ , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search. Нужно отредактировать /etc/dhcp/dhclient.conf. Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name, и вписать свой домен:

supersede domain-name "domain.com";

Чтобы добавить еще один nameserver нужно убрать комментарий перед prepend domain-name-servers и указать ip сервера:

prepend domain-name-servers 192. 168.0.2;

Для применения изменений остается перезапустить службу:

/etc/init.d/networking restart

Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname:

smbsrv01

Кроме того необходимо отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:

# Имена этого компьютера
127.0.0.1	localhost
127.0.1.1	smbsrv01.domain.com	smbsrv01

Сразу нужно проверить что нормально пингуется наш контроллер домена, по короткому и полному имени, чтобы в будушем не получать ошибки что контроллер домена не найден:

ping dc
ping dc.domain.com

Не обязательно, но если вы что-то поменяете — перезагрузите компьютер для применения изменений.

Настройка синхронизации времени

Далее необходимо настроить синхронизацию времени с доменконтроллером. Если разница будет более 5 минут мы не сможем получить лист от Kerberos. Для единовременной синхронизации можно воспользоваться командой:

sudo net time set dc

Если в сети существует сервер точного времени, то можно воспользоваться им или любым публичным:

ntpdate ntp.mobatime.ru

Автоматическая же синхронизация настраивается с помощью ntpd, это демон будет периодически выполнять синхронизацию. Для начала его необходимо установить:

sudo aptitude install ntp

Теперь исправьте файл /etc/ntp.conf, добавив в него информацию о вашем сервере времени:

# You do need to talk to an NTP server or two (or three).
server dc.domain.com

После чего перезапустите демон ntpd:

sudo /etc/init.d/ntp restart

Теперь пора настраивать непосредственно взаимодействие с доменом.

Настройка авторизации через Kerberos

Начнём с настройки авторизации в домене через протокол Kerberos. Вам потребуется изменить файл /etc/krb5.conf. В общем случае он выглядит так:

[libdefaults]
	default_realm = DOMAIN.COM
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]
	DOMAIN.COM = {
		kdc = dc
		kdc = dc2
		admin_server = dc
		default_domain = DOMAIN.COM
	}

[domain_realm]
	.domain.com = DOMAIN.COM
	domain.com = DOMAIN.COM
[login]
	krb4_convert = false
	krb4_get_tickets = false

Вам, конечно, нужно изменить domain.com на ваш домен и dc и dc2 на ваши доменконтроллеры. Кстати, возможно вам понадобится написать полные имена доменконтроллеров dc. domain.com и dc2.domain.com. Поскольку у меня прописан домен поиска в DNS, то мне это делать не нужно.

Обратите особое внимание на регистр написания имени домена — везде, где домен написан в верхнем регистре, его обязательно нужно писать именно в верхнем регистре. Иначе волшебным образом ничего может не заработать.

Это не все возможные опции настройки Kerberos, только основные. Однако их обычно достаточно.

Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду

kinit [email protected]

Вместо username естественно стоит вписать имя существующего пользователя домена.

Имя домена необходимо писать заглавными буквами!

Если вы не получили никаких ошибок — значит вы настроили всё верно и домен отдаёт вам билет Kerberos. Кстати, некоторые распространённые ошибки перечислены чуть ниже.

Убедиться в том, что билет получен, можно выполнив команду

klist

Удалить все билеты (они вам вообще говоря не нужны) можно командой

kdestroy

Итак, будем считать, что авторизацию вы настроили, пора настроить непосредственно вход в домен, об этом после списка распространённых ошибок kinit.

Распространённые ошибки kinit

kinit(v5): Clock skew too great while getting initial credentials

Это значит, что у вашего компьютера не синхронизировано время с доменконтроллером (см. выше).

kinit(v5): Preauthentication failed while getting initial credentials

Вы ввели неверный пароль.

kinit(v5): KDC reply did not match expectations while getting initial credentials

Самая странная ошибка. Убедитесь, что имя realm в krb5.conf, а так же домен в команде kinit введены большими буквами:

DOMAIN.COM = {
# ...

kinit [email protected]

kinit(v5): Client not found in Kerberos database while getting initial credentials

Указанного пользователя не существует в домене.

Настройка Samba и вход в домен

Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb. conf. На данном этапе вас должны интересовать только некоторые опции из секции [global]. Ниже — пример части файла конфигурации Samba с комментариями по поводу значения важных параметров:

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена 
   workgroup = DOMAIN
   realm = DOMAIN.COM

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные 
   dns proxy = no 
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

После того, как вы отредактируете smb. conf выполните команду

testparm

Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:

# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:

net ads join -U username -D DOMAIN

И в случае успеха вы увидите что-то похожее на:

# net ads join -U username -D DOMAIN
Enter username's password:
Using short domain name -- DOMAIN
Joined 'SMBSRV01' to realm 'domain.com'

Используемые параметры команды net

-U username%password: Обязательный параметр, вместо username необходимо подставить имя пользователя с правами администратора домена, и указать пароль.

-D DOMAIN: DOMAIN — собственно сам домен, домен можно и не указывать, но лучше всё же это всегда делать — хуже не будет.

-S win_domain_controller: win_domain_controller, можно не указывать, но бывают случаи когда автоматически сервер не находит контроллер домена.

createcomputer=«OU/OU/…» : В AD часто используется OU (Organizational Unit), есть в корне домена OU = Office, в нем OU = Cabinet, чтобы сразу добавить в нужный можно указать так: sudo net ads join -U username createcomputer=«Office/Cabinet».

Если больше никаких сообщений нет — значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.

Так же можно набрать команду:

net ads testjoin

Если все хорошо, можно увидеть:

#net ads testjoin
Join is OK

Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие³⁾:

DNS update failed!

Это не очень хорошо, и в этом случае рекомендуется ещё раз прочитать раздел про настройку DNS чуть выше и понять, что же вы сделали не так. После этого нужно удалить компьютер из домена и попытаться ввести его заново. Если вы твердо уверены, что всё настроили верно, а DNS всё равно не обновляется, то можно внести вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать. Конечно, если нет никаких других ошибок, и вы успешно вошли в домен. Однако лучше всё же разберитесь, почему DNS не обновляется автоматически. Это может быть связано не только с вашим компьютером, но и с некорректной настройкой AD.

Прежде чем выяснять, почему же не обновляется DNS, не забудьте перезагрузить компьютер после введения в домен! Вполне возможно, что это решит проблему.

Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Для этого установите smbclient:

sudo aptitude install smbclient

Теперь можно просматривать ресурсы компьютеров домена. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером workstation:

smbclient -k -L workstation

Вы должны увидеть список общих ресурсов на этом компьютере.

Настройка Winbind

Если вам необходимо как-либо работать с пользователями домена, например, настраивать SMB-шары с разграничением доступа, то вам понадобится кроме самой Samba ещё и Winbind — специальный демон, служащий для связи локальной системы управления пользователями и группами Linux с сервером Active Directory. Проще говоря Winbind нужен, если вы хотите видеть пользователей домена на своём компьютере с Ubuntu.

Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.

Для настройки Winbind используется всё тот же файл /etc/samba/smb.conf. Добавьте в секцию [global] следующие строки:

   # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   idmap uid = 10000 - 40000
   idmap gid = 10000 - 40000
   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
   # будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить. 
   winbind use default domain = yes
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
   # Для автоматического обновления билета Kerberos модулем pam_winbind. so нужно добавить строчку
   winbind refresh tickets = yes

Параметры :

idmap uid = 10000 — 40000

idmap gid = 10000 — 40000

в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm будет выдваться предупреждение:

WARNING: The «idmap uid» option is deprecated

WARNING: The «idmap gid» option is deprecated

Чтобы убрать предупреждения нужно заменить эти строки на новые:

idmap config * : range = 10000-20000

idmap config * : backend = tdb

Теперь перезапустите демон Winbind и Samba в следующем порядке:

sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start

Запускаем

sudo testparm

Смотрим есть ли ошибки или предупреждения, если появится:

«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»

Без перезагрузки можно устранить так:

ulimit -n 16384

Для сохранения после перезагрузки отредактировать файл /etc/security/limits. conf

# Добавить в конец файла строки:
*               -    nofile            16384
root            -    nofile            16384

После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой:

# wbinfo -t
checking the trust secret for domain DCN via RPC calls succeeded

А так же, что Winbind увидел пользователей и группы из AD командами⁴⁾:

wbinfo -u
wbinfo -g

Эти две команды должны выдать список пользователей и групп из домена соответственно. Либо с префиксом DOMAIN\, либо без него — в зависимости от того, какое значение вы указали параметру «winbind use default domain» в smb.conf.

Итак, Winbind работает, однако в систему он ещё не интегрирован.

Добавление Winbind в качестве источника пользователей и групп

Для того, чтобы ваша Ubuntu прозрачно работала с пользователями домена, в частности, чтобы вы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.

Для этого измените две строчки в файле /etc/nsswitch.conf:

passwd:         compat
group:          compat

добавив к ним в конец winbind:

passwd:         compat winbind
group:          compat winbind

также рекомендую привести строку files в файле /etc/nsswitch.conf к виду:

files:          dns mdns4_minimal[NotFoud=return] mdns4

ubuntu server 14.04, файл /etc/nsswitch.conf не содержал строку «files: dns mdns4_minimal[NotFoud=return] mdns4» вместо неё было: «hosts: files mdns4_minimal [NOTFOUND=return] dns wins» Которую я преобразовал в: «hosts: dns mdns4_minimal[NotFoud=return] mdns4 files» после чего всё заработало

Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив

getent passwd
getent group

Первая команда должна вам вернуть всё содержимое вашего файла /etc/passwd, то есть ваших локальных пользователей, плюс пользователей домена с ID из заданного вами в smb. conf диапазона. Вторая должна сделать тоже самое для групп.

Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла.

Авторизация в Ubuntu через пользователей домена

Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.

Он-лайн авторизация

Для Ubuntu 10.04 и выше добавьте всего одну строку в файле /etc/pam.d/common-session, т.к. PAM и так неплохо справляется с авторизацией:

session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

Для Ubuntu 13.10 чтобы появилось поле ручного ввода логина необходимо в любой файл из папки /etc/lightdm/lightdm. conf/ снизу добавить строку:

greeter-show-manual-login=true

Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 — он тоже работает):

Последовательность строк в файлах имеет значение!

/etc/pam.d/common-auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

/etc/pam.d/common-account

account     sufficient    pam_winbind.so
account     required      pam_unix.so

/etc/pam.d/common-session

session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ck_connector.so nox11
session     required      pam_limits. so
session     required      pam_env.so
session     required      pam_unix.so

/etc/pam.d/common-password

password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so

И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:

sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"

Что эквивалентно запуску для каждого уровня (в примере — 4) команды:

mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду «ls /etc/rc{2,3,4,5}.d/ | grep winbind» (без кавычек).

Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.

Офф-лайн авторизация

Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее. Добавьте в секцию [global] файла /etc/samba/smb.conf следующие строки:

[global]
   # Возможность оффлайн-авторизации при недоступности доменконтроллера
   winbind offline logon = yes
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
   winbind cache time = 300
   # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc, 
   # можно указать и ip, но это является плохим тоном
   password server = dc

Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл /etc/security/pam_winbind.conf со следующим содержанием⁵⁾:

Внимание! При использовании советов ниже может возникать совершенно случайная ошибка «Сбой аутентификации»! Поэтому все что Вы делаете, Вы делаете на свой страх и риск!

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#
[global]
  # turn on debugging
  debug = no
  # request a cached login if possible
  # (needs "winbind offline logon = yes" in smb.conf)
  cached_login = yes
  # authenticate using kerberos
  krb5_auth = yes
  # when using kerberos, request a "FILE" krb5 credential cache type
  # (leave empty to just do krb5 authentication but not have a ticket
  # afterwards)
  krb5_ccache_type = FILE
  # make successful authentication dependend on membership of one SID
  # (can also take a name)
  ;require_membership_of =
  silent = yes

Файл /etc/pam. d/gnome-screensaver в таком случае принимает вид:

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

А также изменяется файл /etc/pam.d/common-auth:

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

3 способа добавить Windows 10 в домен Active Directory

21 февраля 2020 по Admin

Оставьте ответ »

Как я могу присоединить компьютер с Windows 10 Pro к домену? Перед началом работы вам необходимо изменить настройки DNS или добавить новую запись в файл Windows Hosts, чтобы ваш компьютер мог взаимодействовать с контроллером домена. После этого вы можете добавить Windows 10 в домен Active Directory любым из следующих способов. Обратите внимание, что только Windows 10 Pro, Enterprise или Education может присоединиться к домену.

Метод 1. Добавление Windows 10 в домен из свойств системы

Нажмите клавиши Windows + R, чтобы открыть командное окно «Выполнить». Введите sysdm.cpl и нажмите Enter, чтобы запустить Свойства системы.
На вкладке Имя компьютера нажмите кнопку Изменить… .
Выберите Domain , введите доменное имя сервера AD, к которому вы хотите присоединиться, и нажмите OK .
Введите учетные данные пользователя домена и нажмите ОК .
Наконец, перезагрузите компьютер, и вы сможете войти в Windows 10 со своей учетной записью домена.

Метод 2: Добавить Windows 10 в домен из приложения настроек

Нажмите клавишу Windows + I, чтобы открыть приложение «Настройки». Перейдите к Accounts -> Access work or school , а затем щелкните Connect справа.
Во всплывающем окне нажмите на опцию « Присоединить это устройство к локальному домену Active Directory ».
Введите имя домена Active Directory и щелкните Далее .
Введите имя пользователя и пароль для своей учетной записи домена и нажмите ОК .
Выберите тип своей учетной записи, чтобы продолжить. Вам потребуется перезагрузка, чтобы завершить процесс присоединения Windows 10 к домену Active Directory.

Метод 3. Добавление Windows 10 в домен с помощью PowerShell

Откройте PowerShell с правами администратора и введите следующую команду:
Add-Computer -DomainName "Domain Name" -Credential "Domain Username"
После нажатия Enter вам будет предложено ввести пароль пользователя домена.
Предупреждение будет отображаться желтым цветом, как показано ниже. Вам нужно перезагрузиться, чтобы завершить задачу.

Вот и все!

Как подключить компьютер с Windows 10 к домену

Мы являемся участником программы Amazon Services LLC Associates, партнерской рекламной программы, разработанной для того, чтобы мы могли получать вознаграждение за счет ссылок на Amazon.com и связанные с ней сайты.

Итак, вы хотите узнать, как присоединить свой ПК с Windows 10 к домену?

Отлично! Значит, вы попали в нужное место.

Во-первых, давайте начнем с определения.

Что такое домен?

Домен — это разновидность сети, которая позволяет вам входить в систему для вашего пользователя с любого компьютера в сети. В сети должен быть хотя бы один компьютер под управлением Windows Server, а остальные — под управлением версий Windows Pro или Enterprise. Это может быть очень полезно во многих случаях:

Небольшой офис без стационарного компьютера для каждого сотрудника.
Даже если у них есть стационарные компьютеры, вы можете наблюдать за их работой и давать разные разрешения каждому из них со своего сервера.
Крупная компания с количеством компьютеров меньше, чем количество сотрудников.
Университеты и школы.

Итак, вы можете просто сесть на любой компьютер, войти в систему со своим именем пользователя и паролем, отправить свою работу и снова выйти из системы.

И теперь все, что вам нужно для присоединения к домену, это:

Доменное имя
Имя пользователя
Пароль
IP сервера (для большей надежности)

Администратор вашего домена несет ответственность за создание пользователя на серверном компьютере и предоставляет вам всю предыдущую информацию.

Начнем с настройки IP-адреса сервера в качестве основного DNS. Подписывайтесь на нас:

Есть все, что вам нужно? Тогда давайте присоединимся к домену.

Как присоединиться к домену?

Откройте Настройки из начального меню.
Выберите Система .
Выберите О на левой панели и щелкните Присоединиться к домену .
Введите доменное имя , полученное от администратора домена, и нажмите Далее .
Введите предоставленное вам имя пользователя и пароль , а затем нажмите Ok .
Выберите тип пользователя: Администратор или Стандартный пользователь (по умолчанию это стандартный пользователь, если вы не знаете, что выбрать, просто оставьте все как есть).
Перезагрузите компьютер сейчас или позже , это зависит от вас, но это не вступит в силу, пока вы не выполните перезагрузку.
Первое, что вы заметите после завершения перезагрузки, это то, что экран блокировки будет выглядеть немного иначе.Введите пароль пользователя домена .
В некоторых случаях вам будет предложено немедленно сменить пароль, это может быть функция, установленная администратором сервера. В противном случае вы можете попросить администратора сервера изменить ваш пароль, когда вам нужно.
Вам нужно будет немного потерпеть и подождать, пока все будет готово, это как если бы вы на новом компьютере, но каждое изменение, которое вы сделаете с этого момента, будет сохранено для этого пользователя домена и доступно с любого другого компьютера на домен, используя ваши учетные данные.
Теперь вы вошли в систему, зайдите в настройки -> Система -> О , вы увидите, что ваш компьютер теперь зарегистрирован в домене.

Как снова войти в учетную запись локального компьютера?

Теперь, если вы хотите получить доступ к исходным локальным файлам и программам, хранящимся на компьютере, вне домена, вот как это можно сделать:

Загрузите компьютер или выйдите на заблокированный экран.
Выберите Другой пользователь в нижнем левом углу.
Введите имя вашей машины, затем обратную косую черту и имя локального пользователя. Введите пароль локальной машины, если он у вас был, и нажмите Enter. Здесь имя моего компьютера было Win10FAQ, а пользователем по умолчанию на нем был Win10FAQ, поэтому в результате получается Win10FAQ \ Win10FAQ . Если ваш рабочий стол-xxxxxx, а ваш пользователь, например, Джо, введите Desktop-xxxxxx \ Joe

Как отключить компьютер от домена?

Войдите в свою локальную учетную запись, используя предыдущие шаги.
Перейдите на свой S ettings -> System -> About и выберите Отключиться от организации .
Выберите Продолжить .
Перезапустите сейчас или позже , но вы не сможете полностью покинуть домен, пока не выполните перезапуск.

Надеюсь, эта статья помогла вам присоединить компьютер с Windows 10 к домену!

Если вы знаете другой способ, поделитесь им с нами в комментариях ниже.

Добавить машину в домен

Открыть тему с навигацией

Примечание: Эти шаги показывают ручной процесс добавления компьютера Windows Server 2008 R2 в домен. Эти шаги включены для демонстрации установки приложения Infinity с нуля в сценарии с двумя и тремя компьютерами.

Убедитесь, что машина подключена к сети контроллера домена.
В меню «Пуск» щелкните «Компьютер»> «Свойства».
Появится системный экран панели управления.
Щелкните Изменить настройки. Появится экран «Свойства системы».
Щелкните Изменить.Появится экран изменения имени компьютера / домена.
В разделе «Член» выберите «Домен» и введите имя домена.
Щелкните ОК. После настройки безопасности появится экран безопасности Windows. Введите учетные данные администратора с правами на добавление машины в домен.
Машина добавлена. Появится приветственное диалоговое окно.
Щелкните ОК. Появится диалоговое окно для перезагрузки машины.
Нажмите ОК и продолжите перезагрузку.

Добавление компьютера в делегированную организационную единицу

Что нужно знать в первую очередь

Перед тем, как присоединить свой первый компьютер к делегированной организационной единице, вам необходимо знать несколько вещей.

Правила именования компьютеров

Эти рекомендации подробно описаны в документе OU Practices, но в компактной форме рекомендации по именованию компьютеров MI следующие:

Вы владеете любым именем внутри вашего распознанного пространства (пространств) имен, и мы настоятельно рекомендуем вам использовать имена в этом пространстве имен
Сначала пришел, первым обслужил для любого имени за пределами распознанного пространства имен.Имена, нарушающие пространство имен, не допускаются.
Вы не можете использовать DNS-суффикс netid.washington.edu, и мы рекомендуем вам продолжать использовать любую зону DNS, которую вы используете в настоящее время. Дополнительные сведения см. В этих часто задаваемых вопросах:
Если вам нужно разрешение имен NetBIOS, используйте WINS кампуса, но иначе не используйте его.
При желании вы можете использовать наш DDNS для своих рабочих станций
Если вам нужны индивидуальные SPN, отправьте запрос, и мы сделаем это

Как добавить учетную запись компьютера без компьютера в домен NETID?

Вы можете столкнуться с этой дилеммой на своем первом компьютере.См. Наши советы в документе «Инструменты и советы администратора подразделения».

Автоматическое создание

Доступен сценарий PowerShell для предварительного создания одного или нескольких новых компьютерных объектов. Он доступен по адресу:
https://itconnect.uw.edu/wp-content/uploads/2016/05/New-UWWIComputer. zip

Дополнительную информацию и инструкции по использованию можно получить в разделе Using New-UWWIComputer.ps1 или во встроенной справочной системе PowerShell.

Создание вручную

Предварительно создайте новую учетную запись компьютера с помощью Active Directory Users & Computers (ADUC) или предпочитаемого вами инструмента создания учетной записи компьютера в желаемом OU в делегированном OU.ПРИМЕЧАНИЕ. По умолчанию только члены u_msinf_ _ouadmins или u_msinf_ _computerjoiners могут создавать учетные записи компьютеров в вашем OU.

При создании учетной записи компьютера используйте имя в пределах резервирования (а) пространства имен вашего компьютера.

Если вы используете ADUC для предварительного создания учетной записи, вы можете указать, каким учетным записям пользователей разрешено подключаться к компьютеру с тем же именем NetBios, что и предварительно созданная учетная запись компьютера. Мы предлагаем вам указать u_msinf_ _computerjoiners, чтобы все участники вашего компьютера могли присоединить компьютер к этой учетной записи компьютера. См. Рисунок ниже для этого элемента управления.

Присоединяйтесь к компьютеру

Как правило, существует многоэтапный процесс присоединения с помощью панели управления → Система → Дополнительные параметры системы → Имя компьютера (или Пуск → Выполнить → sysdm.cpl):

Присоединиться к домену
1. Нажмите кнопку «Изменить» в окне «Свойства системы».
2. Установите переключатель «Домен» и введите «netid.washington.edu» в поле редактирования «Домен», нажмите «ОК».
3. Появляется окно с запросом учетной записи с разрешением на присоединение к домену; введите имя и пароль учетной записи, которая находится в вашей u_msinf_delou_ _computermanagers group
4. Нажмите ОК в окне «Добро пожаловать в домен»; проигнорируйте ошибку «Изменение первичного DNS», если она возникает, и нажмите «ОК»
5. Нажмите ОК в окне «Вы должны перезагрузить».
6. Нажмите Закрыть в окне свойств системы и перезагрузите
Изменить DNS-суффикс компьютера
1. После перезагрузки снова откройте Свойства системы и нажмите кнопку Изменить
2. Нажмите кнопку «Еще»
3. Снимите флажок «Изменить основной DNS-суффикс при изменении членства в домене»
4. Измените первичный DNS-суффикс на значение НЕ netid. Washington.edu (например, clients.uw.edu), нажмите ОК, ОК
5. Reboot — Это важно!
Для полного применения групповых политик может потребоваться еще одна перезагрузка.

Для шага № 1 используйте панель управления системой или любой другой жизнеспособный метод (например, автоматизированные методы) для присоединения компьютера к домену NETID. После перезагрузки ваш компьютер распознает, что он находится в вашей делегированной OU, и применит любую применимую групповую политику. Имейте в виду, что для вступления в силу некоторых параметров групповой политики компьютеров требуется более одной перезагрузки.Однако подход к предварительному созданию учетной записи компьютера в подразделении, в котором должен находиться компьютер, должен привести к тому, что соответствующая групповая политика будет применена раньше, чем традиционный метод присоединения с последующим перемещением учетной записи компьютера в целевое подразделение.

Шаги № 2 см. На странице https://itconnect.uw.edu/wares/msinf/other-help/faq/ou-guidance/#dnsSuffixConfig.

ПРИМЕЧАНИЕ. Если вы не предоставили u_msinf_ _computermanagers в соответствии с нашей рекомендацией выше, только учетная запись, которая создала учетную запись компьютера, сможет выполнить шаг №1c.

Если вы не создали учетную запись компьютера заранее, после присоединения к домену вы попадете под действие настроек групповой политики подразделения Unclaimed Computers OU, что вам не нравится.

ПРИМЕЧАНИЕ. В Windows 7 есть ошибка, из-за которой попытка присоединиться к домену и изменить суффикс DNS за одну операцию может привести к поломке компьютера (сбой входа пользователя домена с ошибкой «отношения доверия к домену»). Для получения дополнительной информации см. Http://support.microsoft.com/kb/2659158. Он присоединится к домену, но суффикс DNS не будет обновлен в объекте компьютера домена и / или имена участников-служб не будут содержать правильный суффикс DNS. Вот почему мы рекомендуем делать это в два этапа. Похоже, что эта ошибка была исправлена в Windows 8.

Последний раз отзыв 7 октября 2020 г.

Разрешить пользователю домена добавлять компьютер в домен

Разрешить пользователю домена добавлять компьютер в домен В этом посте вы увидите, как разрешить пользователю домена добавлять компьютер в домен. Это в основном позволяет пользователю присоединять рабочие станции к домену. Вы могли бы сказать, что пользователь домена может присоединить компьютеры к домену, так что же не так? Хорошо, вот правильная информация, по умолчанию любой аутентифицированный пользователь имеет это право и может создать до 10 учетных записей компьютеров в домене.Если пользователь пытается добавить 11-й компьютер в домен, он получает ошибку.

Согласно Microsoft, пользователи с разрешением Create Computer Objects в контейнере компьютеров Active Directory также могут создавать учетные записи компьютеров в домене. Разница в том, что пользователи с разрешениями на контейнер не ограничены созданием только 10 учетных записей компьютеров. Кроме того, учетные записи компьютеров, созданные с помощью Добавить рабочие станции в домен , имеют администраторов домена в качестве владельца учетной записи компьютера, в то время как учетные записи компьютеров, созданные с помощью разрешений в контейнере компьютеров, имеют создателя в качестве владельца. учетной записи компьютера.Если у пользователя есть разрешения для контейнера, а также право пользователя «Добавить рабочие станции в домен», компьютер добавляется на основе разрешений контейнера компьютера, а не на основании прав пользователя.

Разрешить пользователю домена добавлять компьютер в домен

Существует 2 способа разрешить пользователю домена добавлять компьютер в домен или присоединяться к нему.

1) Назначьте права пользователю / группе с помощью политики группы домена по умолчанию.

2) Делегируйте права пользователю, используя Active Directory — пользователи и компьютеры.

Метод 1. Назначьте права пользователю / группе с помощью групповой политики домена по умолчанию

Чтобы разрешить пользователю или группе добавить компьютер в домен, вы можете выполнить следующие шаги.

Войдите в контроллер домена и запустите консоль Group Policy Management . Щелкните правой кнопкой мыши групповую политику домена по умолчанию и выберите Изменить .

Перейдите через Computer Configuration > Settings Windows > Security Settings > Local Policies > User Rights Assignment .Разверните Назначение прав пользователя . С правой стороны дважды щелкните Добавить рабочие станции в политику домена .

Установите флажок Определите эти параметры политики . Щелкните Добавить пользователя или группу и выберите пользователя или группу. Нажмите Применить и ОК .

Метод 2 — Делегирование прав пользователю / группе с помощью пользователей и компьютеров Active Directory

Откройте оснастку «Пользователи и компьютеры Active Directory ».Щелкните правой кнопкой мыши контейнер, в который вы хотите добавить компьютеры (в этом примере я выбираю контейнер «Компьютеры»), и щелкните Delegate Control .

Теперь вы увидите Мастер делегирования управления . Щелкните Далее .

Чтобы добавить пользователя или группу, щелкните Добавить . Когда вы закончите, нажмите Next .

Задачи для делегирования — Щелкните Создайте настраиваемую задачу для делегирования .Щелкните Далее .

Выберите Только следующие объекты в папке и установите флажок Компьютерные объекты . Установите флажок Создавать выбранные объекты в этой папке . Щелкните Далее .

Разрешения — выберите Общие, выберите Создать все дочерние объекты. Щелкните Далее .

Нажмите Готово .

Active Directory: присоединение компьютера к домену из командной строки

Введение

Присоединение компьютера к домену Active Directory может быть выполнено с помощью графического интерфейса пользователя или командной строки и PowerShell.

В этом руководстве я объясню, как присоединить компьютер к домену с помощью различных командных строк:

NETDOM
DJOIN для автономного присоединения
Add-Computer в PowerShell

Это также можно сделать это с помощью графического интерфейса.

Предварительные требования

Перед присоединением компьютера к домену Active Directory необходимо убедиться, что он может взаимодействовать с контроллером, что подразумевает правильную конфигурацию IP (DNS-сервер указывает на контроллер). Чтобы присоединиться, вы также должны быть локальным администратором сообщения и иметь учетную запись в домене, авторизованную для присоединения компьютеров.

Соединение с NETDOM

Команды NETDOM — это набор команд, которые позволяют управлять Active Directoy, они изначально присутствуют в серверных версиях Windows.

Команда должна быть выполнена на добавочном номере, который нужно присоединить к домену.

Синтаксис:

 netdom join <имя-компьютера> / domain:  / ud:  / pd: <* | password-account-ud>

имя-компьютера : имя компьютера для присоединения к домену
/ домен : доменное имя Active Directory
/ ud : учетная запись домена, авторизованная для подключения компьютера
/ pd : * Ввод пароля или ввод пароля в открытом виде.
/ OU : можно указать перезагрузку OU
/ : перезапуск станции после соединения

Пример: Присоединение домена SRVCORE2 к домену lab. intra

 netdom join SRVCORE2 / domain: lab. intra / ud: LAB \ administrateur / pd: *

DJOIN: offline junction

Команда djoin позволяет подключиться к компьютеру в автономном режиме, это соединение выполняется в два этапа:

Предоставление публикации в Active Directory с помощью генерация файла метаданных.
Присоединяем комп к домену с файлом.

Вот несколько примеров использования:

Развертывание компьютерной станции внешним поставщиком, чтобы избежать предоставления учетной записи Active Directory.
Ограничьте количество людей, которым разрешено присоединять компьютеры к домену.
Развертывание нано-сервера.

Предоставление учетной записи компьютера, команды для запуска на контроллере домена или от члена домена (минимум WIndows 7) с учетной записью администратора домена:

 djoin / provision / domain  / machine  / savefile

домен : доменное имя Active Directory
компьютер : имя учетной записи компьютера
savefile : расположение и имя файла, содержащего метаданные.

Пример:

 djoin / provision / domain LAB / machine NanoSrv / savefile C: \ SrvNanoJoin

Убедитесь, что учетная запись компьютера и файл присутствуют.

В расширении домена скопируйте файл и введите следующую команду, чтобы присоединиться к расширению:

 djoin / Requestodj / loadfile  / windowspath  / localos

Requestodj : переход в автономный режим домен при следующей перезагрузке
loadfile : файл, содержащий метаданные
windowspath : папка установки Windows, необходимо использовать следующие переменные в команде% systemroot% или% windir%
localos : нацелить на локальную операционную систему

Пример:

 djoin / Requestodj / localfile C: \ SrvNanoJoin / windowspath C: \ Windows / localos

При следующей перезагрузке компьютер будет присоединен к домену.

Соединение с PowerShell

На компьютере для присоединения к домену откройте командную строку PowerShell и введите следующую команду:

 Add-Computer -DomainName  lan> -Credential

Имя домена : домен Active Directory
Учетные данные : Учетная запись пользователя с правами на присоединение компьютера к домену

При подтверждении заказа введите пароль учетной записи, после проверки команды перезагрузите компьютер для принятия во внимание. учетная запись.

Пример:

 Добавить компьютер -DomainName lab.intra -Credential [электронная почта защищена]

Ссылки:

Присоедините компьютер к домену с помощью PowerShell

В этом руководстве вы узнаете, как присоединить компьютер к домену с помощью PowerShell.

Я предоставлю пошаговые инструкции по добавлению одного компьютера и нескольких компьютеров в домен.

Кроме того, я покажу вам, как переместить компьютер в OU после того, как он будет добавлен в домен.

Приступим.

Присоединение одного компьютера к домену с помощью Powershell

Важный совет: Вам может потребоваться запустить PowerShell от имени администратора, чтобы избежать ошибок отказа в доступе. Для этого просто щелкните правой кнопкой мыши значок PowerShell и выберите «Запуск от имени администратора».

Откройте Powershell и выполните следующую команду. Измените YourDomainName на свое доменное имя Active Directory.

 add-computer –domainname "YourDomainName" -restart

Пример изображения, показанного ниже, для объявления моего домена.activedirectorypro.com

Вам будет предложено ввести свои учетные данные. Это должна быть учетная запись администратора домена или пользователь, которому были делегированы права для присоединения компьютеров к домену.

Компьютер должен автоматически перезагрузиться и присоединиться к домену.

Совет: Запустите help add-computer, чтобы увидеть все параметры командной строки (синтаксис)

Присоединение нескольких компьютеров к домену из текстового файла

Чтобы присоединить несколько компьютеров к домену, вам просто нужно создать текстовый файл и добавить в него имена компьютеров.

В этом примере я создал текстовый файл с именем computers.txt и добавил к нему ПК2 и ПК3.

Я сохранил текстовый файл в папку c: \ it \ computers.txt

Установив текстовый файл, я выполню следующие команды:

 $ компьютеров = Get-Content -Path c: \ it \ computers.txt
Add-Computer -ComputerName $ computers -Домен "YourDomainName" -Restart

Пример изображения ниже, запущенного в моем домене ad.activedirectorypro.com

Первая строка устанавливает переменную ($ computers), в которой хранятся значения текстового файла.Вторая строка похожа на предыдущие примеры, теперь я просто добавил -ComputerName и переменную $ computers.

Эта команда пройдет через все компьютеры, перечисленные в текстовом файле, и присоединит их к домену.

Довольно круто, правда? Это заметно ускорит процесс присоединения нескольких компьютеров к домену.

Присоедините компьютер к домену и укажите путь к подразделению с помощью PowerShell

Когда вы присоединяете компьютер к домену, он по умолчанию переходит в папку компьютеров. Лучше всего переместить компьютеры из папки по умолчанию в другое подразделение.

К счастью, мы можем автоматизировать это с помощью PowerShell, когда мы присоединяем компьютеры к домену.

Выполните эту команду, чтобы присоединить компьютер к домену и указать путь к подразделению.

 Add-Computer -DomainName "Domain02" -OUPath "OU = testOU, DC = domain, DC = Domain, DC = com"

В следующем примере я добавлю компьютеры в домен, который принадлежит отделу продаж. У меня есть настройка подразделения под названием продажи, поэтому я хочу, чтобы компьютеры автоматически перемещались в это подразделение.

Для команды PowerShell требуется отличительное имя подразделения. Самый простой способ получить это — перейти к OU в Active Directory Users and Computers и открыть свойства OU. Затем щелкните Редактор атрибутов и скопируйте значение различающегося имени.

Теперь добавьте этот путь к команде, ниже — команда для моего домена. Это добавит компьютер в подразделение продаж в моей Active Directory.

 Add-Computer -DomainName "ad.activedirectorypro.com "-OUPath" OU = Sales, OU = ADPRO Computers, DC = ad, DC = activedirectorypro, DC = com "

Я только что рассмотрел три примера использования PowerShell для присоединения компьютеров к домену. Теперь вы можете забыть о входе в каждый компьютер и добавлении их в домен вручную. С помощью PowerShell вы можете быстро добавить один или несколько компьютеров за раз.

Попробуйте эти команды и дайте мне знать, как они работают, оставив комментарий ниже.

Связано: Огромный список команд PowerShell для Active Directory

Рекомендуемый инструмент: SolarWinds Server & Application Monitor

Эта утилита была разработана для мониторинга Active Directory и других важных служб, таких как DNS и DHCP.Он быстро обнаруживает проблемы с контроллером домена, предотвращает сбои репликации, отслеживает неудачные попытки входа в систему и многое другое.

Июнь 2025
Пн	Вт	Ср	Чт	Пт	Сб	Вс
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30