Как ввести windows 7 в домен: Как ввести компьютер в домен? На примере компьютера под управлением Windows 7

Вводим в домен с Powershell Add-Computer

Команда Powershell Add-Computer позволяет ввести компьютер в домен. Командлет так же позволяет ввести в домен компьютер под новым именем или в определенный OU. 

Если мы выполним следующий командлет, то у нас появится запрос на ввод учетных данных так как для ввода в домен нужна будет доменная учетная запись:

Add-Computer -DomainName domain.local

Если у вас этого не получается, то проблема, скорее всего в DNS. Вы можете проверить доступность хоста пингом и настроить IP в Powershell.

После ввода выполняем перезагрузку:

Restart-Computer -Force

Есть два ключа, которые присутствуют как и в этом, так и во множестве других командлетов. Это:

• ComputerName — позволяет выполнять команды удаленно используя IP или имя
• Credential — позволяет выполнять команды передавая другие учетные данные
• LocalCredential — учетные данные локального администратора

Если мы запустили консоль Powershell под обычным пользователем, то нам понадобится две учетные записи — локального администратора и пользователя AD:

# Локальный администратор
$LocalCredential = Get-Credential
# Доменный администратор
$DomainCredential = Get-Credential
# Выполнение команды с правами администратора
Add-Computer -DomainName 'fixmypc.ru' -LocalCredential $LocalCredential -Credential $DomainCredential 

С ключом ComputerName мы можем ввести в домен сразу несколько объектов. Один из минусов в том, что мы будем использовать проверку NTLM, что потребует дополнительных настроек и снизит безопасность. 

# Учетные данные
$LocalCred = Get-Credential
$DomainCred = Get-Credential
# Адреса или имена одного, или множества хостов
$computers = '192.168.3.134','192.168.3.135','192.168.3.136'
Add-Computer -DomainName 'fixmypc.ru' -ComputerName $computers -LocalCredential $LocalCred -Force -Credential $DomainCred

У нас могут появиться ошибки:

• add-computer не удается установить подключение wmi к компьютеру
• Add-Computer : Cannot establish the WMI connection to the computer

Я решил эту проблему открытием порта 5985 и открытием доступа по WMI и следующим командлетом:

Enable-PSRemoting

Хоть Microsoft и пишет, что ключ ComputerName не использует службу PSRemoting, может потребоваться сделать следующее:

Set-Item wsman:\localhost\Client\TrustedHosts -value *

Если вы не понимаете смысл строки выше, то стоит почитать статью о том как выполнять удаленные команды в Powershell.

Ключ -Force позволяет не запрашивать подтверждение для каждого хоста если вы выполняете команду сразу для множества.

Мы можем изменить имя хоста сразу при вводе в домен. Для этого нужно добавить ключ:

Add-Computer -NewName 'Client1' -DomainName 'fixmypc.ru'

Ввод компьютера в определенную OU домена в Powershell

Для указания OU нужно понимать пути LDAP. На примере моего домена domain.local и OU Moscow путь будет выглядеть так:

$ldap_path = 'OU=Moscow,DC=domain,DC=local'

По умолчанию компьютер добавляется в контейнер (CN) Computers. 

На примерах выше так мы добавим хост сразу в OU:

Add-Computer -DomainName 'domain.local' -OUPath $ldap_path -Restart

Ключ Restart отправит хост в перезагрузку.

Добавление множества компьютеров в домен из CSV с помощью Powershell

Допустим у нас есть такой CSV файл с IP и новыми именами компьютеров:

Для импорта этого файла нужно определиться с символом, который разделяет значения. В моем случае делиметр ;

# Импортируем таблицу с IP и именами компьютеров
$csv_data = Import-CSV -Path 'C:\ad_comp.csv' -Delimiter ';'
# Указываем учетные данные
$local_cred = Get-Credential
$domain_cred = Get-Credential
# Подключаем компьютеры в домен
$csv_data | % {Add-Computer -ComputerName $_.IP -NewName $_.NewName -DomainName 'fixmypc.ru' -Credential $domain_cred -LocalCredential $local_cred -Force -Restart}

…

Теги:

#powershell

#ad

Как добавить компьютер в домен windows 2008 R2 / как ввести компьютер в домен Windows

Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочется рассказать как добавить компьютер в домен windows server 2008 R2. Что такое домен можно почитать в статье Введение в основные понятия Active Directory.  Для того чтобы добавить компьютер в domain active directory, существует несколько способов.

Как ввести компьютер в домен

И так методов ввести компьютер в домен несколько, один через GUI интерфейс, а вот второй для любителей команд, но тот и другой имеют свои сценарии применения. Напомню, что для того чтобы добавить компьютер в AD, у вас должны быть учетные данные пользователя, либо администратора домена. Рядовой пользователь по умолчанию может вносить до 10 компьютеров в AD, но при желании это можно обойти, увеличив цифру, либо можно делегировать нужные права для учетной записи.

1. Через графический интерфейс

Перейдите в свойства Моего компьютера, для этого щелкните правым кликом и выберите из контекстного меню Свойства. Либо нажать сочетание клавиш Win+Pause Break, что тоже откроет окно свойств системы.

как ввести компьютер в домен Windows

Нажимаем Изменить параметры

Как добавить компьютер в домен windows 2008 R2

На вкладке Имя компьютера жмем кнопку Изменить

Как добавить компьютер в домен windows 2008 R2

Задаем имя компьютера максимум 16 символов, лучше сразу задавать понятное для вас имя, соответствующее вашим стандартам.

Как добавить компьютер в домен windows 2008 R2

И пишем название домена, жмем ОК

указываем суффикс домена

Вводим учетные данные имеющие право на ввод сервера в домен, по умолчанию каждый пользователь может ввести до 10 раз в domain, если конечно вы этого не запретили.

Вводим учетные данные

Видим что все ок и мы добавили ваш ПК в домен Windows.

успешное добавление в domain active directory

Не забывайте, что как только вы ввели сервер в AD ему так же нужно сразу произвести настройка статического ip адреса и только потом перезагружаемся

Перезагрузка сервера

После перезагрузки видим, что все хорошо и мы являемся членами домена и вам удалось ввести пк в домен.

2. Утилита Netdom

Открываем (командную строку) cmd. Ранее я описывал как открыть командную строку Windows. Удобство этого метода, в том, что можно сделать в виде скрипта и передать его например для удаленного пользователя, у которого не хватает знаний как это сделать.

Netdom join %competername% /domain:contoso.com /userd:contosoadmin1 /passwordd:* — %competername% имя компа можно оставить так — /domain пишем домен — /userd логин — passwordd:* означает что будет предложено ввести пароль

Думаю было не сложно и вы сами выберете себе метод, подходящий именно вам. Полезно знать оба так как правильнее сервера делать все же в режиме core, для максимальной безопасности.

3. Через Offline файл и утилиту djoin.exe

Представим себе ситуацию, что у вас на компьютере, который требуется ввести с домен Active Directory, нет связи с контроллером, а сделать то нужно, ну вот не настроил еще сетевой инженер vpn канал между офисами, у Microsoft на этот момент есть сценарий Offline domain join или как его еще принято называть автономный ввод в домен. Offline domain join появился с приходом Windows 7 и Windows Server 2008 R2. И так как же выглядит добавление компьютера в домен AD.

Вот для наглядности, есть главный офис и удаленный филиал, их нужно связать вместе, разворачивать отдельный под домен, в филиале смысла нет, так как там всего допустим 3 сотрудника, а по стандартам компании они должны быть частью домена Active Directory.

Этапы Offline domain join

• В самом начале вам необходим любой компьютер имеющий связь с контроллером домена, на нем мы будем создавать специальный файл, он называется blob (большой двоичный объект), через выполнение в командной строке команды djoin /provision, которая создаст в базе Active Directory, учетную запись компьютера
• Второй этап это передать данный файл, через почту или интернет, и на стороне клиента, которого нужно ввести в домен выполнить команду с применением полученного файла.

Параметры утилиты djoin.exe

• /PROVISION — подготавливает учетную запись компьютера в домене.
• /DOMAIN <имя> — <имя> домена, к которому необходимо присоединиться.
• /MACHINE <имя> — <имя> компьютера, присоединяемого к домену.
• /MACHINEOU <OU> — необязательный параметр, определяющий подразделение
  <OU>, в котором создается учетная запись.
• /DCNAME <DC> — необязательный параметр, определяющий целевой контроллер домена <DC>, на котором будет создана учетная запись.
• /REUSE — повторно использовать существующую учетную запись (пароль будет сброшен).
• /SAVEFILE <путь_к_файлу> — сохранить данные подготовки в файл, расположенный по указанному пути.
• /NOSEARCH — пропустить обнаружение конфликтов учетных записей; требуется DCNAME (более высокая производительность).
• /DOWNLEVEL — обеспечивает поддержку контроллера домена Windows Server 2008 или более ранней версии.
• /PRINTBLOB — возвращает большой двоичный объект метаданных в кодировке base64 для файла ответов.
• /DEFPWD — использовать пароль учетной записи компьютера по умолчанию (не рекомендуется).
• /ROOTCACERTS — необязательный параметр, включить корневые сертификаты центра сертификации.
• /CERTTEMPLATE <имя> — необязательный параметр, <имя> шаблона сертификата компьютера. Включает корневые сертификаты центра сертификации.
• /POLICYNAMES <имена> — необязательный параметр, список имен политик, разделенных точкой с запятой. Каждое имя является отображаемым именем объекта групповой политики в AD.
• /POLICYPATHS <пути> — необязательный параметр, список путей к политикам, разделенных точкой с запятой. Каждый путь указывает на расположение файла политик реестра.
• /NETBIOS <имя> — необязательный параметр, Netbios-имя компьютера, присоединяемого к домену.
• /PSITE <имя> — необязательный параметр, <имя> постоянного сайта, в который нужно поместить компьютер, присоединяемый к домену.
• /DSITE <имя> — необязательный параметр, <имя> динамического сайта, в который первоначально помещается компьютер, присоединяемый к домену.
• /PRIMARYDNS <имя> — необязательный параметр, основной DNS-домен компьютера, присоединяемого к домену.
• /REQUESTODJ — требует автономного присоединения к домену при следующей загрузке.
• /LOADFILE <путь_к_файлу> — <путь_к_файлу>, указанный ранее с помощью параметра /SAVEFILE.
• /WINDOWSPATH <путь> — <путь> к каталогу с автономным образом Windows.
• /LOCALOS — позволяет указывать в параметре /WINDOWSPATH локальную операционную систему.

В тестовой среде мы создадим компьютер WKS1, его мы и будем добавлять в домен Active Directory. WKS1 будет находится в подразделении Offline_Join, blob файл у нас будет называться wks1.txt

djoin /provision /domain Contoso.com /machine WKS1 /machineOU «OU=Offline_Join,DC=Contoso,DC=com» /savefile c:\test\wks1.txt

В итоге у меня добавилась компьютерная учетная запись WKS1

Если вы вдруг решите, что в blob файле вы сможете отыскать полезную информацию, то вы заблуждаетесь, она зашифрована и не читабельна для человека.

Теперь нам необходимо переправить эти пару килобайт на удаленный компьютер, где и будет производится автономный ввод в домен. Копируете blob допустим в корень диска C:\, открываете командную строку и вводите команду

djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos

После выполнения команды, будут добавлены метаданные учетной записи компьютера из blob файла в директорию Windows.

С виртуальными машинами djoin работает, так же на ура, ей разницы нет, есть ключ /windowspath указывает на расположение VHD-файла с установленной системой.

4. добавить в домен через Powershell

Открываем Powershell от имени администратора и вводим вот такую команду

Add-Computer -DomainName имя вашего домена

Указываете имя вашего домена, у вас вылезет форма ввода логина и пароля

если все ок, то вы увидите желтую надпись, о том что будет перезагрузка.

Как видите методов очень много и каждый сможет использовать свой и под свои задачи, я думаю вопрос как присоединить компьютер к домену ad, можно закрывать.

Материал сайта Pyatilistnik.org

Предоставление разрешений на подключение к домену | Windows IT Pro/RE

Принцип предоставления минимальных прав в применении к Active Directory (AD) означает, что пользователям следует назначать только те разрешения, которые необходимы для выполнения их профессиональных обязанностей. Чем крупнее компания, тем больше вероятность, что разрешения AD даются различным группам. Типичный пример — предоставление разрешений группе службы поддержки для сброса паролей и разблокирования учетных записей пользователей. Дополнительные сведения о делегировании AD можно найти в тематическом разделе Delegating administra­tion («Делегирование админи­стри­рования») документации по продукту по адресу: https://technet.microsoft.com/en-us/library/cc778807.aspx.

Принцип предоставления минимальных прав также применяется для управления учетными записями компьютеров. По умолчанию пользователи домена могут создать и присоединить к домену до 10 компьютеров. Это значение в домене можно изменить с помощью атрибута ms-DS-MachineAccountQuota, как отмечается в статье базы знаний Microsoft Default limit to number of workstations a user can join to the domain (https://support.microsoft.com/en-us/kb/243327). Многие администраторы доменов устанавливают значение этого параметра равным нулю, чтобы обеспечить соответствие процессам и стандартам компании (например, запретить пользователям назначать компьютерам произвольные имена). В результате во многих компаниях требуется делегировать права для присоединения компьютеров к домену.

Предоставление разрешения на присоединение компьютеров к домену

Вы можете назначить разрешения на присоединение компьютера при создании учетной записи компьютера, нажав кнопку Change («Изменить») в обычном графическом интерфейсе Microsoft (см. метку 1 на экранах 1 и 2).

С помощью кнопки Change в средствах ADUC и ADAC графического интерфейса вы предоставляете набор разрешений на объект-компьютер. Далее я покажу, каким образом можно назначить разрешения вручную, а затем мы рассмотрим сценарий PowerShell для автоматизации процесса.

Предоставление разрешения на присоединение вручную с помощью графического интерфейса

Ниже последовательно описан процесс предоставления разрешений на присоединение учетной записи компьютера с консоли ADUC вручную.

1. В меню View («Вид») выберите режим Advanced Features («Дополнительные параметры»). В противном случае вкладка Security («Безопасность») для объектов AD не будет видна.
2. Дважды щелкните объект-компьютер, чтобы увидеть его свойства, а затем выберите вкладку Security.
3. Нажмите кнопку Add («Добавить»), выберите пользователя или группу, которые смогут присоединить компьютер, а затем установите в столбце Allow («Разрешить») флажки Reset password («Сбросить пароль»), Validated write to DNS host name («Удостоверенная запись на узел с DNS-именем»), Validated write to service principal name («Удостоверенная запись на узел с именем участника службы») и Write account restrictions («Ограничения учетной записи для записи»), как показано на экране 3. Нажмите кнопку Apply («Применить»).

Ручное назначение разрешений на присоединение компьютера с помощью кнопки Change или вкладки Security — медленный процесс с высокой вероятностью ошибок. Поэтому давайте посмотрим, как можно его автоматизировать с помощью сценария PowerShell.

Сценарий Grant-ComputerJoinPermission.ps1

Я подготовил сценарий Grant-ComputerJoinPermission.ps1 (см. листинг), чтобы предоставить четыре необходимых разрешения (см. экран 3) для одной или нескольких учетных записей компьютеров. Синтаксис сценария следующий:

Grant-ComputerJoinPermission
  [-Identity] identity [-Name]
  computername [-Domain domain]
  [-Credential credential] [-WhatIf] [-Confirm]

Параметр -Identity указывает, кто сможет присоединять компьютеры к домену. Вы можете ввести этот параметр в формате username (например, kendyer), domain\username (например, fabrikam\kendyer) или username@domain (например, [email protected]). Имя параметра (-Identity) вводить не обязательно, если вы указываете его первым в командной строке. Этот параметр не поддерживает подстановочные знаки.

Параметр -Name задает имена одной или нескольких учетных записей компьютеров. Имя параметра (-Name) можно опустить, если разместить имена учетных записей компьютеров на второй позиции в командной строке сценария. Этот параметр принимает входные данные конвейера, поэтому имя параметра тоже следует опустить, если имена компьютеров передаются в сценарий через конвейер. Данный параметр не поддерживает подстановочные знаки.

Параметр -Domain указывает имя домена, в котором размещаются учетные записи компьютеров (например, fabrikam или fabrikam.com).

Параметр -Credential указывает учетные данные, имеющие право назначать разрешения учетным записям компьютеров. Вы можете использовать этот параметр, если выполнили вход с учетной записью, не имеющей достаточных прав для предоставления разрешений учетным записям компьютеров.

Поведение параметров -WhatIf и -Confirm — такое же, как у команд PowerShell: -WhatIf указывает, какие действия выполняет сценарий, в то время как эти действия не совершаются, а -Confirm запрашивает подтверждение перед выполнением любого действия.

Примеры команд

1. Предоставить учетной записи kendyer разрешение для присоединения компьютера pc1 к домену:

Grant-ComputerJoinPermission kendyer pc1

2. Предоставить учетной записи kendyer разрешение для присоединения списка компьютеров к домену:

Get-Content Computers.txt |
  Grant-ComputerJoinPermission
  kendyer -Verbose

В этом примере файл Computers.txt содержит список имен компьютеров (по одному на строку). PowerShell покажет вносимые изменения из-за параметра -Verbose.

3. Предоставить учетной записи kendyer разрешение для присоединения компьютера pc1 к домену с использованием альтернативных учетных данных:

Grant-ComputerJoinPermission
  kendyer pc1-Credential (Get-Credential)

В этом примере команда Get-Credential запрашивает учетные данные, и PowerShell использует учетные данные, введенные в параметре -Credential (скобки вокруг Get-Credential обязательны).

4. Создать новую учетную запись компьютера и предоставить учетной записи kendyer разрешение для присоединения к домену:

New-ADComputer SALES1-Path
  "OU=Sales, DC=fabrikam, DC=com"
  -PassThru |
Grant-ComputerJoinPermission kendyer

В этом примере команда New-ADComputer создает объект-компьютер и выводит его с использованием параметра -PassThru. Затем объект-компьютер выводится в сценарий Grant-ComputerJoinPermission.ps1, который предоставляет учетной записи kendyer разрешение для присоединения компьютера к домену.

5. Создать список учетных записей компьютеров в подразделении и предоставить учетной записи lynndyer разрешение на их присоединение к домену:

Get-Content Computers.txt |
  ForEach-Object {
New-ADComputer $_ -Path
  "OU=Sales, DC=fabrikam, DC=com"
  -PassThru
} | Grant-ComputerJoinPermission lynndyer

В этом примере файл Computers.txt содержит список имен компьютеров, по одному в строке.

Автоматизация предоставления разрешения на присоединение

Итак, отныне предоставление разрешения на присоединение компьютеров к домену не обязательно медленный и подверженный ошибкам процесс графического интерфейса. Теперь вы можете автоматизировать его в PowerShell с помощью сценария Grant-ComputerJoinPermission.ps1.

Листинг. Сценарий автоматизации предоставления разрешений на подсоединение компьютеров к домену

# Grant-ComputerJoinPermission.ps1
# Written by Bill Stewart ([email protected])
#
# Grants an AD identity the ability to join one or more computers to the
# domain.
#requires -version 2
 Grant-ComputerJoinPermission KenDyer COMPUTER1
Grants the KenDyer account permission to join the computer COMPUTER1 to the domain.
.EXAMPLE
PS C:\> Grant-ComputerJoinPermission KenDyer COMPUTER1 -Credential (Get-Credential)
Grants the KenDyer account permission to join the computer COMPUTER1, but prompts for credentials to allow you to specify an account with sufficient authority to make the AD permission changes.
.EXAMPLE
PS C:\> Get-ADComputer -Filter { Name -like "COMPUTER?" } | Grant-ComputerJoinPermission FredDyer
Grants the FredDyer account permission to join the computers matching the wildcard pattern to the domain. This example shows how to use wildcards even though the -Name parameter doesn't support them.
#>
[CmdletBinding(SupportsShouldProcess=$true)]
param(
  [parameter(Position=0,Mandatory=$true)]
    [Security.Principal.NTAccount] $Identity,
  [parameter(Position=1,Mandatory=$true,ValueFromPipeline=$true,
  ValueFromPipelineByPropertyName=$true)]
  [alias("ComputerName")]
    [String[]] $Name,
    [String] $Domain,
    [String] $Server,
    [Management.Automation.PSCredential] $Credential
)
begin {
  # Validate if identity exists
  try {
    [Void] $identity.Translate([Security.Principal.SecurityIdentifier])
  }
  catch [Security.Principal.IdentityNotMappedException] {
    throw "Unable to identify identity - '$identity'"
  }
  # Create DirectorySearcher object
  $Searcher = [ADSISearcher] ""
  # Initializes DirectorySearcher object
  function Initialize-DirectorySearcher {
    [Void] $Searcher.PropertiesToLoad.Add("distinguishedName")
    if ( $Domain ) {
      if ( $Server ) {
        $path = "LDAP://$Server/$Domain"
      }
      else {
        $path = "LDAP://$Domain"
      }
    }
    else {
      if ( $Server ) {
        $path = "LDAP://$Server"
      }
      else {
        $path = ""
      }
    }
    if ( $Credential ) {
      $networkCredential = $Credential.GetNetworkCredential()
      $dirEntry = New-Object DirectoryServices.DirectoryEntry(
        $path,
        $networkCredential.UserName,
        $networkCredential.Password
      )
    }
    else {
      $dirEntry = [ADSI] $path
    }
    $Searcher.SearchRoot = $dirEntry
    $Searcher.Filter = "(objectClass=domain)"
    try {
      [Void] $Searcher.FindOne()
    }
    catch [Management.Automation.MethodInvocationException] {
      throw $_.Exception.InnerException
    }
  }
  Initialize-DirectorySearcher
  # AD rights GUIDs
  $AD_RIGHTS_GUID_RESET_PASSWORD      = "00299570-246D-11D0-A768-00AA006E0529"
  $AD_RIGHTS_GUID_VALIDATED_WRITE_DNS = "72E39547-7B18-11D1-ADEF-00C04FD8D5CD"
  $AD_RIGHTS_GUID_VALIDATED_WRITE_SPN = "F3A64788-5306-11D1-A9C5-0000F80367C1"
  $AD_RIGHTS_GUID_ACCT_RESTRICTIONS   = "4C164200-20C0-11D0-A768-00AA006E0529"
  # Searches for a computer object; if found, returns its DirectoryEntry
  function Get-ComputerDirectoryEntry {
    param(
      [String] $name
    )
    $Searcher.Filter = "(&(objectClass=computer)(name=$name))"
    try {
      $searchResult = $Searcher.FindOne()
      if ( $searchResult ) {
        $searchResult.GetDirectoryEntry()
      }
    }
    catch [Management.Automation.MethodInvocationException] {
      Write-Error -Exception $_.Exception.InnerException
    }
  }
  function Grant-ComputerJoinPermission {
    param(
      [String] $name
    )
    $domainName = $Searcher.SearchRoot.dc
    # Get computer DirectoryEntry
    $dirEntry = Get-ComputerDirectoryEntry $name
    if ( -not $dirEntry ) {
      Write-Error "Unable to find computer '$name' in domain '$domainName'" -Category ObjectNotFound
      return
    }
    if ( -not $PSCmdlet.ShouldProcess($name, "Allow '$identity' to join computer to domain '$domainName'") ) {
      return
    }
    # Build list of access control entries (ACEs)
    $accessControlEntries = New-Object Collections.ArrayList
    #--------------------------------------------------------------------------
    # Reset password
    #--------------------------------------------------------------------------
    [Void] $accessControlEntries.Add((
      New-Object DirectoryServices.ExtendedRightAccessRule(
        $identity,
        [Security.AccessControl.AccessControlType] "Allow",
        [Guid] $AD_RIGHTS_GUID_RESET_PASSWORD
      )
    ))
    #--------------------------------------------------------------------------
    # Validated write to DNS host name
    #--------------------------------------------------------------------------
    [Void] $accessControlEntries.Add((
      New-Object DirectoryServices.ActiveDirectoryAccessRule(
        $identity,
        [DirectoryServices.ActiveDirectoryRights] "Self",
        [Security.AccessControl.AccessControlType] "Allow",
        [Guid] $AD_RIGHTS_GUID_VALIDATED_WRITE_DNS
      )
    ))
    #--------------------------------------------------------------------------
    # Validated write to service principal name
    #--------------------------------------------------------------------------
    [Void] $accessControlEntries.Add((
      New-Object DirectoryServices.ActiveDirectoryAccessRule(
        $identity,
        [DirectoryServices.ActiveDirectoryRights] "Self",
        [Security.AccessControl.AccessControlType] "Allow",
        [Guid] $AD_RIGHTS_GUID_VALIDATED_WRITE_SPN
      )
    ))
    #--------------------------------------------------------------------------
    # Write account restrictions
    #--------------------------------------------------------------------------
    [Void] $accessControlEntries.Add((
      New-Object DirectoryServices.ActiveDirectoryAccessRule(
        $identity,
        [DirectoryServices.ActiveDirectoryRights] "WriteProperty",
        [Security.AccessControl.AccessControlType] "Allow",
        [Guid] $AD_RIGHTS_GUID_ACCT_RESTRICTIONS
      )
    ))
    # Get ActiveDirectorySecurity object
    $adSecurity = $dirEntry.ObjectSecurity
    # Add ACEs to ActiveDirectorySecurity object
    $accessControlEntries | ForEach-Object {
      $adSecurity.AddAccessRule($_)
    }
    # Commit changes
    try {
      $dirEntry.CommitChanges()
    }
    catch [Management.Automation.MethodInvocationException] {
      Write-Error -Exception $_.Exception.InnerException
    }
  }
}
process {
  foreach ( $nameItem in $Name ) {
    Grant-ComputerJoinPermission $nameItem
  }
}

Предоставление разрешений на подключение к домену

Поделитесь материалом с коллегами и друзьями

Ввод компьютера в домен — Windows Server 2016

После того, как установлен и настроен DNS-сервер и Active Directory на Windows Server 2016, пришло время ввести в домен компьютер. Ввод компьютера с установленной операционной системой Windows в домен сервера Windows Server 2016 возможен с помощью графического интерфейса, командной строки и PowerShell. Операции ввода не отличаются от предыдущих версий, например Windows Server 2012. Для ввода в домен необходимо права администратора домена.

1. Перед вводом компьютера в домен необходимо произвести подготовительные действия:

• задать имя комьпютера;
• задать сетевые настройки.

Для переименования комьпютера открываем PowerShell, для этого в поиске пишем одну букву p, дальше правый клик на Windows PowerShell — Запуск от имени администратора.

2. В терминале powershell набираем команду, которая выведет текущее имя компьютера:

$env:computername

Далее задаём новое имя компьютера (в данном случае имя компьютера будет cl11):

rename-computer -newname cl11

Для того, чтобы изменения вступили в силу необходимо перезагрузить компьютер. Задаем перезагрузку с помощью команды:

restart-computer

3. После перезагрузки компьютера производим сетевые настройки. Для этого в поле поиск пишем ncpa.cpl. В открывшемся окне выбираем нужный сетевой интерфейс. Правой клавишей мыши  — Свойства — IP версии 4 (TCP/IPv4) — Свойства. Если в сети не развернут DHCP-сервер, то сетевые настройки придется вводить вручную. Придется задать IP-адрес, Маска подсети, Шлюз (если есть), Предпочитаемый DNS-сервер, Альтернативный DNS-сервер (если есть). Далее нажимаем «ОК».

4. Если в сети развернут DHCP-сервер, то главное проверить, чтобы в настройках сетевого интерфейса стояли чекбоксы:

• получить IP-адрес автоматически;
• получить адрес DNS-сервера автоматически.

Далее нажимаем «ОК», на этом настройки сетевого интерфейса закончены.

5. Подготовительные действия закончены, теперь можно ввести компьютер в домен. Для этого открываем PowerShell и в терминале пишем команду (в данном случае имя домена sigro.ru):

add-computer -domainname sigro.ru

Появится запрос учетных данных Windows. Вводим учётные данные пользователя, имеющего право вводить комьпютер в домен и его пароль.

6. После этого появится предупреждение о том, что изменения вступят в силу после перезагрузки компьютера.

Набираем команду и перезагружаем компьютер:

restart-computer

7. После перезагрузки компьютера посмотреть полное имя компьютера (в данном случае cl11.sigro.ru) возможно с помощью команды sysdm.cpl. Для проверки ввода компьютера в домен на сервере выбираем «Диспетчер серверов».

8. В следующем окне выбираем «Средства» — «Пользователи и комьпютеры Active Directory».

9. В новом окне «Active Directory — пользователи и компьютеры» в «Сomputers» видим компьютер, который был добавлен в домен.

10. Далее открываем «Диспетчер серверов» — «Средства» — «DHCP».

11. В окне DHCP-сервера открываем «Арендованные адреса» и справа видим IP-адрес компьютера, который добавили в домен, его имя, а также срок истечения аренды.

12. Если выданный DHCP-ервером IP-адрес нужно зарезервировать, то правый клик на IP-адресе компьютера, далее «Добавить к резервированию».

13. Открываем «Резервирование». Здесь появится компьютер, за которым DHCP-сервер закрепил IP-адрес. Посмотреть свойства можно правым кликом на IP-адрес компьютера.

Теперь компьютер добавлен в домен Windows Server 2016, с этим компьютером можно работать в том числе с помощью GPO.

Посмотреть, что и как делать, можно здесь:

Читайте также:

Установка DNS и Active Directory — Windows Server 2016

Установка и настройка DHCP — Windows Server 2016

Второй контроллер домена — Windows Server 2016

Создание и удаление пользователя, восстановление из корзины — Windows Server 2016

Переименование учётной записи администратора домена — Windows Server 2016

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP

Windows server 2019 — добавление и удаление компьютера в домене

Добавление и удаление компьютера в домене является обычной частой операцией. Это возможно сделать различными способами, в данном случае рассмотрено добавление и удаление компьютера в домене с помощью графического интерфейса или с помощью PowerShell.

Настройка сетевого интерфейса

1. Перед добавлением компьютера в домен, необходимо настроить сетевой интерфейс. Набираем ncpa.cpl в поле поиска.

2. Нажимаем правой клавишей на выбранный сетевой интерфейс, далее «Свойства«.

3. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем IPv6. Выделяем «IP версии 4 (TCP/IPv4)«, далее «Свойства«.

4. Если в сети нет DHCP-сервера, то в интерфейсе указываем IP-адрес, маску подсети, основной шлюз, предпочитаемый DNC-сервер. Нажимаем «ОК«.

5. Если в сети имеется DHCP-сервер, то параметры IP можно назначить автоматически. Для этого выставляем «Получить IP-адрес автоматически«, «Получить адрес DNS-сервера автоматически«, далее «ОК«.

Добавление компьютера в домен с помощью графического интерфейса

1. Для ввода компьютера в домен нажимаем правой клавишей мыши на «Этот компьютер«, далее «Свойства«.

2. В новом окне нажимаем «Изменить параметры«. 

3. В следующем окне в «Описание» указываем описание компьютера (можно ничего не указывать). Затем «Изменить«.

4. В новом окне задаём «Имя компьютера«, далее «ОК«.

5. После появления предупреждения, нажимаем «ОК» и перезагружаем компьютер.

6. После перезагрузки компьютера, имя компьютера изменится. Далее снова открываем окно «Система«, затем «Изменить параметры«.

7. Далее нажимаем «Изменить«, устанавливаем чекбокс «Является членом домена:» и указываем имя домена.

8. В новом окне «Безопасность Windows» указываем имя и пароль учетной записи с правами на присоединение к домену. Далее «ОК«.

9. Если добавление в компьютер прошло успешно, то появится предупреждение «Добро пожаловать в домен ….«. Затем перезагружаем компьютер.

Добавление компьютера в домен с помощью PowerShell

1. Нажимаем кнопку поиск, пишем букву p (по-английски), далее правой клавишей мыши на «Windows PowerShell» — «Запуск от имени администратора«.

2. В открывшемся окне PowerShell набираем команды:

     $env:computername — определяем текущее имя компьютера;

     rename-computer -newname cl1 — изменяем текущее имя компьютера на cl1;

     restart-computer — перезагружаем компьютер.

3. После перезагрузки компьютера снова открываем PowerShell. Для добавления компьютера в домен с помощью PowerShell выполняем команду:

     add-computer -domainname sigro.ru — sigro.ru — имя домена.

При появлении запроса, вводим учетные данные пользователя (пользователь и пароль), который имеет право выполнять добавление компьютера в домен.

4. Для того, чтобы изменения вступили в силу, необходима перезагрузка компьютера. Выполняем команду:

     restart-computer

5. После перезагрузки компьютера можно использовать для входа в компьютер доменные учетные записи.

6. В окне «Система» изменится информация о компьютере в поле «Полное имя» и появится информация о домене в поле «Домен«.

Удаление компьютера из домена с помощью графического интерфейса

1. Для удаления компьютера из домена нажимаем правой клавишей мыши на «Этот компьютер«, далее «Свойства«. В открывшемся окне нажимаем «Изменить параметры«.

2. В следующем окне выбираем «Изменить«.

3. В новом окне переключаем чекбокс на «Является членом рабочей группы«, указываем имя рабочей группы, например, «WORKGROUP«. Далее нажимаем «ОК«.

4. Читаем предупреждение о том, что после отсоединения от домена для входа на данный компьютер потребуется пароль локального администратора. Нажимаем «ОК«.

5. Вводим учетные данные пользователя (пользователь и пароль), имеющего разрешение удалить компьютер из домена. Далее «ОК«.

6. Если все прошло успешно, то появится сообщение — «Добро пожаловать в рабочую группу WORKGROUP«. Перезагружаем компьютер и заходим под обычной учетной записью этого компьютера.

Удаление компьютера из домена с помощью PowerShell

1. Нажимаем кнопку поиск, пишем букву p (по-английски), далее правой клавишей мыши на «Windows PowerShell» — «Запуск от имени администратора«.

2. В открывшемся окне PowerShell выполняем следующие команды:

     $env:computername — узнаем имя компьютера;

     remove-computer -computername cl1 — удаляем компьютер с именем, который узнали командой выше, из домена.

В появившемся окне вводим учетные данные (пользователь и пароль) пользователя, имеющего право удалять компьютер из домена.

2. Читаем предупреждение системы о том, что «Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального администратора. Вы хотите продолжить?» Нажимаем «y«. Для перезагрузки компьютера выполняем команду:

     restart-computer

3. После перезагрузки компьютера заходим под обычным (не доменным) пользователем этого компьютера. В окне «Система» видим, что  поле «Полное имя компьютера» изменилось, вместо поля «Домен«, появилось поле «Рабочая группа«.

Посмотреть видео можно здесь:

Windows server 2019 — установка и настройка WSUS, создание и настройка GPO

Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя

Windows server 2019 — установка и настройка Active Directory, DNS, DHCP 

Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене

Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей

Как мне войти в систему как администратор?

Администратор — это человек, который может вносить изменения на компьютере, которые повлияют на других пользователей компьютера. Администраторы могут изменять параметры безопасности, устанавливать программное обеспечение и оборудование, получать доступ ко всем файлам на компьютере и вносить изменения в учетные записи других пользователей. Чтобы войти в систему как администратор, вам необходимо иметь учетную запись пользователя на компьютере с учетной записью типа Administrator .

Если вы не уверены, что ваша учетная запись на компьютере является учетной записью администратора, вы можете проверить тип учетной записи после входа в систему.Действия, которые вы должны выполнить, будут различаться в зависимости от того, находится ли ваш компьютер в домене или в рабочей группе.

1. Введите имя пользователя и пароль для своей учетной записи на экране приветствия.

2. Откройте учетные записи пользователей, нажав кнопку Start , нажав Control Panel , нажав User Accounts , щелкнув User Accounts, а затем нажав Manage User Accounts .Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

   Ваше имя пользователя выделено, а тип вашей учетной записи отображается в столбце Group .

1. Введите имя пользователя и пароль для своей учетной записи на экране приветствия.

2. Откройте учетные записи пользователей, нажав кнопку Start , нажав Control Panel , нажав User Accounts and Family Safety , щелкнув User Accounts , а затем нажав Manage another account .Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

   Тип вашей учетной записи отображается под вашим именем пользователя.

   Если тип вашей учетной записи — Администратор , то в настоящее время вы вошли в систему как администратор.

Если тип вашей учетной записи не Администратор , то вы не можете войти в систему как администратор, если не знаете пароль имени пользователя для другой учетной записи на компьютере, который является администратором.Если вы не являетесь администратором, вы можете попросить администратора изменить тип вашей учетной записи.

.

Как управлять компьютерами в Active Directory с помощью PowerShell

Прежде чем пользователь сможет войти на компьютер и получить доступ к сетевым и доменным ресурсам, этот компьютер должен быть членом среды Active Directory. В этом руководстве вы узнаете, как автоматизировать повседневные задачи, связанные с учетными записями компьютеров, например, как легко создавать, переименовывать и удалять учетные записи.

В целом вы узнаете, как использовать PowerShell для выполнения следующих задач по управлению учетными записями компьютеров:

• Присоединение компьютера к домену
  • Присоединение нескольких компьютеров к домену
• Удаление компьютера из домен с PowerShell
• Создание объекта компьютера в AD
  • Создание учетных записей компьютеров из файла CSV
• Удаление компьютера из AD
  • Удаление учетных записей компьютеров с помощью списка
  • Удаление устаревших учетных записей компьютеров в Active Directory с PowerShell
• Переименовать компьютер
  • Переименовать компьютер и присоединить его к домену
• Отключить учетную запись компьютера AD
  • Отключить учетные записи компьютеров с помощью списка
• Сбросить AD Computer Account

PowerShell ISE — лучший инструмент для работы с Wi-Fi. скрипты PowerShell.Запустите инструмент PowerShell ISE с правами администратора, нажав «Windows + R» и введя «runas / profile / user: Administrator PowerShell_ISE» в окне «Выполнить». (Кроме того, вы можете щелкнуть правой кнопкой мыши значок PowerShell ISE и выбрать параметр «Запуск от имени администратора».) Введите пароль администратора при появлении запроса.

Прежде чем вы сможете работать с AD и его объектами, вам необходимо импортировать модуль Active Directory для Windows PowerShell. В Microsoft Windows Server 2008 R2 вам необходимо включить этот модуль, выполнив следующую команду:

 Import-Module ActiveDirectory 

В Microsoft Windows Server 2012 и более поздних версиях этот модуль включен по умолчанию.

Присоединение компьютера к домену

Самая распространенная задача — присоединение компьютера к контроллеру домена. Чтобы присоединить ПК к домену Active Directory, запустите следующий сценарий PowerShell локально:

 $ dc = "ENTERPRISE" # Укажите домен для присоединения.
$ pw = "Пароль123" | ConvertTo-SecureString -asPlainText –Force # Укажите пароль для администратора домена.
$ usr = "$ dc \ T.Simpson" # Укажите учетную запись администратора домена.
$ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw)
Add-Computer -DomainName $ dc -Credential $ creds -restart -force -verbose # Обратите внимание, что компьютер будет перезагружен автоматически. 

Компьютер перезагрузится, а затем присоединится к домену; он будет добавлен в контейнер по умолчанию.

Для удаленного подключения компьютера к контроллеру домена необходимо улучшить этот сценарий следующим образом:

 $ dc = "ENTERPRISE"
$ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force
$ usr = "$ dc \ T.Simpson"
$ pc = "R07GF" # Укажите компьютер, который следует присоединить к домену.$ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw)
Add-Computer -ComputerName $ pc -LocalCredential $ pc \ admin -DomainName $ dc -Credential $ creds -Verbose -Restart -Force 

Переменная $ pc и параметр –LocalCredential используются для аутентификации компьютера в домене. . Обратите внимание, что для использования этого метода необходимо отключить брандмауэр на локальном компьютере.

Присоединение нескольких компьютеров к домену

Вы можете добавить более одного компьютера в домен, указав их в командной строке в виде списка с разделителями-запятыми или импортировав их имена из текстового файла.

Вот как указать компьютеры в списке с разделителями-запятыми:

 $ dc = "ENTERPRISE"
$ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force
$ usr = "$ dc \ T.Simpson"
$ pc = "WKS034, WKS052, WKS057" # Укажите компьютеры, которые должны быть присоединены к домену.
$ creds = Новый объект System.Management.Automation.PSCredential ($ usr $ pw)
Add-Computer -ComputerName $ pc -LocalCredential $ pc \ admin -DomainName $ dc -Credential $ creds -Restart -Force 

А вот как использовать текстовый файл со списком компьютеров, которые необходимо объединить:

 $ dc = "ПРЕДПРИЯТИЕ"
$ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force
$ usr = "$ dc \ T.Симпсон "
$ pc = Get-Content -Path C: \ Computers.txt # Укажите путь к списку компьютеров.
$ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw)
Add-Computer -ComputerName $ pc -LocalCredential $ pc \ admin -DomainName $ dc -Credential $ creds -Restart -Force 

Удаление компьютера из домена с помощью PowerShell

Для удаленного удаления компьютера из домена используйте Remove-Computer командлет. Здесь мы удаляем компьютер из домена, поэтому локальные учетные данные не требуются, и мы можем пропустить параметр ? LocalCredential :

 $ dc = "ENTERPRISE"
$ pw = "Пароль123" | ConvertTo-SecureString -asPlainText -Force
$ usr = "$ dc \ T.Симпсон "
$ pc = "R07GF"
$ creds = Новый объект System.Management.Automation.PSCredential ($ usr, $ pw)
Remove-Computer -ComputerName $ pc -Credential $ creds –Verbose –Restart –Force 

Чтобы удалить несколько компьютеров с помощью списка в файле TXT, используйте приведенный выше сценарий для присоединения компьютеров к DC, заменив командлет Add-Computer с помощью Remove-Computer. Обратите внимание, что вам все равно потребуются учетные данные администратора домена для завершения этой операции отмены присоединения.

Создание объекта-компьютера в AD

Чтобы создать объект-компьютер, используйте командлет New-ADComputer .Например, выполните следующие параметры командлета, чтобы создать объект компьютера с именем «WKS932» в качестве имени и значением пути LDAP по умолчанию:

 New-ADComputer –Name «WKS932» –SamAccountName «WKS932» 

Создание учетных записей компьютеров из CSV Файл

Если у вас есть список компьютеров, которые необходимо импортировать в Active Directory, сохраните список в CSV-файл с заголовком «компьютер» и списком имен компьютеров в столбце под ним. Запустите следующий сценарий PowerShell на контроллере домена, чтобы добавить компьютеры из файла CSV, убедившись, что у вас правильно установлены переменные «Путь» и «Файл»:

 $ File = "C: \ scripts \ Computers.csv "# Укажите позицию импорта CSV.
$ Path = "OU = Devices, DC = enterprise, DC = com" # Укажите путь к OU.
Import-CSV -Path $ File | ForEach-Object {New-ADComputer -Name $ _. Computer -Path $ Path -Enabled $ True} 

Удаление компьютера из AD

Чтобы удалить учетную запись компьютера из AD, используйте командлет Remove-ADObject . Параметр -Identity указывает, какой компьютер Active Directory нужно удалить. Вы можете указать компьютер по его отличительному имени, GUID, идентификатору безопасности (SID) или имени учетной записи Security Accounts Manager (SAM).

 Remove-ADObject -Identity "WKS932" 

Вам будет предложено подтвердить удаление.

Удаление учетных записей компьютеров с помощью списка

Если у вас есть текстовый файл со списком старых компьютеров, вы можете упростить задачу их удаления с помощью PowerShell. Следующий сценарий будет читать имена компьютеров из файла TXT и удалять соответствующие учетные записи с помощью цепочки команд или конвейера:

 Get-Content C: \ scripts \ computersfordeletion.txt | % {Get-ADComputer -Filter {Name -eq $ _}} | Remove-ADObject -Recursive 

Удаление устаревших учетных записей компьютеров из Active Directory с помощью PowerShell

Устаревшие учетные записи в Active Directory могут быть скомпрометированы, что приведет к нарушениям безопасности, поэтому очень важно следить за ними.Этот сценарий PowerShell будет запрашивать Active Directory и возвращать все компьютеры, на которых не выполнялся вход в течение последних 30 дней; вы можете легко изменить это значение по умолчанию в скрипте. Он также удалит эти учетные записи, чтобы ваша AD была чистой.

 $ stale = (Get-Date) .AddDays (-30) # означает 30 дней с момента последнего входа в систему, может быть изменено на любое число.

Get-ADComputer -Property Name, lastLogonDate -Filter {lastLogonDate -lt $ stale} | Имя FT, lastLogonDate

Get-ADComputer -Property Name, lastLogonDate -Filter {lastLogonDate -lt $ stale} | Remove-ADComputer 

Есть один компьютер, FS1, на который не входили более 30 дней.Система запросит подтверждение перед удалением его из домена:

Если вы хотите отключить, а не удалить неактивные учетные записи компьютеров, замените командлет Remove-ADComputer на Set-ADComputer и -Enabled $ false параметр и значение.

Переименовать компьютер

Чтобы изменить имя компьютера, используйте командлет Rename-Computer . Обратите внимание, что компьютер должен быть в сети и подключен к Active Directory.

 Rename-Computer –ComputerName "FS1" -NewName "FS2" 

Если вы хотите запустить этот сценарий локально, он будет выглядеть так:

 Rename-Computer -NewName "newname" -DomainCredential "Domain \ Administrator" 

Переименовать компьютер и присоединить его к домену

Вы можете улучшить сценарий переименования, присоединив компьютер к домену и одновременно поместив его в указанное подразделение. Сценарий следует запускать на целевой машине, а не на контроллере домена.

 $ NewComputerName = "Server3" # Укажите новое имя компьютера.

$ DC = "contoso.com" # Укажите домен, к которому нужно присоединиться.

$ Path = "OU = TestOU, DC = contoso, DC = com" # Укажите путь к OU, в которое поместить учетную запись компьютера в домене. 

 Add-Computer -DomainName $ DC -OUPath $ Path -NewName $ NewComputerName –Restart –Force 

Сценарий запросит учетные данные учетной записи, у которой есть разрешения на присоединение компьютеров к домену, а затем компьютер будет переименован , перезапустился и присоединился к домену.

Отключение учетной записи компьютера AD

Используйте командлет Disable-ADAccount для отключения учетных записей пользователей, компьютеров и служб Active Directory. Если вы указываете имя учетной записи компьютера, не забудьте добавить знак доллара ($) в конце имени; в противном случае после выполнения скрипта вы получите сообщение об ошибке.

 Disable-ADAccount -Identity fs1 $ 

Отключение учетных записей компьютеров с помощью списка

Вы также можете массово отключить учетные записи компьютеров, используя список в текстовом файле:

 $ Pclist = Get-Content C: \ scripts \ Computer.txt # Укажите путь к списку компьютеров.
Foreach ($ pc в $ Pclist)
{
Disable-ADAccount -Identity "$ pc"
Get-ADComputer -Identity "$ pc" | Move-ADObject -TargetPath «OU = Disabled Computers, DC = enterprise, DC = com»
} 

Сброс учетной записи компьютера AD

Как и учетная запись пользователя, учетная запись компьютера взаимодействует с Active Directory с помощью пароля. Но для учетных записей компьютеров смена пароля по умолчанию инициируется каждые 30 дней, и пароль исключен из политики паролей домена.Смена пароля осуществляется клиентом (компьютером), а не AD.

Учетные данные компьютера обычно неизвестны пользователю, поскольку они задаются компьютером случайным образом. Но вы можете установить свой собственный пароль; вот сценарий PowerShell для этого:

 $ pc = read-host –Prompt «Введите имя компьютера для сброса» # Укажите имя компьютера.
$ pw = read-host –Prompt «Введите случайные символы для временного пароля» –AsSecureString # Укажите пароль.
Get-ADComputer $ pc | Set-ADAccountPassword –NewPassword: $ pw -Reset: $ true 

Заключение

Теперь вы узнали, как управлять учетными записями компьютеров Active Directory с помощью PowerShell.Вы можете улучшить все эти скрипты самостоятельно, чтобы они соответствовали вашим целям.

Помните, что очень важно внимательно отслеживать все изменения в учетных записях компьютеров, чтобы вы могли быстро обнаружить любые нежелательные изменения и отреагировать соответствующим образом.

.Учебное пособие по

— Создание управляемого домена доменных служб Azure Active Directory

• 06.07.2020
• 11 минут на чтение

В этой статье

Доменные службы Azure Active Directory (Azure AD DS) предоставляют услуги управляемого домена, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos / NTLM, которая полностью совместима с Windows Server Active Directory.Вы используете эти доменные службы без самостоятельного развертывания, управления и исправления контроллеров домена. Azure AD DS интегрируется с существующим клиентом Azure AD. Эта интеграция позволяет пользователям входить в систему, используя свои корпоративные учетные данные, и вы можете использовать существующие группы и учетные записи пользователей для безопасного доступа к ресурсам.

Вы можете создать управляемый домен, используя параметры конфигурации по умолчанию для сети и синхронизации, или вручную определить эти параметры. В этом руководстве показано, как использовать параметры по умолчанию для создания и настройки управляемого домена Azure AD DS с помощью портала Azure.

Из этого руководства вы узнаете, как:

• Общие сведения о требованиях DNS для управляемого домена
• Создать управляемый домен
• Включить синхронизацию хэша пароля

Если у вас нет подписки Azure, создайте учетную запись, прежде чем начать.

Предварительные требования

Для выполнения этого руководства вам потребуются следующие ресурсы и права:

• Активная подписка Azure.
• Клиент Azure Active Directory, связанный с вашей подпиской, синхронизированный либо с локальным каталогом, либо с облачным каталогом.
• Для включения Azure AD DS требуются права глобального администратора и в клиенте Azure AD.
• Для создания необходимых ресурсов Azure AD DS в подписке Azure требуются права участника .

Хотя это и не требуется для Azure AD DS, рекомендуется настроить самостоятельный сброс пароля (SSPR) для клиента Azure AD. Пользователи могут изменить свой пароль без SSPR, но SSPR помогает, если они забудут свой пароль и им потребуется его сбросить.

Важно

После создания управляемого домена вы не сможете переместить управляемый домен в другую группу ресурсов, виртуальную сеть, подписку и т. Д. Позаботьтесь о выборе наиболее подходящей подписки, группы ресурсов, региона и виртуальной сети при развертывании. управляемый домен.

Войдите на портал Azure

В этом руководстве вы создадите и настроите управляемый домен с помощью портала Azure. Чтобы начать работу, сначала войдите на портал Azure.

Создать управляемый домен

Чтобы запустить мастер Включить доменные службы Azure AD , выполните следующие действия:

1. В меню портала Azure или на домашней странице выберите Создать ресурс .
2. Введите Domain Services в строку поиска, затем выберите Azure AD Domain Services из предложений поиска.
3. На странице доменных служб Azure AD выберите Создать .Запустится мастер Включить доменные службы Azure AD .
4. Выберите подписку Azure , в которой вы хотите создать управляемый домен.
5. Выберите группу ресурсов , к которой должен принадлежать управляемый домен. Выберите Создать новый или выберите существующую группу ресурсов.

При создании управляемого домена вы указываете DNS-имя. При выборе этого DNS-имени следует учитывать некоторые особенности:

• Встроенное доменное имя: По умолчанию используется встроенное доменное имя каталога (.onmicrosoft.com суффикс ). Если вы хотите включить безопасный доступ LDAP к управляемому домену через Интернет, вы не можете создать цифровой сертификат для защиты соединения с этим доменом по умолчанию. Microsoft владеет доменом .onmicrosoft.com , поэтому центр сертификации (ЦС) не будет выдавать сертификат.
• Пользовательские доменные имена: Наиболее распространенный подход — указать пользовательское доменное имя, обычно то, которое у вас уже есть и которое может маршрутизироваться. Когда вы используете настраиваемый настраиваемый домен, трафик может течь правильно, если это необходимо для поддержки ваших приложений.
• Суффиксы немаршрутизируемого домена: Обычно рекомендуется избегать немаршрутизируемого суффикса имени домена, например contoso.local . Суффикс .local не маршрутизируется и может вызвать проблемы с разрешением DNS.

Подсказка

Если вы создаете собственное доменное имя, позаботьтесь о существующих пространствах имен DNS. Рекомендуется использовать доменное имя отдельно от любого существующего пространства имен DNS Azure или локальной сети.

Например, если у вас есть существующее пространство имен DNS contoso.com , создайте управляемый домен с именем личного домена aaddscontoso.com . Если вам нужно использовать безопасный LDAP, вы должны зарегистрировать и владеть этим личным доменным именем для создания необходимых сертификатов.

Вам может потребоваться создать некоторые дополнительные записи DNS для других служб в вашей среде или условные серверы пересылки DNS между существующими пространствами имен DNS в вашей среде. Например, если вы запускаете веб-сервер, на котором размещен сайт с использованием корневого DNS-имени, могут возникать конфликты именования, требующие дополнительных записей DNS.

В этих руководствах и статьях с практическими рекомендациями в качестве краткого примера используется пользовательский домен aaddscontoso.com . Во всех командах указывайте собственное доменное имя.

Также применяются следующие ограничения DNS-имен:

• Ограничения по префиксу домена: Невозможно создать управляемый домен с префиксом длиной более 15 символов. Префикс указанного вами доменного имени (например, aaddscontoso в доменном имени aaddscontoso.com ) должен содержать 15 или меньше символов.
• Конфликты сетевых имен: Доменное имя DNS для вашего управляемого домена не должно существовать в виртуальной сети. В частности, проверьте следующие сценарии, которые могут привести к конфликту имен:
  • Если у вас уже есть домен Active Directory с таким же доменным именем DNS в виртуальной сети Azure.
  • Если виртуальная сеть, в которой вы планируете включить управляемый домен, имеет VPN-соединение с вашей локальной сетью. В этом сценарии убедитесь, что в вашей локальной сети нет домена с таким же DNS-именем.
  • Если у вас есть облачная служба Azure с таким именем в виртуальной сети Azure.

Заполните поля в окне Basics портала Azure, чтобы создать управляемый домен:

1. Введите доменное имя DNS для вашего управляемого домена, принимая во внимание предыдущие пункты.

2. Выберите Azure Location , в котором должен быть создан управляемый домен. Если вы выбираете регион, который поддерживает зоны доступности Azure, ресурсы Azure AD DS распределяются по зонам для дополнительной избыточности.

   Подсказка

   Зоны доступности

   — это уникальные физические местоположения в регионе Azure. Каждая зона состоит из одного или нескольких центров обработки данных, оборудованных независимыми системами питания, охлаждения и сети. Для обеспечения отказоустойчивости во всех включенных регионах есть как минимум три отдельные зоны.

   Вам нечего настраивать для распределения Azure AD DS по зонам. Платформа Azure автоматически обрабатывает зональное распределение ресурсов. Дополнительные сведения и сведения о доступности в регионах см. В разделе Что такое зоны доступности в Azure?

3. SKU определяет производительность, частоту резервного копирования и максимальное количество доверительных отношений леса, которые вы можете создать.Вы можете изменить SKU после создания управляемого домена, если ваши бизнес-требования или требования изменятся. В разделе Концепции SKU Azure AD DS.

   Для этого руководства выберите Standard SKU.

4. Лес — это логическая конструкция, используемая доменными службами Active Directory для группирования одного или нескольких доменов. По умолчанию управляемый домен создается как лес User . Этот тип леса синхронизирует все объекты из Azure AD, включая любые учетные записи пользователей, созданные в локальной среде AD DS.

   Лес ресурсов синхронизирует только пользователей и группы, созданные непосредственно в Azure AD. Дополнительные сведения о лесах ресурсов , в том числе о том, почему их можно использовать и как создавать доверительные отношения лесов с локальными доменами AD DS, см. В разделе Обзор лесов ресурсов Azure AD DS.

   В этом руководстве выберите создание леса User .

Чтобы быстро создать управляемый домен, вы можете выбрать Просмотр + создать , чтобы принять дополнительные параметры конфигурации по умолчанию.При выборе этого параметра создания настраиваются следующие значения по умолчанию:

• Создает виртуальную сеть с именем aadds-vnet , которая использует диапазон IP-адресов 10.0.2.0/24 .
• Создает подсеть с именем aadds-subnet , используя диапазон IP-адресов 10.0.2.0/24 .
• Синхронизирует всех пользователей из Azure AD в управляемый домен.

Выберите Просмотр + создание , чтобы принять эти параметры конфигурации по умолчанию.

Развернуть управляемый домен

На странице мастера Сводка просмотрите параметры конфигурации для управляемого домена. Вы можете вернуться к любому шагу мастера, чтобы внести изменения. Чтобы повторно развернуть управляемый домен в другом клиенте Azure AD согласованным образом с использованием этих параметров конфигурации, вы также можете Загрузить шаблон для автоматизации .

1. Чтобы создать управляемый домен, выберите Создать . Отображается примечание, что некоторые параметры конфигурации, такие как DNS-имя или виртуальная сеть, нельзя изменить после создания управляемого Azure AD DS.Чтобы продолжить, выберите OK .

2. Процесс подготовки управляемого домена может занять до часа. На портале отображается уведомление о ходе развертывания Azure AD DS. Выберите уведомление, чтобы просмотреть подробные сведения о ходе развертывания.

3. Страница загрузится с обновлениями в процессе развертывания, включая создание новых ресурсов в вашем каталоге.

4. Выберите группу ресурсов, например myResourceGroup , затем выберите управляемый домен из списка ресурсов Azure, например aaddscontoso.com . Вкладка Overview показывает, что управляемый домен в настоящее время Развертывает . Вы не можете настроить управляемый домен, пока он не будет полностью подготовлен.

5. Когда управляемый домен полностью подготовлен, на вкладке Обзор отображается статус домена Работает .

Важно

Управляемый домен связан с вашим клиентом Azure AD. В процессе подготовки Azure AD DS создает два корпоративных приложения с именами Domain Controller Services и AzureActiveDirectoryDomainControllerServices в клиенте Azure AD.Эти корпоративные приложения необходимы для обслуживания вашего управляемого домена. Не удаляйте эти приложения.

Обновление настроек DNS для виртуальной сети Azure

После успешного развертывания Azure AD DS настройте виртуальную сеть, чтобы другие подключенные виртуальные машины и приложения могли использовать управляемый домен. Чтобы обеспечить такое подключение, обновите настройки DNS-сервера для вашей виртуальной сети, чтобы они указывали на два IP-адреса, на которых развернут управляемый домен.

1. Вкладка Обзор для вашего управляемого домена показывает Необходимые шаги настройки .Первым шагом настройки является обновление настроек DNS-сервера для вашей виртуальной сети. После правильной настройки параметров DNS этот шаг больше не отображается.

   Перечисленные адреса являются контроллерами домена для использования в виртуальной сети. В этом примере это адреса 10.0.2.4 и 10.0.2.5 . Позже вы сможете найти эти IP-адреса на вкладке Properties .

2. Чтобы обновить настройки DNS-сервера для виртуальной сети, нажмите кнопку Настроить .Параметры DNS автоматически настраиваются для вашей виртуальной сети.

Подсказка

Если вы выбрали существующую виртуальную сеть на предыдущих шагах, любые виртуальные машины, подключенные к сети, получат новые настройки DNS только после перезапуска. Вы можете перезапустить виртуальные машины с помощью портала Azure, Azure PowerShell или Azure CLI.

Включение учетных записей пользователей для Azure AD DS

Для аутентификации пользователей в управляемом домене Azure AD DS требуются хэши паролей в формате, подходящем для NT LAN Manager (NTLM) и аутентификации Kerberos.Azure AD не создает и не хранит хэши паролей в формате, необходимом для проверки подлинности NTLM или Kerberos, пока вы не включите Azure AD DS для своего клиента. По соображениям безопасности Azure AD также не хранит учетные данные пароля в виде открытого текста. Таким образом, Azure AD не может автоматически создавать эти хэши паролей NTLM или Kerberos на основе существующих учетных данных пользователей.

Примечание

После соответствующей настройки используемые хэши паролей хранятся в управляемом домене.Если вы удалите управляемый домен, все хэши паролей, хранящиеся в этот момент, также будут удалены.

Синхронизированная учетная информация в Azure AD не может быть повторно использована, если вы позже создадите управляемый домен — вы должны перенастроить синхронизацию хэшей паролей, чтобы снова сохранить хэши паролей. Ранее присоединенные к домену виртуальные машины или пользователи не смогут сразу пройти аутентификацию — Azure AD необходимо сгенерировать и сохранить хэши паролей в новом управляемом домене.

Дополнительные сведения см. В разделе Процесс синхронизации хэша паролей для Azure AD DS и Azure AD Connect.

Действия по созданию и хранению этих хэшей паролей отличаются для учетных записей пользователей, работающих только в облаке, созданных в Azure AD, и для учетных записей пользователей, которые синхронизируются из вашего локального каталога с помощью Azure AD Connect.

Облачная учетная запись пользователя — это учетная запись, созданная в каталоге Azure AD с помощью портала Azure или командлетов PowerShell Azure AD. Эти учетные записи пользователей не синхронизируются из локального каталога.

В этом руководстве давайте поработаем с базовой учетной записью пользователя, работающей только в облаке.Дополнительные сведения о дополнительных действиях, необходимых для использования Azure AD Connect, см. В разделе Синхронизация хэшей паролей для учетных записей пользователей, синхронизируемых из локальной службы AD в управляемый домен.

Подсказка

Если в вашем клиенте Azure AD есть пользователи, работающие только в облаке, и пользователи из локальной AD, вам необходимо выполнить оба набора шагов.

Для учетных записей пользователей, работающих только в облаке, пользователи должны изменить свои пароли, прежде чем они смогут использовать Azure AD DS. Этот процесс изменения пароля приводит к созданию и хранению в Azure AD хэшей паролей для проверки подлинности Kerberos и NTLM.Учетная запись не синхронизируется из Azure AD в Azure AD DS до тех пор, пока пароль не будет изменен. Либо истечет срок действия паролей для всех пользователей облака в клиенте, которым необходимо использовать Azure AD DS, что приводит к смене пароля при следующем входе в систему, либо проинструктируйте пользователей облака вручную изменить свои пароли. В этом руководстве давайте вручную изменим пароль пользователя.

Прежде чем пользователь сможет сбросить свой пароль, клиент Azure AD должен быть настроен для самостоятельного сброса пароля.

Чтобы изменить пароль для пользователя, работающего только в облаке, пользователь должен выполнить следующие действия:

1. Перейдите на страницу панели доступа Azure AD по адресу https: // myapps.microsoft.com.

2. В правом верхнем углу выберите свое имя, затем выберите Профиль из раскрывающегося меню.

3. На странице Профиль выберите Изменить пароль .

4. На странице Изменить пароль введите существующий (старый) пароль, затем введите и подтвердите новый пароль.

5. Выбрать Отправить .

Для того, чтобы новый пароль можно было использовать в Azure AD DS и успешно войти на компьютеры, присоединенные к управляемому домену, потребуется несколько минут после смены пароля.

Следующие шаги

В этом руководстве вы узнали, как:

• Общие сведения о требованиях DNS для управляемого домена
• Создать управляемый домен
• Добавить пользователей с правами администратора в управление доменом
• Включение учетных записей пользователей для Azure AD DS и создание хэшей паролей

Перед тем, как присоединить виртуальные машины к домену и развернуть приложения, использующие управляемый домен, настройте виртуальную сеть Azure для рабочих нагрузок приложений.

.