Главная » ПО » Как добавить компьютер в домен

Как добавить компьютер в домен


Создание и администрирование объекта компьютер в Active Directory

Компьютеры относятся к еще одному типу объектов Active Directory, но в отличие от пользователей и групп AD к ним нет должно внимания и соответственно администраторы пренебрегают их администрированием. Но компьютеры так же как и группы, пользователи AD имеют свой SID и соответственно их можно заключать в группы, назначать им доступ к ресурсам, управлять ими средствами групповых политик.

Способы создания компьютера в AD.

Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.

  Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:

- у вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена ( Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));

- объект компьютера создан в домене;

- вы должны войти в присоединяемый компьютер как локальный администратор.

 У многих администраторов второй пункт может вызвать негодование, - зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.

Теперь разберем способы создания компьютера (компьютеров) в AD:

 Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».

Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать "Пуск- Панель управления- Система и безопасность- Администрирование- Active Directory – пользователи и компьютеры" выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите "Создать- Компьютер".

Впишите имя компьютера.

 Создание учетной записи компьютера с помощью команды DSADD.

Общий вид команды:

           dsadd computer [-desc <описание>] [-loc <расположение>] [-memberof <группа ...>]  [{-s <сервер> | -d <домен>}] [-u <пользователь>]  [-p {<пароль> | *}] [-q] [{-uc | -uco | -uci}]Параметры:Значение                Описание

         Обязательный параметр. Задает различающееся имя (DN) добавляемого компьютера.

-desc <описание>        Задает описание компьютера.-loc <размещение>       Задает размещение компьютера.-memberof <группа ...>  Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN <группа ...>.{-s <сервер> | -d <домен>}                        -s <сервер> задает подключение к контроллеру домена(DC) с именем <сервер>.                        -d <домен> задает подключение к DC в домене <домен>.                        По умолчанию: DC в домене входа.

-u <пользователь>       Подключение под именем <пользователь>. По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).

-p {<пароль> | *}       Пароль пользователя <пользователь>. Если введена *,  будет запрошен пароль.-q                      "Тихий" режим: весь вывод заменяется  стандартным выводом.{-uc | -uco | -uci}    

                         -uc Задает форматирование ввода из канала или вывода в канал в Юникоде.                         -uco Задает форматирование вывода в канал или файл в Юникоде.                         -uci Задает форматирование ввода из канала или файла в Юникоде.

Пример использования команды Dsadd:

 Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com”  –desc “Компьютер отдела IT”

 Создание  учетной записи рабочей станции или сервера с помощью команды Netdom.

Общий вид команды Netdom:

 NETDOM ADD <компьютер> [/Domain:домен] [/UserD:пользователь] [/PasswordD:[пароль | *]] [/Server:сервер] [/OU:путь к подразделению] [/DC] [/SecurePasswordPrompt]<компьютер>   это имя добавляемого компьютера/Domain           указывает домен, в котором требуется создать учетную запись компьютера/UserD             учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain/PasswordD      пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля/Server            имя контроллера домена, используемого для добавления.  Этот параметр нельзя использовать одновременно с параметром /OU./OU                 подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена./DC                 указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU./SecurePasswordPrompt    Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.

Создание объекта Компьютер с помощью Ldifde (ссылка на подробную информацию) и Csvde (ссылка на подробную информацию).

 Администрирование учетной записи компьютеров в Active Directory.

Переименование компьютера в AD.

Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:

Netdom renamecomputer <Имя компьютера> /Newname: <Новое имя>

Пример: Netdom renamecomputer COMP01 /Newname: COMP02

Удаление учетных записей компьютера.

1 Удалить учетную запись компьютера с помощью оснастки "Active Directory – пользователи и компьютеры". Запускаете оснастку "Active Directory – пользователи и компьютеры" находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете "Удалить", подтверждаете удаление

2 Удалить компьютер можно с помощью команды DSRM:

DSRM

Пример:

DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com . 

Устранение ошибки "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом".

Иногда при попыдке войти в компьютер пользователь получает сообщение "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом". Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:

1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать "Переустановить учетную запись" (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.

2 С помощью команды Netdom:

Netdom reset <имя машины> /domain <Имя домена> /User0 <Имя пользователя> /Password0 <Пароль>  без кавычек <>

Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****Перезагрузка компьютера не нужна.

3 С помощью команды Nltest:

Nltest  /server:<Имя компьютера> /sc_reset:<Домен>\<Контроллер домена>

Пример:Nltest  /server:Comp01 /sc_reset:pk-help.com\ad1 Перезагрузка компьютера не нужна.

pk-help.com

Добавление компьютеров под управлением Windows 7/8 к доменному контроллеру Server 2012 R2

Подробности Категория: Windows Server Опубликовано: 05 Июнь 2015 Просмотров: 4344

В крупных организациях клиентские компьютеры и серверы можно присоединить к домену с использованием автоматизированных методов, таких как использование сценариев и пакетных файлов. В этом разделе сосредоточимся на подключении к домену с применением интерфейса клиентской системы. Обычно этот метод используют в небольших сетях. Эта методика работоспособна и на виртуальных машинах.

Перед тем как добавить компьютер в домен, проверьте правильно ли получил компьютер сетевые параметры TCP\IPv4. Если в вашей сети IP адреса раздает DHCP-сервер, то не забудьте в настройках параметра DNS-сервера указать адрес доменного контроллера Active Directory, иначе компьютер не сможет подключится к домену. Если же сетевые параметры во всех компьютерах настроены вручную без участия DHCP-сервера, то также пропишите вручную адрес вашего DNS-сервера на компьютерах.

 

Итак, открываем (Пуск | Панель управления | Система и безопасность | Система), перейдите в нем на вкладку Имя компьютера и нажмите кнопку Изменить. Введите Имя домена в поле домена переключателя Является членом. Введите учетные данные пользователя, имеющего разрешение на подключение компьютеров к домену. После того как компьютер будет успешно подключен к домену, появится соответствующее сообщение.

Примечание: К домену можно добавить ОС начиная с семейства Windows 7/8 Professional и выше.

 

Как только клиентский компьютер присоединится к домену, вы сможете найти его в контейнере Computers центра администрирования Active Directory (ADAC)

 

Или в стандартном консоли Пользователи и компьютеры Active Directory

  

В общем, это все действия по добавлению компьютера в домен через графический интерфейс.

Для того чтобы подключить компьютер с установленной Windows 8 к домену уровня Server 2012, достаточно выполнить те же действия, которые выполняются при подключении к домену Windows 7-клиентов. Откройте (Пуск | Панель управления | Система и безопасность | Система) и щелкните на ссылку Дополнительные параметры системы и выполните те же действия что приведены выше на Windows 7.

ruframe.com

Блог did5.ru

В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.

По умолчанию, если особо не менять стандартные политики безопасности домена, то рядовой пользователь без проблем сможет добавить компьютер в домен корпоративной сети. Но есть небольшое ограничение, он сможет добавить только 10 компьютеров. Если эта квота будет превышена, пользователь получит сообщение об ошибке:

«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»

«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»

Бывают случаи, что пользователю удается обойти это ограничение и количество компьютеров, которых он добавил в домен, уже перевалило за несколько десятков. Магии тут никакой нет, просто нужно понять принцип действия этого ограничения. Илья Сазонов в своем блоге очень внятно об этом рассказал:

Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.

Стало ясно, что если пользователь добавляет компьютеры в домен, т.е. создает учетные записи компьютеров в Active Directory, а доменный администратор их после этого удаляет, то этот юзер может и не ощутить наличие этой квоты.

Для решения поставленной задачи такой способ не подходит, т.к. из-за большого количества рабочих станций очень скоро уполномоченные столкнуться с превышением лимита.

Microsoft рекомендует про 3 способа решения:

  1. Предварительно создавать учетную запись компьютера
  2. Предоставить пользователю разрешение на добавление компьютеров в домен
  3. Увеличение квоты

Из этих вариантов для решения моей задачи подходит только второй. Прикинув все за и против решил внедрять.

1. Создал отдельную группу для уполномоченных в AD – Add_PC_in_Domen.

2. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберал команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.

3. Перешел в Свойства контейнера Компьютеры, вкладка Безопасность — Дополнительно. Добавил в список разрешения новую группу Add_PC_in_Domen, в списке разрешений для этой группы поставил две галки — Создание объектов компьютера и Удаление объектов компьютера.

Осталось добавить доверенных пользователей в группу. Члены этой группу теперь смогут беспрепятственно добавлять компьютеры в домен.

Как запретить пользователям добавлять компьютеры в домен

Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!

did5.ru

Смотрите также