Veza sa Windows 7 domenom. Kreirajte i administrirajte računarski objekat u Active Directory

Offline unos domene

Offline unos u domenu ili offline pridruživanje domeni je prilično zanimljiva karakteristika predstavljena u Windows 7 i Windows Server 2008 R2. Omogućava vam da priključite računare na Active Directory domen van mreže, bez potrebe za povezivanjem na kontroler domene.

Da biste koristili vanmrežno pridruživanje domeni, nije potrebno mijenjati funkcionalni način domene ili šume. Možete čak i bez Windows Server 2008 R2 kontrolera domena. Unos autonomne domene zahtijeva samo pomoćni program djoin.exe, koji je uključen u Windows 7 i Server 2008 R2. Drugim riječima, dovoljan je jedan računar sa Windows 7/2008 R2 koji radi u željenom domenu.

Autonomni unos u domenu se izvodi u nekoliko faza. Prvi korak je kreiranje datoteke sa informacijama o nalogu za priključeni računar. Da biste to uradili, na bilo kom Windows 2008 R2 serveru (ili Windows 7 radnoj stanici) u ciljnom domenu, pokrenite komandu u ljusci koja kreira račun računara u domenu. Tim ima sljedeće opcije:

• /domain— naziv ciljnog domena;
• /mašina— naziv mašine spojene na domenu;
• /machineou- jedinica u koju treba staviti automobil. Ako nije navedeno, mašina će biti smeštena u podrazumevani kontejner računara;
• /dcname je naziv određenog kontrolera domena koji će kreirati račun računala. Ako nije navedeno, tada se kontroler bira automatski;
• /spremiti datoteku- fajl u koji se čuvaju podaci povezanog računara;
• /reuse- koristiti postojeći račun na računaru;
• /downlevel- Podrška za kontroler domena sa verzijom pre Windows Server 2008 R2.

Na primjer, napravimo mašinu pod imenom WKS1 u domeni Contoso.com, smjestimo je u Offline_Join OU i spremimo podatke u datoteku wks1.txt:

djoin /provision /domena Contoso.com /machine WKS1 /machineOU
″OU=Offline_Join,DC=Contoso,DC=com″ /savefile c:\test\wks1.txt

Sljedeći korak je slanje rezultirajuće datoteke na računar koji mora biti autonomno dodat u domenu. To možete učiniti na bilo koji dostupni način, na primjer, poslati ga e-poštom ili staviti na ftp. Imajte na umu da binarna datoteka sadrži lozinku računa računala i druge informacije o domenu, uključujući ime domene, ime kontrolora domena, SID domena itd. Stoga prijenos mora biti obavljen na siguran način.

Posljednji korak u unosu vanmrežne domene je dodavanje metapodataka računa računala iz datoteke u Windows direktorij. Za ovo morate ići na željeni računar i na povišenoj komandnoj liniji, pokrenite naredbu koja će kreirati zahtjev za pridruživanje izvanmrežnoj domeni sljedeći put kada je pokrenete. Naredba koristi sljedeće opcije:

• /loadfile- dodaje metapodatke računa računala u Windows direktorij;
• /localos- označava instalaciju lokalnog operativnog sistema (ne datoteke slike);
• /windowspath- put do foldera način Windows. Kada koristite parametar /localos morate postaviti varijablu okruženja %systemroot% ili %windir% .

Bilješka. Uslužni program djoin može raditi i sa fizičkim i sa virtuelnim mašinama. Kada radite sa virtuelnim mašinama, ključ /windowspath označava lokaciju VHD datoteke sa instaliranim sistemom.

Dodajmo naše radna stanica WKS1 na domenu sa naredbom:

djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos

Sada ostaje samo da ponovo pokrenete mašinu, a ako postoji dostupan kontroler, moći ćete da se prijavite na domen.

I kao zaključak, reći ću da članak opisuje samo jednu od nekoliko opcija za korištenje djoin.exe. Ako si zainteresovan ovu temu onda više informacija možete pronaći ovdje.

Procedura za dodavanje računara koji se nalazi izvan perimetra vašeg korporativno okruženje nije složen i sastoji se od dva koraka koji se moraju izvesti na klijentu i bilo kom serveru u domenu vaše organizacije.

1. Kreirajte datoteku odgovora za vanmrežni unos (offline pridruživanje domeni) PC ​​na domenu

Povežimo se na serversku konzolu pomoću protokola za udaljenu radnu površinu i pokrenimo komandnu liniju ili powershell konzolu. Koristite ono što vam se najviše sviđa. U primjeru ću koristiti komandnu liniju. Da bih to učinio, pokrenut ću uslužni program cmd kao administrator. Da biste to učinili, kliknite na komandna linija kliknite desnim tasterom miša i izaberite u prozoru koji se pojavi Pokreni kao administrator.

Koristeći interfejs komandne linije, unesite sledeću naredbu:

Djoin.exe /provision /domain EXAMPLE.COM/mašina IME KOMPJUTERA/rootcacerts/machineou " ou=desktops, dc=PRIMJER, dc=COM» /policynames «Postavke klijenta DirectAccess» /savefile C:\IME DATOTEKE.txt

Pomoć za rad sa uslužnim programom Djoin.exe:

/PROVIZIJA- Obezbeđuje račun računara u domenu.
/DOMAIN <имя> — <имя>domen za pridruživanje.
/MACHINE <имя> — <имя>računar koji je spojen na domenu.
/MACHINEOU - opcijski parametar koji definira podjelu
U kojem je račun kreiran.
/DCNAME - opcijski parametar koji specificira ciljni kontroler domene na kojoj će biti kreiran račun.
/REUSE- ponovo koristite postojeći nalog (lozinka će biti resetovana).
/SPREMITI DATOTEKU <путь_к_файлу>— spremite podatke pripreme u datoteku koja se nalazi na navedenoj putanji.
/NOSEARCH- preskočiti otkrivanje sukoba naloga; zahtijeva DCNAME (bolje performanse).
/DOWNLEVEL- Pruža podršku za Windows Server 2008 ili stariji kontroler domene.
/PRINTBLOB- Vraća base64 kodirani blob metapodataka za datoteku odgovora.
/DEFPWD- Koristite zadanu lozinku računa računala (ne preporučuje se).
/ROOTCATERTS- opcioni parametar, omogući korijenski certifikati certifikacijsko tijelo.
/CERTTEMPLATE <имя>- opcioni parametar,<имя>šablon kompjuterskog sertifikata. Uključuje korijenske certifikate ovlaštenja
certifikat.
/POLICYNAMES <имена>— opcioni parametar, lista naziva politika odvojenih tačkom i zarezom. Svako ime je ime za prikaz GPO-a u AD-u.
/POLICYPATHS <пути>— opcioni parametar, lista putanja do politika, odvojenih tačkom i zarezom. Svaka staza ukazuje na lokaciju datoteke politike registra.
/NETBIOS <имя>- opcioni parametar, Netbios ime računara koji će se pridružiti domeni.
/PSITE <имя>- opcioni parametar,<имя>stalna lokacija na kojoj se postavlja kompjuter koji je spojen na domenu.
/DSITE <имя>- opcioni parametar,<имя>dinamički sajt koji u početku hostuje računar koji je spojen na domenu.
/PRIMARYDNS <имя>- opcioni parametar, primarni DNS domen računara koji se pridružuje domenu.
/REQUESTODJ- Zahtijeva vanmrežno pridruživanje domeni pri sljedećem pokretanju.
/LOADFILE <путь_к_файлу> — <путь_к_файлу>, naveden ranije s opcijom /SAVEFILE.
/WINDOWSPATH <путь> — <путь>u imenik sa offline Windows.
/localos- omogućava vam da u parametru / WINDOWSPATH odredite lokalno operativni sistem.
Ovu naredbu mora pokrenuti lokalni administrator.
Morat ćete ponovo pokrenuti računar da biste primijenili promjene.

Kao rezultat izvršavanja naredbe s gore navedenim parametrima, dobit ćemo datoteku odgovora koja već sadrži potrebne rad Direct Potrebni su pristupni certifikati, lista politika direktnog pristupa, DNS imenski prostor.

2. Ulazak u domenu računala putem direktnog pristupa

Slanje rezultirajuće tekstualne datoteke na radno mjesto korisnika i pokrenite ga iz komandne linije:

djoin /requestODJ /loadfile C:\IME DATOTEKE.txt/windowspath %SystemRoot% /localos

Ovim je završena procedura za daljinsko dodavanje računara u domenu. U prozoru za pozivnicu unesite korisničko ime i lozinku domene.

Trebaće ti

• - administratorska prava;
• - lokalna mreža sa Windows domenom;
• - korisnički račun u domeni;
• - ime domena.

Uputstvo

Računar možete pridružiti Windows domeni na kartici Ime računara u prozoru Svojstva sistema. Da biste otvorili prozor System Properties u operativnom sistemu Windows XP, koristite Start meni da otvorite Control Panel i kliknite na System. Ako na vašem računaru radi Windows 7 ili Vista, otvorite "Control Panel" i idite na kategoriju "System and Security" u kojoj kliknite na stavku "System". Na stranici koja se otvori kliknite na link " Dodatne opcije sistem" koji se nalazi u lijevoj koloni.

U prozoru System Properties koji se otvori, izaberite karticu Computer Name. Kliknite na dugme "Uredi" i u prozoru koji se otvori unesite naziv domene koji želite. Zatim kliknite na dugme OK. U prozoru koji se pojavi unesite korisničko ime i lozinku domene. Zatim kliknite OK i ponovo pokrenite računar. Vaš računar je uključen u domenu.

Osim GUI Možete spojiti računar na domenu pomoću komandne linije. Operativni sistem Windows XP uključuje uslužni program NETDOM, koji može dodati računar u domen koristeći naredbu:

netdom pridružite se kompjutersko_ime /domena:ime_domena /korisnik:ime_domena\ime_korisnika /passwordd:korisnička_pass.

Gdje computer_name, domain_name i user_name treba zamijeniti imenima dodanog računara, domena i korisnika, respektivno, a user_pass treba promijeniti u lozinku korisnika u domeni. U Windowsu 7, uslužni program NETDOM je zamijenjen naredbom u PowerShell-u pod nazivom add-computer. Da biste računar spojili na domenu sa konzole u prozoru 7, pokrenite sljedeću naredbu:

Add-computer -DomainName ime_domena -akreditiv ime_domena\ime_korisnika

Gdje ime_domena i korisničko_ime također zamjenjuju imena domena i korisnika.

Povezani video zapisi

Bilješka

Windows domena nije namijenjena kućnu upotrebu, vrlo je zgodan u korporativnim mrežama sa veliki iznos korisnika koji imaju različit nivo pristup datotekama i uređajima. Dakle, računari sa operativnim sistemima za kućnu upotrebu, odnosno ispod nivoa Professional, nemaju alate za uključivanje domena. Da biste dodali takve računare, prvo ponovo instalirajte sistem.

Koristan savjet

Ima još brz način pokrenite prozor "Svojstva sistema". Ako imate operativni sistem Windows XP, kliknite desnim tasterom miša na ikonu "Moj računar" i u meniju koji se otvori kliknite na stavku "Svojstva sistema". Ako imate Windows 7 ili Vista operativni sistem, kliknite desnim tasterom miša na ikonu "Računar", izaberite "Svojstva sistema" i kliknite na "Napredne postavke sistema".

Prilikom spajanja računara na domenu, na istoj kartici "Naziv računara" možete navesti opis vašeg računara, koji će biti nagoveštaj za korisnike domena.

Izvori:

• kako povezati domen

Admin panel postoji tako da webmaster preko njega može dodavati, uređivati ​​i brisati sadržaj stranice. Ući domena morate znati svoje korisničko ime i lozinku.

Uputstvo

Da biste pokrenuli buduću stranicu u pretraživaču, upišite localhost/ u adresnu traku. domena. Ako ste kreirali radni dio resurs, trebalo bi da se pojavi pred vama. Da uđete u administrativni panel, zadržite pokazivač iznad adresne trake i dodajte administratora. Potvrdite operaciju pritiskom na tipku Enter. Trebali biste imati sljedeću adresu: localhost/site/admin/.

Dakle, pred vama je admin panel. Unesite korisničko ime (Korisničko ime) u jedno tekstualno polje, a lozinku u drugo. Podrazumevano, ime administratora je admin. Ako to želite promijeniti, idite na postavke panela i promijenite svoju prijavu. Šifru vam je dao podrazumevani hosting. Također ga možete promijeniti u općim postavkama. Da biste to učinili, idite na odjeljak "Upravljanje korisnicima", kliknite na stavku "Administrator", unesite novu lozinku i potvrdite je.

Nakon što unesete prijavu i lozinku sa administrativnog panela, kliknite na "Prijava". Vidjet ćete administrativnu ploču u kojoj možete upravljati web lokacijom. U njemu možete mijenjati, dodavati ili brisati podatke. Kada uđete u admin panel, označite kvadratić pored natpisa "Zapamti me". Ovo će vam omogućiti da ne unosite lozinku svaki put kada se prijavite na kontrolnu tablu.

Postoji drugi način. Prijavite se na admin panel preko same stranice. Za ovo u adresna traka unesite adresu vaše web stranice domena) i pritisnite Enter. Kliknite na "Autorizacija" ili "Prijava". Unesite svoje korisničko ime i lozinku. Pritisnite Enter. Ako ste ispravno uneli podatke, sistem će otvoriti administrativni panel ispred vas.

Treći način. Unesite u adresnu traku domena. Stranica će se otvoriti. Na vrhu bi trebale biti neke funkcije kontrolne ploče. Biće i natpis "Administratorska ploča". Kliknite na njega, ako je potrebno, unesite svoje registracijske podatke.

Izvori:

• kako se prijaviti na mail svoje domene

računovodstvo ulazak « Gost» omogućava vam da ograničite pristup datotekama i aplikacijama na vašem računaru ako ga koristite veliki brojČovjek. Korisnik je prijavljen kao Gost, moći će vidjeti javne i privatne dokumente, pretraživati ​​internet, ali neće moći instalirati programe i vidjeti lične fajlove drugih korisnika.

Uputstvo

Da biste odredili gde pripada vašem računaru, kliknite desnim tasterom miša na ikonu "Moj računar". U prozoru koji se otvori, u odjeljku "Naziv računara, naziv domene i postavke radne grupe" nalazit će se odgovarajući natpis "Domena" ili "Radna grupa", nakon čega slijedi naziv, na primjer "Radna grupa".

Ako je vaš računar dio domene. Otvorite "Korisnički računi" tako što ćete otići na "Start" -> "Kontrolna tabla". U prozoru koji se otvori odaberite "Korisnički nalozi", a zatim ponovo "Korisnički nalozi". Odaberite "Kontrola korisničkog računa". Ako je postavljena administratorska lozinka, sistem će tražiti da je unesete ili potvrdite. Unesite lozinku. Nakon potvrde lozinke, u prozoru koji se otvori, idite na karticu "Napredno", kliknite na dugme "Napredno" i odaberite " Gost". U dijaloškom okviru Svojstva računa gosta poništite izbor u polju za potvrdu pored Onemogući nalog ulazak". Kliknite OK. računovodstvo ulazak « Gost» omogućeno.

Ako je vaš računar u radnoj grupi. Idite na: "Start" -> "Kontrolna tabla" -> "Korisnički nalozi i roditeljska kontrola" -> "Korisnički nalozi". U prozoru koji se otvori odaberite "Upravljanje drugim računom" ulazak Yu". Kliknite jednom na ikonu označenu sa " Gost". U sljedećem prozoru sistem će tražiti da omogućite račun ulazak « Gost"? Kliknite na dugme "Omogući".

Nakon omogućavanja naloga Gost“, kada se prijavite, prikazat će se ekran za odabir računa. Odaberite račun ulazak možete kliknuti na njega. Ako ste glavni korisnik računara, obavezno postavite administratorsku lozinku kako drugi korisnici ne bi mogli vidjeti i mijenjati vaše dokumente, niti instalirati ili ukloniti programe.

Bilješka

Nalozi gostiju nisu podržani na Windows 7 Starter.

Prilikom pristupa diskovima, fasciklama ili optičkoj disk jedinici drugog računara na lokalnoj mreži, sistem koristi adrese ovih uređaja i objekata, uključujući naziv mreže udaljeni računar. Takođe pristupa štampaču, fleš disku i drugima povezanim na tuđi računar. periferije. Ovo ime mreže možete promijeniti u postavkama operativnog sistema.

Uputstvo

Prozor sa postavkama vezanim za mrežni naziv računara poziva se preko jednog od apleta Windows Control Panel-a. Veza do ovog panela nalazi se u glavnom meniju operativnog sistema - kliknite na dugme "Start" i izaberite "Kontrolna tabla" u desnoj koloni. U prozoru koji se otvori kliknite na natpis "Sistem i sigurnost", a zatim - "Sistem". Nakon toga, na ekranu će se pojaviti željeni aplet. Međutim, sve ove radnje mogu se zamijeniti pritiskom na par "vrućih tipki" Win + Pause.

Aplet ima poseban odjeljak pod naslovom "Naziv računara, naziv domene i postavke radne grupe" sa vezom "Promijeni postavke" na desnoj ivici. Kliknite da biste otvorili prozor za promjenu nekih svojstava sistema. Pristup njima zahtijeva da korisnik ima administratorska prava. Ako niste prijavljeni kao administrator, pojavit će se dijaloški okvir u kojem će se tražiti da unesete lozinku.

Na kartici "Naziv računara" u prozoru sa svojstvima sistema kliknite na dugme "Promeni", nakon čega će se konačno pojaviti prozor sa poljem "Naziv računara" čiju vrednost morate da promenite. Unesite novo ime mreže, slijedeći standardna pravila za internet imena. Dozvoljavaju samo slova latinica, kao i brojevi i neki znakovi, osim posebnih. Zabranjeno uključuje, na primjer,; : " * + \ | , ? =. Microsoft preporučuje upotrebu kratkih i opisnih imena ne dužih od 15 znakova. Osim toga, ne smiju biti svi brojevi i ne smiju sadržavati razmake.

Zatim kliknite na dugme OK i zatvorite Control Panel. Ako je računar deo domena, sistem će takođe zahtevati da unesete lozinku korisnika koji ima pravo da menja nazive računara u domenu. A ako se domena ne koristi, imajte na umu da će drugi računari na lokalnoj mreži pokušati pronaći resurse ovog računala (na primjer, mrežni disk) na istoj adresi. Stoga ćete morati ručno promijeniti ime u adresi mrežni resurs ili ga isključite i ponovo povežite.

Bilješka

Ovaj članak će govoriti o tome kako možete promijeniti ime računara u Windows 7. To se radi prilično jednostavno, u samo nekoliko koraka. Ime računara se obično koristi za identifikaciju na mreži i postavlja se tokom instalacije sistema. Ovo ime možete saznati u svojstvima računara (koji se nalazi u meniju Start). Da biste promijenili ime računara, slijedite korake

Koristan savjet

Promijenite ime računara. Svaki računar na mreži mora imati svoje jedinstveno ime kako bi se računari mogli jednoznačno identificirati i komunicirati. Većina računara ima podrazumevana imena, ali ih je obično moguće promeniti. Preporučljivo je da kompjuterima dodelite kratka (ne više od petnaest znakova) i razumljiva imena. Preporučujemo da koristite samo standardne Internet znakove za ime računara.

Često postaje neophodno uvesti Linux mašinu u postojeću Windows domenu. Na primjer, učiniti server datoteka koristeći Sambu. To je vrlo lako učiniti, trebat će vam Kerberos klijent, Samba i Winbind.

Prije instalacije poželjno je ažurirati:

sudo aptitude update sudo aptitude upgrade

Sve ove stvari možete instalirati naredbom:

sudo aptitude install krb5-user samba winbind

Možda ćete također morati instalirati sljedeće biblioteke:

sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind

Ili ako koristite Ubuntu Desktop, isti paketi se mogu instalirati preko Synaptic paket menadžera.

Zatim ćete morati konfigurirati sve gore navedene alate za rad s vašom domenom. Recimo da se želite prijaviti na domenu DOMAIN.COM, čiji je kontroler domene server dc.domain.com sa IP adresom 192.168.0.1 . Ovaj server je također primarni DNS server ohm domen. Uz to, recimo da imate drugi kontroler domene, zvani DNS - dc2.domain.com sa IP-om 192.168.0.2 . Vaš računar će biti pozvan smbsrv01.

DNS postavka

Prvo morate da promenite DNS postavke na vašem računaru tako što ćete postaviti kontroler domena kao DNS server i željeni domen kao domen za pretragu.

Ako imate statičku IP adresu, onda u Ubuntu Desktopu to se može uraditi preko Network Manager-a, u Ubuntu Serveru morate promijeniti sadržaj /etc/resolv.conf fajla na nešto ovako:

Domain domain.com pretraga domena.com server imena 192.168.0.1 server imena 192.168.0.2

U modernim distribucijama, datoteka resolv.conf se kreira automatski i ne mora se ručno uređivati. Za primanje željeni rezultat potrebno je da dodate potrebne promjene u datoteku: /etc/resolvconf/resolv.conf.d/head Podaci koji će biti dodati u datoteku automatski će se umetnuti u /etc/resolv.conf datoteku

Ako je IP adresa dinamička i dodijeljena je od DHCP servera, onda nakon ponovnog pokretanja resolv.conf može se formirati “neispravan” resolv.conf", na primjer, postoji samo jedan server imena 192.168.0.1 i domen i pretraga nisu specificirani. Morate urediti /etc/dhcp/dhclient prije nego što se pojavi super-komentar i pretraživanje domene. e liniju naziva domene i unesite svoju domenu:

zamijeniti naziv domene "domain.com";

Da dodate još jedan server imena, morate ukloniti komentar prije dodavanja domena-name-servera i navesti ip servera:

Prethodno dodaj servere imena domene 192.168.0.2;

Da biste primijenili promjene, ostaje da ponovo pokrenete uslugu:

/etc/init.d/networking restart

Sada provjerite jeste li postavili ispravno ime hosta u /etc/hostname:

Smbsrv01

Pored toga, morate urediti /etc/hosts datoteku tako da sadrži unos s potpuno kvalificiranim imenom domene računala i Neophodno kratko ime host koji se odnosi na jednu od internih IP adresa:

# Nazivi ovog računara 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01

Potrebno je odmah provjeriti da li naš kontroler domene pinguje normalno, kratkim i punim imenom, kako ubuduće ne biste dobijali greške da kontroler domene nije pronađen:

ping dc ping dc.domain.com

Nije potrebno, ali ako nešto promijenite, ponovo pokrenite računar da biste primijenili promjene.

Podešavanje vremenske sinhronizacije

Zatim morate konfigurirati vremensku sinkronizaciju s kontrolerom domene. Ako je razlika veća od 5 minuta, nećemo moći dobiti list od Kerberosa. Za jednokratnu sinhronizaciju možete koristiti naredbu:

sudo net time set dc

Ako na mreži postoji server tačnog vremena, možete ga koristiti ili bilo koji javni:

ntpdate ntp.mobatime.ru

Automatska sinhronizacija je konfigurisana pomoću ntpd , ovaj demon će povremeno obavljati sinhronizaciju. Da biste započeli, morate ga instalirati:

sudo aptitude install ntp

Sada uredite datoteku /etc/ntp.conf kako biste uključili informacije o vašem vremenskom serveru:

# Morate razgovarati sa NTP serverom ili dva (ili tri). server dc.domain.com

Zatim ponovo pokrenite ntpd demon:

sudo /etc/init.d/ntp restart

Sada je vrijeme da postavite direktnu interakciju sa domenom.

Postavljanje autorizacije putem Kerberosa

default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 prosljeđivanje = true proxiable = istina v4_instance_resolve = lažno v4_name_convert = ( host = ( rcmd = host ftp = ftp ) običan = ( nešto = nešto-drugo ) ) fcc-fdc = true d DOMA (nešto = nešto drugo) c2 admin_ server = dc default_domain = DOMAIN.COM ) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false

Naravno, trebate promijeniti domain.com u svoju domenu i dc i dc2 u kontrolere domene. Usput, možda ćete morati napisati puna imena kontrolera domena dc.domain.com i dc2.domain.com. Pošto imam domen za DNS pretragu, ne moram ovo da radim.

Obratite posebnu pažnju na slučaj pisanja imena domene - gdje god je domen napisan velikim slovima, mora biti napisan velikim slovima. U suprotnom, magijski, ništa ne može funkcionirati.

Ovo nisu sve moguće Kerberos konfiguracijske opcije, samo glavne. Međutim, obično su dovoljni.

Sada je vrijeme da provjerimo možemo li se prijaviti na domenu. Da biste to učinili, pokrenite naredbu

Kinit [email protected]

Umjesto korisničkog imena, prirodno je unijeti ime postojećeg korisnika domene.

Ime domene mora biti napisano velikim slovima!

Ako ne dobijete nijednu grešku, to znači da ste sve ispravno konfigurisali i da vam domen daje Kerberos kartu. Usput, neke uobičajene greške su navedene u nastavku.

Da biste bili sigurni da je tiket primljen, možete pokrenuti naredbu

Možete izbrisati sve tikete (općenito vam nisu potrebne) pomoću naredbe

Uobičajene kinit greške

Kinit(v5): Iskrivljeni sat je prevelik pri dobijanju početnih akreditiva

To znači da vrijeme vašeg računara nije sinkronizirano s kontrolerom domene (vidi gore).

Kinit(v5): Predautentifikacija nije uspjela prilikom dobivanja početnih vjerodajnica

Uneli ste pogrešnu lozinku.

Kinit(v5): KDC odgovor nije odgovarao očekivanjima pri dobijanju početnih akreditiva

Najčudnija greška ikada. Uvjerite se da su naziv područja u krb5.conf i domen u naredbi kinit napisani velikim slovima:

DOMAIN.COM = ( # ... kinit [email protected] kinit(v5): Klijent ne pronađeno u Kerberos bazi podataka prilikom dobivanja početnih vjerodajnica

Navedeni korisnik ne postoji u domeni.

Samba podešavanje i prijava na domenu

Da biste ušli u domen, potrebno je da upišete ispravna podešavanja u /etc/samba/smb.conf fajl. U ovoj fazi bi vas trebale zanimati samo neke od opcija u odjeljku. Ispod je primjer dijela Samba konfiguracijske datoteke s komentarima na vrijednost važnih parametara:

# Ove dvije opcije moraju biti tačno napisane kapitalni slučaj, i radna grupa # bez posljednjeg odjeljka nakon točke, a područje je potpuno kvalificirano ime domene radna grupa = DOMAIN područje = DOMAIN.COM # Ove dvije opcije su odgovorne za autorizaciju preko AD sigurnosti = ADS šifriranje lozinki = istinito # Samo važan dns proxy = bez opcija utičnice = TCP_NODELAY # Ako ne želite da voditelj domene pokuša ući u sambu u prilici, radna grupa, # ili čak postanite kontrolor domene, a zatim uvijek napišite ovih pet opcija u ovom obliku master domene = nema lokalnog mastera = nema željenog mastera = nema os nivoa = 0 prijava na domen = ne # Onemogući podršku za štampač učitaj štampače = ne prikazuje čarobnjak za dodavanje štampača = nema printcap name = /dev/null onemogući spoolss = da

Nakon što uredite smb.conf pokrenite naredbu

Testparm

Provjerit će vašu konfiguraciju na greške i dati vam sažetak:

# testparm Učitavanje smb konfiguracionih datoteka iz /etc/samba/smb.conf Učitani servisni fajl OK. Uloga servera: ROLE_DOMAIN_MEMBER Pritisnite enter da vidite dump definicija vaših usluga

Kao što vidite, postavili smo ispravne parametre da naš računar postane član domene. Sada je vrijeme da se pokušate direktno prijaviti na domenu. Da biste to učinili, unesite naredbu:

Net ads join -U korisničko ime -D DOMAIN

A ako bude uspješan, vidjet ćete nešto slično:

# net ads join -U korisničko ime -D DOMAIN Unesite lozinku korisničkog imena: Koristeći kratko ime domene -- DOMAIN Pridružen "SMBSRV01" domenu "domain.com"

Net komandne opcije za korištenje

Korisnicko ime lozinka: Obavezni parametar, umjesto korisničkog imena, morate zamijeniti korisničko ime s pravima administratora domene i navesti lozinku.

D DOMAIN: DOMAIN - sam domen, domen možda nije specificiran, ali bolje je to uvijek raditi - neće biti gore.

S win_domain_controller: win_domain_controller, može se izostaviti, ali postoje slučajevi kada server ne pronađe automatski kontroler domene.

createcomputer="OU/OU/...": OU (Organizaciona jedinica) se često koristi u AD-u, postoji OU = Office u korenu domene, OU = Cabinet u njemu, da biste ga odmah dodali onom koji vam je potreban, možete ga navesti ovako: sudo net ads join -U korisničko ime createcomputer="Office/Cabinet".

Ako više nema poruka, onda je sve u redu. Pokušajte pingati svoj računar po imenu od drugog člana domene kako biste bili sigurni da je sve registrirano na domeni kako treba.

Također možete upisati naredbu:

Net ads testjoin

Ako je sve u redu, možete vidjeti:

#net ads testjoin Pridruživanje je u redu

Ali ponekad se nakon poruke o pristupanju domeni javlja greška poput ove:

DNS ažuriranje nije uspjelo!

Ovo nije baš dobro i u ovom slučaju se preporučuje da malo više pročitate odjeljak o konfiguraciji DNS-a i shvatite u čemu ste pogriješili. Nakon toga morate ukloniti računar iz domene i pokušati ponovo ući u njega. Ako ste sigurni da je sve ispravno podešeno, ali DNS i dalje nije ažuriran, onda možete ručno uneti unos za svoj računar na svom DNS serveru i sve će raditi. Naravno, ako nema drugih grešaka i ako ste se uspješno prijavili na domenu. Međutim, bolje je shvatiti zašto se DNS ne ažurira automatski. Razlog tome može biti ne samo vaš računar, već i netačne AD postavke.

Prije nego shvatite zašto se DNS ne ažurira, ne zaboravite ponovo pokrenuti računar nakon ulaska u domenu! Moguće je da će to riješiti problem.

Ako je sve prošlo bez grešaka, čestitamo, uspješno ste ušli u domenu! Možete pogledati u AD i uvjeriti se sami. Također, dobro je provjeriti da li možete vidjeti resurse u domeni. Da biste to učinili, instalirajte smbclient:

sudo aptitude install smbclient

Sada možete vidjeti resurse računara domene. Ali za ovo morate imati kerberos kartu, tj. ako smo ih izbrisali, onda ćemo to ponovo dobiti preko kinit-a (vidi gore). Pogledajmo koje resurse mreži pruža računar radne stanice:

Smbclient -k -L radna stanica

Trebali biste vidjeti listu dijeljenja na ovom računaru.

Konfigurisanje Winbind-a

Ako trebate nekako raditi s korisnicima domene, na primjer, konfigurirati SMB dijeljenja s kontrolom pristupa, tada će vam, osim same Sambe, trebati i Winbind, poseban demon koji povezuje lokalni Linux korisnički i grupni sistem upravljanja sa server aktivan Imenik. Jednostavno rečeno Winbind je potreban ako želite da vidite korisnike domena na vašoj Ubuntu mašini.

Winbind vam omogućava da mapirate sve korisnike i sve AD grupe na svoju Linux sistem, dodjeljujući im ID iz navedenog raspona. Dakle, možete dodijeliti korisnike domena kao vlasnike mapa i datoteka na vašem računalu i obavljati sve druge operacije vezane za korisnike i grupe.

Winbind je konfigurisan koristeći istu datoteku /etc/samba/smb.conf. Dodajte sljedeće redove u odjeljak:

# Opcije za uparivanje korisnika domena i virtuelnih korisnika u sistemu preko Winbind-a. # ID rasponi za virtuelne korisnike i grupe. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Ove opcije ne bi trebalo da budu onemogućene. winbind enum groups = yes winbind enum users = yes # Koristi zadanu domenu za korisnička imena. Bez ove opcije, korisnička imena i imena grupa # će se koristiti sa domenom, tj. umjesto korisničkog imena - DOMAIN\korisničko ime. # Ovo može biti upravo ono što želite, ali obično je lakše uključiti ovu opciju. winbind koristi zadanu domenu = da # Ako želite dopustiti korisnicima domene da koriste komandnu liniju, onda # dodajte sljedeći red, inače će /bin/false template shell = /bin/bash biti pozvan kao shell"a # For automatsko ažuriranje Kerberos tiket sa modulom pam_winbind.so, potrebno je dodati red winbind refresh tickets = da

Opcije:

idmap uid = 10000 - 40000

idmap gid = 10000 - 40000

u novim verzijama Sambe su već zastarjele i kada provjerite samba konfiguraciju pomoću testparm-a, bit će izdano upozorenje:

UPOZORENJE: Opcija "idmap uid" je zastarjela

UPOZORENJE: Opcija "idmap gid" je zastarjela

Da biste uklonili upozorenja, ove linije trebate zamijeniti novim:

idmap config * : raspon = 10000-20000

idmap config * : backend = tdb

Sada ponovo pokrenite Winbind i Samba demon sljedećim redoslijedom:

sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start

Mi lansiramo

sudo testparm

Provjerite ima li grešaka ili upozorenja ako se pojavi:

"rlimit_max: rlimit_max (1024) ispod minimalnog Windows ograničenja (16384)"

Možete to popraviti bez ponovnog pokretanja ovako:

Ulimit -n 16384

Da sačuvate nakon ponovnog pokretanja, uredite datoteku /etc/security/limits.conf

# Dodajte redove na kraj datoteke: * - nofile 16384 root - nofile 16384

Nakon ponovnog pokretanja, provjerite da li je Winbind instaliran odnos poverenja sa AD komandom:

# wbinfo -t provjera tajne povjerenja za domenu DCN putem RPC poziva je uspjela

I također da je Winbind vidio korisnike i grupe iz AD sa naredbama:

wbinfo -u wbinfo -g

Ove dvije naredbe bi trebale vratiti listu korisnika i grupa iz domene, respektivno. Sa ili bez prefiksa DOMAIN\, ovisno o tome koju vrijednost ste naveli za opciju "winbind use default domain" u smb.conf .

Dakle, Winbind radi, ali još nije integrisan u sistem.

Dodavanje Winbinda kao izvora korisnika i grupa

Da bi se vaš Ubuntu transparentno bavio korisnicima domena, posebno kako biste mogli postaviti korisnike domena kao vlasnike foldera i datoteka, morate reći Ubuntu-u da koristi Winbind kao dodatni izvor informacija o korisnicima i grupama.

Da biste to učinili, promijenite dva reda u datoteci /etc/nsswitch.conf:

passwd:compat group:compat

dodavanje winbinda na kraj:

passwd: compat winbind grupa: compat winbind

Fajlovi: dns mdns4_minimal mdns4

ubuntu server 14.04, datoteka /etc/nsswitch.conf nije sadržavala liniju "files: dns mdns4_minimal mdns4" umjesto toga je bila: "hosts: files mdns4_minimal dns wins" što sam konvertirao u: "hosts: dns mdns4_minimal" nakon čega je sve radio fajlove

Sada provjerite da li Ubuntu traži od Winbinda informacije o korisniku i grupi pokretanjem

getent passwd getent grupa

Prva naredba bi trebala vratiti cijeli sadržaj vaše /etc/passwd datoteke, tj. vaše lokalne korisnike, plus korisnike domene sa ID-ovima iz raspona koji ste naveli u smb.conf. Drugi bi trebao učiniti isto za grupe.

Sada možete uzeti bilo kojeg korisnika domene i učiniti ga, na primjer, vlasnikom neke datoteke.

Autorizacija u Ubuntu-u preko korisnika domene

Uprkos činjenici da su svi korisnici domena zapravo postali punopravni korisnici sistema (što se može provjeriti pokretanjem posljednje dvije komande iz prethodnog odjeljka), niko od njih još uvijek ne može da se prijavi na sistem. Da bi se omogućila autorizacija korisnika domena na Ubuntu mašini, PAM mora biti konfigurisan za rad sa Winbindom.

Online autorizacija

Za Ubuntu 10.04 i noviji dodajte samo jedan red u /etc/pam.d/common-session , jer PAM radi prilično dobar posao s autorizacijom:

Opcionalna sesija pam_mkhomedir.so skel=/etc/skel/ umask=0077

Za Ubuntu 13.10 da bi se pojavilo polje za ručnu prijavu, potrebno je da dodate liniju ispod bilo kojoj datoteci iz /etc/lightdm/lightdm.conf/ foldera:

Greeter-show-manual-login=true

Za Ubuntu 9.10 i starije verzije morat ćete urediti nekoliko datoteka (ali niko ne zabranjuje korištenje ove metode u 10.04 - također radi):

Redoslijed redova u fajlovima je bitan!

/etc/pam.d/common-auth

Potreban je auth pam_env.so auth dovoljan pam_unix.so likeauth nullok try_first_pass auth dovoljan pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth potreban pam_deny.so

/etc/pam.d/common-account

Račun dovoljan pam_winbind.so potreban je račun pam_unix.so

/etc/pam.d/common-session

sesija opciona pam_mkhomedir.so skel=/etc/skel/ umask=0077 sesija opciona pam_ck_connector.so nox11 potrebna sesija pam_limits.so potrebna sesija pam_env.so potrebna sesija pam_unix.so

/etc/pam.d/common-password

lozinka dovoljna pam_unix.so try_first_pass use_authtok nullok sha512 shadow lozinka dovoljna pam_winbind.so potrebna lozinka pam_deny.so

I na kraju, potrebno je da pomerite početak Winbind-a pri pokretanju sistema nakon svih ostalih servisa (podrazumevano počinje sa indeksom 20). Da biste to učinili, pokrenite sljedeću naredbu u terminalu:

sudo bash -c "za i u 2 3 4 5; uradi mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; gotovo"

Što je ekvivalentno pokretanju za svaki nivo (u primjeru - 4) naredbe:

Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

U nekim slučajevima, winbind može imati drugačiji nivo pokretanja (na primjer, S02winbind). Stoga prvo provjerite imena datoteka izdavanjem naredbe "ls /etc/rc(2,3,4,5).d/ | grep winbind" (bez navodnika).

Gotovo, sva podešavanja su završena. Ponovo pokrenite sistem i pokušajte se prijaviti sa korisničkim računom domene.

Off-line autorizacija

Često se javlja situacija kada je kontroler domene nedostupan iz raznih razloga - prevencije, nestanka struje ili ste donijeli laptop kući i želite raditi. U ovom slučaju, Winbind se može konfigurirati za keširanje korisničkih računa domene. Da biste to učinili, učinite sljedeće. Dodajte sljedeće linije u /etc/samba/smb.conf odjeljak datoteke:

# Mogućnost offline autorizacije kada je domenski kontroler nedostupan winbind offline logon = da # Period keširanja računa, default je 300 sekundi winbind cache vrijeme = 300 # Opciono podešavanje, ali eliminiše zamorne pauze, navedite DC kontroler domene, # možete također odrediti lošu formu lozinke, ali ovo je dc specificirati ip server

Obično je ovo dovoljno. Ako dođe do greške, tada morate kreirati /etc/security/pam_winbind.conf datoteku sa sljedećim sadržajem:

Pažnja! Kada koristite savjete u nastavku, može doći do potpuno nasumične greške "Authentication Failed"! Stoga, sve što radite, radite na vlastitu odgovornost i rizik!

# # konfiguraciona datoteka pam_winbind # # /etc/security/pam_winbind.conf # # uključite otklanjanje grešaka = ne # zatražite keširanu prijavu ako je moguće # (potrebno je "winbind offline logon = yes" u smb.conf) cached_login = yes # authenticate = yes # authenticate koristeći kerbe_ krberos # zahtjev za "kerbes krberos" 5 tip keš akreditiva # (ostavite prazno da samo izvršite krb5 autentifikaciju, ali nakon toga nemate kartu #) krb5_ccache_type = FILE # učinite da uspješna autentikacija zavisi od članstva jednog SID-a # (može uzeti i ime) ;require_membership_of = tih = da

Datoteka /etc/pam.d/gnome-screensaver tada poprima oblik:

Dovoljna auth pam_unix.so nullok_secure auth dovoljna pam_winbind.so use_first_pass potrebna auth pam_deny.so

I datoteka /etc/pam.d/common-auth je također promijenjena:

auth opciono pam_group.so dovoljna auth pam_unix.so nullok_secure use_first_pass auth dovoljna pam_winbind.so use_first_pass potrebna auth pam_deny.so

Pozdrav, dragi ljubitelji računara i čitaoci bloga MyFirstComp.ru. Danas ćemo razmotriti prilično važnu temu s kojom se svaki administrator sistema suočio ili će se sigurno suočiti u bliskoj budućnosti. Korporativni LAN medij ili veliko preduzeće u 99% slučajeva ima domensku strukturu. Ovo diktira, pre svega, bezbednosna politika preduzeća. Dakle, svi računari na mreži koriste postavke glavnog računara - domena (sigurnost može biti obezbeđena zaštitnim zidom ili defanzivcem koji se lako može onemogućiti).

Sada predlažem da razmotrimo primjer kako ući u računar pod kontrola prozora 7. Iako, u principu, dodavanje računara sa drugim verzijama Windowsa u domenu nije mnogo drugačije - glavna stvar je razumjeti suštinu.

Prije svega, ubacujemo mrežni kabl na kompjuter =). Sada morate postaviti svoju mrežnu vezu. Kliknite desnim tasterom miša na računar u traci i otvorimo Centar za mrežu i deljenje.

U prozoru koji se pojavi kliknite na Promijeni postavke adaptera - otvorit će se sve dostupne mrežne veze. Moramo odabrati Local Area Connection, kliknuti desnom tipkom miša na nju i odabrati Svojstva.

U prozoru koji se otvori potrebno je da unesete podatke kao što su IP adresa, maska ​​podmreže, gateway i DNS server. Trebalo bi biti ovako nešto.

Kliknite OK, čime ćete sačuvati promjene. Ovim su pripremni radovi završeni. Sada pređimo na dodavanje računara u domenu.

Kliknite na Start, kliknite desnim tasterom miša na Computer, izaberite Properties. U lijevom dijelu prozora nalazimo stavku Napredne sistemske postavke i kliknemo na nju lijevim dugmetom miša. U prozoru koji se pojavi otvorite karticu Ime računara.

Pritisnemo OK. Od vas će biti zatraženo da unesete korisničko ime i lozinku koja ima pravo na pridruživanje računara domeni, na primjer, administrator domene. Nakon toga, potrebno je ponovno pokretanje.

Na kraju ponovnog pokretanja, vaš računar će biti u domenu.

Ako je računar ispao iz domene

Da, dešava se. Računar može bez razloga odbiti da vidi domenu. Shodno tome, autorizacija neće raditi.

Zatim ponovo unosimo računar u domen kao što je prikazano gore i ponovo pokrećemo računar.

Oznake: windows, domena, kompjuter

myfirstcomp.ru

Kako spojiti Windows 7 PC na domenu

Stavljanje računara u domen će vam omogućiti da uživate u dodacima domene kao što su skalabilnost, centralizovano upravljanje, grupne politike, sigurnosne postavke i još mnogo toga.

Prije spajanja vašeg Windows 7 stroja na domenu, uvjerite se da su ispunjeni sljedeći uvjeti:

Koristite Windows 7 Professional, Ultimate ili Enterprise - samo ove distribucije Windows 7 mogu biti uključene u domenu. Windows 7 Home je nemoguć, nemojte ni pokušavati.

Ti imaš LAN kartica(NIC) - bežična kartica će biti dovoljna

Fizički ste povezani na lokalnu mrežu iz koje je dostupan kontroler domene. Imajte na umu da se Windows 7 može pridružiti domeni bez mrežna veza sa potonjim (ova funkcija se pojavila u domeni na Windows Server 2008 R2), ali ovo je tema za poseban članak.

Imate ispravnu IP adresu za mrežu na koju ste povezani. Možete ga postaviti ručno ili preuzeti od njega DHCP server.

Vi "vidite" kontroler domene preko mreže.

Da li imate pravilno konfigurisan DNS server? ispravno podešavanje DNS, vaš računar se ne može uneti u domenu.

Imate prava lokalnog administratora - jednostavan korisnik to neće moći učiniti.

Morate znati naziv domene i imati aktivan korisnički/administratorski nalog na domeni. Podrazumevano, svaki korisnik domene može dodati 10 mašina u domenu. Ali ovu postavku može promijeniti administrator domene.

Postoje 3 opcije za spajanje mašine sa 7 na domen: korišćenjem grafičkog interfejsa (Moj računar-> Svojstva->Promeni postavke-> kartica Ime računara), korišćenjem uslužnog programa NETDOM komandne linije, korišćenjem naredbe Power Shell (add-computer). Neću se zadržavati na prvom, to svi dobro znaju.

Pomoću NETDOM uslužnog programa možete riješiti problem povezivanja na domenu iz komandne linije. Ali prema zadanim postavkama, ovaj uslužni program ne radi! Kako učiniti da netdom radi u Windows 7?

Otvorite prozor komandne linije s administratorskim pravima i unesite sljedeći red:

Netdom pridruživanje %computername% /domain:winitpro.ru /userd:DOMAIN\administrator /passwordd:

Napomena: Zamijenite winitpro.ru imenom svoje domene i unesite ispravno korisničko ime i lozinku. domena sa vašim ispravno ime domenu i, naravno, unesite odgovarajuće korisničke dozvole. Takođe obratite pažnju na dodatno "d" u opcijama /userd i /passwordd, to nije greška u kucanju.

Ponovo pokrenite računar. To je to, sada ste u domeni!

Također pogledajte članak: kako onemogućiti napuštanje domene, kao i funkciju pridruživanja van mreže u Windows Serveru 2008.

winitpro.ru

/ kako dodati računar na Windows domenu

Dobar dan, dragi čitaoci bloga pyatilistnik.org, danas želim da vam kažem kako da dodate računar na Windows server 2008 R2 domen. Šta je domen možete pročitati u članku Uvod u osnovne koncepte Active Directory-a. Za dodavanje računara u aktivna domena imenik, postoji nekoliko načina.

Kako dodati računar u domenu

I tako postoji nekoliko metoda za ulazak računara u domenu, jedan preko GUI interfejsa, ali drugi je za ljubitelje timova, ali oba imaju svoje sopstvene scenarije primene. Dozvolite mi da vas podsjetim da da biste dodali računar u AD, morate imati korisničke vjerodajnice ili administratora domene. Standardno, običan korisnik može dodati do 10 računara u AD, ali ako želi, to se može zaobići povećanjem brojke ili se može delegirati neophodna prava za račun.

1. Preko GUI

Idite na svojstva My Computer, da biste to uradili, kliknite desnim tasterom miša i izaberite iz kontekstni meni Svojstva. Ili pritisnite kombinaciju Win ključeve+ Pause Break, koji će takođe otvoriti prozor sa svojstvima sistema.

kako dodati računar na Windows domenu

Kliknite na Promijeni postavke

Kako dodati računar na Windows 2008 R2 domen

Na kartici Naziv računara kliknite na dugme Promeni

Kako dodati računar na Windows 2008 R2 domen

Ime računara postavljamo na maksimalno 16 karaktera, bolje je odmah postaviti ime koje vam je razumljivo i koje zadovoljava vaše standarde.

Kako dodati računar na Windows 2008 R2 domen

I napišite naziv domene, kliknite OK

navedite sufiks domene

Unosimo vjerodajnice koje imaju pravo ulaska servera u domenu, po defaultu svaki korisnik može ući do 10 puta u domenu, osim ako to naravno niste zabranili.

Unos akreditiva

uspješno dodavanje aktivnom direktoriju domene

Ne zaboravite da čim uđete na server u AD, on također mora odmah konfigurirati statičku IP adresu i tek onda ponovo pokrenuti

Nakon restartovanja vidimo da je sve u redu i da smo članovi domena i uspjeli ste da unesete PC u domen.

2. Netdom uslužni program

Otvorite (komandna linija) cmd. Ranije sam opisao kako otvoriti komandnu liniju Windowsa. Pogodnost ove metode je u tome što se može napraviti kao skripta i proslijediti je, na primjer, na udaljenog korisnika kome nedostaje znanje kako da to uradi.

Netdom join %competername% /domain:contoso.com /userd:contosoadmin1 /passwordd:* - %competername% naziv kompanije se može ostaviti ovako - /domain upisati domen - /userd login - passwordd:* znači da će od vas biti zatraženo da unesete lozinku

Mislim da nije bilo teško i sami ćete izabrati metodu koja vam odgovara. Korisno je znati i jedno i drugo, jer je ispravnije raditi server u core modu, radi maksimalne sigurnosti.

3. Preko datoteke van mreže i uslužnog programa djoin.exe

Zamislimo situaciju da nemate vezu sa kontrolerom na računaru u koji želite da uđete sa domene Active Directory, ali morate to da uradite, dobro, mrežni inženjer još nije postavio vpn kanal između kancelarija, Microsoft u ovom trenutku ima Offline skriptu za pridruživanje domenu, ili kako se to još obično naziva offline ulazak u domen. Offline pridruživanje domeni pojavilo se s pojavom Windows 7 i Windows Server 2008 R2. I kako izgleda dodavanje računara u AD domenu.

Evo, radi jasnoće, postoji direkcija i udaljenu granu, potrebno ih je međusobno povezati, rasporediti odvojeno pod domenom, nema smisla u ogranku, pošto su tamo dozvoljena samo 3 zaposlena, a prema standardima kompanije, oni bi trebali biti dio Active Directory domena.

Faze vanmrežnog pridruživanja domeni

• Na samom početku, potreban vam je bilo koji računar koji ima konekciju sa kontrolerom domene, na kojem ćemo kreirati posebnu datoteku, koja se zove blob (binarni veliki objekat), izvršavanjem naredbe djoin/vision na komandnoj liniji, koja će kreirati račun računara u bazi podataka Active Directory.
• Druga faza je prenošenje ovog fajla, putem pošte ili interneta, i na strani klijenta, koju treba uneti u domenu, izvršiti naredbu koristeći primljenu datoteku.

Parametri uslužnog programa djoin.exe

• /PROVISION - Obezbeđuje račun računara u domenu.
• /DOMAIN - domena za pridruživanje.
• /MACHINE - Računar koji će se pridružiti domeni.
• /MACHINEOU je izborni parametar koji specificira organizacionu jedinicu u kojoj je račun kreiran.
• /DCNAME - opcijski parametar koji specificira ciljni kontroler domene na kojem će se račun kreirati.
• /REUSE - Ponovo koristite postojeći nalog (lozinka će biti resetovana).
• /SAVEFILE - spremanje pripremnih podataka u datoteku koja se nalazi na navedenoj putanji.
• /NOSEARCH - preskočiti otkrivanje sukoba naloga; zahtijeva DCNAME (bolje performanse).
• /DOWNLEVEL - Pruža podršku za Windows Server 2008 ili stariji kontroler domene.
• /PRINTBLOB - Vraća base64 kodirani blob metapodataka za datoteku odgovora.
• /DEFPWD - koristite podrazumevanu lozinku računa računara (ne preporučuje se).
• /ROOTCACERTS - opcijski parametar, uključuje korijenske certifikate CA.
• /CERTEMPLATE - opcioni parametar šablona sertifikata računara. Uključuje root CA certifikate.
• /POLICYNAMES - opcioni parametar, lista naziva politika odvojenih tačkom i zarezom. Svako ime je ime za prikaz GPO-a u AD-u.
• /POLICYPATHS - opcioni parametar, lista putanja do politika odvojena tačkom i zarezom. Svaka staza ukazuje na lokaciju datoteke politike registra.
• /NETBIOS - opcioni parametar, Netbios ime računara koji će se pridružiti domeni.
• /PSITE je opcioni parametar stalne lokacije u koju treba postaviti računar koji se pridružuje domenu.
• /DSITE je neobavezni parametar dinamičke stranice u koju je inicijalno smješten računar spojen na domenu.
• /PRIMARYDNS - opcioni parametar, primarni DNS domen računara koji se pridružuje domenu.
• /REQUESTODJ - Zahtijeva offline pridruživanje domeni pri sljedećem pokretanju.
• /LOADFILE - specificirano ranije sa opcijom /SAVEFILE.
• /WINDOWSPATH - u direktorij sa offline windows slikom.
• /LOCALOS - omogućava vam da navedete lokalni operativni sistem u /WINDOWSPATH parametru.

U testnom okruženju napravićemo WKS1 računar i dodati ga u Active Directory domen. WKS1 će se nalaziti u pododjelu Offline_Join, blob datoteka će se zvati wks1.txt

djoin /provision /domain Contoso.com /machine WKS1 /machineOU "OU=Offline_Join,DC=Contoso,DC=com" /savefile c:\test\wks1.txt

Ako iznenada odlučite da možete pronaći korisne informacije u blob datoteci, onda ste u zabludi, ona je šifrirana i nije čitljiva.

Sada moramo prenijeti ovih par kilobajta udaljeni računar, gdje će se vršiti autonomni unos u domenu. Kopirajte blob u korijen diska C:\, otvorite komandnu liniju i unesite naredbu

djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos

Nakon izvršenja naredbe, metapodaci računa računala iz blob datoteke će biti dodati u Windows direktorij.

djoin radi sa virtuelnim mašinama, takođe radi sa praskom, nema razlike, postoji ključ /windowspath koji ukazuje na lokaciju VHD datoteke sa instaliranim sistemom.

4. dodati u domenu preko Powershell-a

Otvorite Powershell kao administrator i unesite sljedeću naredbu

Add-Computer -DomainName Navedite ime vaše domene

Navedite naziv Vaše domene, dobićete obrazac za unos login i lozinke

ako je sve u redu, tada ćete vidjeti žuti natpis da će doći do ponovnog pokretanja.

Kao što vidite, postoji mnogo metoda i svako će moći da koristi svoje i za svoje zadatke, mislim da se pitanje kako priključiti računar na domen oglasa može zatvoriti.

Materijal sajta Pyatilistnik.org

www.pyatilistnik.org

Kako dodati računar u domenu

Domeni uvelike olakšavaju rad korisnika, omogućavajući vam da se prijavite samo jednom i zaboravite na sve lozinke razni uređaji i datoteke na velikoj lokalnoj mreži.

Da biste to uradili, potrebna su vam: 1.admin prava; 2.lokalna mreža sa windows domenom; 3.korisnički nalog u domeni;

4.ime domene.

1. Možete uključiti računar u Windows domenu na kartici "Naziv računara" u prozoru "Svojstva sistema". Da biste otvorili prozor "Svojstva sistema" u operativnom sistemu Windows XP, koristite meni "Start" da otvorite "Kontrolna tabla" i kliknite na stavku "Sistem". Ako na vašem računaru radi Windows 7 ili Vista, otvorite "Control Panel" i idite na kategoriju "System and Security" u kojoj kliknite na stavku "System". Na stranici koja se otvori kliknite na link "Napredne postavke sistema" koji se nalazi u lijevoj koloni. 2. U prozoru System Properties koji se otvori, izaberite karticu Computer Name. Kliknite na dugme "Promeni" i u prozoru koji se otvori unesite naziv domene u koju želite da uključite računar. Zatim kliknite na dugme OK. U prozoru koji se pojavi unesite korisničko ime i lozinku domene. Zatim kliknite OK i ponovo pokrenite računar. Vaš računar je uključen u domenu. 3. Pored grafičkog interfejsa, možete priključiti računar na domen pomoću komandne linije. Operativni sistem Windows XP uključuje uslužni program NETDOM, koji može dodati računar u domen koristeći naredbu:

netdom pridružite se kompjutersko_ime /domena:ime_domena /korisnik:ime_domena\ime_korisnika /passwordd:korisnička_pass.

Gdje computer_name, domain_name i user_name treba zamijeniti imenima dodanog računara, domena i korisnika, respektivno, a user_pass treba promijeniti u lozinku korisnika u domeni.

U Windows 7, uslužni program NETDOM je zamijenjen naredbom u PowerShell-u - add-computer. Da biste računar spojili na domenu sa konzole u prozoru 7, pokrenite sljedeću naredbu:

add-computer -DomainName ime_domena -akreditiv ime_domena\ime_korisnika

Gdje ime_domena i korisničko_ime također zamjenjuju imena domena i korisnika.

Windows domena nije namijenjena za kućnu upotrebu, vrlo je zgodna u korporativnim mrežama s velikim brojem korisnika s različitim nivoima pristupa datotekama i uređajima. Dakle, računari sa operativnim sistemima za kućnu upotrebu, odnosno ispod nivoa Professional, nemaju alate za uključivanje domena. Da biste dodali takve računare, prvo ponovo instalirajte sistem.

Postoji brži način za pokretanje prozora System Properties. Ako imate Windows XP operativni sistem, kliknite desnim tasterom miša na ikonu "Moj računar" i u meniju koji se otvori kliknite na stavku "Svojstva sistema". Ako imate Windows 7 ili Vista operativni sistem, kliknite desnim tasterom miša na ikonu "Računar", izaberite "Svojstva sistema" i kliknite na "Napredne postavke sistema".

Prilikom spajanja računara na domenu, na istoj kartici "Naziv računara" možete navesti opis vašeg računara, koji će biti nagoveštaj za korisnike domena.

complaz.ru

Kako na različite načine uneti računar u domenu?

Obično se postavlja pitanje povezivanja računara sa domenom administratori sistema, koje treba kreirati lokalna mreža. Sistem domena znači da svi računari na mreži koriste postavke glavnog računara. Hajde da pokušamo da shvatimo kako da domenu povežemo računar sa operativnim sistemom Windows 7. Za druge operativne sisteme, veza se ne razlikuje previše.

Koje su prednosti domenske strukture? Uz to, možete koristiti, na primjer, grupne politike i centralizirano upravljanje. Ovo vam omogućava da radite efikasno.

Važni zahtjevi

Pre nego što unesete Windows 7 računar u domen, potrebno je da proverite da li računar ispunjava niz uslova, da li su sva podešavanja izvršena. Ima ih dosta, iako bi većina već trebala biti proizvedena. Provjerite sljedeće:

• Windows 7 se mora koristiti u sljedećim verzijama: Professional, Ultimate ili Enterprise. Samo ove verzije se mogu pridružiti domeni;
• Mrežna kartica mora biti prisutna. Ali to se podrazumeva;
• Mora se uspostaviti LAN veza. U većini slučajeva, iako možete da povežete Windows 7 sa Windows Server 2008 R2 van mreže, ovo je poseban problem;
• Mora biti navedena ispravna IP adresa. Može se konfigurirati ručno, dobiti od DHCP servera ili može biti APIPA-adresa (njene vrijednosti počinju sa 169.254.X.Z);
• Morate biti sigurni da su kontroleri (barem jedan) dostupni za povezivanje;
• Također provjerite vezu kontrolera (na primjer, možete ga pingovati, odnosno provjeriti kvalitet veze);
• DNS server mora biti pravilno konfigurisan. Ovo je važno, ako je pogrešno konfigurisan, možete imati problema pri povezivanju na domenu. Čak i ako je veza uspješna, kasnije su mogući kvarovi;
• DNS serveri moraju biti dostupni. Da biste to učinili, morate provjeriti vezu pomoću programa PING;
• Pogledajte svoja prava na lokalnom sistemu. Prava moraju biti prisutna lokalni administrator kompjuter;
• Morate znati naziv domene, ime administratora i lozinku.

Povezivanje računara sa domenom

Postoje dva načina da dodate računar u domenu. Pogledajmo ih detaljnije.

Prva metoda

Ovo je standardni način spajanja računara na domen. Slijedite ove korake:

• Kliknite na ikonu "Start", kliknite desnim tasterom miša na prečicu "Računar", izaberite "Svojstva";
• U stavci "Naziv računara, domena i radna podešavanja" kliknite na "promijeni postavke";
• Otvorite karticu "Naziv računara" i kliknite na "Promeni";
• U odjeljku "Dio (nečega)" odaberite "Domena";
• Unesite naziv domene na koju se povezujete, kliknite "OK";
• Ponovo unesite ime i lozinku.

Zatim ponovo pokrenite računar. Nakon toga, PC će biti povezan na domenu na lokalnoj mreži.

Druga metoda

Morate koristiti NETDOM aplikaciju. Za povezivanje domene potrebno je da unesete samo jednu naredbu u komandnu liniju:

pri čemu:

• Parametri "DOMAIN.COM" i "DOMAIN" moraju biti zamijenjeni imenom domene. Također morate navesti korisničko ime i lozinku;
• Dodatni 'd' u 'korisniku' i 'lozinki' nije greška u kucanju;
• U Windows 7, NETDOM je već u operativnom sistemu. U verzijama Windows 2000, XP i 2003 morate instalirati alate za podršku.

Da biste dovršili vezu, ponovo pokrenite računar.

Šta učiniti ako je domena "ispala"?

Ovo se dešava nakon povezivanja računara sa domenom. Računar to jednostavno ne "vidi". To ćete odmah primijetiti, jer se nećete moći prijaviti. Uradite sljedeće:

• Prijavite se kao lokalni administrator;
• Idite na svojstva sistema i u stavci "Ime računara" imajte na umu da je računar deo radne grupe;
• Ponovo pokrenite računar;
• Zatim ponovo povežite računar sa domenom, kao što je gore opisano;
• Ponovo pokreni.

Računar bi se sada trebao pridružiti domeni.

Postavljanje računara u određeni kontejner

Nedostatak opisanih metoda povezivanja na domenu je to što se PC nalazi u standardnom kontejneru, najčešće u folderu "Računar". A da biste prešli na drugu lokaciju, potreban vam je administrator. Ali možete odmah staviti računar u željeni kontejner. Za ovo postoje dvije opcije.

Metoda broj 1

Da biste to učinili, prvo se kreira prazan nalog na kojem se nalazi računar (potrebno je imati prava za kreiranje objekta). U ADUC konzoli se kreira novi nalog sa istim imenom koji će se koristiti za povezivanje na domenu. Zatim koristite gore opisani način povezivanja. Sistem će vidjeti nalog koji već postoji u domeni, ali jednostavno nije mapiran na njega. Kada se uskladi, računar će stati u odgovarajući kontejner.

Metoda broj 2

Možete koristiti naredbu Powershell:

• Prijavite se sa administratorskim pravima;
• U komandnoj liniji unesite "powershell" (tada umjesto toga možete koristiti PoSh);
• Komanda za uključivanje računara u domenu corp.company.ru sa naloga corpcompany_admin, koja kreira nalog u kontejneru corp.company.ru/Admin /Computers, gde je kompanija naziv računara, izgledaće ovako:

  add-computer -DomainName corp.company.ru -credential corp company_admin –OUPath "OU=Computers,OU=Admin,dc=corp,dc=company,DC=ru";

• Otvoriće se novi prozor u koji unesite company_admin korisničku lozinku;
• Zatim će se pojaviti prozor "UPOZORENJE: Promene će stupiti na snagu nakon što ponovo pokrenete računar pcwin8" (pcwin8 znači operativni sistem). Ponovo pokrenite računar.

Sada će se računar nalaziti u desnom kontejneru, na koji se odnosi domen.

Za ispravno povezivanje računara na domenu, bolje je to izvesti za administratora koji je kreirao ovu lokalnu mrežu. On zna za sve zamke u ovoj domeni i stoga će se moći brzo povezati. Ako odlučite da sami priključite računar na domenu, onda u slučaju bilo kakvog problema ostavite računar u ovom stanju dok stručnjak ne izvrši ispravku.