Connessione al dominio di Windows 7. Creare e amministrare un oggetto computer in Active Directory

Inserimento del dominio offline

Immissione del dominio offline o Unisciti al dominio offlineÈ una funzionalità piuttosto interessante introdotta in Windows 7 e Windows Server 2008 R2. Ti consente di unire computer offline a un dominio Active Directory senza doverti connettere a un controller di dominio.

Non è necessario modificare il livello di funzionalità del dominio o della foresta per utilizzare l'aggiunta al dominio offline. Puoi anche fare a meno di un controller di dominio Windows Server 2008 R2. Per l'immissione del dominio offline, è necessaria solo l'utilità djoin.exe che è incluso con Windows 7 e Server 2008 R2. In altre parole, è sufficiente un computer con Windows 7/2008 R2 in esecuzione nel dominio richiesto.

L'accesso offline a un dominio viene eseguito in più fasi. La prima fase consiste nel creare un file con i dati dell'account per il computer connesso. A tale scopo, su qualsiasi server Windows 2008 R2 (o workstation Windows 7) nel dominio di destinazione, eseguire un comando nella Shell che crea un account computer nel dominio. La squadra ha i seguenti parametri:

• / dominio- il nome del dominio di destinazione;
• / macchina- il nome della macchina da aggiungere al dominio;
• / macchina- l'unità in cui deve essere collocata la vettura. Se non specificato, la macchina verrà inserita nel contenitore predefinito Computer;
• / dcname Nome del controller di dominio specifico che creerà l'account del computer. Se non specificato, il controller viene selezionato automaticamente;
• / salvare il file- il file in cui sono salvati i dati del computer collegato;
• / riutilizzare- utilizzare un account computer esistente;
• / livello inferiore- Supporto per controller di dominio fino a Windows Server 2008 R2.

Ad esempio, creiamo un computer denominato WKS1 nel dominio Contoso.com, inseriamolo nell'unità organizzativa Offline_Join e salviamo i dati nel file wks1.txt:

djoin / provisioning / dominio Contoso.com / machine WKS1 / machineOU
″ OU = Offline_Join, DC = Contoso, DC = com ″ / savefile c: \ test \ wks1.txt

Il passaggio successivo consiste nel trasferire il file risultante sul computer, che dovrebbe essere aggiunto autonomamente al dominio. Questo può essere fatto in qualsiasi modo disponibile, ad esempio inviandolo via e-mail o caricandolo su ftp. Tieni presente che il file binario contiene la password dell'account del computer e altre informazioni sul dominio, inclusi il nome del dominio, il nome del controller di dominio, il SID del dominio e così via, pertanto il trasferimento deve essere eseguito in modo sicuro.

Il passaggio finale nella voce del dominio offline consiste nell'aggiungere i metadati dell'account del computer da un file alla directory di Windows. Per fare ciò, è necessario accedere al computer desiderato e, in un prompt dei comandi con privilegi elevati, eseguire un comando che creerà una richiesta di aggiunta al dominio offline al successivo avvio. Il comando utilizza i seguenti parametri:

• / file di caricamento- aggiunge i metadati dell'account del computer alla directory di Windows;
• / locali- indica l'installazione di un sistema operativo locale (non un file immagine);
• / percorso di finestra- percorso della cartella con l'immagine di Windows. Quando si utilizza il parametro / locali devi specificare una variabile d'ambiente % root di sistema% o % vento% .

Nota. L'utility djoin può funzionare sia con macchine fisiche che virtuali. Quando si lavora con macchine virtuali, la chiave / percorso di finestra indica la posizione del file .vhd con il sistema installato.

Aggiungi la nostra workstation WKS1 al dominio con il comando:

djoin / requestODJ / loadfile c: \ test \ wks1.txt / windowspath% systemroot% / localos

Ora non resta che riavviare la macchina e, se è disponibile un controller, sarà possibile accedere al dominio.

In conclusione, dirò che questo articolo descrive solo una delle diverse opzioni per l'utilizzo di djoin.exe. Se sei interessato a questo argomento, puoi trovare informazioni più dettagliate qui.

La procedura per l'inserimento nel dominio di un computer situato al di fuori del perimetro del proprio ambiente aziendale non è complicata e si compone di due passaggi che devono essere eseguiti sul client e sull'eventuale server compreso nel dominio della propria organizzazione.

1. Creare un file di risposte per l'aggiunta al dominio offline di un PC a un dominio

Connettiamoci alla console del server utilizzando il protocollo Remote Desctop e lanciamo la riga di comando, o la console powershell. Usa quello che ti piace di più. Nell'esempio userò la riga di comando. per questo eseguirò l'utilità cmd come amministratore. Per farlo, clicca su Riga di comando fare clic con il tasto destro e selezionare nella finestra che appare Eseguire come amministratore.

Utilizzando l'interfaccia della riga di comando, immettere il seguente comando:

Djoin.exe / provisioning / dominio ESEMPIO.COM/ macchina NOME DEL COMPUTER/ rootcacerts / machineou " ou = desktop, dc = ESEMPIO, dc = COM"/ Policynames" Opzioni client DirectAccess "/ savefile C: \ NOME FILE.txt

Guida dell'utilità Djoin.exe:

/ DISPOSIZIONE- prepara un account computer nel dominio.
/ DOMINIO <имя> — <имя>dominio a cui aderire.
/ MACCHINA <имя> — <имя>computer che si unisce al dominio.
/ MACCHINARIO - un parametro opzionale che definisce il reparto
in cui viene creato l'account.
/ DCNAME - un parametro facoltativo che specifica il controller di dominio di destinazione dove verrà creato l'account.
/ RIUTILIZZARE- riutilizzare un account esistente (la password verrà reimpostata).
/ SALVARE IL FILE <путь_к_файлу>- salvare i dati di preparazione in un file situato nel percorso specificato.
/ RICERCA IN NASO- saltare il rilevamento dei conflitti di account; DCNAME richiesto (prestazioni migliori).
/ DOWNLEVEL- Fornisce supporto per un controller di dominio Windows Server 2008 o precedente.
/ STAMPA BLOB- Restituisce un BLOB di metadati con codifica base64 per un file di risposta.
/ DEFPWD- utilizzare la password dell'account del computer predefinita (sconsigliato).
/ ROOTCACERT- parametro facoltativo, abilita i certificati radice dell'autorità di certificazione.
/CERTIFICATO <имя>- parametro opzionale,<имя>modello di certificato informatico. Include i certificati radice del centro
certificazione.
/NOMIPOLITICA <имена>- parametro facoltativo, un elenco di nomi di criteri separati da punto e virgola. Ciascun nome è il nome visualizzato di un oggetto Criteri di gruppo in AD.
/ PERCORSI POLITICI <пути>- parametro facoltativo, un elenco di percorsi ai criteri, separati da punto e virgola. Ciascun percorso punta alla posizione del file delle politiche di registro.
/NETBIOS <имя>- parametro opzionale, nome Netbios del computer da aggiungere al dominio.
/PSITE <имя>- parametro opzionale,<имя>il sito permanente in cui si desidera posizionare il computer per unirsi al dominio.
/DSITE <имя>- parametro opzionale,<имя>un sito dinamico che ospita inizialmente un computer da aggiungere al dominio.
/ PRIMARYDNS <имя>- un parametro facoltativo, il dominio DNS primario del computer che si unisce al dominio.
/ REQUESTODJ- Richiede l'aggiunta al dominio offline all'avvio successivo.
/ LOADFILE <путь_к_файлу> — <путь_к_файлу>specificato in precedenza con l'opzione /SAVEFILE.
/PERCORSO FINESTRA <путь> — <путь>nella directory con l'immagine Windows offline.
/LOCALOS- permette di specificare il sistema operativo locale nel parametro /WINDOWSPATH.
Questo comando deve essere eseguito da un amministratore locale.
Sarà necessario riavviare il computer per applicare le modifiche.

Come risultato dell'esecuzione del comando con i parametri di cui sopra, riceveremo un file di risposta che contiene già i certificati necessari per il funzionamento di Direct Access, un elenco di criteri di accesso diretto, è richiesto lo spazio dei nomi DNS.

2. Entrare nel dominio del computer tramite Direct Access

Trasferiamo il file di testo risultante sul posto di lavoro dell'utente e lo eseguiamo dalla riga di comando:

djoin / requestODJ / loadfile C: \ NOME FILE.txt/ windowspath% SystemRoot% / localos

Questo completa la procedura per l'aggiunta remota di un computer al dominio. Nella finestra di invito, inserisci il nome utente e la password del dominio.

Avrai bisogno

• - diritti di amministratore;
• - rete locale con dominio Windows;
• - account utente nel dominio;
• - nome del dominio.

Istruzioni

È possibile aggiungere un computer a un dominio Windows nella scheda Nome computer nella finestra Proprietà del sistema. Per aprire la finestra Proprietà del sistema in Windows XP, utilizzare il menu Start per aprire il Pannello di controllo e fare clic su Sistema. Se il tuo computer esegue Windows 7 o Vista, apri il "Pannello di controllo" e vai alla categoria "Sistema e sicurezza", nella quale fai clic sulla voce "Sistema". Nella pagina che si apre, clicca sul link "Parametri di sistema aggiuntivi" che si trova nella colonna di sinistra.

Nella finestra "Proprietà del sistema" che si apre, seleziona la scheda "Nome computer". Fare clic sul pulsante "Cambia" e, nella finestra che si apre, inserire il nome del dominio desiderato. Quindi fare clic sul pulsante OK. Nella finestra che appare, inserisci il nome utente e la password del dominio. Quindi fare clic su OK e riavviare il computer. Il tuo computer è incluso nel dominio.

Oltre all'interfaccia grafica, puoi aggiungere un computer al dominio utilizzando la riga di comando. Il sistema operativo Windows XP include l'utilità NETDOM, che può aggiungere un computer a un dominio utilizzando il comando:

netdom join nome_computer / dominio: nome_dominio / userd: nome_dominio \ nome_utente / passwordd: user_pass.

Dove nome_computer, nome_dominio e nome_utente devono essere sostituiti con i nomi del computer, dominio e utente da aggiungere e pass_utente deve essere modificato con la password dell'utente nel dominio. In Windows 7, l'utilità NETDOM è stata sostituita dal comando add-computer in PowerShell. Per unire un computer a un dominio dalla console in Windows 7, eseguire il comando seguente:

Aggiungi-computer -DomainName nome_dominio -credential nome_dominio \ nome_utente

Dove nome_dominio e nome_utente vengono sostituiti anche con nomi di dominio e utente.

Video collegati

Nota

Il dominio Windows non è destinato all'uso domestico; è molto conveniente nelle reti aziendali con un numero elevato di utenti con diversi livelli di accesso a file e dispositivi. Pertanto, i computer che eseguono sistemi operativi per uso domestico, ovvero al di sotto del livello Professional, non dispongono degli strumenti per unirsi al dominio. Per aggiungere tali computer, reinstallare prima il sistema.

Consigli utili

C'è un modo più veloce per avviare la finestra Proprietà del sistema. Se hai un sistema operativo Windows XP, fai clic destro sull'icona "Risorse del computer" e nel menu che si apre, fai clic sulla voce "Proprietà del sistema". Se il tuo sistema operativo è Windows 7 o Vista, fai clic con il pulsante destro del mouse sull'icona "Computer", seleziona "Proprietà di sistema" e fai clic su "Impostazioni di sistema avanzate".

Quando aggiungi un computer a un dominio, nella stessa scheda Nome computer, puoi specificare una descrizione del tuo computer, che sarà un suggerimento per gli utenti del dominio.

Fonti:

• come collegare un dominio

Il pannello di amministrazione esiste in modo che il webmaster possa aggiungere, modificare ed eliminare il contenuto del sito attraverso di esso. per entrare dominioè necessario conoscere login e password.

Istruzioni

Per avviare il sito futuro nel browser, digita localhost / nella barra degli indirizzi dominio... Se hai creato una parte di lavoro della risorsa, dovrebbe apparire di fronte a te. Per accedere al pannello amministrativo, passa il cursore del mouse sulla barra degli indirizzi e aggiungi admin. Confermare l'operazione premendo il tasto Invio. Dovresti avere il seguente indirizzo: localhost / site / admin /.

Quindi, prima di te c'è il pannello di amministrazione. Inserisci il tuo login (Username) in un campo di testo e la tua password nell'altro. Per impostazione predefinita, il nome dell'amministratore è admin. Se vuoi cambiarlo, vai alle impostazioni del pannello e cambia il login. La password ti è stata fornita dall'hosting predefinito. Puoi anche cambiarlo nelle impostazioni generali. Per fare ciò, vai nella sezione "Gestione utenti", clicca sulla voce "Amministratore", inserisci una nuova password e confermala.

Dopo aver inserito login e password dal pannello di amministrazione, fai clic su "Accedi". Di fronte a te apparirà un pannello amministrativo, in cui puoi gestire il sito. In esso è possibile modificare, aggiungere o eliminare dati. Quando accedi al pannello di amministrazione, metti un segno di spunta accanto a "Ricordami". Questo ti eviterà di dover inserire la tua password ogni volta che accedi al pannello di controllo.

C'è un secondo modo. Vai al pannello di amministrazione attraverso il sito stesso. Per fare ciò, inserisci l'indirizzo del tuo sito web nella barra degli indirizzi ( dominio) e premere Invio. Fare clic su "Accedi" o "Accedi". Inserisci il tuo nome utente e password. Premi Invio. Se hai inserito i dati correttamente, il sistema ti aprirà il pannello amministrativo di fronte a te.

Terzo modo. Entra nella barra degli indirizzi dominio... Il sito si aprirà. Nella parte superiore dovrebbero esserci alcune funzioni del pannello di controllo. Ci sarà anche una scritta "Pannello amministratore". Cliccaci sopra, se necessario, inserisci i tuoi dati di registrazione.

Fonti:

• come inserire la mail del tuo dominio

Contabilità registrazione « un ospite»Consente di limitare l'accesso a file e applicazioni sul computer se utilizzato da un numero elevato di persone. Utente connesso come un ospite, potrà visualizzare documenti pubblici e personali, navigare in Internet, ma non potrà installare programmi e vedere file personali di altri utenti.

Istruzioni

Per determinare dove va il tuo computer, fai clic con il pulsante destro del mouse sull'icona "Risorse del computer". Nella finestra che si apre, nella sezione "Nome computer, nome dominio e impostazioni gruppo di lavoro", sarà presente una corrispondente scritta "Dominio" o "Gruppo di lavoro" seguita da un nome, ad esempio "Gruppo di lavoro".

Se il tuo computer è un membro del. Apri "Account utente" andando su "Start" -> "Pannello di controllo". Nella finestra che si apre, seleziona "Account utente" e di nuovo "Account utente". Seleziona "Controllo dell'account utente". Se è impostata una password di amministratore, il sistema ti chiederà di inserirla o confermarla. Inserire la password. Dopo aver confermato la password, nella finestra che si apre, vai alla scheda "Avanzate", fai clic sul pulsante "Avanzate" e seleziona " un ospite". Nella finestra di dialogo Proprietà account ospite, deseleziona la casella accanto a Disattiva account registrazione". Fare clic su "Ok". Contabilità registrazione « un ospite"È incluso.

Se il tuo computer fa parte di un gruppo di lavoro. Vai all'indirizzo: "Start" -> "Pannello di controllo" -> "Account utente e controllo genitori" -> "Account utente". Nella finestra che si apre, seleziona la voce "Gestisci un altro account registrazione Yu". Fare clic una volta sull'icona che dice " un ospite". Nella finestra successiva, il sistema ti chiederà di abilitare l'account registrazione « un ospite"? Fare clic sul pulsante Abilita.

Dopo aver abilitato l'account " un ospite”, Quando si effettua l'accesso, verrà visualizzata una schermata con la selezione dell'account. Seleziona un account registrazione puoi cliccandoci sopra. Se sei l'utente principale del computer, ricorda di impostare una password di amministratore in modo che altri utenti non possano vedere e modificare i tuoi documenti, nonché installare e disinstallare programmi.

Nota

Gli account ospite non sono supportati su Windows 7 Starter.

Quando si accede a dischi, cartelle o un'unità ottica del computer di qualcun altro sulla rete locale, il sistema utilizza gli indirizzi di questi dispositivi e oggetti, che includono il nome di rete del computer remoto. Inoltre, c'è un appello a una stampante, un'unità flash e altri dispositivi periferici collegati al computer di qualcun altro. È possibile modificare questo nome di rete nelle impostazioni del sistema operativo.

Istruzioni

Una finestra con le impostazioni relative al nome di rete del computer viene richiamata tramite una delle applet del Pannello di controllo di Windows. Il collegamento a questo pannello si trova nel menu principale del sistema operativo: fare clic sul pulsante "Start" e selezionare "Pannello di controllo" nella colonna di destra. Nella finestra che si apre, fai clic sulle parole "Sistema e sicurezza", quindi - "Sistema". Successivamente, l'applet richiesta apparirà sullo schermo. Tuttavia, tutte queste azioni possono essere sostituite premendo un paio di "tasti di scelta rapida" Win + Pause.

L'applet ha una sezione separata con il sottotitolo "Nome computer, nome di dominio e impostazioni del gruppo di lavoro", sul lato destro della quale è presente un collegamento "Modifica impostazioni". Fare clic per aprire una finestra per la modifica di alcune proprietà del sistema. L'accesso ad essi richiede che l'utente disponga dei diritti di amministratore. Se non hai effettuato l'accesso come amministratore, verrà visualizzata una finestra di dialogo che ti chiederà di inserire una password.

Nella scheda "Nome computer" nella finestra delle proprietà del sistema, fare clic sul pulsante "Cambia", dopodiché, infine, verrà visualizzata una finestra con il campo "Nome computer", il cui valore è necessario modificare. Immettere un nuovo nome di rete, seguendo le regole standard per i nomi di Internet. Consentono solo l'uso di lettere dell'alfabeto latino, nonché numeri e alcuni simboli, ad eccezione di quelli speciali. Il proibito include, ad esempio,; : "* + \ |,? =. Microsoft consiglia di utilizzare nomi brevi e descrittivi non più lunghi di 15 caratteri. Inoltre, non devono essere tutti numeri e non possono contenere spazi.

Quindi fare clic su OK e chiudere il Pannello di controllo. Se il computer è membro di un dominio, il sistema ti chiederà anche di inserire la password dell'utente che ha il diritto di modificare i nomi dei computer del dominio. E se il dominio non viene utilizzato, tieni presente che altri computer sulla rete locale proveranno a trovare le risorse di questo computer (ad esempio, un'unità di rete) all'indirizzo precedente. Pertanto, sarà necessario modificare manualmente il nome nell'indirizzo della risorsa di rete o disconnetterla e riconnetterla.

Nota

Questo articolo discuterà come cambiare il nome del computer in Windows 7. Questo è fatto in modo abbastanza semplice, in pochi passaggi. Il nome del computer viene solitamente utilizzato per identificarlo sulla rete e viene impostato durante l'installazione del sistema. Puoi trovare questo nome nelle proprietà del Computer (che si trova nel menu "Start"). Per modificare il nome del computer, seguire la sequenza dei passaggi

Consigli utili

Cambia il nome del computer. Ciascun computer in rete deve avere un nome univoco in modo che i computer possano identificarsi e comunicare tra loro in modo univoco. La maggior parte dei computer ha nomi predefiniti, ma in genere è possibile modificarli. Si consiglia di dare ai computer nomi brevi (non più di quindici caratteri) e significativi. Si consiglia di utilizzare solo caratteri Internet standard per il nome del computer.

Spesso è necessario aggiungere una macchina Linux a un dominio Windows esistente. Ad esempio, per creare un file server utilizzando Samba. È molto facile farlo, per questo hai bisogno di un client Kerberos, Samba e Winbind.

Si consiglia di aggiornare prima di installare:

Aggiornamento sudo aptitude aggiornamento sudo aptitude

Puoi installare tutte queste cose con il comando:

Sudo aptitude install krb5-user samba winbind

Potrebbe anche essere necessario installare le seguenti librerie:

Sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind

Oppure, se stai usando Ubuntu Desktop, gli stessi pacchetti possono essere consegnati tramite il gestore di pacchetti Synaptic.

Successivamente, devi configurare tutti gli strumenti di cui sopra per funzionare con il tuo dominio. Supponiamo che tu voglia accedere a un dominio DOMINIO.COM, il cui controller di dominio è il server dc.dominio.com con indirizzo IP 192.168.0.1 ... Questo server è anche il server DNS primario per il dominio. Inoltre, supponiamo che tu abbia un secondo controller di dominio, noto anche come DNS, dc2.dominio.com con IP 192.168.0.2 ... Il tuo computer verrà chiamato smbsrv01.

Configurazione DNS

Innanzitutto, è necessario modificare le impostazioni DNS sulla macchina, registrando il controller di dominio come server DNS e il dominio desiderato come dominio di ricerca.

Se hai un indirizzo IP statico, in Ubuntu Desktop questo può essere fatto tramite Network Manager, in Ubuntu Server devi cambiare il contenuto del file /etc/resolv.conf in qualcosa del genere:

Dominio dominio.com ricerca dominio.com server dei nomi 192.168.0.1 server dei nomi 192.168.0.2

Nelle distribuzioni moderne, il file resolv.conf viene creato automaticamente e non è necessario modificarlo manualmente. Per ottenere il risultato desiderato, è necessario aggiungere le modifiche necessarie al file: /etc/resolvconf/resolv.conf.d/head I dati che verranno aggiunti verranno automaticamente inseriti nel file /etc/resolv.conf

Se l'indirizzo IP è dinamico ed è assegnato dal server DHCP, dopo aver riavviato resolv.conf, potrebbe essere formato un resolv.conf "sbagliato", ad esempio, esiste un solo nameserver 192.168.0.1 e dominio e ricerca non sono È necessario modificare /etc/dhcp/dhclient.conf Affinché il dominio e i record di ricerca vengano visualizzati, è necessario rimuovere il commento prima della riga di sostituzione del nome di dominio e inserire il proprio dominio:

Sostituisci il nome di dominio "domain.com";

Per aggiungere un altro nameserver, è necessario rimuovere il commento davanti a domain-name-servers e specificare l'ip del server:

Anteponi server dei nomi di dominio 192.168.0.2;

Per applicare le modifiche, resta da riavviare il servizio:

/etc/init.d/networking restart

Ora assicurati di impostare il nome host corretto nel file / etc / hostname:

Smbsrv01

Inoltre, è necessario modificare il file /etc/hosts in modo che contenga una voce con il nome di dominio completo del computer e necessariamente un breve nome host che fa riferimento a uno degli IP interni:

# I nomi di questo computer 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01

Immediatamente devi verificare che il nostro controller di dominio esegua il ping normalmente, con il nome breve e completo, in modo che in futuro non riceverai errori che il controller di dominio non è stato trovato:

Ping dc ping dc.dominio.com

Non è necessario, ma se cambi qualcosa, riavvia il computer per applicare le modifiche.

Impostazione della sincronizzazione dell'ora

Successivamente, è necessario configurare la sincronizzazione dell'ora con il controller di dominio. Se la differenza è superiore a 5 minuti, non potremo ricevere un foglio da Kerberos. Per una sincronizzazione una tantum, puoi utilizzare il comando:

Sudo net time set dc

Se sulla rete è presente un server dell'ora esatta, puoi utilizzarlo o uno pubblico:

Ntpdate ntp.mobatime.ru

La sincronizzazione automatica è configurata usando ntpd, questo demone si sincronizzerà periodicamente. Per prima cosa devi installarlo:

Sudo aptitude install ntp

Ora modifica il tuo file /etc/ntp.conf per aggiungere le informazioni del tuo time server:

# È necessario parlare con uno o due server NTP (o tre). server dc.dominio.com

Quindi riavvia il demone ntpd:

Sudo /etc/init.d/ntp restart

Ora è il momento di impostare l'interazione diretta con il dominio.

Configurazione dell'autenticazione Kerberos

Default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = (host = (rcmd = host ftp = ftp) plain = (qualcosa = qualcos'altro)) fcc-mit-ticketflags = true DOMINIO.COM = (kdc = dc kdc = dc2 admin_server = dc default_domain = DOMINIO.COM) .domain.com = DOMINIO.COM dominio.com = DOMINIO.COM krb4_convert = false krb4_get_tickets = false

Ovviamente dovrai cambiare domain.com con il tuo dominio e dc e dc2 con i tuoi controller di dominio. A proposito, potrebbe essere necessario scrivere i nomi completi dei controller di dominio dc.domain.com e dc2.domain.com. Poiché ho un dominio di ricerca DNS registrato, non ho bisogno di farlo.

Presta particolare attenzione al registro del nome a dominio: ovunque il dominio sia scritto in maiuscolo, deve essere scritto in maiuscolo. Altrimenti, magicamente, niente potrebbe funzionare.

Queste non sono tutte le possibili opzioni di configurazione di Kerberos, solo quelle di base. Tuttavia, di solito sono sufficienti.

Ora è il momento di verificare che possiamo accedere al dominio. Per fare ciò, esegui il comando

Kinit [e-mail protetta]

Al posto del nome utente, vale naturalmente la pena inserire il nome di un utente di dominio esistente.

Il nome a dominio deve essere scritto in maiuscolo!

Se non hai ricevuto alcun errore, hai configurato tutto correttamente e il dominio ti fornisce un ticket Kerberos. A proposito, alcuni errori comuni sono elencati di seguito.

Puoi verificare che il ticket sia stato ricevuto eseguendo il comando

Puoi eliminare tutti i biglietti (generalmente non ti servono) con il comando

Errori comuni di Kinit

Kinit (v5): sfasamento dell'orologio durante l'acquisizione delle credenziali iniziali

Ciò significa che l'ora del tuo computer non è sincronizzata con il controller di dominio (vedi sopra).

Kinit (v5): la preautenticazione non è riuscita durante il recupero delle credenziali iniziali

Hai inserito una password errata.

Kinit (v5): la risposta del KDC non corrispondeva alle aspettative durante l'acquisizione delle credenziali iniziali

L'errore più strano. Assicurati che il nome del dominio in krb5.conf e il dominio nel comando kinit siano in maiuscolo:

DOMAIN.COM = (# ... kinit [e-mail protetta] kinit (v5): client non trovato nel database Kerberos durante l'ottenimento delle credenziali iniziali

L'utente specificato non esiste nel dominio.

Configurazione di Samba e accesso al dominio

Per accedere al dominio, è necessario registrare le impostazioni corrette nel file /etc/samba/smb.conf. In questa fase, dovresti essere interessato solo ad alcune delle opzioni della sezione. Di seguito è riportato un esempio di una porzione di un file di configurazione di Samba con commenti sul significato di parametri importanti:

# Queste due opzioni devono essere scritte in maiuscolo, con workgroup senza # l'ultima sezione dopo il punto e realm è il nome di dominio completo workgroup = DOMAIN realm = DOMAIN.COM # Queste due opzioni sono responsabili dell'autorizzazione tramite AD security = ADS encrypt passwords = true # Solo importante proxy dns = nessuna opzione socket = TCP_NODELAY # Se non vuoi che samba provi a diventare un leader in un dominio o un gruppo di lavoro a volte, # o addirittura diventare un controller di dominio, allora scrivi sempre queste cinque opzioni in questo modulo master dominio = no master locale = no master preferito = no livello os = 0 accessi dominio = no # Disabilita supporto stampante carica stampanti = no show procedura guidata aggiunta stampante = no printcap name = / dev / null disabilita spoolss = si

Dopo aver modificato smb.conf, esegui il comando

Testparm

Verificherà la tua configurazione per eventuali errori e ne fornirà un riepilogo:

# testparm Carica i file di configurazione smb da /etc/samba/smb.conf File dei servizi caricato OK. Ruolo del server: ROLE_DOMAIN_MEMBER Premi invio per vedere un dump delle definizioni del tuo servizio

Come puoi vedere, abbiamo impostato i parametri corretti affinché il nostro computer diventi membro del dominio. Ora è il momento di provare ad accedere direttamente al dominio. Per fare ciò, inserisci il comando:

Net ads join -U username -D DOMAIN

E in caso di successo, vedrai qualcosa di simile a:

# net ads join -U nome utente -D DOMINIO Inserisci il nome utente "s password: Utilizzo del nome di dominio breve - DOMINIO unito" SMBSRV01 "al regno" dominio.com "

Parametri usati per il comando net

U username% password: Parametro obbligatorio, al posto del nome utente, è necessario sostituire un nome utente con diritti di amministratore di dominio e specificare una password.

D DOMINIO: DOMINIO - il dominio stesso, il dominio può essere omesso, ma è meglio farlo sempre - non peggiorerà.

S win_domain_controller: win_domain_controller, puoi lasciarlo vuoto, ma ci sono momenti in cui il server non trova automaticamente il controller di dominio.

createcomputer = "OU / OU / ...": In AD si usa spesso OU (Organizational Unit), c'è OU = Office nella radice del dominio, OU = Cabinet in esso, da aggiungere subito a quello desiderato, puoi specificarlo in questo modo: sudo net ads join -U username createcomputer = "Office / Cabinet".

Se non ci sono più messaggi, allora va tutto bene. Prova a eseguire il ping del tuo computer per nome da un altro membro del dominio per assicurarti che tutto sia registrato nel dominio come dovrebbe.

Puoi anche digitare il comando:

Net ads test join

Se tutto va bene, puoi vedere:

#net ads testjoin Partecipare è OK

Ma a volte, dopo il messaggio sull'adesione al dominio, viene visualizzato un errore come questo:

Aggiornamento DNS non riuscito!

Questo non è molto buono, nel qual caso si consiglia di leggere la sezione sulla configurazione del DNS appena sopra e capire cosa hai fatto di sbagliato. Successivamente, è necessario rimuovere il computer dal dominio e provare a reinserirlo. Se sei fermamente convinto che tutto sia stato configurato correttamente e che il DNS non sia ancora aggiornato, puoi aggiungere manualmente una voce per il tuo computer al tuo server DNS e tutto funzionerà. Naturalmente, se non ci sono altri errori e hai effettuato correttamente l'accesso al dominio. Tuttavia, faresti meglio a capire perché il DNS non viene aggiornato automaticamente. Ciò potrebbe essere dovuto non solo al tuo computer, ma anche a una configurazione errata di AD.

Prima di scoprire perché il DNS non si aggiorna, ricorda di riavviare il computer dopo aver inserito il dominio! È possibile che questo risolva il problema.

Se tutto è andato bene, congratulazioni, sei entrato con successo nel dominio! Puoi guardare in AD e vedere di persona. È anche una buona idea controllare di poter vedere le risorse nel dominio. Per fare ciò, installa smbclient:

Sudo aptitude install smbclient

Ora puoi visualizzare le risorse dei computer nel dominio. Ma per questo è necessario disporre di un biglietto Kerberos, ad es. se li abbiamo rimossi, li otteniamo di nuovo tramite kinit (vedi sopra). Vediamo quali risorse vengono fornite alla rete dal computer della workstation:

Smbclient -k -L workstation

Dovresti vedere un elenco delle condivisioni su questo computer.

Configurazione di Winbind

Se hai bisogno di lavorare con gli utenti del dominio in qualsiasi modo, ad esempio, configura le palle SMB con il controllo degli accessi, allora avrai bisogno, oltre a Samba stesso, di Winbind, un demone speciale che serve per connettere l'utente Linux locale e il sistema di gestione dei gruppi con il server Active Directory. In poche parole, Winbind è necessario se vuoi vedere gli utenti del dominio sul tuo computer Ubuntu.

Winbind ti consente di proiettare tutti gli utenti e tutti i gruppi AD nel tuo sistema Linux assegnando loro ID da un intervallo specificato. Pertanto, puoi assegnare utenti di dominio ai proprietari di cartelle e file sul tuo computer ed eseguire qualsiasi altra operazione relativa a utenti e gruppi.

Per configurare Winbind, viene utilizzato lo stesso file /etc/samba/smb.conf. Aggiungi le seguenti righe alla sezione:

# Opzioni per la mappatura degli utenti del dominio e degli utenti virtuali nel sistema tramite Winbind. # Intervalli di identificatori per utenti e gruppi virtuali. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Queste opzioni non devono essere disattivate. winbind enum groups = yes winbind enum users = yes # Usa il dominio predefinito per i nomi utente. Senza questa opzione, i nomi utente e gruppo # verranno utilizzati con il dominio, ad es. invece di nome utente - DOMINIO \ nome utente. # Potrebbe essere esattamente quello che vuoi, ma di solito è più facile abilitare questa opzione. winbind use default domain = yes # Se vuoi consentire l'uso della riga di comando per gli utenti del dominio, allora # aggiungi la seguente riga, altrimenti / bin / false template shell = / bin / bash # Per aggiornare automaticamente il ticket Kerberos dal modulo pam_winbind.so aggiungi la riga winbind refresh tickets = yes

Parametri:

idmap uid = 10000 - 40000

idmap gid = 10000 - 40000

nelle nuove versioni di Samba sono già obsolete e quando si controlla la configurazione di samba usando testparm, verrà emesso un avviso:

ATTENZIONE: l'opzione "idmap uid" è deprecata

ATTENZIONE: l'opzione "idmap gid" è deprecata

Per rimuovere gli avvisi, è necessario sostituire queste righe con delle nuove:

idmap config *: range = 10000-20000

idmap config *: backend = tdb

Ora riavvia il demone Winbind e Samba nel seguente ordine:

Sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start

Lanciare

Sudo testparm

Controlla se ci sono errori o avvisi se appare:

"Rlimit_max: rlimit_max (1024) al di sotto del limite minimo di Windows (16384)"

Senza riavviare, puoi risolverlo in questo modo:

Ulimit -n 16384

Per salvare dopo il riavvio, modificare il file /etc/security/limits.conf

# Aggiungi le seguenti righe alla fine del file: * - nofile 16384 root - nofile 16384

Dopo il riavvio, verifica che Winbind abbia stabilito una relazione di fiducia con AD con il comando:

# wbinfo -t controllo del trust secret per il dominio DCN tramite chiamate RPC riuscito

E anche che Winbind ha visto utenti e gruppi da AD con i comandi:

Wbinfo -u wbinfo -g

Questi due comandi dovrebbero restituire rispettivamente un elenco di utenti e gruppi dal dominio. Con il prefisso DOMAIN \ o senza, a seconda del valore specificato per il parametro "winbind use default domain" in smb.conf.

Quindi, Winbind funziona, ma non è ancora integrato nel sistema.

Aggiunta di Winbind come sorgente per utenti e gruppi

Affinché il tuo Ubuntu funzioni in modo trasparente con gli utenti del dominio, in particolare, in modo da poter assegnare gli utenti del dominio ai proprietari di cartelle e file, devi dire a Ubuntu di utilizzare Winbind come fonte aggiuntiva di informazioni su utenti e gruppi.

Per fare ciò, cambia due righe nel file /etc/nsswitch.conf:

Passwd: compat gruppo: compat

aggiungendo ad essi alla fine di winbind:

Passwd: compat winbind gruppo: compat winbind

File: dns mdns4_minimal mdns4

ubuntu server 14.04, il file /etc/nsswitch.conf non conteneva la riga "files: dns mdns4_minimal mdns4" invece era: "hosts: files mdns4_minimal dns wins" Che ho convertito in: "hosts: dns mdns4_minimal mdns4 files" dopo di che tutto ha funzionato

Ora controlla che Ubuntu chieda a Winbind le informazioni sull'utente e sul gruppo eseguendo

Getent passwd getent group

Il primo comando dovrebbe restituire l'intero contenuto del tuo file / etc / passwd, cioè i tuoi utenti locali, più gli utenti di dominio con ID dall'intervallo specificato in smb.conf. Il secondo dovrebbe fare lo stesso per i gruppi.

Ora puoi prendere qualsiasi utente di dominio e renderlo, ad esempio, il proprietario di un file.

Autorizzazione in Ubuntu tramite utenti di dominio

Nonostante il fatto che tutti gli utenti del dominio siano effettivamente diventati utenti a pieno titolo del sistema (come si può vedere eseguendo gli ultimi due comandi della sezione precedente), è ancora impossibile accedere al sistema con nessuno di essi. Per abilitare la possibilità di autorizzare gli utenti del dominio su una macchina Ubuntu, è necessario configurare PAM in modo che funzioni con Winbind.

Autorizzazione online

Per Ubuntu 10.04 e versioni successive aggiungi solo una riga al tuo file /etc/pam.d/common-session come PAM fa comunque un buon lavoro di autorizzazione:

Sessione opzionale pam_mkhomedir.so skel = / etc / skel / umask = 0077

Per Ubuntu 13.10 per far apparire il campo di accesso manuale, aggiungi la seguente riga a qualsiasi file dalla cartella /etc/lightdm/lightdm.conf/ di seguito:

Greeter-show-manual-login = vero

Per Ubuntu 9.10 e versioni precedenti dovrai modificare diversi file (ma nessuno vieta di usare questo metodo in 10.04 - funziona anche):

La sequenza delle righe nei file è importante!

/etc/pam.d/common-auth

Auth richiesto pam_env.so auth sufficiente pam_unix.so likeauth nullok try_first_pass auth sufficiente pam_winbind.so use_first_pass krb5_auth krb5_ccache_type = FILE auth richiesto pam_deny.so

/etc/pam.d/common-account

Account sufficiente pam_winbind.so account richiesto pam_unix.so

/etc/pam.d/common-session

Sessione opzionale pam_mkhomedir.so skel = / etc / skel / umask = 0077 sessione opzionale pam_ck_connector.so nox11 sessione richiesta pam_limits.so sessione richiesta pam_env.so sessione richiesta pam_unix.so

/etc/pam.d/password-comune

Password sufficiente pam_unix.so try_first_pass use_authtok nullok sha512 shadow password sufficiente pam_winbind.so password richiesta pam_deny.so

Infine, è necessario ripianificare l'avvio di Winbind all'avvio del sistema dopo tutti gli altri servizi (per impostazione predefinita, inizia all'indice 20). Per fare ciò, esegui il seguente comando nel terminale:

Sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"

Che equivale a eseguire per ogni livello (nell'esempio - 4) il comando:

Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

In alcuni casi, winbind può avere un runlevel diverso (ad esempio, S02winbind). Quindi prima controlla i nomi dei file eseguendo il comando “ls /etc/rc(2,3,4,5).d/ | grep winbind "(senza virgolette).

Fatto, tutte le impostazioni sono complete. Riavvia e prova ad accedere con un account utente di dominio.

Autorizzazione offline

Si verifica spesso una situazione in cui il controller di dominio non è disponibile per vari motivi: manutenzione preventiva, blackout o hai portato a casa il laptop e desideri lavorare. In questo caso, Winbind può essere configurato per memorizzare nella cache gli account utente del dominio. Per fare ciò, devi fare quanto segue. Aggiungi le seguenti righe alla sezione /etc/samba/smb.conf del file:

# Possibilità di autorizzazione offline quando il controller di dominio non è disponibile winbind offline logon = yes # Periodo di memorizzazione nella cache dell'account, per impostazione predefinita è 300 secondi winbind cache time = 300 # Impostazione facoltativa, ma elimina noiose pause, specifica il controller di dominio dc, # puoi anche specificare ip, ma questa è una password errata server = dc

Questo di solito è sufficiente. Se si verificano errori, è necessario creare un file /etc/security/pam_winbind.conf con il seguente contenuto:

Attenzione! Un errore "Autenticazione fallita" completamente casuale può verificarsi quando si utilizzano i suggerimenti di seguito! Pertanto, tutto ciò che fai, lo fai a tuo rischio e pericolo!

# # file di configurazione di pam_winbind # # /etc/security/pam_winbind.conf # # attiva il debugging debug = no # richiedi un accesso memorizzato nella cache se possibile # (richiede "winbind offline logon = yes" in smb.conf) cached_login = yes # autentica using kerberos krb5_auth = yes # quando si utilizza kerberos, richiedere un tipo di cache delle credenziali krb5 "FILE" # (lascia vuoto per eseguire solo l'autenticazione krb5 ma non avere un ticket # in seguito) krb5_ccache_type = FILE # fa in modo che l'autenticazione dipenda dall'appartenenza a un SID # (può anche prendere un nome); require_membership_of = silent = yes

Il file /etc/pam.d/gnome-screensaver diventa quindi:

Auth sufficiente pam_unix.so nullok_secure auth sufficiente pam_winbind.so use_first_pass auth richiesto pam_deny.so

E cambia anche il file /etc/pam.d/common-auth:

Auth facoltativo pam_group.so auth sufficiente pam_unix.so nullok_secure use_first_pass auth sufficiente pam_winbind.so use_first_pass auth richiesto pam_deny.so

Ciao, cari amanti del computer e lettori del blog MyFirstComp.ru. Oggi prenderemo in considerazione un argomento piuttosto importante che qualsiasi amministratore di sistema ha incontrato o affronterà sicuramente nel prossimo futuro. Una rete locale aziendale di una media o grande impresa nel 99% dei casi ha una struttura a dominio. Ciò è dettato, prima di tutto, dalla politica di sicurezza dell'impresa. Pertanto, tutti i computer della rete utilizzano le impostazioni del computer principale: il dominio (la sicurezza può essere fornita da un firewall o da un defender, che può essere facilmente disabilitato).

Ora propongo di considerare un esempio di come aggiungere al dominio un computer che esegue Windows 7. Sebbene, in linea di principio, l'aggiunta di computer con altre versioni di Windows al dominio non sia molto diversa, l'importante è capire l'essenza.

Per prima cosa inseriamo il cavo di rete nel computer =). Ora devi configurare la tua connessione di rete. Fare clic con il tasto destro del mouse sul computer nel vassoio e aprire Centro connessioni di rete e condivisione.

Nella finestra che appare, fai clic su Modifica impostazioni adattatore: si apriranno tutte le connessioni di rete disponibili. Dobbiamo selezionare Connessione alla rete locale, fare clic con il tasto destro su di essa e selezionare Proprietà.

Nella finestra che si apre, è necessario inserire dati come indirizzo IP, subnet mask, gateway e server DNS. Dovresti ottenere qualcosa del genere.

Fare clic su OK, salvando così le modifiche. Questo completa la parte preparatoria del lavoro. Passiamo ora direttamente all'aggiunta del computer al dominio.

Fare clic su Start, fare clic con il pulsante destro del mouse su Computer, selezionare Proprietà. Nella parte sinistra della finestra troviamo la voce Parametri di sistema aggiuntivi e facciamo clic su di essa con il tasto sinistro del mouse. Nella finestra che appare, apri la scheda Nome computer.

Fare clic su OK. Ti verrà chiesto di inserire un nome utente e una password, che hanno il diritto di unire i computer al dominio, ad esempio un amministratore di dominio. Successivamente è necessario un riavvio.

Alla fine del riavvio, il tuo computer sarà nel dominio.

Se il computer è uscito dal dominio

Sì, succede. Il computer può per nessun motivo rifiutarsi di vedere il dominio. Di conseguenza, l'autorizzazione non funzionerà.

Quindi di nuovo inseriamo il computer nel dominio come mostrato sopra e riavviamo nuovamente.

Tag: windows, dominio, computer

myfirstcomp.ru

Come aggiungere un PC Windows 7 a un dominio

L'aggiunta di un PC a un dominio ti consente di usufruire di vantaggi del dominio come scalabilità, gestione centralizzata, criteri di gruppo, impostazioni di sicurezza e altro ancora.

Prima di unire il tuo computer Windows 7 al dominio, assicurati che siano soddisfatte le seguenti condizioni:

Stai utilizzando Windows 7 Professional, Ultimate o Enterprise: solo queste distribuzioni di Windows 7 possono essere incluse nel dominio. Windows 7 Home non può, non provarci nemmeno.

Hai una scheda di rete (NIC): una scheda wireless andrà bene

Si è fisicamente connessi a una rete locale da cui è accessibile il controller di dominio. Tieni presente che Windows 7 può essere incluso in un dominio senza una connessione di rete a quest'ultimo (questa funzionalità è apparsa in un dominio su Windows Server 2008 R2), ma questo è un argomento per un articolo separato.

Hai l'indirizzo IP corretto per la rete a cui sei connesso. Puoi configurarlo manualmente o ottenerlo da un server DHCP.

"Vedi" il controller di dominio sulla rete.

Hai un server DNS configurato correttamente - senza impostazioni DNS corrette, il tuo computer non può essere inserito nel dominio.

Hai i diritti di amministratore locale: un semplice utente non può farlo.

Devi conoscere il nome del dominio e avere un account utente/amministratore attivo sul dominio. Per impostazione predefinita, qualsiasi utente del dominio può aggiungere 10 macchine al dominio. Ma questa impostazione può essere modificata dall'amministratore del dominio.

Esistono 3 opzioni per aggiungere una macchina da 7 al dominio: utilizzando l'interfaccia grafica (Risorse del computer-> Proprietà-> Modifica impostazioni-> scheda Nome computer), utilizzando l'utilità della riga di comando NETDOM, utilizzando il comando Power Shell (aggiungi- computer). Non mi dilungo sul primo nel dettaglio, lo sanno tutti molto bene.

Utilizzando l'utility NETDOM, è possibile risolvere il problema della connessione a un dominio dalla riga di comando. Ma per impostazione predefinita, questa utility non funziona! Come faccio a far funzionare netdom su Windows 7?

Apri una finestra del prompt dei comandi con i diritti di amministratore e inserisci la seguente riga:

Netdom join% computername% /domain:winitpro.ru / userd: DOMAIN \ administrator / passwordd:

Nota: sostituisci winitpro.ru con il tuo nome di dominio e inserisci il nome utente e la password corretti. domain con il nome di dominio corretto e, naturalmente, inserire le autorizzazioni utente appropriate. Nota anche la "d" extra nelle opzioni / userd e / passwordd, questo non è un errore di battitura.

Riavvia il computer. Questo è tutto, ora sei nel dominio!

Consulta anche l'articolo: come impedire la disconnessione dal dominio e la funzionalità di aggiunta al dominio offline in Windows Server 2008.

winitpro.ru

/ come aggiungere un computer a un dominio Windows

Buon pomeriggio, cari lettori del blog pyatilistnik.org, oggi voglio dirvi come aggiungere un computer al dominio Windows Server 2008 R2. Che cos'è un dominio può essere letto nell'articolo Introduzione ai concetti di base di Active Directory. Esistono diversi modi per aggiungere un computer alla directory attiva del dominio.

Come aggiungere un computer a un dominio

E quindi ci sono diversi metodi per inserire un computer nel dominio, uno attraverso l'interfaccia GUI, ma il secondo è per gli amanti dei comandi, ma entrambi hanno i propri scenari applicativi. Permettimi di ricordarti che per aggiungere un computer ad AD, devi disporre delle credenziali dell'utente o dell'amministratore del dominio. Per impostazione predefinita, un utente normale può aggiungere fino a 10 computer ad AD, ma se lo desideri, puoi aggirare questo problema aumentando il numero oppure puoi delegare i diritti necessari per l'account.

1. Attraverso l'interfaccia grafica

Vai alle proprietà di Risorse del computer, per fare ciò, fai clic con il pulsante destro del mouse e seleziona Proprietà dal menu di scelta rapida. Oppure premi la combinazione di tasti Win + Pause Break, che aprirà anche la finestra delle proprietà del sistema.

come aggiungere un computer a un dominio Windows

Fare clic su Modifica parametri

Come aggiungere un computer a un dominio Windows 2008 R2

Nella scheda Nome computer, fai clic sul pulsante Modifica

Come aggiungere un computer a un dominio Windows 2008 R2

Impostiamo il nome del computer con un massimo di 16 caratteri, è meglio impostare immediatamente un nome comprensibile per te che soddisfi i tuoi standard.

Come aggiungere un computer a un dominio Windows 2008 R2

E scriviamo il nome del dominio, clicchiamo su OK

specificare il suffisso del dominio

Inseriamo credenziali che hanno il diritto di entrare nel server nel dominio, per impostazione predefinita ogni utente può entrare fino a 10 volte nel dominio, a meno che ovviamente tu non lo abbia proibito.

Inserisci le credenziali

aggiunta riuscita alla directory attiva del dominio

Non dimenticare che non appena hai inserito il server in AD, è necessario anche configurare immediatamente un indirizzo IP statico e solo dopo riavviare

Dopo il riavvio, vediamo che è tutto a posto e siamo membri del dominio e sei riuscito a inserire il pc nel dominio.

2. Utilità di rete

Apri (riga di comando) cmd. In precedenza ho descritto come aprire la riga di comando di Windows. La comodità di questo metodo è che può essere eseguito sotto forma di script e passato, ad esempio, a un utente remoto che non ha abbastanza conoscenze su come farlo.

Netdom join% nomecompeter% /domain:contoso.com / userd: contosoadmin1 / passwordd: * -% nomecompeter%% il nome del computer può essere lasciato in questo modo - / domain write domain - / userd login - passwordd: * significa che ti verrà chiesto di Inserisci una password

Penso che non sia stato difficile e tu stesso sceglierai il metodo che fa per te. È utile conoscerli entrambi, poiché è più corretto fare il server in modalità core, per la massima sicurezza.

3. Tramite file offline e utilità djoin.exe

Immaginiamo una situazione in cui non hai connessione con il controller sul computer che devi entrare dal dominio Active Directory, ma devi farlo, beh, l'ingegnere di rete non ha ancora configurato un canale vpn tra gli uffici, Microsoft a questo momento ha uno script di aggiunta al dominio offline o come è anche consuetudine chiamarlo input offline nel dominio. L'aggiunta al dominio offline è apparsa con l'arrivo di Windows 7 e Windows Server 2008 R2. E quindi che aspetto ha l'aggiunta di un computer a un dominio AD.

Per chiarezza, c'è un ufficio principale e una filiale remota, devono essere collegati insieme, distribuiti separatamente per un dominio, non ha senso in una filiale, poiché lì ci sono solo 3 dipendenti e, secondo gli standard aziendali, dovrebbero far parte di un dominio Active Directory.

Fasi di aggiunta al dominio offline

• All'inizio, hai bisogno di qualsiasi computer connesso a un controller di dominio, su di esso creeremo un file speciale chiamato blob (blob) eseguendo il comando djoin / provisioning sulla riga di comando, che creerà un account computer in Active Directory Banca dati
• La seconda fase consiste nel trasferire questo file, tramite posta o Internet, e dal lato del client, che deve essere inserito nel dominio, eseguire un comando utilizzando il file ricevuto.

Parametri dell'utilità Djoin.exe

• / PROVISION - Prepara un account computer nel dominio.
• /DOMINIO - il dominio a cui vuoi unirti.
• /MACCHINA - il computer da aggiungere al dominio.
• /MACHINEOU è un parametro facoltativo che definisce il reparto in cui viene creato l'account.
• /DCNAME è un parametro facoltativo che specifica il controller di dominio di destinazione su cui verrà creato l'account.
• / RIUTILIZZA - riutilizza un account esistente (la password verrà reimpostata).
• /SAVEFILE - salva i dati di preparazione in un file situato nel percorso specificato.
• / NOSEARCH - salta il rilevamento dei conflitti di account; DCNAME richiesto (prestazioni migliori).
• / DOWNLEVEL - Fornisce supporto per un controller di dominio Windows Server 2008 o precedente.
• / PRINTBLOB - Restituisce un blob di metadati con codifica base64 per un file di risposta.
• / DEFPWD - Utilizza la password dell'account del computer predefinita (non consigliato).
• /ROOTCACERTS - parametro facoltativo, abilita i certificati radice della CA.
• /CERTTEMPLATE - parametro facoltativo del modello di certificato del computer. Include i certificati radice della CA.
• /POLICYNAMES - parametro facoltativo, elenco di nomi di criteri separati da punto e virgola. Ciascun nome è il nome visualizzato di un oggetto Criteri di gruppo in AD.
• /POLICYPATHS - parametro facoltativo, elenco delimitato da punto e virgola dei percorsi dei criteri. Ciascun percorso punta alla posizione del file delle politiche di registro.
• /NETBIOS - parametro facoltativo, nome Netbios del computer da aggiungere al dominio.
• /PSITE è un parametro facoltativo, un sito persistente in cui si desidera inserire il computer per unirsi al dominio.
• /DSITE è un parametro facoltativo del sito dinamico che ospita inizialmente il computer per unirsi al dominio.
• / PRIMARYDNS è un parametro facoltativo, il dominio DNS primario del computer che si unisce al dominio.
• / REQUESTODJ - Richiede l'aggiunta al dominio offline all'avvio successivo.
• / LOADFILE - specificato in precedenza con l'opzione / SAVEFILE.
• / WINDOWSPATH - nella directory con l'immagine di Windows offline.
• /LOCALOS - Consente di specificare il sistema operativo locale nel parametro /WINDOWSPATH.

Nell'ambiente di test, creeremo il computer WKS1 e lo aggiungeremo al dominio di Active Directory. WKS1 si troverà nella suddivisione Offline_Join, il nostro file blob si chiamerà wks1.txt

djoin / provision / domain Contoso.com / machine WKS1 / machineOU "OU = Offline_Join, DC = Contoso, DC = com" / savefile c: \ test \ wks1.txt

Se all'improvviso decidi che puoi trovare informazioni utili in un file BLOB, allora ti sbagli, è crittografato e non leggibile dall'uomo.

Ora dobbiamo trasferire questi due kilobyte al computer remoto, dove verrà eseguito l'input autonomo nel dominio. Copia il blob nella radice dell'unità C:\, apri un prompt dei comandi e inserisci il comando

djoin / requestODJ / loadfile c: \ test \ wks1.txt / windowspath% systemroot% / localos

Dopo aver eseguito il comando, i metadati dell'account del computer dal file BLOB verranno aggiunti alla directory di Windows.

Con le macchine virtuali, djoin funziona, solo con il botto, non fa differenza, c'è una chiave / windowspath che indica la posizione del file VHD con il sistema installato.

4.aggiungi al dominio tramite Powershell

Apri Powershell come amministratore e inserisci il seguente comando

Aggiungi-Computer -DomainName il tuo nome di dominio

Inserisci il nome del tuo dominio, riceverai un form di inserimento login e password

se tutto è ok, vedrai un'iscrizione gialla che indica che ci sarà un riavvio.

Come puoi vedere, ci sono molti metodi e ognuno può usare il proprio e per i propri compiti, penso che la domanda su come unire un computer al dominio degli annunci possa essere chiusa.

Materiale dal sito Pyatilistnik.org

pyatilistnik.org

Come aggiungere un computer a un dominio

I domini facilitano notevolmente il lavoro degli utenti, consentendo di accedere al sistema una sola volta e dimenticare tutte le password per vari dispositivi e file in una grande rete locale.

Per fare ciò sono necessari: 1. Diritti di amministratore; 2. rete locale con dominio Windows; 3. account utente nel dominio;

4. nome a dominio.

1. È possibile aggiungere un computer a un dominio Windows nella scheda Nome computer nella finestra Proprietà del sistema. Per aprire la finestra "Proprietà del sistema" nel sistema operativo Windows XP, utilizzare il menu "Start" per aprire il "Pannello di controllo" e fare clic su "Sistema". Se il tuo computer esegue Windows 7 o Vista, apri il "Pannello di controllo" e vai alla categoria "Sistema e sicurezza", nella quale fai clic sulla voce "Sistema". Nella pagina che si apre, clicca sul link "Parametri di sistema aggiuntivi" che si trova nella colonna di sinistra. 2. Nella finestra "Proprietà del sistema" che si apre, selezionare la scheda "Nome computer". Fare clic sul pulsante "Cambia" e, nella finestra che si apre, inserire il nome del dominio a cui si desidera includere il computer. Quindi fare clic sul pulsante OK. Nella finestra che appare, inserisci il nome utente e la password del dominio. Quindi fare clic su OK e riavviare il computer. Il tuo computer è incluso nel dominio. 3. Oltre all'interfaccia grafica, è possibile aggiungere il computer al dominio utilizzando la riga di comando. Il sistema operativo Windows XP include l'utilità NETDOM, che può aggiungere un computer a un dominio utilizzando il comando:

netdom join nome_computer / dominio: nome_dominio / userd: nome_dominio \ nome_utente / passwordd: user_pass.

Dove nome_computer, nome_dominio e nome_utente devono essere sostituiti con i nomi del computer, dominio e utente da aggiungere e pass_utente deve essere modificato con la password dell'utente nel dominio.

In Windows 7, l'utilità NETDOM è stata sostituita dal comando add-computer in PowerShell. Per unire un computer a un dominio dalla console in Windows 7, eseguire il comando seguente:

add-computer -DomainName nome_dominio -credential nome_dominio \ nome_utente

Dove nome_dominio e nome_utente vengono sostituiti anche con nomi di dominio e utente.

Il dominio Windows non è destinato all'uso domestico, è molto conveniente nelle reti aziendali con un numero elevato di utenti con diversi livelli di accesso a file e dispositivi. Pertanto, i computer che eseguono sistemi operativi per uso domestico, ovvero al di sotto del livello Professional, non dispongono degli strumenti per unirsi al dominio. Per aggiungere tali computer, reinstallare prima il sistema.

C'è un modo più veloce per avviare la finestra Proprietà del sistema. Se il tuo sistema operativo è Windows XP, fai clic destro sull'icona "Risorse del computer" e nel menu che si apre, fai clic sulla voce "Proprietà del sistema". Se il tuo sistema operativo è Windows 7 o Vista, fai clic con il pulsante destro del mouse sull'icona "Computer", seleziona "Proprietà di sistema" e fai clic su "Impostazioni di sistema avanzate".

Quando aggiungi un computer a un dominio, nella stessa scheda Nome computer, puoi specificare una descrizione del tuo computer, che sarà un suggerimento per gli utenti del dominio.

complaz.ru

Come aggiungere un computer al dominio in modi diversi?

La questione della connessione di un computer a un dominio sorge solitamente dagli amministratori di sistema che devono creare una rete locale. Sistema di dominio significa che tutti i computer della rete utilizzano le impostazioni del PC principale. Proviamo a capire come connettere al dominio un computer con Windows 7. Per altri sistemi operativi la connessione non è troppo diversa.

Quali sono i vantaggi di una struttura di dominio? Con esso, puoi utilizzare, ad esempio, Criteri di gruppo e Gestione centralizzata. Ciò consente un lavoro efficiente.

Requisiti importanti

Prima di inserire un computer Windows 7 nel dominio, è necessario verificare se il PC soddisfa una serie di requisiti, se tutte le impostazioni sono state completate. Ce ne sono parecchi, anche se la maggior parte dovrebbe già essere prodotta. Controlla quanto segue:

• È necessario utilizzare Windows 7 delle seguenti versioni: Professional, Ultimate o Enterprise. Solo queste versioni possono essere unite al dominio;
• Deve essere presente una scheda di rete. Ma questo è evidente;
• È necessario stabilire una connessione LAN. Nella maggior parte dei casi, sebbene sia possibile connettere Windows 7 a Windows Server 2008 R2 offline, questo è un argomento separato;
• È necessario specificare l'indirizzo IP corretto. Può essere configurato manualmente, ottenuto da un server DHCP, oppure può essere un indirizzo APIPA (i suoi valori iniziano con 169.254.X.Z);
• È necessario assicurarsi che i controller (almeno uno) siano disponibili per la connessione;
• Controllare anche la connessione del controller (ad esempio, è possibile eseguire il ping, ovvero controllare la qualità della connessione);
• Il server DNS deve essere configurato correttamente. Questo è importante, se non è configurato correttamente, potrebbero sorgere problemi durante la connessione al dominio. Anche se la connessione ha esito positivo, sono possibili errori in seguito;
• I server DNS devono essere disponibili. Per fare ciò, è necessario verificare la connessione utilizzando il programma PING;
• Controlla le autorizzazioni del tuo sistema locale. Devono essere presenti i diritti di amministratore locale per il computer;
• Devi conoscere il nome del dominio, il nome dell'amministratore e la password.

Collegamento di un PC a un dominio

Esistono due modi per aggiungere un computer al dominio. Diamo un'occhiata più da vicino a loro.

Metodo uno

Questo è il modo standard per un PC di unirsi a un dominio. Segui questi passi:

• Fare clic sull'icona "Start", fare clic con il tasto destro del mouse sul collegamento "Computer", selezionare "Proprietà";
• In "Nome computer, dominio e impostazioni di lavoro" fai clic su "modifica impostazioni";
• Apri la scheda "Nome computer" e fai clic su "Cambia";
• Nella sezione "Parte (di qualcosa)", seleziona "Dominio";
• Inserisci il nome del dominio a cui ti stai connettendo, clicca su "OK";
• Immettere nuovamente il nome e la password.

Quindi riavvia il computer. Successivamente, il PC sarà connesso al dominio nella rete locale.

Metodo due

Devi usare l'app NETDOM. Per connettere un dominio, devi solo inserire un comando nella riga di comando:

in cui:

• I parametri "DOMAIN.COM" e "DOMAIN" devono essere sostituiti con il nome a dominio. È inoltre necessario specificare un nome utente e una password;
• La "d" in più in "utente" e "password" non è un errore di battitura;
• Windows 7 ha già NETDOM nel sistema operativo. Nelle versioni di Windows 2000, XP e 2003, è necessario installare Support Tools.

Riavvia il PC per terminare la connessione.

Cosa succede se il dominio viene abbandonato?

Questo accade dopo che il PC è stato connesso al dominio. Il computer semplicemente non lo "vede". Te ne accorgerai subito, perché non potrai accedere. Fai quanto segue:

• Accedi come amministratore locale;
• Andare nelle proprietà del sistema e nella voce "Nome computer" notare che il PC fa parte di un gruppo di lavoro;
• Riavvia il tuo computer;
• Quindi riconnettere il PC al dominio come descritto sopra;
• Per favore, riavvia.

Il computer dovrebbe ora unirsi al dominio.

Mettere un computer in un contenitore specifico

Lo svantaggio dei metodi descritti di connessione a un dominio è che il PC si trova in un contenitore standard, solitamente nella cartella "Computer". E per trasferirsi in un'altra posizione, è necessario un amministratore. Ma puoi posizionare subito il computer nel contenitore desiderato. Ci sono due opzioni per questo.

Metodo numero 1

Per fare ciò, innanzitutto viene creato un account vuoto, in cui si trova il computer (è necessario disporre dei diritti per creare un oggetto). Nella console ADUC viene creato un nuovo account con lo stesso nome che verrà utilizzato per connettersi al dominio. Quindi utilizzare il metodo di unione descritto sopra. Il sistema vedrà un account che esiste già nel dominio, ma semplicemente non è associato ad esso. Dopo l'abbinamento, il computer si adatterà al contenitore desiderato.

Metodo numero 2

Il comando Powershell può essere utilizzato:

• Accedi con i diritti di amministratore;
• Al prompt dei comandi, inserisci "powershell" (quindi è possibile utilizzare PoSh);
• Il comando per aggiungere un PC al dominio corp.company.ru da sotto l'account corpcompany_admin, creando un account nel contenitore corp.company.ru/ Admin / Computers, dove company è il nome del computer, avrà il seguente aspetto:

  add-computer -DomainName corp.company.ru -credential corp company_admin –OUPath "OU = Computers, OU = Admin, dc = corp, dc = company, DC = ru";

• Si aprirà una nuova finestra in cui inserire la password per l'utente company_admin;
• Quindi viene visualizzata la finestra "ATTENZIONE: le modifiche avranno effetto dopo il riavvio del computer pcwin8" (pcwin8 sta per sistema operativo). Riavvia il computer.

Ora il PC si troverà nel contenitore desiderato, a cui fa riferimento il dominio.

Per la corretta connessione del PC al dominio, è meglio farlo eseguire dall'amministratore che ha creato questa rete locale. Conosce tutte le insidie ​​​​in questo dominio e quindi sarà in grado di connettersi rapidamente. Se decidi di connettere il computer al dominio da solo, in caso di problemi, lascia il PC in questo stato fino a quando uno specialista non esegue la correzione.