Conexiune la domeniu Windows 7. Creați și administrați un obiect computer în Active Directory

Intrare în domeniul offline

Intrare offline în domeniu sau alăturarea domeniului offline este o caracteristică destul de interesantă introdusă în Windows 7 și Windows Server 2008 R2. Vă permite să conectați computere la un domeniu Active Directory offline, fără a fi nevoie să vă conectați la un controler de domeniu.

Pentru a utiliza unirea offline a domeniului, nu este nevoie să schimbați modul funcțional al domeniului sau al pădurii. Puteți face chiar și fără un controler de domeniu Windows Server 2008 R2. Intrarea autonomă în domeniul necesită doar o utilitate djoin.exe, care este inclus cu Windows 7 și Server 2008 R2. Cu alte cuvinte, un computer care rulează Windows 7/2008 R2 care rulează în domeniul dorit este suficient.

Intrarea autonomă în domeniu se realizează în mai multe etape. Primul pas este să creați un fișier cu informații despre cont pentru computerul atașat. Pentru a face acest lucru, pe orice server Windows 2008 R2 (sau stație de lucru Windows 7) din domeniul țintă, executați comanda în Shell care creează un cont de computer în domeniu. Echipa are următoarele opțiuni:

• /domeniu— numele domeniului țintă;
• /mașinărie— numele mașinii asociate domeniului;
• /machineou- unitatea în care trebuie amplasată mașina. Dacă nu este specificat, mașina va fi plasată în containerul implicit Computers;
• /dcname este numele controlerului de domeniu specific care va crea contul de computer. Dacă nu este specificat, atunci controlerul este selectat automat;
• /Salvează fișierul- un fișier în care sunt salvate datele computerului conectat;
• /reutilizare- utilizați un cont de calculator existent;
• /nivel de jos- Suport pentru un controler de domeniu cu o versiune anterioară Windows Server 2008 R2.

De exemplu, să creăm o mașină numită WKS1 în domeniul Contoso.com, să o plasăm în OU Offline_Join și să salvăm datele în fișierul wks1.txt:

djoin /provision /domain Contoso.com /machine WKS1 /machineOU
″OU=Offline_Join,DC=Contoso,DC=com″ /savefile c:\test\wks1.txt

Următorul pas este să trimiteți fișierul rezultat la un computer care trebuie adăugat în mod autonom la domeniu. Puteți face acest lucru în orice mod disponibil, de exemplu, trimiteți-l prin e-mail sau puneți-l pe ftp. Rețineți că fișierul binar conține parola contului computerului și alte informații despre domeniu, inclusiv numele domeniului, numele controlerului de domeniu, SID-ul domeniului și așa mai departe. Prin urmare, transferul trebuie să se facă într-o manieră sigură.

Ultimul pas în introducerea în domeniul offline este să adăugați metadatele contului de computer din fișier în directorul Windows. Pentru asta trebuie să mergi la computerul doritși, la un prompt de comandă ridicat, rulați o comandă care va crea o solicitare de alăturare a domeniului offline data viitoare când o executați. Comanda folosește următoarele opțiuni:

• /loadfile- adaugă metadatele contului de computer în directorul Windows;
• /localos- indică instalarea sistemului de operare local (nu fișierul imagine);
• /windowspath- calea către folder mod Windows. Când utilizați parametrul /localos trebuie să setați variabila de mediu %systemroot% sau %windir% .

Notă. Utilitarul djoin poate funcționa atât cu mașini fizice, cât și cu mașini virtuale. Când lucrați cu mașini virtuale, cheia /windowspath indică locația fișierului VHD cu sistemul instalat.

Să adăugăm al nostru stație de lucru WKS1 la domeniul cu comanda:

djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos

Acum rămâne doar să reporniți mașina și, dacă există un controler disponibil, vă veți putea autentifica în domeniu.

Și în concluzie, voi spune că articolul descrie doar una dintre mai multe opțiuni pentru utilizarea djoin.exe. Dacă sunteți interesat Acest subiect atunci pot fi găsite mai multe informații aici.

Procedura de adăugare a unui computer situat în afara perimetrului dvs mediul corporativ nu este complex și constă din doi pași care trebuie efectuati pe client și pe orice server din domeniul organizației dumneavoastră.

1. Creați fișierul de răspunsuri pentru intrarea offline (aderarea la domeniu offline) de la computer la domeniu

Să ne conectăm la consola serverului utilizând protocolul Remote Desktop și să rulăm linia de comandă sau consola powershell. Folosiți ceea ce vă place mai mult. În exemplu, voi folosi linia de comandă. Pentru a face acest lucru, voi rula utilitarul cmd ca administrator. Pentru a face acest lucru, faceți clic pe Linie de comanda faceți clic dreapta și selectați în fereastra care apare Rulat ca administrator.

Folosind interfața de linie de comandă, introduceți următoarea comandă:

Djoin.exe /provizionare /domeniu EXAMPLE.COM/mașinărie NUMELE CALCULATORULUI/rootcacerts/machineou " ou=desktop-uri, dc=EXEMPLU, dc=COM» /policynames «Setări client DirectAccess» /savefile C:\NUME FIȘIER.txt

Ajutor pentru lucrul cu utilitarul Djoin.exe:

/DISPOZIŢIE- Furnizează un cont de computer în domeniu.
/DOMENIU <имя> — <имя>domeniul la care să se alăture.
/MAȘINĂRIE <имя> — <имя>un computer care este asociat unui domeniu.
/MACHINEOU - un parametru optional care defineste impartirea
În care este creat contul.
/DCNAME - un parametru opțional care specifică controlerul de domeniu țintă pe care va fi creat contul.
/REUTILIZARE- reutilizați un cont existent (parola va fi resetată).
/SALVEAZĂ FIȘIERUL <путь_к_файлу>— salvați datele de pregătire într-un fișier situat la calea specificată.
/NOSEARCH- săriți detectarea conflictelor de cont; necesită DCNAME (performanță mai bună).
/DOWNLEVEL- Oferă suport pentru un controler de domeniu Windows Server 2008 sau anterior.
/PRINTBLOB- Returnează blob-ul de metadate codificat în base64 pentru fișierul de răspuns.
/DEFPWD- Utilizați parola implicită a contului de computer (nu este recomandată).
/ROOTCATERTS- parametru opțional, activare certificate rădăcină autoritate de certificare.
/CERTTEMPLATE <имя>- parametru optional,<имя>model de certificat de calculator. Include certificate de autoritate rădăcină
certificare.
/POLICYNAMES <имена>— un parametru opțional, o listă de nume de politici separate prin punct și virgulă. Fiecare nume este numele afișat al unui GPO în AD.
/POLITICI <пути>— un parametru opțional, o listă de căi către politici, separate prin punct și virgulă. Fiecare cale indică locația fișierului de politică de registry.
/NETBIOS <имя>- parametru opțional, numele Netbios al computerului care urmează să fie alăturat domeniului.
/PSITE <имя>- parametru optional,<имя>site-ul permanent în care să plaseze computerul alăturat domeniului.
/DSITE <имя>- parametru optional,<имя>un site dinamic care găzduiește inițial un computer alăturat unui domeniu.
/PRIMARYDNS <имя>- parametru opțional, domeniul DNS primar al computerului care este alăturat domeniului.
/SOLICITĂDJ- Necesită alăturarea domeniului offline la următoarea pornire.
/LOADFILE <путь_к_файлу> — <путь_к_файлу>, specificat mai devreme cu opțiunea /SAVEFILE.
/WINDOWSPATH <путь> — <путь>la directorul cu deconectat Windows.
/localos- vă permite să specificați în parametrul / WINDOWSPATH localul sistem de operare.
Această comandă trebuie să fie rulată de un administrator local.
Va trebui să reporniți computerul pentru a aplica modificările.

Ca urmare a executării comenzii cu parametrii de mai sus, vom primi un fișier de răspuns care conține deja necesarul munca Direct Certificate de acces, lista de politici de acces direct, spațiu de nume DNS necesar.

2. Introducerea unui domeniu de computer prin Acces Direct

Se trimite fișierul text rezultat la la locul de muncă utilizator și rulați-l din linia de comandă:

djoin /requestODJ /loadfile C:\NUME FIȘIER.txt/windowspath %SystemRoot% /localos

Aceasta completează procedura de adăugare de la distanță a unui computer la un domeniu. În fereastra de invitație, introduceți numele de utilizator și parola domeniului.

Vei avea nevoie

• - drepturi de administrator;
• - retea locala cu domeniu Windows;
• - cont de utilizator în domeniu;
• - numele domeniului.

Instruire

Puteți conecta un computer la un domeniu Windows din fila Nume computer din fereastra Proprietăți sistem. Pentru a deschide fereastra Proprietăți sistem în sistemul de operare Windows XP, utilizați meniul Start pentru a deschide Panoul de control și faceți clic pe Sistem. Dacă computerul rulează Windows 7 sau Vista, deschideți „Panou de control” și accesați categoria „Sistem și securitate”, în care faceți clic pe elementul „Sistem”. În pagina care se deschide, faceți clic pe linkul " Opțiuni suplimentare sistem" situat în coloana din stânga.

În fereastra System Properties care se deschide, selectați fila Computer Name. Faceți clic pe butonul „Editați” și în fereastra care se deschide, introduceți numele domeniului pe care doriți să îl faceți. Apoi, faceți clic pe butonul OK. În fereastra care apare, introduceți numele de utilizator și parola domeniului. Apoi faceți clic pe OK și reporniți computerul. Computerul dvs. este inclus în domeniu.

cu exceptia GUI Puteți conecta un computer la un domeniu folosind linia de comandă. Sistemul de operare Windows XP include utilitarul NETDOM, care poate adăuga un computer la un domeniu folosind comanda:

netdom join computer_name /domain:domain_name /user:domain_name\user_name /parola:user_pass.

În cazul în care computer_name, domain_name și user_name trebuie înlocuite cu numele computerului, respectiv domeniul și utilizatorul adăugat, iar user_pass ar trebui schimbată cu parola utilizatorului din domeniu. În Windows 7, utilitarul NETDOM a fost înlocuit cu o comandă în PowerShell numită add-computer. Pentru a conecta un computer la un domeniu din consola din Windows 7, executați următoarea comandă:

Add-computer -DomainName nume_domeniu -acreditare nume_domeniu\nume_utilizator

Unde nume_domeniu și nume_utilizator înlocuiesc, de asemenea, numele de domeniu și de utilizator.

Videoclipuri similare

Notă

Domeniul Windows nu este destinat uz casnic, este foarte convenabil în rețelele corporative cu o cantitate mare utilizatorii care au nivel diferit acces la fișiere și dispozitive. Prin urmare, computerele care rulează sisteme de operare pentru uz casnic, adică sub nivelul Professional, nu au instrumente de includere a domeniului. Pentru a adăuga astfel de computere, mai întâi reinstalați sistemul.

Sfat util

Există mai mult drumul rapid lansați fereastra „Proprietăți sistem”. Dacă aveți un sistem de operare Windows XP, faceți clic dreapta pe pictograma „My Computer” și în meniul care se deschide, faceți clic pe elementul „System Properties”. Dacă aveți un sistem de operare Windows 7 sau Vista, faceți clic dreapta pe pictograma „Computer”, selectați „Proprietăți sistem” și faceți clic pe „Setări avansate de sistem”.

Când conectați un computer la un domeniu, în aceeași filă „Nume computer”, puteți specifica o descriere a computerului dvs., care va fi un indiciu pentru utilizatorii domeniului.

Surse:

• cum se conectează un domeniu

Panoul de administrare există astfel încât webmasterul să poată adăuga, edita și șterge conținutul site-ului prin intermediul acestuia. A intra domeniu trebuie să vă cunoașteți numele de utilizator și parola.

Instruire

Pentru a lansa un viitor site într-un browser, tastați localhost/ în bara de adrese. domeniu. Dacă ați creat piesa de lucru resursă, ar trebui să apară în fața dvs. Pentru a intra în panoul administrativ, treceți cu mouse-ul peste bara de adrese și adăugați administrator. Confirmați operațiunea apăsând tasta Enter. Ar trebui să aveți următoarea adresă: localhost/site/admin/.

Deci, înaintea dvs. este panoul de administrare. Introduceți numele de utilizator (Nume de utilizator) într-un câmp de text și parola în celălalt. În mod implicit, numele administratorului este admin. Dacă doriți să o schimbați, accesați setările panoului și schimbați-vă datele de conectare. Parola v-a fost dată de găzduirea implicită. Îl puteți schimba și în setările generale. Pentru a face acest lucru, accesați secțiunea „Gestionarea utilizatorilor”, faceți clic pe elementul „Administrator”, introduceți o nouă parolă și confirmați-o.

După ce ați introdus datele de conectare și parola din panoul administrativ, faceți clic pe „Autentificare”. Veți vedea un panou administrativ în care puteți gestiona site-ul. În el puteți modifica, adăuga sau șterge date. Când intrați în panoul de administrare, bifați caseta de lângă inscripția „Ține-mă minte”. Acest lucru vă va permite să nu introduceți o parolă de fiecare dată când vă conectați la panoul de control.

Există o a doua cale. Conectați-vă la panoul de administrare prin intermediul site-ului însuși. Pentru aceasta in bara de adresa introduceți adresa site-ului dvs. web domeniu) și apăsați Enter. Faceți clic pe „Autorizare” sau „Autentificare”. Introduceți numele dvs. de utilizator și parola. Apasa Enter. Dacă ați introdus corect datele, sistemul va deschide panoul administrativ în fața dvs.

A treia cale. Introduceți în bara de adrese domeniu. Site-ul se va deschide. În partea de sus ar trebui să existe câteva funcții ale panoului de control. Va fi, de asemenea, o inscripție „Panoul de administrator”. Faceți clic pe el, dacă este necesar, introduceți datele dvs. de înregistrare.

Surse:

• cum să vă autentificați la e-mailul domeniului dvs

contabilitate record « oaspetele» vă permite să restricționați accesul la fișiere și aplicații de pe computer dacă îl utilizați un numar mare de uman. Utilizator autentificat ca oaspetele, va putea vizualiza documente publice și private, va putea naviga pe internet, dar nu va putea instala programe și nu va putea vedea fișierele personale ale altor utilizatori.

Instruire

Pentru a determina unde aparține computerul dvs., faceți clic dreapta pe pictograma „Computerul meu”. În fereastra care se deschide, în secțiunea „Nume computer, nume de domeniu și setări grup de lucru” va apărea o inscripție corespunzătoare „Domeniu” sau „Grup de lucru”, urmată de un nume, de exemplu „Grup de lucru”.

Dacă computerul dvs. face parte dintr-un domeniu. Deschideți „Conturi de utilizator” accesând „Start” -> „Panou de control”. În fereastra care se deschide, selectați „Conturi utilizator” și apoi „Conturi utilizator” din nou. Selectați „Control cont utilizator”. Dacă este setată o parolă de administrator, sistemul vă va cere să o introduceți sau să o confirmați. Introdu parola. După confirmarea parolei, în fereastra care se deschide, accesați fila „Avansat”, faceți clic pe butonul „Avansat” și selectați „ oaspetele". În caseta de dialog Proprietăți cont pentru oaspeți, debifați caseta de lângă Dezactivare cont record". Faceți clic pe OK. contabilitate record « oaspetele" activat.

Dacă computerul dvs. se află într-un grup de lucru. Accesați: „Start” -> „Panou de control” -> „Conturi de utilizator și control parental” -> „Conturi de utilizator”. În fereastra care se deschide, selectați „Gestionați alt cont” record Yu". Faceți clic o dată pe pictograma etichetată „ oaspetele". În fereastra următoare, sistemul vă va cere să activați contul record « oaspetele"? Faceți clic pe butonul „Activare”.

După activarea contului oaspetele”, când vă conectați, va fi afișat ecranul de selectare a contului. Alegeți contul record poți da clic pe el. Dacă sunteți utilizatorul principal al computerului, asigurați-vă că setați o parolă de administrator, astfel încât alți utilizatori să nu vă vadă și să vă modifice documentele sau să nu instaleze sau să elimine programe.

Notă

Conturile de invitat nu sunt acceptate pe Windows 7 Starter.

Când accesează discuri, foldere sau o unitate optică a unui alt computer dintr-o rețea locală, sistemul utilizează adresele acestor dispozitive și obiecte, care includ numele retelei computer la distanță. De asemenea, accesează imprimanta, unitatea flash și altele conectate la computerul altcuiva. periferice. Puteți modifica acest nume de rețea în setările sistemului de operare.

Instruire

Fereastra cu setările legate de numele rețelei computerului este apelată printr-unul dintre appleturile Windows Control Panel. Un link către acest panou este plasat în meniul principal al sistemului de operare - faceți clic pe butonul „Start” și selectați „Panou de control” în coloana din dreapta. În fereastra care se deschide, faceți clic pe inscripția „Sistem și securitate”, apoi - „Sistem”. După aceea, pe ecran va apărea aplicația dorită. Cu toate acestea, toate aceste acțiuni pot fi înlocuite prin apăsarea unei perechi de „taste rapide” Win + Pauză.

Appletul are o secțiune separată subtitrată „Nume computer, nume de domeniu și setări ale grupului de lucru” cu un link „Modificare setări” în partea dreaptă. Faceți clic pe acesta pentru a deschide o fereastră pentru modificarea unor proprietăți ale sistemului. Accesul la acestea necesită ca utilizatorul să aibă drepturi de administrator. Dacă nu sunteți autentificat ca administrator, va apărea o casetă de dialog care vă va cere să introduceți o parolă.

În fila „Nume computer” din fereastra de proprietăți a sistemului, faceți clic pe butonul „Schimbare”, după care, în cele din urmă, va apărea o fereastră cu câmpul „Nume computer”, a cărui valoare trebuie să o modificați. Introduceți un nou nume de rețea, urmând regulile standard pentru numele de Internet. Ei permit doar scrisori alfabet latin, precum și numere și unele caractere, cu excepția celor speciale. Interzise includ, de exemplu,; : " * + \ | , ? =. Microsoft recomandă utilizarea numelor scurte și descriptive de cel mult 15 caractere. În plus, acestea nu trebuie să fie toate numere și nu pot conține spații.

Apoi faceți clic pe butonul OK și închideți Panoul de control. Dacă computerul face parte dintr-un domeniu, sistemul vă va cere și să introduceți parola unui utilizator care are dreptul de a schimba numele computerelor din domeniu. Și dacă domeniul nu este utilizat, rețineți că alte computere din rețeaua locală vor încerca să găsească resursele acestui computer (de exemplu, unitate de rețea) la aceeași adresă. Prin urmare, va trebui să schimbați manual numele din adresă resursă de rețea sau deconectați-l și reconectați-l.

Notă

Acest articol va discuta despre cum puteți schimba numele computerului în Windows 7. Acest lucru se face destul de simplu, în doar câțiva pași. Numele computerului este de obicei folosit pentru a-l identifica în rețea și este setat în timpul instalării sistemului. Puteți afla acest nume în proprietățile computerului (care se află în meniul Start). Pentru a schimba numele computerului, urmați pașii

Sfat util

Schimbați numele computerului. Fiecare computer din rețea trebuie să aibă propriul nume unic, astfel încât computerele să se poată identifica și să comunice în mod unic. Majoritatea computerelor au nume implicite, dar de obicei este posibil să le schimbi. Este recomandabil să atribuiți computerelor nume scurte (nu mai mult de cincisprezece caractere) și ușor de înțeles. Vă recomandăm să utilizați numai caractere standard de Internet pentru numele computerului.

De multe ori devine necesar să aduceți o mașină Linux într-un domeniu Windows existent. De exemplu, de făcut server de fișiere folosind Samba. Este foarte ușor să faci asta, vei avea nevoie de un client Kerberos, Samba și Winbind.

Înainte de instalare, este de dorit să actualizați:

sudo aptitude update sudo aptitude upgrade

Puteți instala toate aceste lucruri cu comanda:

sudo aptitude install krb5-user samba winbind

De asemenea, poate fi necesar să instalați următoarele biblioteci:

sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind

Sau dacă folosești Desktop Ubuntu, aceleași pachete pot fi instalate prin managerul de pachete Synaptic.

În continuare, va trebui să configurați toate instrumentele de mai sus pentru a funcționa cu domeniul dvs. Să presupunem că doriți să vă conectați la un domeniu DOMAIN.COM, al cărui controler de domeniu este serverul dc.domain.com cu adresa IP 192.168.0.1 . Acest server este, de asemenea, principalul server DNS domeniul ohm. În plus, să presupunem că aveți un al doilea controler de domeniu, numit DNS - dc2.domain.com cu IP 192.168.0.2 . Computerul dvs. va fi apelat smbsrv01.

Setare DNS

Mai întâi trebuie să modificați setările DNS pe mașina dvs. setând controlerul de domeniu ca server DNS și domeniul dorit ca domeniu de căutare.

Dacă aveți o adresă IP statică, atunci în Ubuntu Desktop acest lucru se poate face prin Network Manager, în Ubuntu Server trebuie să modificați conținutul fișierului /etc/resolv.conf la ceva de genul acesta:

Domeniu domain.com căutare domain.com server de nume 192.168.0.1 server de nume 192.168.0.2

În distribuțiile moderne, fișierul resolv.conf este creat automat și nu trebuie editat manual. Pentru a primi rezultatul dorit trebuie să adăugați modificările necesare la fișier: /etc/resolvconf/resolv.conf.d/head Datele care vor fi adăugate la acesta vor fi inserate automat în fișierul /etc/resolv.conf

Dacă adresa IP este dinamică și este atribuită de un server DHCP, atunci după repornirea rezolv.conf, se poate forma un rezoluv.conf „incorect”, de exemplu, există un singur server de nume 192.168.0.1, iar domeniul și căutarea nu sunt Trebuie să editați /etc/dhcp/dhclient.conf Pentru ca domeniul și intrările de căutare să apară, trebuie să eliminați comentariul înainte de linia de înlocuire a numelui de domeniu și să introduceți domeniul dvs.:

înlocuiți numele-domeniu „domain.com”;

Pentru a adăuga un alt server de nume, trebuie să eliminați comentariul înainte de a adăuga domain-name-server și să specificați IP-ul serverului:

Adăugați înainte serverele-nume-domeniu 192.168.0.2;

Pentru a aplica modificările, rămâne să reporniți serviciul:

/etc/init.d/networking restart

Acum asigurați-vă că ați setat numele de gazdă corect în /etc/hostname:

Smbsrv01

În plus, trebuie să editați fișierul /etc/hosts astfel încât să conțină o intrare cu numele de domeniu complet calificat al computerului și neapărat nume scurt gazdă care se referă la unul dintre IP-urile interne:

# Numele acestui computer 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01

Trebuie să verificați imediat dacă controlerul nostru de domeniu face ping în mod normal, după numele scurt și complet, astfel încât pe viitor să nu primiți erori prin care controlerul de domeniu nu a fost găsit:

ping dc ping dc.domain.com

Nu este necesar, dar dacă schimbați ceva, reporniți computerul pentru a aplica modificările.

Setare de sincronizare a timpului

În continuare, trebuie să configurați sincronizarea orei cu controlerul de domeniu. Dacă diferența este mai mare de 5 minute, nu vom putea obține frunza de la Kerberos. Pentru sincronizarea unică, puteți utiliza comanda:

sudo net time set dc

Dacă există un server de timp exact în rețea, atunci îl puteți utiliza sau orice unul public:

ntpdate ntp.mobatime.ru

Sincronizarea automată este configurată folosind ntpd, acest demon va efectua periodic sincronizarea. Pentru a începe, trebuie să îl instalați:

sudo aptitude install ntp

Acum editați fișierul /etc/ntp.conf pentru a include informații despre serverul dvs. de timp:

# Trebuie să vorbiți cu un server NTP sau doi (sau trei). server dc.domain.com

Apoi reporniți demonul ntpd:

sudo /etc/init.d/ntp reporniți

Acum este timpul să configurați interacțiunea directă cu domeniul.

Configurarea autorizației prin Kerberos

default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = ( gazdă = ( rcmd = gazdă ftp = ftp ) plain = ( ceva = altceva ) ) fcc-mit-ticket DOMAIN.COM = ( kdc = dc kdc = dc2 admin_server = dc default_domain = DOMAIN.COM ) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false

Desigur, trebuie să schimbați domain.com în domeniul dvs. și dc și dc2 în controlerele dvs. de domeniu. Apropo, poate fi necesar să scrieți numele complete ale controlerului de domeniu dc.domain.com și dc2.domain.com . Deoarece am un domeniu de căutare DNS, nu trebuie să fac asta.

Acordați o atenție deosebită cazului de scriere a unui nume de domeniu - oriunde domeniul este scris cu litere mari, acesta trebuie scris cu litere mari. Altfel, magic, nimic nu poate funcționa.

Acestea nu sunt toate opțiunile de configurare Kerberos posibile, ci doar cele principale. Cu toate acestea, de obicei sunt suficiente.

Acum este timpul să verificăm dacă ne putem autentifica la domeniu. Pentru a face acest lucru, executați comanda

Kinit [email protected]

În loc de nume de utilizator, este firesc să introduceți numele unui utilizator de domeniu existent.

Numele de domeniu trebuie scris cu majuscule!

Dacă nu primești nicio eroare, înseamnă că ai configurat totul corect și domeniul îți oferă un bilet Kerberos. Apropo, mai jos sunt enumerate câteva greșeli comune.

Pentru a vă asigura că biletul a fost primit, puteți rula comanda

Puteți șterge toate biletele (în general, nu aveți nevoie de ele) cu comanda

Erori de kinit obișnuite

Kinit(v5): Ceasul este prea mare în timp ce obțineți acreditările inițiale

Aceasta înseamnă că ora computerului dvs. nu este sincronizată cu controlerul de domeniu (vezi mai sus).

Kinit(v5): Preautentificarea nu a reușit la obținerea acreditărilor inițiale

Ați introdus o parolă greșită.

Kinit(v5): Răspunsul KDC nu s-a potrivit așteptărilor la obținerea acreditărilor inițiale

Cea mai ciudată greșeală vreodată. Asigurați-vă că numele domeniului din krb5.conf și domeniul din comanda kinit sunt scrise cu majuscule:

DOMAIN.COM = ( # ... kinit [email protected] kinit(v5): Clientul nu găsit în baza de date Kerberos în timp ce obțineți acreditările inițiale

Utilizatorul specificat nu există în domeniu.

Configurare Samba și autentificare la domeniu

Pentru a intra în domeniu, trebuie să scrieți setările corecte în fișierul /etc/samba/smb.conf. În această etapă, ar trebui să fiți interesat doar de unele dintre opțiunile din secțiune. Mai jos este un exemplu de porțiune din fișierul de configurare Samba cu comentarii la valoare parametri importanti:

# Aceste două opțiuni trebuie scrise exact în caz capital, și grup de lucru fără # ultima secțiune după punct, iar domeniul este numele de domeniu complet calificat grup de lucru = DOMAIN domeniul = DOMAIN.COM # Aceste două opțiuni sunt responsabile pentru autorizarea prin securitate AD = parolele de criptare ADS = adevărat # Doar proxy dns important = fără opțiuni de socket = TCP_NODELAY # Dacă nu doriți ca Samba să încerce să devină lider într-un domeniu ocazional, sau grup de lucru, # sau chiar deveniți un controler de domeniu, apoi scrieți întotdeauna aceste cinci opțiuni în acest formular. = nu printcap name=/dev/null dezactivare spoolss=da

După ce editați smb.conf, rulați comanda

testparm

Acesta vă va verifica configurația pentru erori și vă va oferi un rezumat al acesteia:

# testparm Încărcați fișierele de configurare smb din /etc/samba/smb.conf Fișierul de servicii încărcat OK. Rolul serverului: ROLE_DOMAIN_MEMBER Apăsați pe Enter pentru a vedea un dump al definițiilor serviciilor dvs

După cum puteți vedea, am setat parametrii corecti pentru ca computerul nostru să devină membru al domeniului. Acum este timpul să încercați să vă conectați direct la domeniu. Pentru a face acest lucru, introduceți comanda:

Reclamele net se alătură -U nume de utilizator -D DOMAIN

Și dacă reușește, vei vedea ceva similar cu:

# net ads join -U username -D DOMAIN Introduceți parola numelui de utilizator: Folosind un nume de domeniu scurt -- DOMAIN S-a alăturat „SMBSRV01” la domeniul „domain.com”

Opțiuni de comandă net de utilizat

Nume utilizator, parola: Parametru necesar, în loc de nume de utilizator, trebuie să înlocuiți numele de utilizator cu drepturi de administrator de domeniu și să specificați parola.

D DOMAIN: DOMAIN - domeniul în sine, domeniul poate să nu fie specificat, dar este mai bine să o faceți întotdeauna - nu se va înrăutăți.

S win_domain_controller: win_domain_controller , poate fi omis, dar există momente când serverul nu găsește automat controlerul de domeniu.

createcomputer="OU/OU/...": OU (Unitatea organizațională) este adesea folosită în AD, există OU = Office în rădăcina domeniului, OU = Cabinet în el, pentru a adăuga imediat la cel de care aveți nevoie, puteți specifica acest lucru: sudo net ads join -U username createcomputer="Office/Cabinet".

Dacă nu mai sunt mesaje, atunci totul este în regulă. Încercați să dați ping computerului după numele unui alt membru al domeniului pentru a vă asigura că totul este înregistrat în domeniu așa cum ar trebui.

De asemenea, puteți tasta comanda:

Net ads testjoin

Dacă totul este bine, puteți vedea:

#net ads testjoin Alăturarea este OK

Dar, uneori, după mesajul despre aderarea la domeniu, apare o eroare ca aceasta:

Actualizarea DNS a eșuat!

Acest lucru nu este foarte bun, iar în acest caz este recomandat să citiți din nou secțiunea despre configurarea DNS-ului puțin mai sus și să înțelegeți ce ați greșit. După aceea, trebuie să eliminați computerul din domeniu și să încercați să îl introduceți din nou. Dacă sunteți sigur că totul este configurat corect, dar DNS-ul încă nu este actualizat, atunci puteți face manual o intrare pentru computerul dvs. pe serverul DNS și totul va funcționa. Desigur, dacă nu există alte erori și te-ai autentificat cu succes în domeniu. Cu toate acestea, este mai bine să ne dăm seama de ce DNS-ul nu este actualizat automat. Acest lucru se poate datora nu numai computerului, ci și setărilor AD incorecte.

Înainte să vă dați seama de ce DNS nu se actualizează, nu uitați să reporniți computerul după ce ați intrat în domeniu! Este posibil ca acest lucru să rezolve problema.

Dacă totul a decurs fără erori, atunci felicitări, ați intrat cu succes în domeniu! Poți să te uiți în AD și să vezi singur. De asemenea, este bine să verificați dacă puteți vedea resursele din domeniu. Pentru a face acest lucru, instalați smbclient:

sudo aptitude install smbclient

Acum puteți vizualiza resursele computerului de domeniu. Dar pentru asta trebuie să ai un bilet Kerberos, adică. dacă le-am șters, atunci îl obținem din nou prin kinit (vezi mai sus). Să vedem ce resurse sunt furnizate rețelei de computerul stației de lucru:

Smbclient -k -L stație de lucru

Ar trebui să vedeți o listă de partajări pe acest computer.

Configurarea Winbind

Dacă trebuie să lucrați cumva cu utilizatorii de domeniu, de exemplu, să configurați partajările SMB cu controlul accesului, atunci pe lângă Samba în sine, veți avea nevoie și de Winbind, un demon special care conectează utilizatorii Linux local și sistemul de management al grupului cu server activ Director. Pur și simplu, Winbind este necesar dacă doriți să vedeți utilizatori de domeniu pe mașina dvs. Ubuntu.

Winbind vă permite să mapați toți utilizatorii și toate grupurile AD la dvs sistem Linux, atribuindu-le un ID din intervalul specificat. Astfel, puteți atribui utilizatori de domeniu drept proprietari ai folderelor și fișierelor de pe computer și puteți efectua orice alte operațiuni legate de utilizatori și grupuri.

Winbind este configurat folosind același fișier /etc/samba/smb.conf. Adăugați următoarele rânduri la secțiune:

# Opțiuni pentru potrivirea utilizatorilor de domeniu și a utilizatorilor virtuali din sistem prin Winbind. # Intervale de ID pentru utilizatori virtuali și grupuri. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Aceste opțiuni nu ar trebui să fie dezactivate. winbind enum groups = da winbind enum utilizatori = da # Utilizați domeniul implicit pentru numele de utilizator. Fără această opțiune, numele de utilizator și numele de grup # vor fi folosite cu domeniul, de exemplu. în loc de nume de utilizator - DOMAIN\nume de utilizator. # Acesta poate fi exact ceea ce doriți, dar de obicei este mai ușor să activați această opțiune. winbind use default domain = yes # Dacă doriți să permiteți utilizatorilor domeniului să folosească linia de comandă, atunci # adăugați rândul următor, altfel /bin/false șablon shell = /bin/bash va fi numit ca shell"a # Pentru actualizare automata Biletul Kerberos cu modulul pam_winbind.so, trebuie să adăugați linia bilete de reîmprospătare winbind = da

Parametri:

idmap uid = 10000 - 40000

idmap gid = 10000 - 40000

în noile versiuni de Samba sunt deja depășite și atunci când verificați configurația samba folosind testparm, va fi emis un avertisment:

AVERTISMENT: Opțiunea „idmap uid” este depreciată

AVERTISMENT: Opțiunea „idmap gid” este depreciată

Pentru a elimina avertismentele, trebuie să înlocuiți aceste linii cu altele noi:

idmap config *: interval = 10000-20000

idmap config *: backend = tdb

Acum reporniți daemonul Winbind și Samba în următoarea ordine:

sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start

Lansăm

sudo testparm

Vedeți dacă există erori sau avertismente dacă apar:

„rlimit_max: rlimit_max (1024) sub limita minimă Windows (16384)”

Puteți să o remediați fără o repornire astfel:

Ulimit -n 16384

Pentru a salva după repornire, editați fișierul /etc/security/limits.conf

# Adăugați linii la sfârșitul fișierului: * - nofile 16384 root - nofile 16384

După repornire, verificați dacă Winbind s-a instalat relație de încredere cu comanda AD:

# wbinfo -t verificarea secretului de încredere pentru domeniul DCN prin apeluri RPC a reușit

Și, de asemenea, că Winbind a văzut utilizatori și grupuri din AD cu comenzile:

wbinfo -u wbinfo -g

Aceste două comenzi ar trebui să returneze o listă de utilizatori și, respectiv, grupuri din domeniu. Fie cu sau fără prefixul DOMAIN\, în funcție de valoarea specificată pentru opțiunea „winbind use default domain” din smb.conf .

Deci, Winbind funcționează, dar nu este încă integrat în sistem.

Adăugarea Winbind ca sursă pentru utilizatori și grupuri

Pentru ca Ubuntu să se ocupe în mod transparent de utilizatorii domeniului, în special pentru a putea atribui utilizatorilor domeniului dreptul de proprietate asupra dosarelor și fișierelor, trebuie să îi spuneți lui Ubuntu să folosească Winbind ca sursă suplimentară de informații despre utilizatori și grupuri.

Pentru a face acest lucru, modificați două linii în fișierul /etc/nsswitch.conf:

passwd:compat grup:compat

adăugând winbind la sfârșit:

passwd: compat winbind grup: compat winbind

Fișiere: dns mdns4_minimal mdns4

server ubuntu 14.04, fișierul /etc/nsswitch.conf nu conținea linia „fișiere: dns mdns4_minimal mdns4” ci era: „gazde: fișiere mdns4_minimal dns wins” Pe care l-am convertit în: „gazdă: dns mdns4_minimal mdns” care totul a funcționat

Acum verificați dacă Ubuntu cere Winbind informații despre utilizator și grup rulând

getent passwd grup getent

Prima comandă ar trebui să returneze întregul conținut al fișierului dvs. /etc/passwd, adică utilizatorii dvs. locali, plus utilizatorii de domeniu cu ID-uri din intervalul pe care l-ați specificat în smb.conf. Al doilea ar trebui să facă același lucru pentru grupuri.

Acum puteți lua orice utilizator de domeniu și îl puteți face, de exemplu, proprietarul unui fișier.

Autorizare în Ubuntu prin utilizatori de domeniu

În ciuda faptului că toți utilizatorii de domeniu au devenit de fapt utilizatori cu drepturi depline ai sistemului (ceea ce poate fi verificat prin rularea ultimelor două comenzi din secțiunea anterioară), niciunul dintre ei nu se poate conecta în continuare în sistem. Pentru a activa autorizarea utilizatorilor de domeniu pe o mașină Ubuntu, PAM trebuie configurat să funcționeze cu Winbind.

Autorizare online

Pentru Ubuntu 10.04 și versiuni ulterioare adăugați doar o linie la /etc/pam.d/common-session, deoarece PAM face o treabă destul de bună cu autorizare:

Sesiune opțională pam_mkhomedir.so skel=/etc/skel/umask=0077

Pentru Ubuntu 13.10 pentru ca câmpul de conectare manuală să apară, trebuie să adăugați linia de mai jos la orice fișier din folderul /etc/lightdm/lightdm.conf/:

Greeter-show-manual-login=adevărat

Pentru Ubuntu 9.10 și mai jos va trebui să editați mai multe fișiere (dar nimeni nu interzice utilizarea acestei metode în 10.04 - funcționează și):

Succesiunea liniilor din fișiere contează!

/etc/pam.d/common-auth

Auth required pam_env.so auth suficient pam_unix.so likeauth nullok try_first_pass auth suficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=Autentificare FIȘIER este necesară pam_deny.so

/etc/pam.d/common-account

Cont suficient pam_winbind.so este necesar un cont pam_unix.so

/etc/pam.d/common-session

sesiune opțională pam_mkhomedir.so skel=/etc/skel/umask=0077 sesiune opțională pam_ck_connector.so nox11 sesiune necesară pam_limits.so sesiune necesară pam_env.so sesiune necesară pam_unix.so

/etc/pam.d/common-password

parolă suficientă pam_unix.so try_first_pass use_authtok nullok sha512 shadow password suficient pam_winbind.so parola necesară pam_deny.so

Și, în sfârșit, trebuie să mutați începutul Winbind la pornirea sistemului după toate celelalte servicii (în mod implicit începe cu indexul 20). Pentru a face acest lucru, rulați următoarea comandă în terminal:

sudo bash -c "pentru i în 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; gata"

Ceea ce este echivalent cu rularea pentru fiecare nivel (în exemplul - 4) a comenzii:

Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

În unele cazuri, winbind poate avea un nivel de rulare diferit (de exemplu, S02winbind). Prin urmare, mai întâi verificați numele fișierelor lansând comanda „ls /etc/rc(2,3,4,5).d/ | grep winbind" (fără ghilimele).

Gata, toate setările sunt finalizate. Reporniți și încercați să vă autentificați cu un cont de utilizator de domeniu.

Autorizare off-line

Adesea apare o situație când controlerul de domeniu este indisponibil din diverse motive - prevenire, întrerupere de curent sau ați adus un laptop acasă și doriți să lucrați. În acest caz, Winbind poate fi configurat să memoreze în cache conturile de utilizator de domeniu. Pentru a face acest lucru, faceți următoarele. Adăugați următoarele linii la secțiunea fișierului /etc/samba/smb.conf:

# Posibilitatea de autorizare offline atunci când controlerul de domeniu este indisponibil winbind offline logon = da # Perioada de stocare în cache a contului, implicit este de 300 de secunde winbind cache time = 300 # Setare opțională, dar elimină pauzele obositoare, specificați un controler de domeniu dc, # puteți specifica și ip, dar este serverul de parole proaste maniere = dc

De obicei, acest lucru este suficient. Dacă apar erori, atunci trebuie să creați fișierul /etc/security/pam_winbind.conf cu următorul conținut:

Atenţie! Când utilizați sfaturile de mai jos, poate apărea o eroare complet aleatorie „Autentificare eșuată”! Prin urmare, tot ceea ce faci, faci pe riscul și riscul tău!

# # fișierul de configurare pam_winbind # # /etc/security/pam_winbind.conf # # activați depanarea depanării = nu # solicitați o autentificare în cache, dacă este posibil # (necesită „winbind offline logon = yes” în smb.conf) cached_login = yes # autentificare folosind kerberos krb5_auth = yes # când utilizați kerberos, solicitați un tip de cache de acreditări „FILE” krb5 # (lasați gol pentru a face doar autentificare krb5, dar nu aveți un bilet # după aceea) krb5_ccache_type = FILE # faceți ca autentificarea reușită să depindă de apartenența la un SID # (poate lua și un nume) ;require_membership_of = silent = yes

Fișierul /etc/pam.d/gnome-screensaver ia apoi forma:

Auth suficient pam_unix.so nullok_secure auth suficient pam_winbind.so use_first_pass auth required pam_deny.so

Și fișierul /etc/pam.d/common-auth este de asemenea modificat:

auth opțional pam_group.so auth suficient pam_unix.so nullok_secure use_first_pass auth suficient pam_winbind.so use_first_pass auth required pam_deny.so

Bună ziua, dragi iubitori de computere și cititori ai blogului MyFirstComp.ru. Astăzi vom lua în considerare un subiect destul de important cu care orice administrator de sistem s-a confruntat sau se va confrunta cu siguranță în viitorul apropiat. Mediu LAN corporativ sau întreprindere mareîn 99% din cazuri are o structură de domeniu. Acest lucru este dictat, în primul rând, de politica de securitate a întreprinderii. Astfel, toate calculatoarele din rețea folosesc setările computerului principal - domeniul (securitatea poate fi asigurată de un firewall sau de un apărător, care poate fi dezactivat cu ușurință).

Acum îmi propun să luăm în considerare un exemplu de cum să introduceți un computer sub control windows 7. Deși, în principiu, adăugarea computerelor cu alte versiuni de ferestre la domeniu nu este mult diferită - principalul lucru este să înțelegeți esența.

În primul rând, introducem cablu de rețea la computer =). Acum trebuie să vă configurați conexiunea la rețea. Facem clic dreapta pe computer din tavă și deschidem Centrul de rețea și partajare.

În fereastra care apare, faceți clic pe Modificați setările adaptorului - se vor deschide toate conexiunile de rețea disponibile. Trebuie să selectăm Local Area Connection, să facem clic dreapta pe ea și să selectăm Properties.

În fereastra care se deschide, trebuie să introduceți date precum adresa IP, masca de subrețea, gateway-ul și serverul DNS. Ar trebui să fie așa ceva.

Faceți clic pe OK, salvând astfel modificările. Aceasta completează lucrările pregătitoare. Acum să trecem la adăugarea unui computer la domeniu.

Faceți clic pe Start, faceți clic dreapta pe Computer, selectați Proprietăți. În partea stângă a ferestrei găsim elementul Setări avansate de sistem și faceți clic pe el cu butonul stâng al mouse-ului. În fereastra care apare, deschideți fila Nume computer.

Apăsăm OK. Vi se va solicita să introduceți un nume de utilizator și o parolă care au dreptul de a conecta computere la domeniu, de exemplu, un administrator de domeniu. După aceea, este necesară o repornire.

La sfârșitul repornirii, computerul dvs. va fi în domeniu.

Dacă computerul a ieșit din domeniu

Da, se întâmplă. Computerul poate refuza fără niciun motiv să vadă domeniul. În consecință, autorizarea nu va funcționa.

Apoi, din nou, introducem computerul în domeniul așa cum se arată mai sus și repornăm din nou.

Etichete: windows, domeniu, computer

myfirstcomp.com

Cum să conectați un computer cu Windows 7 la un domeniu

Punerea unui PC într-un domeniu vă va permite să vă bucurați de bunătăți ale domeniului, cum ar fi scalabilitatea, management centralizat, politici de grup, setări de securitate și multe altele.

Înainte de a vă alătura mașina Windows 7 la domeniu, asigurați-vă că sunt îndeplinite următoarele condiții:

Utilizați Windows 7 Professional, Ultimate sau Enterprise - doar aceste distribuții ale Windows 7 pot fi incluse într-un domeniu. Windows 7 Home este imposibil, nici nu încerca.

Tu ai Card de retea(NIC) - o placă fără fir va face

Sunteți conectat fizic la o rețea locală din care controlerul de domeniu este accesibil. Vă rugăm să rețineți că Windows 7 poate fi alăturat unui domeniu fără conexiune retea cu acesta din urmă (această caracteristică a apărut în domeniul pe Windows Server 2008 R2), dar acesta este un subiect pentru un articol separat.

Aveți adresa IP corectă pentru rețeaua la care sunteți conectat. Îl puteți configura manual sau îl puteți obține de la Server DHCP.

„Vezi” controlerul de domeniu în rețea.

Aveți un server DNS configurat corect? setare corectă DNS, computerul dvs. nu poate fi introdus într-un domeniu.

Aveți drepturi de administrator local - un simplu utilizator nu va putea face acest lucru.

Trebuie să cunoașteți numele domeniului și să aveți un cont de utilizator/administrator activ pe domeniu. În mod implicit, orice utilizator de domeniu poate adăuga 10 mașini la domeniu. Dar această setare poate fi schimbată de administratorul domeniului.

Există 3 opțiuni pentru alăturarea unei mașini cu 7 la domeniu: folosind interfața grafică (My Computer-> Properties->Change Settings->Computer Name fila), folosind utilitarul de linie de comandă NETDOM, folosind comanda Power Shell (adăugați- calculator). Nu mă voi opri asupra primei, toată lumea o știe foarte bine.

Folosind utilitarul NETDOM, puteți rezolva problema conectării la un domeniu din linia de comandă. Dar implicit, acest utilitar nu funcționează! Cum se face rețeaua să funcționeze în Windows 7?

Deschideți o fereastră de linie de comandă cu drepturi de administrator și introduceți următoarea linie:

Netdom join %computername% /domain:winitpro.ru /userd:DOMAIN\administrator /parola:

Notă: Înlocuiți winitpro.ru cu numele dvs. de domeniu și introduceți numele de utilizator și parola corecte. domeniul cu dvs nume corect domeniu și, bineînțeles, introduceți permisiunile de utilizator corespunzătoare. Rețineți, de asemenea, „d” suplimentar în opțiunile /userd și /passwordd, aceasta nu este o greșeală de scriere.

Reporniți computerul. Gata, acum esti in domeniu!

Consultați, de asemenea, articolul: cum să dezactivați părăsirea unui domeniu, precum și caracteristica de alăturare a unui domeniu offline în Windows Server 2008.

winitpro.ru

/ cum se adaugă un computer la un domeniu Windows

Bună ziua, dragi cititori ai blogului pyatilistnik.org, astăzi vreau să vă spun cum să adăugați un computer la un domeniu Windows Server 2008 R2. Ce este un domeniu poate fi citit în articolul Introducere în conceptele de bază ale Active Directory. Pentru a adăuga un computer la domeniu activ director, există mai multe moduri.

Cum să adăugați un computer la un domeniu

Și astfel există mai multe metode de a introduce un computer într-un domeniu, una prin interfața GUI, dar a doua este pentru iubitorii de echipă, dar ambele au propriile scenarii de aplicare. Permiteți-mi să vă reamintesc că pentru a adăuga un computer la AD, trebuie să aveți acreditări de utilizator sau administrator de domeniu. În mod implicit, un utilizator obișnuit poate adăuga până la 10 computere la AD, dar dacă se dorește, acest lucru poate fi ocolit prin creșterea cifrei sau poate fi delegat drepturi necesare pentru un cont.

1. Prin GUI

Accesați proprietățile My Computer, pentru a face acest lucru, faceți clic dreapta și selectați din meniul contextual Proprietăți. Sau apăsați combinație Chei de câștig+ Pause Break, care va deschide și fereastra cu proprietățile sistemului.

cum se adaugă un computer la domeniul Windows

Faceți clic pe Modificați setările

Cum să adăugați un computer la un domeniu Windows 2008 R2

În fila Nume computer, faceți clic pe butonul Modificare

Cum să adăugați un computer la un domeniu Windows 2008 R2

Am stabilit numele computerului la maximum 16 caractere, este mai bine să setați imediat un nume care să fie de înțeles pentru dvs. și care să corespundă standardelor dvs.

Cum să adăugați un computer la un domeniu Windows 2008 R2

Și scrieți numele domeniului, faceți clic pe OK

specificați sufixul domeniului

Introducem acreditările care au dreptul de a introduce serverul în domeniu, implicit fiecare utilizator poate intra de până la 10 ori în domeniu, dacă desigur nu ați interzis acest lucru.

Introducerea acreditărilor

adăugare cu succes la directorul activ al domeniului

Nu uitați că de îndată ce ați intrat pe server în AD, acesta trebuie să configureze imediat adresa IP statică și abia apoi să repornească

După repornire vedem că totul este în regulă și suntem membri ai domeniului și ați reușit să introduceți PC-ul în domeniu.

2. Utilitarul Netdom

Deschideți (linia de comandă) cmd. Mai devreme am descris cum să deschideți linia de comandă Windows. Comoditatea acestei metode este că poate fi făcută ca script și transmisă, de exemplu, către utilizator de la distanță care nu are cunoștințele despre cum să o facă.

Netdom join %competername% /domain:contoso.com /userd:contosoadmin1 /passwordd:* - %competername% numele companiei poate fi lăsat așa - /domain scrieți domeniul - /userd login - passwordd:* înseamnă că vi se va cere pentru a introduce o parolă

Cred că nu a fost greu și tu însuți vei alege metoda care ți se potrivește. Este util să le cunoaștem pe ambele, deoarece este mai corect să faci serverul în modul core, pentru securitate maximă.

3. Prin fișierul Offline și utilitarul djoin.exe

Să ne imaginăm o situație în care nu aveți nicio legătură cu controlerul de pe computerul pe care doriți să îl introduceți din domeniul Active Directory, dar trebuie să o faceți, ei bine, inginerul de rețea nu a configurat încă un canal vpn între birouri, Microsoft în acest moment are un script de alăturare a domeniului Offline sau așa cum este denumită și intrarea autonomă în domeniu. Uniunea offline a domeniului a apărut odată cu apariția Windows 7 și Windows Server 2008 R2. Și așa cum arată adăugarea unui computer la un domeniu AD.

Aici, pentru claritate, există Biroul principalși o sucursală la distanță, acestea trebuie conectate între ele, implementate separat sub domeniu, nu are rost în sucursală, deoarece există doar 3 angajați permisi acolo și, conform standardelor companiei, ar trebui să facă parte din domeniul Active Directory .

Etapele unirii domeniului offline

• La început, aveți nevoie de orice computer care are o conexiune cu un controler de domeniu, pe care vom crea un fișier special, se numește blob (obiect binar mare), prin executarea comenzii djoin / provision pe linia de comandă, care va crea un cont de calculator în baza de date Active Directory
• A doua etapă este să transferați acest fișier, prin poștă sau prin Internet, iar pe partea clientului, care trebuie introdus în domeniu, executați o comandă folosind fișierul primit.

Parametrii utilitarului djoin.exe

• /PROVISION - Furnizează un cont de computer în domeniu.
• /DOMAIN - domeniul la care se va alătura.
• /MACHINĂ - Computerul care urmează să fie alăturat domeniului.
• /MACHINEOU este un parametru opțional care specifică unitatea organizatorică în care este creat contul.
• /DCNAME este un parametru opțional care specifică controlerul de domeniu țintă pe care va fi creat contul.
• /REUTILIZARE - Reutilizați un cont existent (parola va fi resetată).
• /SAVEFILE - salvează datele de pregătire într-un fișier situat la calea specificată.
• /NOSEARCH - săriți detectarea conflictelor de cont; necesită DCNAME (performanță mai bună).
• /DOWNLEVEL - Oferă suport pentru un controler de domeniu Windows Server 2008 sau anterior.
• /PRINTBLOB - Returnează blob-ul de metadate codificat base64 pentru fișierul de răspuns.
• /DEFPWD - utilizați parola implicită a contului de computer (nu este recomandată).
• /ROOTCACERTS - parametru opțional, include certificatele rădăcină ale CA.
• /CERTTEMPLATE - parametru opțional al șablonului de certificat al computerului. Include certificate CA rădăcină.
• /POLICYNAMES - parametru opțional, listă de nume de politici separate prin punct și virgulă. Fiecare nume este numele afișat al unui GPO în AD.
• /POLICYPATHS - parametru opțional, listă de căi către politici separate prin punct și virgulă. Fiecare cale indică locația fișierului de politică de registry.
• /NETBIOS - parametru opțional, numele Netbios al computerului care urmează să fie alăturat domeniului.
• /PSITE este un parametru opțional al site-ului permanent în care doriți să plasați computerul care se alătură domeniului.
• /DSITE este un parametru opțional al site-ului dinamic în care este plasat inițial computerul alăturat domeniului.
• /PRIMARYDNS - parametru opțional, domeniul DNS primar al computerului fiind alăturat domeniului.
• /REQUESTODJ - Necesită alăturarea domeniului offline la următoarea pornire.
• /LOADFILE - specificat mai devreme cu opțiunea /SAVEFILE.
• /WINDOWSPATH - în directorul cu imaginea offline din Windows.
• /LOCALOS - vă permite să specificați sistemul de operare local în parametrul /WINDOWSPATH.

În mediul de testare, vom crea un computer WKS1 și îl vom adăuga la domeniul Active Directory. WKS1 va fi localizat în subdiviziunea Offline_Join, fișierul blob se va numi wks1.txt

djoin /provision /domain Contoso.com /machine WKS1 /machineOU "OU=Offline_Join,DC=Contoso,DC=com" /savefile c:\test\wks1.txt

Dacă decideți brusc că puteți găsi informații utile într-un fișier blob, atunci vă înșelați, este criptat și nu poate fi citit de om.

Acum trebuie să transferăm acești doi kiloocteți în computer la distanță, unde se va face intrare autonomă în domeniu. Copiați blob-ul în rădăcina unității C:\, deschideți un prompt de comandă și introduceți comanda

djoin /requestODJ /loadfile c:\test\wks1.txt /windowspath %systemroot% /localos

După executarea comenzii, metadatele contului de computer din fișierul blob vor fi adăugate în directorul Windows.

djoin funcționează cu mașini virtuale, funcționează și cu un bang, nu are nicio diferență, există o cheie /windowspath care indică locația fișierului VHD cu sistemul instalat.

4. adăugați la domeniu prin Powershell

Deschideți Powershell ca administrator și introduceți următoarea comandă

Add-Computer -DomainName numele domeniului dvs

Specificați numele domeniului dvs., veți primi formularul de autentificare și introducere a parolei

dacă totul este în regulă, atunci veți vedea o inscripție galbenă că va fi o repornire.

După cum puteți vedea, există o mulțime de metode și fiecare își va putea folosi propriile sarcini și pentru propriile sarcini, cred că întrebarea cum să conectați un computer la un domeniu publicitar poate fi închisă.

Materialul site-ului Pyatilistnik.org

www.pyatilistnik.org

Cum să adăugați un computer la un domeniu

Domeniile facilitează foarte mult munca utilizatorilor, permițându-vă să vă conectați o singură dată și să uitați de toate parolele pentru diverse dispozitiveși fișiere dintr-o rețea locală mare.

Pentru a face acest lucru, aveți nevoie de: 1.drepturi de administrator; 2.rețea locală cu domeniu Windows; 3.cont de utilizator în domeniu;

4.nume de domeniu.

1. Puteți include un computer într-un domeniu Windows în fila „Nume computer” din fereastra „Proprietăți sistem”. Pentru a deschide fereastra „Proprietăți sistem” în sistemul de operare Windows XP, utilizați meniul „Start” pentru a deschide „Panou de control” și faceți clic pe elementul „Sistem”. Dacă computerul rulează Windows 7 sau Vista, deschideți „Panou de control” și accesați categoria „Sistem și securitate”, în care faceți clic pe elementul „Sistem”. În pagina care se deschide, faceți clic pe linkul „Setări avansate de sistem” situat în coloana din stânga. 2. În fereastra System Properties care se deschide, selectați fila Computer Name. Faceți clic pe butonul „Editare” și în fereastra care se deschide, introduceți numele domeniului în care doriți să includeți computerul. Apoi, faceți clic pe butonul OK. În fereastra care apare, introduceți numele de utilizator și parola domeniului. Apoi faceți clic pe OK și reporniți computerul. Computerul dvs. este inclus în domeniu. 3. Pe lângă interfața grafică, puteți conecta computerul la domeniu folosind linia de comandă. Sistemul de operare Windows XP include utilitarul NETDOM, care poate adăuga un computer la un domeniu folosind comanda:

netdom join computer_name /domain:domain_name /user:domain_name\user_name /parola:user_pass.

În cazul în care computer_name, domain_name și user_name trebuie înlocuite cu numele computerului, respectiv domeniul și utilizatorul adăugat, iar user_pass ar trebui schimbată cu parola utilizatorului din domeniu.

În Windows 7, utilitarul NETDOM a fost înlocuit cu o comandă în PowerShell - add-computer. Pentru a conecta un computer la un domeniu din consola din Windows 7, executați următoarea comandă:

add-computer -DomainName nume_domeniu -acreditare nume_domeniu\nume_utilizator

Unde nume_domeniu și nume_utilizator înlocuiesc, de asemenea, numele de domeniu și de utilizator.

Domeniul Windows nu este destinat uzului casnic, este foarte convenabil în rețelele corporative cu un număr mare de utilizatori cu diferite niveluri de acces la fișiere și dispozitive. Prin urmare, computerele care rulează sisteme de operare pentru uz casnic, adică sub nivelul Professional, nu au instrumente de includere a domeniului. Pentru a adăuga astfel de computere, mai întâi reinstalați sistemul.

Există o modalitate mai rapidă de a lansa fereastra System Properties. Dacă aveți un sistem de operare Windows XP, faceți clic dreapta pe pictograma „My Computer” și în meniul care se deschide, faceți clic pe elementul „System Properties”. Dacă aveți un sistem de operare Windows 7 sau Vista, faceți clic dreapta pe pictograma „Computer”, selectați „Proprietăți sistem” și faceți clic pe „Setări avansate de sistem”.

Când conectați un computer la un domeniu, în aceeași filă „Nume computer”, puteți specifica o descriere a computerului dvs., care va fi un indiciu pentru utilizatorii domeniului.

complaz.ru

Cum se introduce un computer într-un domeniu în moduri diferite?

Problema conectării unui computer la un domeniu apare de obicei din administratorii de sistem, care trebuie să creeze retea locala. Sistemul de domeniiînseamnă că toate computerele din rețea folosesc setările PC-ului principal. Să încercăm să ne dăm seama cum să unim un computer care rulează Windows 7 la un domeniu. Pentru alte sisteme de operare, conexiunea nu este prea diferită.

Care sunt beneficiile unei structuri de domeniu? Cu acesta, puteți utiliza, de exemplu, politici de grup și management centralizat. Acest lucru vă permite să lucrați eficient.

Cerințe importante

Înainte de a introduce un computer cu Windows 7 într-un domeniu, trebuie să verificați dacă computerul îndeplinește o serie de cerințe, dacă toate setările au fost finalizate. Sunt destul de multe, deși majoritatea ar trebui să fie deja produse. Verificați următoarele:

• Windows 7 trebuie utilizat în următoarele versiuni: Professional, Ultimate sau Enterprise. Doar aceste versiuni pot fi asociate unui domeniu;
• Trebuie să fie prezentă o placă de rețea. Dar asta e de la sine înțeles;
• Trebuie realizată o conexiune LAN. În majoritatea cazurilor, deși puteți conecta Windows 7 la Windows Server 2008 R2 offline, aceasta este o problemă separată;
• Trebuie specificată adresa IP corectă. Poate fi configurat manual, obținut de la un server DHCP, sau poate fi o adresă APIPA (valorile sale încep cu 169.254.X.Z);
• Trebuie să vă asigurați că controlerele (cel puțin unul) sunt disponibile pentru conectare;
• Verificați, de asemenea, conexiunea controlerului (de exemplu, îl puteți ping, adică verificați calitatea conexiunii);
• Serverul DNS trebuie configurat corect. Acest lucru este important, dacă este configurat incorect, este posibil să întâmpinați probleme de conectare la domeniu. Chiar dacă conexiunea este reușită, eșecurile sunt posibile mai târziu;
• Serverele DNS trebuie să fie disponibile. Pentru a face acest lucru, trebuie să verificați conexiunea folosind programul PING;
• Uită-te la drepturile tale în sistemul local. Drepturile trebuie să fie prezente administrator local calculator;
• Trebuie să știți numele domeniului, numele administratorului și parola.

Conectarea unui PC la un domeniu

Există două moduri de a adăuga un computer la un domeniu. Să le privim mai detaliat.

Prima metodă

Acesta este modul standard de a conecta un PC la un domeniu. Urmați acești pași:

• Faceți clic pe pictograma „Start”, faceți clic dreapta pe comanda rapidă „Computer”, selectați „Proprietăți”;
• În elementul „Nume computer, domeniu și setări de lucru”, faceți clic pe „modificați setările”;
• Deschideți fila „Nume computer” și faceți clic pe „Schimbare”;
• În secțiunea „Parte din (ceva)”, selectați „Domeniu”;
• Introduceți numele domeniului la care vă conectați, faceți clic pe „OK”;
• Introduceți din nou numele și parola.

Apoi reporniți computerul. După aceea, computerul va fi conectat la un domeniu din rețeaua locală.

A doua metodă

Trebuie să utilizați aplicația NETDOM. Pentru a conecta un domeniu, trebuie să introduceți o singură comandă la linia de comandă:

în care:

• Parametrii „DOMAIN.COM” și „DOMAIN” trebuie înlocuiți cu numele domeniului. De asemenea, trebuie să specificați un nume de utilizator și o parolă;
• „D” suplimentar din „utilizator” și „parolă” nu este o greșeală de tipar;
• În Windows 7, NETDOM este deja în sistemul de operare. În versiunile de Windows 2000, XP și 2003, trebuie să instalați Instrumente de asistență.

Pentru a finaliza conexiunea, reporniți computerul.

Ce să faci dacă domeniul „a căzut”?

Acest lucru se întâmplă după conectarea computerului la domeniu. Computerul pur și simplu nu îl „vede”. Veți observa imediat acest lucru, deoarece nu vă veți putea autentifica. Urmează următoarele instrucțiuni:

• Conectați-vă ca administrator local;
• Accesați proprietățile sistemului și, în elementul „Nume computer”, rețineți că computerul face parte din grupul de lucru;
• Reporniți computerul;
• Apoi reconectați computerul la domeniu, așa cum este descris mai sus;
• Reporniți.

Acum computerul ar trebui să se alăture domeniului.

Plasarea unui computer într-un anumit container

Dezavantajul metodelor descrise de conectare la un domeniu este că PC-ul este plasat într-un container standard, de obicei în folderul „Computer”. Și pentru a vă muta în altă locație, aveți nevoie de un administrator. Dar puteți plasa computerul imediat în containerul dorit. Există două opțiuni pentru aceasta.

Metoda numărul 1

Pentru a face acest lucru, este creat mai întâi un cont gol, unde se află computerul (trebuie să aveți drepturi pentru a crea un obiect). În consola ADUC, se creează un cont nou cu același nume care va fi folosit pentru a vă conecta la domeniu. Apoi utilizați metoda de conectare descrisă mai sus. Sistemul va vedea un cont care există deja în domeniu, dar pur și simplu nu este mapat la acesta. Odată potrivire, computerul se va potrivi în containerul corect.

Metoda numărul 2

Puteți folosi comanda Powershell:

• Conectați-vă cu drepturi de administrator;
• La linia de comandă, introduceți „powershell” (apoi puteți utiliza PoSh în schimb);
• Comanda de a include un PC în domeniul corp.company.ru de sub contul corpcompany_admin, care creează un cont în containerul corp.company.ru/ Admin /Computers, unde compania este numele computerului, va arăta astfel :

  add-computer -DomainName corp.company.ru -credential corp company_admin –OUPath "OU=Computers,OU=Admin,dc=corp,dc=company,DC=ru";

• Se va deschide o nouă fereastră, în care introduceți parola de utilizator company_admin;
• Apoi va apărea fereastra „AVERTISMENT: Modificările vor intra în vigoare după ce reporniți computerul pcwin8” (pcwin8 înseamnă sistem de operare). Reporniți computerul.

Acum computerul va fi localizat în containerul potrivit, unde se referă domeniul.

Pentru conectarea corectă a unui PC la un domeniu, este mai bine să o efectuați pentru administratorul care a creat această rețea locală. El știe despre toate capcanele din acest domeniu și, prin urmare, se va putea conecta rapid. Dacă decideți să vă conectați singur computerul la domeniu, atunci în cazul oricărei probleme, lăsați computerul în această stare până când specialistul efectuează o corecție.