Linux и Windows: помощь админам и пользователям
Администрируем и настраиваем Windows, Linux.
Присоединение Windows 7 к домену
Ввод компьютера в домен позволяет использовать все преимущества домена, такие как централизированное управление, групповые политики и многое, многое другое.
Предварительные требования
Перед вводом компьютера под управлением Windows 7 в домен убедитесь что следующие предварительные требования соблюдены:
Используется Windows 7 Professional, Ultimate или Enterprise — только эти редакции Windows 7 могут быть подключены к домену.
У вас есть сетевая карта — собсвенно без комментариев, думаю вы не забыли об этом 
Вы подключены к локальной сети— Убедитесь что вы подключены к локальной сети. Хотя Windows 7 может быть присоединена к домену Windows Server 2008 R2 в оффлайн режca, это тема для отдельной статьи.
Вы имеете правильный IP адрес — Ещё раз убедитесь что вы подключены к сети и получили правильный IP адрес. Адрес может быть настроен вручную, получен от DHCP сервера или может быть получен APIPA address (который начинается с 169.254.X.Y). Если вами получен APIPA адрес, вы гарантированно получите потенциальные проблемы, так как APIPA и AD не работают совместно.
Вам доступны котроллеры домена — или как минимум один из них. Вы должны проверить связь с контроллером домена, например пропинговав его, хотя успешный пинг не гарантирует что контроллер домена полностью доступен.
Вы должны иметь правильно настроенный DNS сервер — Без правильно настроенного DNS сервера вы гарантированно получите проблемы при вводе в домен, во время работы и прочее.
Вам доступны DNS сервера — Проверьте ваше подключение к DNS серверам с помощью программы PING и выполните запрос NSLOOKUP.
Проверьте свои права на локальной системе — Для успешного ввода в домен у вас должны быть права локального администратора компьютера.
Знайте ваше доменное имя, имя администратора и пароль
Существует два способа ввода компьютера в домен. В данной статье мы рассмотрим оба способа
Метод #1 — Традиционный способ
1. Откройте свойства системы, нажав кнопку Start, затем правой кнопкой мыши на ярлыке «Computer», и нажмите «Properties».
2. В разделе «Computer name, domain, and workgroup settings» нажмите «Change settings».
3. Перейдите в вкладку Computer Name и нажмите «Change».
4. В разделе Member of кликните Domain.
5. Введите имя домена, к которому вы хотите подключиться и нажмите OK.
Вам будет предложено ввести имя пользователя домена и пароль.
После успешного ввода компьютера в домен вам будет предложено перегрузиться. Для завершения ввода сделайте это.
Метод #2 — Используем NETDOM
С помощью NETDOM мы можем выполнить ввод компьютера в домен из командной строки с помощью всего одной команды.
NETDOM в Windows 7 включен в операционную систему, в отличие от Windows 2000/XP/2003 где необходимо было устанавливать Support Tools.
Откройте командную строку от имени администратора :
и введите следующую команду:
Замечание: Замените DOMAIN.COM и DOMAIN на ваше имя домена и естественно укажите ваше доменные логин и пароль. Обратите внимание также на дополнительную «d» в «user» и «password», это НЕ опечатка.
Для заверешения процедуры перегрузите компьютер.
Как подключить компьютер к домену windows 7 через актив директори
Компьютеры относятся к еще одному типу объектов Active Directory, но в отличие от пользователей и групп AD к ним нет должно внимания и соответственно администраторы пренебрегают их администрированием. Но компьютеры так же как и группы, пользователи AD имеют свой SID и соответственно их можно заключать в группы, назначать им доступ к ресурсам, управлять ими средствами групповых политик.
Способы создания компьютера в AD.
Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.
Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:
— у вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена ( Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));
— объект компьютера создан в домене;
— вы должны войти в присоединяемый компьютер как локальный администратор.
У многих администраторов второй пункт может вызвать негодование, — зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.
Теперь разберем способы создания компьютера (компьютеров) в AD:
Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».
Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать «Пуск- Панель управления- Система и безопасность- Администрирование- Active Directory – пользователи и компьютеры» выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите «Создать- Компьютер«.
Впишите имя компьютера.
Создание учетной записи компьютера с помощью команды DSADD.
dsadd computer [-desc ] [-loc ] [-memberof ] [<-s | -d >] [-u ] [-p < | *>] [-q] [<-uc | -uco | -uci>]
Значение Описание
Обязательный параметр. Задает различающееся имя (DN) добавляемого компьютера.
-desc Задает описание компьютера.
-loc Задает размещение компьютера.
-memberof Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN .
-s задает подключение к контроллеру домена(DC) с именем .
-d задает подключение к DC в домене .
По умолчанию: DC в домене входа.
-u Подключение под именем . По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).
-p Пароль пользователя . Если введена *, будет запрошен пароль.
-q «Тихий» режим: весь вывод заменяется стандартным выводом.
-uc Задает форматирование ввода из канала или вывода в канал в Юникоде.
-uco Задает форматирование вывода в канал или файл в Юникоде.
-uci Задает форматирование ввода из канала или файла в Юникоде.
Пример использования команды Dsadd:
Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”
Создание учетной записи рабочей станции или сервера с помощью команды Netdom.
Общий вид команды Netdom:
NETDOM ADD [/Domain:домен] [/UserD:пользователь] [/PasswordD:[пароль | *]] [/Server:сервер] [/OU:путь к подразделению] [/DC] [/SecurePasswordPrompt]
это имя добавляемого компьютера
/Domain указывает домен, в котором требуется создать учетную запись компьютера
/UserD учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU.
/OU подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.
Создание объекта Компьютер с помощью Ldifde ( ссылка на подробную информацию ) и Csvde ( ссылка на подробную информацию ).
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer /Newname:
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«. Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM
DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.
Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».
Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«. Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom:
Netdom reset /domain /User0 /Password0 без кавычек <>
Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****
Перезагрузка компьютера не нужна.
3 С помощью команды Nltest:
Nltest /server: /sc_reset: \
Присоединение компьютера к домену Join a Computer to a Domain
Для ( работы службы федерации Active Directory (AD FS) AD FS ) каждый компьютер, который работает как сервер федерации, должен быть присоединен к домену. For Active Directory Federation Services (AD FS) to function, each computer that functions as a federation server must be joined to a domain. прокси-серверы федерации могут быть присоединены к домену, но это не является обязательным. federation server proxies may be joined to a domain, but this is not a requirement.
Не нужно присоединять веб-сервер к домену, если на веб-сервере размещены — только приложения с поддержкой утверждений. You do not have to join a Web server to a domain if the Web server is hosting claims-aware applications only.
Для выполнения этой процедуры требуется членство в группе Администраторы или в эквивалентной группе на локальном компьютере. Membership in Administrators, or equivalent, on the local computer is the minimum required to complete this procedure. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию. Review details about using the appropriate accounts and group memberships at Local and Domain Default Groups.
Присоединение компьютера к домену To join a computer to a domain
На начальном экране введите Панель управленияи нажмите клавишу ВВОД. On the Start screen, type Control Panel, and then press ENTER.
Перейдите к разделу система и безопасность, а затем щелкните система. Navigate to System and Security, and then click System.
В разделе Имя компьютера, имя домена и параметры рабочей группы нажмите кнопку Изменить параметры. Under Computer name, domain, and workgroup settings, click Change settings.
На вкладке Имя компьютера нажмите кнопку Изменить. On the Computer Name tab, click Change.
В разделе член группывыберите домен, введите имя домена, к которому требуется присоединить компьютер, и нажмите кнопку ОК. Under Member of, click Domain, type the name of the domain that you wish this computer to join, and then click OK.
Нажмите кнопку ОК и перезагрузите компьютер. Click OK, and then restart the computer.