Добавить контроллер домена в существующий домен active directory server 2016

Что такое active directory, и как установить и настроить базу данных

Настройка служб общего доступа в Windows 10

Для корректной работы вашего компьютера с Windows 10 1803 в качестве сервера, который предоставляет общий доступ к своим папкам и принтерам другим устройствам в локальной сети, необходимо настроить некоторые сетевые службы.

Все эти настройки и службы мы подробно описывали в статье Компьютеры с Windows 10 не видны в сетевом окружении.

В настройках Windows (на обоих компьютерах) нужно перейти в Параметры -> Сеть и Интернет -> Ваше_сетевое_подключение (Ethernet или Wi-Fi) -> Изменение расширенных параметров общего доступа (Settings > Network & Internet > Ethernet -> Change advanced sharing options).

Затем в разделе Частная сеть (Private) включить опции:

  • Включить сетевое обнаружение (Turn on network discovery)
  • Включить общий доступ к файлам и принтерам (Turn on file and printer sharing)

В разделе Все сети включите опции:

  • Включить общий доступ, чтобы сетевые пользователи могли читать и записывать файлы в общих папках
  • Отключить парольную защиту.

Проверьте выполнение следующих условий:

  • У всех компьютеров в вашей локальной сети используются уникальные имена и IP адреса.
  • В качестве типа сети указана Частная (Private) сеть (подробнее о сетевых профилях).
  • В том случае, если в вашей сети есть старые версии Windows (XP, Vista), для их корректной работы на Windows 10 вам придется включить поддержку протокола SMBv1, а также разрешить сетевой доступ под гостевой учётной записью (смотри статью).
  • Переведите службы «Публикация ресурсов обнаружения функции» (Function Discovery Resource Publication) и «Хост поставщика функции обнаружения» (Function Discovery Provider Host) в автоматический запуск. Иначе при доступе к сетевым ресурсам вы можете получить ошибку 0x80070035.

Те же самые настройки нужно сделать на другом компьютере Windows 10, который будет использоваться в качестве клиента и получать доступ к общим ресурсам по сети.

Настройка контроллера домена Windows Server

Запустите «Мастер настройки доменных служб Active Directory», для чего нажмите на иконку «Уведомления» в диспетчере сервера, затем нажмите «Повысить роль этого сервера до уровня контроллера домена».
Выберите пункт «Добавить новый лес», затем введите имя домена в поле «Имя корневого домена». Домены в сети Windows имеют аналогичные названия с доменами в интернете. Я ввел имя домена buzov.com. Нажимаем «Далее».
На этом шаге можно изменить совместимость режима работы леса и корневого домена. Оставьте настройки по умолчанию. Задайте пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога) и нажмите «Далее».

Затем нажимайте «Далее» несколько раз до процесса установки.

Когда контроллер домена установиться компьютер будет перезагружен.

Как отключить общий доступ с парольной защитой

Ограничение заключается в том, что использовать общие системные файлы персонального устройства (компьютера или ноутбука) могут только те пользователи, профили которых защищены отдельным уникальным паролем. Чтобы обмениваться информацией с юзерами других ПК, эту функцию следует отключить.

Внимание! Определенные рамки необходимы, чтобы сделать использование операционки безопасным, защитить от вирусов и просмотра посторонними. Открытый доступ означает полное отсутствие таких барьеров. Если этот момент опасений не вызывает – создана безопасная сетевая среда, необходимо зайти в систему с правами Администратора для совершения дальнейших действий

Если этот момент опасений не вызывает – создана безопасная сетевая среда, необходимо зайти в систему с правами Администратора для совершения дальнейших действий.

С Панели управления

Отключить ненужный функционал можно через раздел Панель управления. Инструкция по настройке:

кликнуть по кнопке Пуск на рабочем столе компьютера либо нажать на клавиатуре клавишу Windows;

перейти на блок «Центр управления сетями и общим доступом» – Control Panel/Network and Sharing Center;

  • в левой части открывшегося окна выбрать пункт по смене данных расширенных настроек по общему доступу к нужным папкам и документам;
  • перейти на строку «Все сети»;

затем блок «Общий доступ с паролем», найти пункт «Отключить»

После этого кликнуть по кнопке на экране «Сохранить изменения»

Важно – выполнять действия можно только в профиле «Администратор»

Удалить пароль гостевой учетной записи

Если предыдущий вариант не дал нужного результата, можно попробовать удалить пароль с гостевого профиля. Этапы работы с настройками:

открыть окно «Выполнить» (одновременно нажать на клавиатуре сочетание горячих кнопок «Windows» и «R»), в строку ввести lusrmgr.msc, нажать «Enter» или «ОК»;

выбрать блок «Локальные группы и пользователи», затем по профилю гостевого аккаунта кликнуть правой клавишей мыши;

в контекстном меню нажать на пункт «Установить пароль».

В новом окне выбрать вкладку «Установить пароль для гостя», затем в поле «Новый пароль» убрать все значения – оставить пустым. Подтвердить клавишей «ОК».

Удаление защищенного паролем доступа из учетных записей пользователя

Дополнительный способ удаления встроенной защиты – использование Редактора реестра. Инструкция по отключению:

открыть поле «Выполнить», одновременно зажав комбинацию горячих кнопок «Windows» и «R», в пустую строку ввести команду control userpasswords2 и кликнуть «Enter»;

появится поле «Аккаунты пользователей»;

в блоке «Пользователи для этого персонального компьютера», во вкладке «Гость» перейти на строку «Сбросить пароль».

Место, где требуется внести информацию о новом пароле, оставляют пустым (важно, чтобы не осталось ни одного символа, включая пробелы). После этого операцию подтверждают клавишей «ОК»

Изменение записи реестра

Редактор реестра – это внутренняя программа операционной системы Windows 10, которая позволяет внести коррективы, просмотреть данные или удалить. Вручную изменить информацию можно, но следует быть осторожным – исправить системные ошибки достаточно сложно. Этапы настроек:

  • открыть стандартное окно «Выполнить» (одновременно кликнуть «Win» и «R» на клавиатуре персонального устройства);
  • в пустое поле ввести regedit и подтвердить поиск нужного раздела;

открывшееся окно будет поделено на две отдельные зоны – слева разделы, которые подлежат редактированию, справа подробная информация о выбранном пункте;

  • для отключения необходимо найти строку ControlLsa (последовательно пройти по папкам HKEY_LOCAL_MACHINE, затем SYSTEM, CurrentControlSet);
  • справа отобразится список характеристик, следует выбрать пункт «everyoneincludeanonymous», по нему кликнуть дважды.

В новом поле меняют значение в графе «Данные» на единицу, подтверждают операцию (клавиша «Enter» на клавиатуре или «ОК» на панели окна).

Проверить, не истекает ли срок действия пароля

Еще один способ – выяснить остаток по сроку действия внесенного в операционную систему пароля пользователя. Инструкция:

начать с панели «Выполнить», в пустую строчку ввести значение lusrmgr.msc, кликнуть «ОК»;

  • в левой части открывшегося окна найти подпункт «Гость»;
  • вызвать правой клавишей мыши контекстное меню раздела, перейти на «Свойства».

Далее необходимо установить флажок (если он отсутствует) рядом с фразой «Срок действия пароля не истекает».

Внимание! Все действия совершаются через профиль Администратора. Компьютер, по завершении настроек, требуется перезагрузить, чтобы проверить правильность введенных данных и выявить ошибки

Шаг 5. Присоединитесь к Ubuntu 20.04 | 18.04 / Debian 10 к домену Active Directory (AD)

Учетная запись администратора AD требуется для интеграции вашего компьютера Linux с доменом Windows Active Directory. Проверьте и подтвердите учетную запись администратора AD и пароль.

Команда realm join настроит локальный компьютер для использования с указанным доменом, настроив как локальные системные службы, так и записи в домене идентификации. У команды есть несколько параметров, которые можно проверить с помощью:

Базовое выполнение команды:

Где:

Администратор – это имя учетной записи администратора, используемой для интеграции машины в AD.example.com – это имя домена AD

Команда сначала пытается подключиться без учетных данных, но при необходимости запрашивает пароль.

Просмотр сведений о текущей области.

В системах на основе RHEL домашний каталог пользователя будет создан автоматически. В Ubuntu / Debian вам необходимо включить эту функцию.

Затем активируйте с помощью:

Выберите <OK>

Убедитесь, что выбрано “activate mkhomedir” с помощью звездочки –

Затем выберите <Ok>, чтобы сохранить изменения.

Ваш файл конфигурации sssd.conf находится в /etc/sssd/sssd.conf . При каждом изменении файла требуется перезагрузка.

Статус должен быть запущен.

Если интеграция работает, должна быть возможность получить информацию о пользователе AD.

Делегация полномочий на присоединение компьютеров в домен AD

По умолчанию любой пользователь домена может присоединить в домен 10 компьютеров. При добавлении в домен 11-го компьютера появляется сообщение об ошибке.

Вы можете изменить это ограничение на уровне всего домена, увеличив значение в атрибуте ms-DS-MachineAccountQuota (ссылка). Либо (гораздо правильнее и безопаснее), делегировав право на присоединение компьютеров к домену в определенной OU конкретной группе пользователей (helpdesk). Для этого нужно предоставить право создавать объекты типа (Computer objects). В мастере делегирования выберите Create selected objects in this folder.

А в секции Permissions выберите Create All Child Objects.

Используем базу данных на Windows Server 2012

Установка и настройка Active Directory — весьма нетрудное дело, а также выполняется проще, чем это кажется на первый взгляд.

Чтобы загрузить службы, для начала необходимо выполнить следующее:

  1. Поменять название компьютера: нажмите на «Пуск», откройте Панель управления, пункт «Система». Выберите «Изменить параметры» и в Свойствах напротив строки «Имя компьютера» кликните «Изменить», впишите новое значение для главного ПК.
  2. Выполните перезагрузку по требованию ПК.
  3. Задайте настройки сети так:
    • Через панель управления откройте меню с сетями и общим доступом.
    • Откорректируйте настройки адаптера. Правой клавишей нажмите «Свойства» и откройте вкладку «Сеть».
    • В окне из списка кликните на протокол интернета под номером 4, опять нажмите на «Свойства».
    • Впишите требуемые настройки, например: IP-адрес — 192.168.10.252 , маска подсети — 255.255.255.0, основной подшлюз — 192.168.10.1.
    • В строке «Предпочтительный DNS-сервер» укажите адрес локального сервера, в «Альтернативном…» — другие адреса DNS-серверов.
    • Сохраните изменения и закройте окна.

Установите роли Active Directory так:

  1. Через пуск откройте «Диспетчер сервера».
  2. В меню выберите добавление ролей и компонентов.
  3. Запустится мастер, но первое окно с описанием можно пропустить.
  4. Отметьте строку «Установка ролей и компонентов», перейдите дальше.
  5. Выберите ваш компьютер, чтобы поставить на него Active Directory.
  6. Из списка отметьте роль, которую нужно загрузить — для вашего случая это «Доменные службы Active Directory».
  7. Появится небольшое окно с предложением загрузки необходимых для служб компонентов — примите его.
  8. После вам предложат установить другие компоненты — если они вам не нужны, просто пропустите этот шаг, нажав«Далее».
  9. Мастер настройки выведет окно с описаниями устанавливаемых вами служб — прочтите и двигайтесь дальше.
  10. Появиться перечень компонентов, которые мы собираемся установить — проверьте, всё ли верно, и если да, жмите на соответствующую клавишу.
  11. По завершении процесса закройте окно.
  12. Вот и всё — службы загружены на ваш компьютер.

Создание домена в Windows Server

Запускаем Диспетчер серверов -> «Добавить роли и компоненты».

На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».

На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».

Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».

Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».

PЗатем нажимайте «Далее», «Далее» и «Установить».

Перезапустите компьютер.

После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.

Запуск службы «Диспетчер печати» и других

Чтобы работала печать в операционной системе семейства Windows 7, 8 или 10, обязательно должна быть запущена минимум одна служба. Речь идет о «Диспетчере печати»

В случае с сетевым принтером также стоит обратить внимание на работу «Диспетчера автоматических подключений удаленного доступа», «Диспетчера локальных устройств», «Диспетчера локальных сеансов»

Чтобы перепроверить, а при необходимости запустить, нужно выполнить несколько несложных действий.

  1. Одновременно нажмите на клавиатуре клавиши Windows+R. В открывшемся окне введите команду «services.msc» и нажмите кнопку «OK».
  2. В списке найдите службы, которые были перечислены выше. Все они должны быть в состоянии «Работает».
  3. Если это не так, то запустите их, используя контекстное меню или кнопки на панели вверху справа.
  4. Также можно произвести перезапуск каждой службы.

Как подключить Windows 10 к домену с помощью PowerShell

Данный метод ввода в домен Active Directory, будет быстр и полезен, особенно для начинающих системных администраторов. Открываете оболочку PowerShell от имени администратора и пишите вот такую команду:

Add-Computer -DomainName root.pyatilistnik.org (где root.pyatilistnik.org, это имя вашего домена, у вас оно будет свое)

У вас появится окно авторизации, где вы должны указать учетные данные пользователя, у которого есть права на ввод в рабочей станции Windows 10 в домен.

Если учетные данные правильные, то у вас появится уведомление, что изменения вступят в силу после перезагрузки компьютера, это будет означать, что компьютер стал частью домена.

Если открыть оснастку ADUC на контроллере домена, то в контейнере Computers, вы обнаружите вашу рабочую станцию.

Невозможно присоединиться к Windows 2008 R2 или Windows 7 Computer в домен Active Directory

Эта статья помогает устранить проблему, из-за которой пользователи не могут присоединиться к компьютеру в домен Active Directory.

Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2 Исходный номер КБ: 2008652

Симптомы

Вы пытаетесь присоединиться к Windows Server 2008 R2 или компьютеру Windows 7 в домен Active Directory с помощью изменений имени компьютера и домена в system Properties. Домен назначения имеет контроллеры Windows 2000, Windows Server 2003 или Windows Server 2008 и может иметь Windows NT 4.0 контроллеров домена. При попытке присоединиться к компьютеру Windows Server 2008 R2 в домене, указав полное доменное имя (FQDN) в пользовательском интерфейсе домена, операция сбой, и вы получите ошибку:

В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:

При попытке присоединиться к компьютеру Windows Server 2008 R2 к домену, указав имя NetBIOS в пользовательском интерфейсе присоединиться к домену, вы получите другую ошибку:

В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:

Домен присоединяется Windows Server 2003 к одному и том же целевому домену, указав доменное имя NetBIOS в пользовательском интерфейсе. Также не удается объединить домен с помощью FQDN. Вы также можете успешно присоединиться к одному Windows Server 2008 R2 к другому домену Active Directory в том же лесу с указанием доменного имени FQDN.

Причина

Ошибки возникают, если установлено, что NT4Emulator 0x1 в следующем подкоже реестра контроллера домена-помощника, используемого для пользования целевым доменом: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters Имя значения: NT4Emulator Тип значения: REG_DWORD Данные значения: 1

Решение

Чтобы устранить эту проблему, удалите значение реестра NT4Emulator для контроллеров домена Active Director Windows NT y в домене назначения, если контроллеры домена 4.0 больше не присутствуют или могут быть отменены. В противном случае перед попыткой присоединиться к домену установите следующее значение реестра для клиента Windows или Windows Server 2008 R2:

Начните редактор реестра ( Regedit.exe ).

Найдите в реестре следующий раздел:

Если его нет, создайте новое значение REG_DWORD NeutralizeNT4Emulator и установите значение 0x1 .

Закройте редактор реестра.

Этот параметр реестра позволяет контроллерам домена Active Directory с параметром NT4Emulator нормально реагировать на запрашивающий клиент (избегая Windows NT режима эмуляции 4.0).

Дополнительная информация

В случае соединения с FQDN клиент присоединений не получает адекватного ответа на запросы LDAP, которые он отправляет контроллерам домена в начале процесса соединения домена. Диспетчер домена-помощник отвечает, но присоединенный клиент считает ответ неполным.

После получения одинаковых ответов от всех контроллеров домена, расположенных с помощью DNS, он возвращается к выполнению запроса имени NetBIOS для доменного имени FQDN, чтобы найти контроллер домена, однако это не получает ответа и операция присоединиться не удается. Если сценарий NetBIOS, клиент отправляет NetLogonSamRequest всем контроллерам домена, которые он получает из запроса WINS для доменного имени. Однако он не получает адекватного ответа и сбой со второй ошибкой.

Fix-2 Перезапустите службу DNS-

Перезапуск DNS служба может решить ситуацию.

1 — Поиск CMD в окне поиска Windows.

2 — Щелкните правой кнопкой мыши результат поиска и выберите «Запуск от имени администратора».

Командная строка откроется окно с правами администратора.

7. Чтобы остановить кэш DNS, напишите эту команду в CMD а затем нажмите Enter.

net stop dnscache

3. Теперь, чтобы перезапустить кеш DNS, как и раньше, копировать эта команда и вставить это в CMD и нажмите «Ввод».

net start dnscache

После этого закройте Командная строка окно.

Перезагрузите компьютер, чтобы изменения вступили в силу.

После перезагрузки попробуйте снова подключиться к рабочей станции. Ваша проблема должна быть решена.

Делегирование полномочий на сброс паролей и разблокировку учетных записей

Представим, наша задача – предоставить группе HelpDesk право на сброс пароля и разблокировку аккаунтов пользователей в домене. Итак, создадим новую группу в AD с помощью PowerShell:

New-ADGroup «HelpDesk» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global

Добавьте в группу нужных пользователей:

Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb

Запустите консоль Active Directory Users and Computers (ADUC), щелкните ПКМ по OU с пользователями (в нашем примере это ‘OU=Users,OU=Moscow,DC=corp,dc=winitpro,DC=ru’) и выберите пункт меню Delegate Control.

Выберите группу, которой вы хотите предоставить административные полномочия.

Выберите из списка один из преднастроенных наборов привилегий (Delegate the following common tasks):

  • Create, delete, and manage user accounts;
  • Reset user passwords and force password change at next logon;
  • Read all user information;
  • Create, delete and manage groups;
  • Modify the membership of a group;
  • Manage Group Policy links;
  • Generate Resultant Set of Policy (Planning);
  • Generate Resultant Set of Policy (Logging);
  • Create, delete, and manage inetOrgPerson accounts;
  • Reset inetOrgPerson passwords and force password change at next logon;
  • Read all inetOrgPerson information.

Либо создайте собственное задание делегирования (Create a custom task to delegate). Я выберу второй вариант.

Выберите тип объектов AD, на которые нужно предоставить права. Т.к. нам нужно предоставить права на учетные записи пользователей, выберите пункт User Object. Если вы хотите предоставить право на создание и удаление пользователей в этом OU, выберите опции Create/Delete selected objects in this folder. В нашем примере мы не предоставляем таких полномочий.

В списке разрешений нужно выбрать те привилегий, которые вы хотите делегировать. В нашем примере мы выберем право на разблокировку (Read lockoutTime и Write lockoutTime) и сброс пароля (Reset password).

Нажмите Next и на последнем экране подтвердите назначение выбранных полномочий.

Теперь под учетной записью пользователя из группы HelpDesk попробуйте из PowerShell сбросить пароль пользователя из OU Users, например из PowerShell:

Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa$$w0rd1” -Force -Verbose) –PassThru

Пароль должен сброситься успешно (если он соответствует доменной политике паролей).

Теперь попробуйте создать пользователя в данной OU с помомью командлета New-ADUser:

New-ADUser -Name kalininda -Path ‘OU=Users,OU=Moscow,OU=winitpro,OU=DC=ru’ -Enabled $true

Должна появится ошибка доступа, т.к. полномочий на создание учетных записей вы не делегировали.

Для контроля пользователям, которым вы делегированными привилегии, вы можете использовать журналы контроллеров домена. Например, вы можете отследить кто сбросил пароль пользователя в домене, узнать кто создал учетную запись пользователя в AD или отследить изменения в определённых группах AD.

Классический метод ввода в домен Windows 10

В моде мы погнали десятку в домене, сейчас напомню, а для кого-то покажу, что такое классический метод.

Откройте окно Выполнить и введите команду:

sysdm.cpl

Вы увидите окно «Свойства системы», вы также можете получить к нему доступ, если щелкните значок «Этот компьютер» и перейдите в его свойства, затем выберите «Изменить настройки”

На вкладке «Имя компьютера» нажмите кнопку «Изменить». В открывшемся окне «Смена имени компьютера или домена» ставим радиокнопку на поле «Является членом домена» и вводим его имя, у меня оно root.zhivye-oboi-windows.ru. Щелкните ОК.

Если ваша рабочая станция смогла связаться с контроллером домена с запросом, вы увидите форму авторизации, где для входа Windows 10 в домен необходимо указать логин и пароль учетной записи, которая имеет на это права.

Если проблем нет, вы увидите окно «Добро пожаловать в домен root.zhivye-oboi-windows.ru”.

Затем вы получите уведомление о необходимости перезагрузки: «Чтобы изменения вступили в силу, вам необходимо перезагрузить компьютер”

В результате мы получаем рабочую станцию, подключенную с Windows 10 Pro к Active Directory.

Способ 1 — графический интерфейс

Открываем свойства компьютера. Для этого открываем проводник и кликаем правой кнопкой мыши по Компьютер и выбираем Свойства:

В открывшемся окне в разделе Имя компьютера, имя домена и параметры рабочей группы нажимаем Изменить параметры:

В следующем окне нажимаем Изменить и выставляем переключатель Является членом в положение домена и вводим имя домена:

Нажимаем OK. Система запросит логин и пароль учетной записи с правом на ввод компьютера в домен. Вводим логин и пароль, например администратора, и нажимаем OK. Windows выкинет несколько сообщений о присоединении компьютера к домену и запросит перезагрузку — соглашаемся.

Что такое домен в локальной сети

Под доменом локальной сети принято понимать такую сеть, которая объединяет компьютеры под одной общей политикой безопасности и управляется централизовано. Таким образом при объединении компьютеров сети в рабочие группы взаимодействие машин основывается на принципе «клиент-клиент», а в домене это уже «клиент-сервер». В качестве сервера выступает отдельная машина, на которой хранятся все учетные записи пользователей сети. Так же можно хранить и профиль каждого пользователя.

Целесообразность организации такого доступа обусловлена несколькими факторами:

  • локальная сеть постоянно развивается и количество пользователей растет;
  • видоизменяется топология и география сети;
  • необходимо разграничить доступ к ресурсам для каждого пользователя или группы;
  • контроль за использованием ресурсов глобальной сети интернет.

При организации доступа на основе рабочих групп, такой контроль организовать просто невозможно. Однако, когда сеть состоит из всего нескольких компьютеров, то совершенно не имеет никакого смысла ставить отдельный сервер домена, это просто экономически нецелесообразно.

Если ЛВС организована на основе Microsoft Windows Server, то служба, которая отвечает за контролер домена называется AD (Active Directory), если под управлением *nix (Unix, Linux, FreeBSD) служба управляющая пользователями имеет название LDAP (Lightweght Directory Access Protocol).

Установка модуля Powershell Active Directory на Windows Server

Active Directory для Windows PowerShell уже встроен в операционные системы Windows Server (начиная с Windows Server 2008 R2), но по умолчанию не включен.

В Windows Server 2016, 2019 и 2022 вы можете установить модуль AD для PowerShell из Диспетчера серверов (Добавить роли и компоненты → Функции → Инструменты удалённого администрирования сервера → Инструменты администрирования ролей → Инструменты AD DS и AD LDS → Модуль Active Directory для Windows PowerShell).

В англоязычной версии сервера это соответственно в Server Manager: Add Roles and Features → Features → Remote Server Administration Tools → Role Administration Tools → AD DS and AD LDS Tools → Active Directory module for Windows PowerShell.

Если вы уже установили роль Active Directory Domain Services, то это означает, что модуль Powershell Active Directory уже активирован и дополнительных действий предпринимать не нужно.

Вы также можете установить модуль из консоли PowerShell с помощью команды:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" -IncludeAllSubFeature

Вы можете установить RSAT-AD-PowerShell не только на контроллеры домена. Подойдёт любой рядовой сервер домена или даже рабочая станция. Модуль PowerShell Active Directory устанавливается автоматически при развёртывании роли доменных служб Active Directory (AD DS) (при повышении уровня сервера до контроллера домена AD).

Модуль взаимодействует с AD через веб-службу Active Directory, которая должна быть установлена на вашем контроллере домена (связь осуществляется через TCP-порт 9389).

Пошаговый ввод в домен Windows 10

Добро пожаловать в домен!

1 минута чтения

Камрад! Вот тебе история о том, как за 3 минуты ввести компьютер на базе операционной системы Windows 10 в домен. Поехали!

Настройка

Первое, что необходимо сделать – открыть редактор «Свойств системы». Для этого, откройте меню Пуск и дайте команду:

В открывшемся окне делаем, как показано на скриншоте:

  1. Нажимаем на кнопку Изменить;
  2. В открывшемся окне, переключаем селектор на «Является членом домена» и указываем ваш домен. Например, mydomain.local ;
  3. Нажимаем OK;

Далее, инструмент попросит указать учетную запись, через которую мы будем подключаться к контроллеру домена. Укажите ее:

После ввода, нажмите ОК. Если все хорошо, то вы увидите следующее сообщение:

Отлично, теперь производим перезагрузку компьютера. После того, как система прогрузится, переходим в свойства компьютера. И наблюдаем прекрасную картину – появился домен:

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации Просто оставьте свои данные в форме ниже.

Как подключить Windows 10 к домену с помощью PowerShell

Данный метод ввода в домен Active Directory, будет быстр и полезен, особенно для начинающих системных администраторов. Открываете оболочку PowerShell от имени администратора и пишите вот такую команду:

Add-Computer -DomainName root.pyatilistnik.org (где root.pyatilistnik.org, это имя вашего домена, у вас оно будет свое)

У вас появится окно авторизации, где вы должны указать учетные данные пользователя, у которого есть права на ввод в рабочей станции Windows 10 в домен.

Если учетные данные правильные, то у вас появится уведомление, что изменения вступят в силу после перезагрузки компьютера, это будет означать, что компьютер стал частью домена.

Если открыть оснастку ADUC на контроллере домена, то в контейнере Computers, вы обнаружите вашу рабочую станцию.

Как подключиться к домену Windows 10

Чтобы подключить компьютер с установленной операционной системой Windows 10 к домену Windows Server, следуйте этим шагам:

  1. Откройте “Панель управления” и выберите “Система и безопасность”.
  2. Нажмите на “Система” и выберите “Дополнительные параметры системы” слева в меню.
  3. В открывшемся окне “Свойства системы” выберите вкладку “Имя компьютера”.
  4. Нажмите на кнопку “Изменить”.
  5. В окне “Изменение имени компьютера или домена” выберите опцию “Подключить этот компьютер к домену”.
  6. Введите имя домена в соответствующее поле и нажмите “ОК”.
  7. Появится окно “Домен пользователя”, в котором нужно ввести имя и пароль администратора домена.
  8. Нажмите “ОК” и дождитесь завершения процесса подключения к домену.
  9. После завершения процесса подключения к домену перезагрузите компьютер, чтобы изменения вступили в силу.
  10. После перезагрузки войдите в систему, используя имя пользователя и пароль, созданные на контроллере домена.

После выполнения этих действий ваш компьютер будет подключен к домену Windows Server и вы сможете использовать учетную запись домена для доступа к ресурсам и настройкам домена.

Средства управления политикой

Пользователи также могут присоединиться к домену, если у него есть разрешение на создание объектов компьютера для подразделения (OU) или для контейнера Computers (компьютеры) в каталоге. Пользователи, которым назначено это разрешение, могут добавлять в домен неограниченное количество устройств, независимо от того, имеют ли они право на Добавление рабочих станций в доменные пользователи.

Кроме того, учетные записи компьютеров, созданные с помощью средства » Добавление рабочих станций к домену «, имеют администраторам домена роль владельца учетной записи компьютера. Учетные записи компьютеров, созданные с помощью разрешений на доступ к контейнеру компьютера, используют его создатель в качестве владельца учетной записи компьютера. Если у пользователя есть разрешения на доступ к контейнеру и у него есть право » Добавить рабочую станцию на пользователя домена «, устройство добавляется на основе разрешений контейнера компьютера, а не его прав пользователя.

Перезагрузка устройства не требуется, чтобы этот параметр политики был эффективным.

Любые изменения, внесенные в назначение прав пользователя для учетной записи, вступают в силу при следующем входе в систему владельца учетной записи.

Групповая политика

Параметры применяются в указанном ниже порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики:

  1. Параметры локальной политики
  2. Параметры политики сайта
  3. Параметры политики домена
  4. Параметры политики OU

Если локальная настройка недоступна, это указывает на то, что объект GPO, который в настоящее время управляет этим параметром.

Возможные проблемы

В процессе активации AD и RSAT может возникнуть ряд трудностей, например, заранее не активирована опция запуска программ от имени иного пользователя. К тому же надо помнить, что средство удаленного управления невозможно установить на ПК, работающем на Домашней или Стандартной версии Win 10. Инструмент RSAT удастся добавить только в Корпоративную или Профессиональную ОС.

Находится это средство на сайте «Майкрософт». Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, нужно использовать RTM (полный выпуск ОС Виндовс) для скачивания RSAT.

Для того чтобы загрузить дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Выполнить это действие удастся с помощью Мастера Add Features Wizard. Рекомендуется заранее добавить дублер контроллера домена для предупреждения возможных сбоев в работе.

Возможные проблемы

В процессе активации AD и RSAT может возникнуть ряд трудностей, например, заранее не активирована опция запуска программ от имени иного пользователя. К тому же надо помнить, что средство удаленного управления невозможно установить на ПК, работающем на Домашней или Стандартной версии Win 10. Инструмент RSAT удастся добавить только в Корпоративную или Профессиональную ОС.

Находится это средство на сайте «Майкрософт». Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, нужно использовать RTM (полный выпуск ОС Виндовс) для скачивания RSAT.

Для того чтобы загрузить дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Выполнить это действие удастся с помощью Мастера Add Features Wizard. Рекомендуется заранее добавить дублер контроллера домена для предупреждения возможных сбоев в работе.

Вопросы безопасности

Эта политика имеет следующие соображения для обеспечения безопасности:

Уязвимость

Права на Добавление рабочих станций в домен отображаются с умеренной уязвимостью. Пользователи с этим правом могут добавить устройство в домен, настроенный таким образом, чтобы нарушались политики безопасности Организации. Например, если ваша организация не должна иметь права администратора на своих устройствах, пользователи могут установить Windows на своем компьютере, а затем добавить компьютеры в домен. Пользователь знает пароль учетной записи локального администратора, может войти в систему с помощью этой учетной записи, а затем добавить учетную запись личного домена в локальную группу администраторов.

Противодействие

Настройте этот параметр таким образом, чтобы только авторизованные пользователи отдела ИТ могли добавлять компьютеры в домен.

Возможное влияние

Для организаций, которые не разрешили пользователям настраивать собственные компьютеры и добавлять их в домен, этот контрмер не будет оказывать влияния. Для тех, у которых есть возможность настроить собственные устройства для некоторых или всех пользователей, этот контрмер заставляет Организацию установить формальный процесс, пересылаемый на передний план. Она не влияет на существующие компьютеры, если они не были удалены, а затем добавлены в домен.

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: