Удалить имя компьютера из ad

Обновлено: 06.07.2024

Очистка метаданных — это обязательная процедура после принудительного удаления служб домен Active Directory (AD DS). Очистка метаданных выполняется на контроллере домена в домене контроллера домена, который был принудительно удален. Очистка метаданных удаляет данные из AD DS, которые идентифицируют контроллер домена в системе репликации. Очистка метаданных также удаляет подключения репликации файлов (FRS) и распределенная файловая система (DFS) и пытается передавать или захватить роли хозяина операций (также называемых гибкими одиночными главными операциями или FSMO), которые содержит устаревший контроллер домена.

Существует три варианта очистки метаданных сервера.

  • Очистка метаданных сервера с помощью средств графического пользовательского интерфейса
  • Очистка метаданных сервера с помощью командной строки
  • Очистка метаданных сервера с помощью скрипта

если при использовании любого из этих методов для очистки метаданных возникает ошибка "отказано в доступе", убедитесь, что объект компьютера и объект Параметры NTDS для контроллера домена не защищены от случайного удаления. чтобы проверить это, щелкните правой кнопкой мыши объект компьютера или объект NTDS Параметры, выберите пункт свойства, щелкните объекти снимите флажок защитить объект от случайного удаления . В Active Directory "пользователи и компьютеры" откроется вкладка " объект " объекта, если щелкнуть " вид ", а затем " Дополнительные функции".

Очистка метаданных сервера с помощью средств графического пользовательского интерфейса

при использовании средства удаленного администрирования сервера (RSAT) или консоли Active Directory пользователи и компьютеры (Dsa. msc), включенной в Windows Server для удаления учетной записи компьютера контроллера домена из подразделения контроллеров домена (OU), очистка метаданных сервера выполняется автоматически. до Windows Server 2008 необходимо было выполнить отдельную процедуру очистки метаданных.

Можно также использовать консоль сайтов и служб Active Directory (Dssite. msc) для удаления учетной записи компьютера контроллера домена, которая также автоматически завершает очистку метаданных. однако Active Directory сайты и службы удаляют метаданные автоматически только при первом удалении объекта Параметры NTDS под учетной записью компьютера в Dssite. msc.

если вы используете версии Windows Server 2008 или более поздних версий RSAT (Dsa. msc) или Dssite. msc, метаданные можно автоматически очищать для контроллеров домена под управлением более ранних версий Windows операционных систем.

Членство в группах "Администраторы домена" или "эквивалентное" является минимальным требованием для выполнения этих процедур.

Очистка метаданных сервера с помощью Active Directory пользователей и компьютеров

  1. Откройте оснастку Пользователи и компьютеры Active Directory.
  2. Если вы определили партнеров репликации при подготовке к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши узел Active Directory пользователи и компьютеры и выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
  3. Разверните домен контроллера домена, который был принудительно удален, и выберите пункт контроллеры домена.
  4. В области сведений щелкните правой кнопкой мыши объект компьютера контроллера домена, метаданные которого необходимо очистить, и выберите команду Удалить.
  5. В диалоговом окне домен Active Directory службы убедитесь, что отображается имя контроллера домена, который вы хотите удалить, и нажмите кнопку Да , чтобы подтвердить удаление объекта компьютера.
  6. В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
  7. Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
  8. Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена. Этот контроллер домена нельзя изменить. Если вы хотите переместить роль на другой контроллер домена, необходимо переместить роль после завершения процедуры очистки метаданных сервера.

Очистка метаданных сервера с помощью Active Directory сайтов и служб

  1. Откройте оснастку "Active Directory - сайты и службы".
  2. Если вы определили партнеров репликации в процессе подготовки к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши Active Directory сайты и службы, а затем выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
  3. разверните узел контроллера домена, который был принудительно удален, разверните узел серверы, разверните имя контроллера домена, щелкните правой кнопкой мыши объект NTDS Параметры и выберите команду удалить.
  4. в диалоговом окне Active Directory сайты и службы нажмите кнопку да , чтобы подтвердить удаление NTDS Параметры.
  5. В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
  6. Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
  7. Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена.
  8. Щелкните правой кнопкой мыши контроллер домена, который был принудительно удален, и выберите команду Удалить.
  9. В диалоговом окне домен Active Directory службы нажмите кнопку Да , чтобы подтвердить удаление контроллера домена.

Очистка метаданных сервера с помощью командной строки

В качестве альтернативы можно очистить метаданные с помощью Ntdsutil.exe, программы командной строки, которая автоматически устанавливается на всех контроллерах домена и серверах, на которых установлены службы Active Directory облегченного доступа к каталогам (AD LDS). Ntdsutil.exe также доступна на компьютерах с установленным RSAT.

Очистка метаданных сервера с помощью программы Ntdsutil

Откройте командную строку от имени администратора: в меню Пуск щелкните правой кнопкой мыши пункт Командная строкаи выберите команду Запуск от имени администратора. если отображается диалоговое окно контроль учетных записей пользователей , укажите учетные данные администратора Enterprise, если это необходимо, а затем нажмите кнопку продолжить.

В командной строке введите следующую команду и нажмите клавишу ВВОД:

В командной строке ntdsutil: введите следующую ниже команду, а затем нажмите клавишу ВВОД.

В командной строке metadata cleanup: введите следующую ниже команду, а затем нажмите клавишу ВВОД.

remove selected server <ServerName>

В диалоговом окне Конфигурация удаления серверапросмотрите сведения и предупреждение, а затем нажмите кнопку Да , чтобы удалить объект сервера и метаданные.

В metadata cleanup: ntdsutil: приглашении Введите и нажмите quit клавишу ВВОД.

Чтобы подтвердить удаление контроллера домена, выполните следующие действия.

Откройте оснастку Пользователи и компьютеры Active Directory. В домене удаленного контроллера домена щелкните контроллеры домена. В области сведений не должен отображаться объект для удаляемого контроллера домена.

Откройте Active Directory сайты и службы. перейдите к контейнеру серверы и убедитесь, что объект сервера для контроллера домена, который вы удалили, не содержит объект NTDS Параметры. Если под объектом сервера не отображаются дочерние объекты, можно удалить объект сервера. Если отображается дочерний объект, не удаляйте серверный объект, так как этот объект используется другим приложением.

Для чего выводить компьютеры из домена?

И так если вы задались этим вопросом, то у вас как минимум есть домен Actvie Directory и вы хотели бы в нем навести порядок (Если не знаете, что такое Active Directory, то читайте об этом по ссылке слева). Наверняка многие пользователи могут спросить, зачем вообще проводить эту процедуру, на это есть ряд причин:

  1. Обычно операцию вывода из домена (Unjoin Windows) производят в ситуациях, когда компьютер может вылетать из домена, пример он не был активен более одного месяца, был банальный ремонт, а потом его решили ввести в эксплуатацию, в таких ситуациях люди ловят ошибку "отсутствуют серверы, которые могли бы обработать запрос".
  2. Просто для правильного соблюдения рекомендаций Microsoft, чтобы у вас не оставались лишние, ненужные объекты в AD, в противном случае, вам придется производить самостоятельный поиск неактивных компьютеров в Active Directory и вычищать все вручную.
  3. Третья причина, это переустановка сервера, например, обновление редакции, и если до этого вы правильно не вывели компьютер из домена, то при попытке ввести в домен Windows Server вы получите ошибку, что такой компьютер уже есть.

Методы исключения компьютера из домена

  1. Первый метод, это классический, через оснастку свойства системы
  2. Второй метод, это применимый для Windows 10 и Windows Server 2016
  3. Второй метод вывода компьютера из домена, это использование PowerShell
  4. Третий метод, это через утилиту netdom, но это для Windows Server платформ, хотя вам никто не мешает ее закачать отдельно, она идет в составе Windows Server 2003 Resource Kit Tools, про него я вам рассказывал в статье про утилиту Robocopy, принцип ее получения такой же.

Меры предосторожности

Перед тем как вы отсоедините нужный вам компьютер от домена Active Directory, убедитесь, что у вас на нем есть учетная запись, с административными правами и вы знаете от нее пароль, в противном случае, вам придется производить сброс пароля администратора на данной рабочей станции

Вывод компьютера из домена классическим методом

Данный метод подойдет абсолютно для любой версии Windows, начиная с Vista. Тут все просто вы открываете всем известное окно выполнить (Сочетанием клавиш WIN и R) и пишите в нем вот такую команду sysdm.cpl и нажмите OK.

открываем sysdm.cpl

У вас откроется окно "Свойства системы - Имя компьютера"

Свойства системы Windows 10

Так же в него можно попасть и другим методом, через свойства значка "Этот компьютер". Щелкните по нему правым кликом и выберите свойства. В открывшемся окне "Система" выберите пункт "Изменить параметры"

Свойства системы Windows 10 через проводник

В окне "Имя компьютера" нажмите кнопку "Изменить", далее в открывшемся окошке "Изменение имени компьютера или домена" деактивируйте поля "Является членом домена" и выставите рабочей группы.

Вывод из домена Windows 10

Заполните поле имени рабочей группы и нажмите кнопку "OK", у вас появится окно:

После отсоединения от этого домена для входа на данный компьютер потребуется пароль локального администратора. Чтобы продолжить, нажмите кнопку "OK"

Изменение домена Windows 10

Вам сообщат, что вы теперь являетесь членом рабочей группы. Будет произведена перезагрузка вашей рабочей станции, в моем примере, это Windows 10.

Членство в рабочей группе

При правильном выводе компьютера из Active Directory, вы увидите, что в оснастке ADUC, данный компьютер будет отключен в контейнере, где он располагался. Об этом будет говорить стрелка вниз на его значке. Напоминаю, что это классический метод исключения из AD, подходит абсолютно для всех систем Windows.

Правильный вывод компьютера из AD

Исключение из домена Windows 10 и Windows Server 2016

Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.

Метод вывода для Windows 10 версий 1503-1511

Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку "Пуск" или же сочетанием клавиш WIN и I одновременно. Находим там пункт "Система".

Параметры Windows 10 1511

В самом низу находим пункт "О Системе" и видим кнопку "Отключиться от организации", нажимаем ее.

Отключиться от организации Windows 10

В окне "Отключение от организации" просто нажмите продолжить.

Отключение от организации AD

У вас просто появится окно с предложением о перезагрузке, соглашаемся.

Перезагрузка после выхода из домена

В оснастке ADUC данный компьютер так же был отключен.

Отключенный компьютер после вывода из домена

Метод вывода для Windows 10 версий 1607 и выше

Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете "Параметры Windows 10", но уже переходите в пункт "Учетные записи"

Параметры Windows 10 1803

Далее находите пункт "Доступ к учетной записи места работы или учебного заведения" и нажимаете отключиться.

Отключение от домена Windows 10 1803

У вас выскочит окно с уведомлением:

Вы действительно хотите удалить эту четную запись? Ваш доступ к ресурсам, таким как электронная почта, приложения, сеть и всему связанному содержимому также будет удалены. Ваша организация может также удалить некоторые данные, хранящиеся на этом устройстве.

выход из домена Windows 10

После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.

После отключения вы не сможете войти в систему этого компьютера с помощью учетной записи организации. Если установлен и запущен Bitlocker, обязательно сохраните копию ключа восстановления Bitlocker где-нибудь не на этом компьютере

Нажимаем кнопку "Отключить"

Отключение от организации AD

Перезагрузка Windows 10

Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную.

ADUC Windows 10 после вывода из домена

Исключение из домена через PowerShell

Я вам не перестаю повторять, что PowerShell, просто обязан быть в вашем инструментарии системного администратора, он умеет если не все, то почти все. Открываем оснастку PowerShell от имени администратора и вводим команду:

Remove-Computer -UnjoinDomaincredential имя домена\логин учетной записи -PassThru -Verbose -Restart

У вас откроется форма с вводом пароля учетной записи,что вы указали для вывода рабочей станции из AD, указываем пароль и нажимаем "OK"

Вывод Windows 10 из домена через PowerShell-01

У вас спросят подтверждения на ваши действия, соглашаемся и вводим Y.

Вывод Windows 10 из домена через PowerShell-02

Все ваш Windows 10 с помощью PowerShell был выведен из состава домена Active Directory. В оснастке ADUC, данный компьютер был отключен, в отличии от предыдущего метода.

Вывод Windows 10 из домена через PowerShell-03

Исключение из домена через NETDOM.EXE

Напоминаю, что на клиентских Windows системах этой утилиты нет и ее нужно отдельно скачивать, она идет в составе Windows Server 2003 Resource Kit Tools. Сама команда вывода из домена выглядит вот так и запускается в cmd от имени администратора:

Учетные записи компьютеров представляют собой устройства, подключенные к AD. Они хранятся в базе данных AD после того, как их подключат к домену. Это необходимо для применения к ним различных GPO и отслеживания их обновлений, если у вас установлен WSUS. И что еще более важно, это нужно для установки безопасной аутентификации для пользователей, входящих в Windows.

Чтобы управлять компьютерами, вам нужны права администратора домена, оператора учетной записи (Account Operators) или делегированные права на OU в котором хранятся компьютеры. Управлять можно с рабочей станции с установленными инструментами RSAT или на контроллере домена.

Как создать учетную запись компьютера в AD

Давайте создадим учетную запись компьютера, используя несколько методов. Эта учетная запись может быть использована для присоединения к ней устройства.

Создание учетной записи компьютера с помощью ADUC

Запустите ADUC (dsa.msc).

Перейдите к OU, в которой вы хотите хранить такие объекты, щелкните правой кнопкой мыши на этой OU -> New-> Computer:


Или вы можете сделать это, нажав на Action -> New -> Computer.

В окне New Object – Computer введите имя компьютера и имя pre Windows 2000 в соответствии с вашей политикой именования. Выберите, какая группа может ввести эту машину в домен и нажмите OK.


Поздравляю учетная запись компьютера создана!

Создание учетной записи компьютера с помощью ADAC

Запустите ADAC(dsac.exe), щелкните правой кнопкой мыши на имени домена, выберите New->Computer. Появится окно Create Computer, где вам нужно ввести имя компьютера, имя NetBIOS, в соответствии с вашей политикой именования. Укажите OU, где вы хотите хранить компьютер, нажав на Change. Вы также можете указать, какая группа может ввести этот компьютер в домен и защитить его от удаления. В конце нажмите OK.


Создание учетной записи компьютера с помощью Cmd.exe

Для этой задачи нам необходимо использовать dsadd.exe. Используйте следующую команду для создания объекта компьютера в Active Directory:

dsadd.exe computer "CN=WKS033,CN=Computers,DC=office,DC=local"

Создание учетной записи компьютера с помощью PowerShell

Используйте следующие строки кода PowerShell для создания учетной записи компьютера с именем "WKS033" в домене office.local.

Import-Module ActiveDirectory
New-ADComputer -Name "WKS033" -sAMAccountName " WKS033" -Path "CN=Computers,DC=office,DC=local"

Как удалить учетную запись компьютера в AD

Важно периодически удалять старые компьютеры из домена, чтобы избежать беспорядка в отчетах WSUS и применения политик GPO. Существует несколько способов добиться этого.

Удаление учетной записи компьютера из AD с помощью ADUC

Запустите ADUC (dsa.msc).

Перейдите в OU, содержащую нужные компьютеры, в меню Action выберите Find. Введите имя компьютера в поле Name и нажмите Find now. В результате поиска, щелкните правой кнопкой мыши на компьютере, который вы хотите удалить и выберете опцию Delete.


Нажмите Yes в окне подтверждения. Если после этого вы получите следующую ошибку:


Снова щелкните на компьютер правой кнопкой мыши, перейдите в Properties -> Object снимите флажок "“Protect object from accidental deletion" и выполните операцию удаления снова.

Удаление учетной записи компьютера из AD с помощью ADAC

Запустите ADAC (dsac.exe). Переключите левую панель в Tree view и выделите нужную OU. Введите имя компьютера в панели Filter и нажмите Enter. Выберите компьютер для удаления в результатах поиска, щелкните его правой кнопкой мыши и выберите Delete. Нажмите Yes для подтверждения.



Щелкните правой кнопкой мыши на учетную запись компьютера ->Properties и снимите флажок " Protect from accidental deletion".

После этого повторите процесс удаления.

Удаление учетной записи компьютера из AD с помощью cmd.exe

Для этой задачи нам понадобится dsrm.exe. Используйте его со следующими параметрами для удаления учетной записи компьютера, в нашем случае это WKS033.

Удаление учетной записи компьютера из AD с помощью Windows PowerShell

Эту задачу также можно легко выполнить с помощью Powershell, вот код для удаления учетной записи компьютера. В нашем примере имя компьютера WKS033

Import-Module ActiveDirectory
Remove-ADComputer -Identity "CN=WKS033,CN=Computers,DC=office,DC=local"

Домены Active Directory считают компьютеры участниками безопасности. Это значит, что у компьютера, как и у пользователя, есть учетная запись, или, точнее, свойства объекта компьютера: имя, пароль и SID. На этом занятии обсуждаются основные понятия, связанные с устранением неполадок объектов компьютеров.

Удаление, отключение и переустановка учетных записей компьютеров

Учетные записи компьютеров, как и учетные записи пользователей, обладают уникальным SID, позволяющим администратору предоставлять разрешения компьютерам. Как и учетные записи пользователей, компьютеры можно включать в группы. Следовательно, как и для учетных записей пользователей, важно понимать последствия удаления учетной записи компьютера. Когда учетная запись компьютера удаляется, его членство в группах и SID теряются. Если удаление было случайным, и с этим именем создается другая учетная запись компьютера, это будет совершено новая учетная запись с новым SID. Отношения с группами потребуется восстановить, и все разрешения, назначенные удаленному объекту компьютера, необходимо переназначить новой учетной записи. Удаляйте объекты компьютеров, только когда абсолютно уверены, что атрибуты безопасности этого объекта больше не понадобятся.

Для удаления учетной записи компьютера в оснастке Active Directoryпользователи и компьютеры (Active Directory Users And Computers) щелкните нужный объект компьютера, а затем в меню Действие (Action) или в контекстном меню выберите Удалить (Delete). Вас попросят подтвердить удаление, и, поскольку это необратимая операция, ответом по умолчанию принято Нет (No). Щелкните Да (Yes), чтобы удалить объект.

Команда DSRM, описанная в главе 3, позволяет удалить объект компьютера из командной строки:

Здесь DN _объекта — различающееся имя компьютера, например «CN=Desktop15,OU=Desktops,DC=contoso,DC=com». Снова появится запрос на подтверждение удаления.

Совет Когда компьютер отсоединяется от домена (например, если администратор присоединяет его к другой рабочей группе или домену), он пытается удалить свою учетную запись из домена. Если это нельзя сделать (из-за отсутствия связи, проблем с сетью или недостаточных разрешений), учетная запись остается в Active Directory. Она сразу или со временем будет отображаться как отключенная. Если эта учетная запись больше не нужна, удалите ее вручную.

Если компьютер отключают от сети или не будет использоваться долгое время, его учетную запись можно отключить. Такое действие отвечает принципу безопасности, по которому список участников безопасности разрешает проверку подлинности только минимальному числу учетных записей, необходимому для решения задач организации. Отключение учетной записи не изменяет SID компьютера или его членство в группах, поэтому, когда компьютер подключат к сети, его учетную запись можно снова включить.

В контекстном меню и в меню Действие (Action) для выбранного объекта компьютера предусмотрена команда Отключить учетную запись (Disable Account). Отключенные учетные записи обозначаются в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) крестом (рис. 5-5).

Рис. 5-5. Отключенная учетная запись компьютера

Когда учетная запись отключена, компьютер не может установить с доменом безопасную связь. В результате пользователи, ранее не входившие в систему на этом компьютере и реквизиты которых не были на нем кэшированы, не смогут входить в систему, пока учетная запись данного компьютера не будет включена и безопасный канал не будет восстановлен.

Для включения учетной записи компьютера просто выделите нужный компьютер и в меню Действие (Action) или в контекстном меню выберите команду Включить учетную запись (Enable Account).

Отключать и включать компьютер из командной строки можно командой DSMOD, которая изменяет объекты Active Directory:

DSMOD COMPUTER DN_компьютера -DISABLED YES
DSMOD COMPUTER DN_компыотера -DISABLED NO

Если членство в группах и SID учетной записи компьютера, а также разрешения, назначенные этому SID, важны для функционирования домена, не следует удалять такую учетную запись. Что же делать, если компьютер заменяется новой системой с современным оборудованием? Это одна из ситуаций, когда может понадобиться переустановка учетной записи компьютера.

При переустановке учетной записи компьютера пароль на вход удаляется, но сохраняются все остальные свойства объекта. Без пароля данная учетная запись фактически становится «доступной» для использования. Любой компьютер теперь может присоединиться к домену по этой учетной записи, в том числе ваша новая система.

На самом деле компьютер, который уже был присоединен к домену с этой учетной записью, тоже может использовать переустановленную запись, просто ему нужно повторно присоединиться к этому домену. Эти ситуации будут подробно рассмотрены в практикуме по устранению неполадок.

Команда Переустановить учетную запись (Reset Account) доступна для выбранного объекта компьютера в меню Действие (Action) и в контекстном меню. Для переустановки учетной записи компьютера также можно применять команду DSMOD:

DSMOD computer DN_компьютера -reset

Команда NETDOM, входящая в средства поддержки Windows Server 2003 (папка Support\Tools на установочном компакт-диске), также позволяет переустановить учетную запись компьютера.

Компьютеры относятся к еще одному типу объектов Active Directory, но в отличие от пользователей и групп AD к ним нет должно внимания и соответственно администраторы пренебрегают их администрированием. Но компьютеры так же как и группы, пользователи AD имеют свой SID и соответственно их можно заключать в группы, назначать им доступ к ресурсам, управлять ими средствами групповых политик.

Способы создания компьютера в AD.

Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.

Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:

- у вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена ( Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));

- объект компьютера создан в домене;

- вы должны войти в присоединяемый компьютер как локальный администратор.

У многих администраторов второй пункт может вызвать негодование, - зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.

Теперь разберем способы создания компьютера (компьютеров) в AD:

Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».

Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать "Пуск- Панель управления- Система и безопасность- Администрирование- Active Directory – пользователи и компьютеры" выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите "Создать- Компьютер".


Впишите имя компьютера.

Создание учетной записи компьютера с помощью команды DSADD.

Общий вид команды:

Значение Описание
<DN_компьютера> Обязательный параметр. Задает различающееся имя (DN) добавляемого компьютера.
-desc <описание> Задает описание компьютера.
-loc <размещение> Задает размещение компьютера.
-memberof <группа . > Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN <группа . >.

-s <сервер> задает подключение к контроллеру домена(DC) с именем <сервер>.
-d <домен> задает подключение к DC в домене <домен>.
По умолчанию: DC в домене входа.
-u <пользователь> Подключение под именем <пользователь>. По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).
-p Пароль пользователя <пользователь>. Если введена *, будет запрошен пароль.
-q "Тихий" режим: весь вывод заменяется стандартным выводом.

-uc Задает форматирование ввода из канала или вывода в канал в Юникоде.
-uco Задает форматирование вывода в канал или файл в Юникоде.
-uci Задает форматирование ввода из канала или файла в Юникоде.

Пример использования команды Dsadd:

Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”

Создание учетной записи рабочей станции или сервера с помощью команды Netdom.

Общий вид команды Netdom:

NETDOM ADD <компьютер> [/Domain:домен] [/UserD:пользователь] [/PasswordD:[пароль | *]] [/Server:сервер] [/OU:путь к подразделению] [/DC] [/SecurePasswordPrompt]
<компьютер> это имя добавляемого компьютера
/Domain указывает домен, в котором требуется создать учетную запись компьютера
/UserD учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU.
/OU подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.

Создание объекта Компьютер с помощью Ldifde ( ссылка на подробную информацию ) и Csvde ( ссылка на подробную информацию ).

Администрирование учетной записи компьютеров в Active Directory.

Переименование компьютера в AD.

Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:

Netdom renamecomputer <Имя компьютера> /Newname: <Новое имя>

Пример: Netdom renamecomputer COMP01 /Newname: COMP02

Удаление учетных записей компьютера.

1 Удалить учетную запись компьютера с помощью оснастки "Active Directory – пользователи и компьютеры". Запускаете оснастку "Active Directory – пользователи и компьютеры" находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете "Удалить", подтверждаете удаление

2 Удалить компьютер можно с помощью команды DSRM:

DSRM <DN объекта>

DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.

Устранение ошибки "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом".

1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать "Переустановить учетную запись" (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.

2 С помощью команды Netdom:

Netdom reset <имя машины> /domain <Имя домена> /User0 <Имя пользователя> /Password0 <Пароль> без кавычек <>

3 С помощью команды Nltest:

Nltest /server:<Имя компьютера> /sc_reset:<Домен>\<Контроллер домена>

Читайте также: