Создать администратора для подключения к домену windows server 2012 r2

Обновлено: 04.07.2024

Из данной статьи вы узнаете, как ввести компьютер в домен Server 2012 что бы пользователь мог входить под учетной записью которая создается в Active Directory, помимо этого на него распространялись групповые политики и т.д

Перед тем как начать ввод компьютера в домен и создавать нового пользователя ознакомьтесь с первичными настройками Windows Server 2012 перейдя по этой ссылке

Ввод ПК в домен Server 2012:

Осуществим вход на наш сервер и откроем оснастку "Пользователи и компьютеры Active Directory" которая расположена в средствах диспетчера серверов


Зайдем в папку "Computers" и убедимся в том что пока что ни один компьютер пока что не подключен к домену


Давайте перейдем к настройкам:

Первой настройкой нам необходимо что бы на рабочих станциях был прописан IP адрес DNS сервера, в нашем случае DNS установлен на контроллере домена и если мы откроем в диспетчере сервером оснастку "DNS" то увидим, что ip адрес совпадает с адресом контроллера домена


Теперь создадим первого пользователя, и назовем его Тест. Для этого вновь откройте вкладку "Пользователи и компьютеры Active Directory" далее перейдите в парку "Uzers – Создать – Пользователь"


В появившимся окне заполняем необходимые параметры для новой учетной записи информация расположена ниже на картинке и жмем "Далее"


После чего заполняем поля с паролем. Пароль должен отвечать требованиям сложности (содержать латинские буквы с верхним регистром, символы и т.д) Для того что бы каждый раз вам не вводить сложные пароли необходимо отключить данную политику, как это сделать можете узнать их этой статьи.

После ввода паролей нажмите поставьте чекбоксы как указано на рисунке и жмите "Далее"


Кликаем "Готово" непосредственно для завершения создания нового пользователя


После чего в оснастке AD появится Тест Тестович!

Подключаем компьютер к домену

Первым делом проверяем настройки сетевых подключений, ориентируйтесь на картинку приведенную ниже:


Наконец то мы добрались до основной настройки компьютера.

У пользовательского ПК жмем ПКМ по значку "Мой компьютер" и открываем "Свойства"



В появившимся окне ищем вкладку "Изменить параметры" переходим по ней



В свойствах системы нам необходимо присоединить компьютер к домену для этого кликнем на кнопку "Изменить"



Переключаем курсор является членом Домена вводим доменное имя после чего нажимаем "Ок"



Всплывающее окно просит нас что бы мы напечатали "Имя пользователя" и "Пароль администратора домена" соответственно после ввода жмем "Ок"



Если вы выполнили все настройки корректно то компьютер перейдет к вам в домен




После перезагрузки входим под учетной записью которую мы создали выше а именно под «Тест Тестовичем»



Теперь перейдем на сервер и в оснастке AD в папке "Computers" у нас появится новый компьютер


На этом статья закончена возникшие вопросы пишите в комментарии и не забываем подписываемся на рассылку, всем спасибо и удачи в компьютерных начинаниях!


Для управления пользователями, также как и группами, в домене под управлением Windows Server, необходимо сначала создать этого пользователя. Для этого используется соответствующий механизм в виде оснастки "Управление компьютером". Процедура заведения пользователя в домене простая.

Заведение пользователя в домене.

Выполняется в несколько шагов:

1. Открываем оснастку "Управление компьютером". Проще всего это сделать нажав правой клавишей мышки на меню "Пуск", далее выбираем "Администрирование", затем "Пользователи и компьютеры Active Directory". Второй вариант - комбинация клавиш Win+R, в открывшемся окне пишем compmgmt.msc, затем просто "Enter".

create user1

2. В следующем окне "Active Directory - пользователи и компьютеры" нажимаем правой мышки на необходимом контейнере (например "Users"), в появившемся меню выбираем "Создать", затем "Пользователь".

create user2

3. Далее мы заполняем для нового пользователя:

  • Имя - имя пользователя;
  • Инициалы - инициалы пользователя (необязательно);
  • Фамилия - фамилия пользователя;
  • Полное имя - заполниться автоматически, после заполнения предыдущих пунктов;
  • Имя входа пользователя - логин;
  • Имя входа пользвателя (пред-Windows 2000) - заполнится автоматически, после заполнения имени входа пользователя.

Нажимаем кнопку "Далее" и попадаем в следующее меню.

create user3

4. В следующем окне достаточно указать пароль пользователя и подтверждение пароля, и нажать "Далее". При этом когда пользователь домена зайдет на компьютер под своим логином и паролем, то система предложит ему сменить пароль. Зайти в систему будет возможно только при смене и подтверждении нового пароля.

create user4

5. Последнее окно служит для окончательной проверки правильности создания нового пользователя. Проверяем и нажимаем "Готово". Новый пользователь будет создат в нужном контейнере и может работать в домене под своим логином и паролем.

Настройка домена и групповых политик в Windows Server

Доменом в Windows Server называют отдельную область безопасности компьютерной сети.

В домене может быть один или несколько серверов выполняющих различные роли. Разрешения, применяемые администратором, распространяются на все компьютеры в домене.

Пользователь, имеющий учетную запись в домене, может войти в систему на любом компьютере, иметь учетную запись на локальном компьютере не требуется.

В домене могут работать несколько тысяч пользователей, при этом компьютеры могут принадлежать к разным локальным сетям.

Несколько доменов имеющих одну и ту же конфигурацию и глобальный каталог называют деревом доменов. Несколько деревьев могут быть объединены в лес.

В домене есть такое понятие как групповая политика. Под групповой политикой понимают настройки системы, которые применяются к группе пользователей. Изменения групповой политики затрагивают всех пользователей входящих в эту политику.

Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Различают два вида объектов групповой политики – объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики.

Не будем подробно вдаваться в теорию и перейдем к практике.

Создание домена в Windows Server

Добавить роли и компоненты

На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».

На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».

Установка ролей и компонентов

Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».

Выбор целевого сервера

Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».

Доменные службы Active Directory

PЗатем нажимайте «Далее», «Далее» и «Установить».

Процесс установки Active Directory

После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.

Настройка контроллера домена Windows Server

Затем нажимайте «Далее» несколько раз до процесса установки.

Когда контроллер домена установиться компьютер будет перезагружен.

Добавление и настройка групп и пользователей в домене Windows Server

Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.

пользователи и компьютеры Active Directory

Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.

Создать подразделение

Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.

Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.

Создание нового пользователя в подразделении домена

Группа безопасности в Winndows Server

Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».

Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.

Присоединение компьютера к домену

Первый вход в домен

После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее

После ввода пароля операционная система попросит вас сменить пароль.

Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).

Связать существующий объект групповой политики

Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».

Далее выбираем созданный объект.

Выбор объекта групповой политики

Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».

Установка параметров безопасности

Ограничения парольной защиты

Редактор управления групповыми политиками

Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.

В данном разделе объекта групповой политики определяются следующие параметры:

  1. «Минимальный срок действия пароля» задает периодичность смены пароля.
  2. «Минимальная длина пароля» определяет минимальное количество знаков пароля.
  3. «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
  4. «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
  5. «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
  6. «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.

Тут нужно указать необходимые параметры (определите самостоятельно).

Политика ограниченного использования программ

Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.

После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.

Давайте запретим использовать командную строку на клиентском компьютере.


Запрет запуска командной строки (cmd.exe).

На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.

Запрет запуска командной строки

Анатолий Бузов

Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.

В статье подробно разберем процесс развертывания контроллер домена на базе Windows Server 2012 R2 и настройка служб AD DS, DNS, DHCP.

  • Установить Windows Server 2012 R2 и подготовить систему к развертыванию служб.
  • Развернуть службы Active Directory + DNS, выполнить настройку служб.
  • Развернуть службу DHCP, выполнить настройку обслуживания подсети 192.168.0.0/24.

Проделываться все действия будут на виртуальной машине.

Установка Windows Server 2012 R2 и настройка

При выборе типа устанавливаемой системы, выбираем Windows Server 2012 R2 Standart with GUI. Далее саму установку я пропущу, т.к. она полностью тривиальная.


После установки системы, обязательно обновляем систему до актуального состояния. Изменяем имя ПК (прим. DC1).

В настройках TCP/IP указываем статические IP-адреса (прим. как на скриншоте ниже)


Изменяем временную зону, выбираем относящуюся к нам зону (+03:00 Moscow, St. Petersburg, Volgograd).


На этом базовая подготовка системы выполнена, можно приступать к развертыванию служб.

Разворачиваем службы Active Directory + DNS


Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Второй пункт Remote Desktop Service installtion предназначен только для установки роли удаленных рабочих столов. Нажимаем Next.


Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Пункт Select a virtual hard disk позволяет указать сервер расположенный на VHD-диске. Нажимаем Next.


Отмечаем галочкой роль Active Directory Domain Services, в подтверждающем запросе добавления роли и компонентов, необходимых для установки AD нажимаем Add Features и после нажимаем Next.



В этом окне предлагается выбрать дополнительные компоненты, в моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.



Информационная страница на которой обращается внимание на то что желательно иметь несколько контроллеров домена, на случай выхода из строя основного. Служба AD DS требует установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить, а так же AD DS требует установки дополнительных служб DFS Namesspases (пространства имен), DFS Replication (DFS репликации) и File Replication (Файловой репликации). Нажимаем Next.

На завершающей странице мастера отображается информация по устанавливаемым компонентам. Так же здесь можно экспортировать конфигурацию в xml-файл (Export configuration settings), на случай если нужно развернуть идентичный сервер. Нажимаем Install.


После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Promote this server to a domain controller (Повысить этот сервер до контроллера домена). Запустится мастер конфигурирования AD DS.


Необходимо выбрать вариант развертывания AD DS.

Выбираем вариант Add New Forest, указываем корневое имя домена, нажимаем Next.


В параметрах контроллера домена оставляем по умолчанию функционал леса и домена, проверяем отмечен ли галочкой пункт Domain Name System (DNS), будет автоматически поднята роль DNS и задаем пароль для режима восстановления служб каталогов. Нажимаем Next.


Не обращаем внимание на предупреждение ошибки делегирования для этого DNS-сервера, т.к. роль DNS поднимается в процессе конфигурации AD DS. Нажимаем Next.


Оставляем подставленное мастером NetBIOS имя. Нажимаем Next.


Пути к каталогам оставляем по-умолчанию. Нажимаем Next.


Вывод сводной информации по настройке AD DS. Нажимаем Next.



В ходе установки конфигурации AD DS, система будет перезагружена. После перезагрузки добавим зону обратного просмотра в DNS. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

Запускаем Server Manager, выбираем роль DNS и на сервере жмем правой кнопкой мыши. Выбираем пункт DNS Manager (Диспетчер DNS).


Выделяем вкладку Reverse Lookup Zones, нажимаем правой кнопкой и выбираем New Zone.


Задаем тип добавляемой зоны:


Выбираем Primary zone и нажимаем Next.

Предлагается выбрать как будет выполнятся репликация добавляемой зоны:

Выбираем То all DNS servers running on domain controllers in this domain. Нажимаем Next.


Выбираем протокол заданный по умолчанию IPv4 Reverse Lookup Zone. Нажимаем Next.


Задаем параметр Network ID. В моем случае 192.168.0. В поле Reverse Lookup Zone Name автоматически подставится адрес зоны обратного просмотра. Нажимаем Next.


Выбор параметра динамического обновления:

Выбираем Allow both nonsecure and secure dynamic updates. Нажимаем Next.


В завершении добавлении зоны обратного просмотра нажимаем Finish.


Теперь укажем Forwarders (Серверы пересылки). Серверы пересылки служат для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это нужно для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

В оснастке DNS Manage (Диспетчер DNS) выделяем наш сервер и нажимаем правой кнопкой мыши. Выбираем Properties. Переходим во вкладку Forwarders и нажимаем на Edit.


В поле <Click here to add an IP Address or DNS Name> вбиваем IP-адрес или DNS имя, например провайдера или можно 8.8.8.8 (DNS Google). Нажимаем OK.


Теперь локальные компьютеры состоящие в доменной сети, смогут выходить в интернет.

Поднимаем службу DHCP и выполняем настройку ее

Добавляем новую роль Server Manager — Manage — Add Roles and Features. Выбираем первый пункт Role-based or feature-based installation (Базовая установка ролей и компонентов). Нажимаем Next.


Выбираем Select a server from the server pool и выбираем сервер на котором будет развернута роль. Нажимаем Next.


Отмечаем галочкой роль DHPC Server, в подтверждающем запросе добавления роли и компонентов, необходимых для установки DHCP Server нажимаем Add Features и после нажимаем Next.



В моем случае дополнительные компоненты не нужны, поэтому нажимаю Next.


Информационная страница на которой обращается внимание на то что необходимо настроить на компьютере статический IP-адрес и перед установкой DHCP сервера нужно спланировать подсеть, области и исключения. Нажимаем Next.


На завершающем этапе установки, нажимаем Install.


После установки Роли, в Server Manager нажимаем на значок Флажка с восклицательным знаком и выбираем Complete DHCP configuration (Завершить конфигурацию DHCP). Запустится мастер после установочной конфигурации DHCP.


Информационная страница, на которой сообщается что будут созданы группы безопасности администратора и пользователя DHCP-сервера, и будет произведена авторизация в AD. Нажимаем Next.


На следующем экране нажимаем Commit что бы завершить процесс авторизации в Active Directory.


Если процесс создания групп безопасности и авторизация в AD прошли успешно, то получим вывод Done. Нажимаем Close.


Запускаем Server Manager, выбираем роль DHCP и на сервере жмем правой кнопкой мыши. Выбираем пункт DHCP Manager (Диспетчер DHCP).



Задаем имя области и ее описание. Нажимаем Next.


Определяем начальный и конечный адрес диапазона подсети. Нажимаем Next.


По желанию можно задать диапазон адресов которые не будут выдаваться клиентам. Для задания диапазона исключения указываем начальный адрес и конечный и нажимаем Add. По окончании нажимаем Next.


Задаем время аренды выданного IP-адреса. Нажимаем Next.


Указываем Yes, I want to configure these options now (Да, я хочу настроить опции сейчас). Нажимаем Next.


Указываем адрес шлюза. Нажимаем Next.


Параметры задания доменного имени, DNS сервера и WINS Servers пропускаем, оставляем указанных значения по-умолчанию. Нажимаем Next.



Соглашаемся с активацией заданной области, выбираем Yes, I want to activate thisscope now. Нажимаем Next.


На этом установка и настройка AD DS, DNS, DHCP завершена.

Читайте также: