Cmd перевести компьютер в домен

Обновлено: 06.07.2024

В этом руководстве описаны действия по выполнению автономного присоединение к домену с DirectAccess. Во время присоединения к автономному домену компьютер настраивается для присоединения к домену без физического или VPN-подключения.

Ниже перечислены разделы данного руководства.

Обзор автономного присоединение к домену

Требования к присоединению автономного домена

Процесс присоединение к домену вне сети

Действия по выполнению автономного присоединение к домену

Обзор автономного присоединение к домену

контроллеры домена, появившиеся в Windows Server 2008 R2, включают функцию, называемую автономным присоединением к домену. Программа командной строки с именем Djoin.exe позволяет присоединить компьютер к домену, не подключаясь к контроллеру домена при выполнении операции приподключения к домену. Ниже приведены общие действия по использованию Djoin.exe.

Запустите Djoin/провисион , чтобы создать метаданные учетной записи компьютера. Выходными данными этой команды является файл .txt, который содержит большой двоичный объект с кодировкой Base-64.

запустите djoin/рекуестодж , чтобы вставить метаданные учетной записи компьютера из .txtного файла в каталог Windows конечного компьютера.

Перезагрузите конечный компьютер, и компьютер будет присоединен к домену.

Обзор сценария автономного присоединение к домену с помощью политик DirectAccess

автономное присоединение к домену directaccess — это процесс, в котором компьютеры под управлением Windows Server 2016, Windows Server 2012, Windows 10 и Windows 8 могут использовать для присоединения к домену без физического соединения с корпоративной сетью или подключения через VPN. Это позволяет присоединять компьютеры к домену из расположений, в которых нет подключения к корпоративной сети. Присоединение автономного домена для DirectAccess предоставляет клиентам политики DirectAccess, разрешающие удаленную подготовку.

присоединение к домену создает учетную запись компьютера и устанавливает доверительные отношения между компьютером с операционной системой Windows и Active Directoryным доменом.

Подготовка к автономному присоединению домена

Создайте учетную запись компьютера.

Инвентаризация членства всех групп безопасности, к которым принадлежит учетная запись компьютера.

Соберите необходимые сертификаты компьютеров, групповые политики и объекты групповой политики, которые будут применяться к новым клиентам.

. В следующих разделах описаны требования к операционной системе и требования к учетным данным для выполнения автономного присоединение к домену DirectAccess с помощью Djoin.exe.

Требования к операционной системе

Djoin.exe для directaccess можно выполнять только на компьютерах, на которых выполняется Windows Server 2016, Windows Server 2012 или Windows 8. компьютер, на котором выполняется Djoin.exe для предоставления данных учетных записей компьютеров в AD DS, должен работать под управлением Windows Server 2016, Windows 10, Windows Server 2012 или Windows 8. компьютер, который требуется присоединить к домену, также должен работать под Windows Server 2016, Windows 10, Windows Server 2012 или Windows 8.

Требования к учетным данным

Для выполнения автономного присоединение к домену необходимы права, необходимые для приподключения рабочих станций к домену. Члены группы "Администраторы домена" по умолчанию имеют эти права. Если вы не являетесь членом группы "Администраторы домена", член группы "Администраторы домена" должен выполнить одно из следующих действий, чтобы обеспечить присоединение рабочих станций к домену.

Используйте групповая политика, чтобы предоставить необходимые права пользователя. Этот метод позволяет создавать компьютеры в контейнере Компьютеры по умолчанию и в любом подразделении (OU), которое создается позже (если запрещены записи управления доступом (ACE)).

Измените список управления доступом (ACL) контейнера Компьютеры по умолчанию для домена, чтобы делегировать правильные разрешения.

Создайте подразделение и измените список ACL в этом подразделении, чтобы предоставить вам разрешение Создание дочернего элемента — разрешить . Передайте параметр /мачинеау в команду Djoin/провисион .

В следующих процедурах показано, как предоставить права пользователя с помощью групповая политика и делегировать правильные разрешения.

Предоставление пользователям прав на присоединение рабочих станций к домену

Можно использовать консоль управления групповыми политиками (GPMC) для изменения политики домена или создания новой политики с параметрами, предоставляющими права пользователя на добавление рабочих станций в домен.

Членство в группах "Администраторы домена" или "эквивалентное" является минимальным требованием для предоставления прав пользователя. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию ( ).

Предоставление прав на присоединение рабочих станций к домену

Дважды щелкните имя леса, дважды щелкните домены, дважды щелкните имя домена, в котором необходимо присоединить компьютер, щелкните правой кнопкой мыши Политика домена по умолчаниюи выберите команду изменить.

в дереве консоли дважды щелкните конфигурация компьютера, дважды щелкните политики, дважды щелкните Windows Параметры, дважды щелкните безопасность Параметры, дважды щелкните локальные политики, а затем дважды щелкните назначение прав пользователя.

В области сведений дважды щелкните Добавить рабочие станции в домен.

Установите флажок определить эти параметры политики и нажмите кнопку Добавить пользователя или группу.

Введите имя учетной записи, которой необходимо предоставить права пользователя, а затем дважды нажмите кнопку ОК .

Процесс присоединение к домену вне сети

Запустите Djoin.exe в командной строке с повышенными привилегиями, чтобы подготавливать метаданные учетной записи компьютера. При выполнении команды подготовки метаданные учетной записи компьютера создаются в двоичном файле, указанном в качестве части команды.

Дополнительные сведения о функции Нетпровисионкомпутераккаунт, которая используется для предоставления учетной записи компьютера во время приподключения к автономному домену, см. в разделе функция нетпровисионкомпутераккаунт ( ). Дополнительные сведения о функции Нетрекуестоффлинедомаинжоин, которая выполняется локально на конечном компьютере, см. в разделе функция нетрекуестоффлинедомаинжоин ( ).

Действия по выполнению автономного присоединение к домену DirectAccess

Процесс автономного присоединение к домену включает следующие шаги.

Создайте новую учетную запись компьютера для каждого удаленного клиента и создайте пакет подготовки с помощью команды Djoin.exe из компьютера, присоединенного к домену в корпоративной сети.

Добавление клиентского компьютера в группу безопасности Директакцессклиентс

Безопасно перенесите пакет подготовки на удаленные компьютеры, которые будут присоединены к домену.

Примените пакет подготовки и присоедините клиент к домену.

Перезагрузите клиент, чтобы завершить присоединение к домену и установить подключение.

При создании пакета подготовки для клиента необходимо учитывать два варианта. Если для установки DirectAccess без PKI используется мастер начало работы, следует использовать вариант 1 ниже. Если для установки DirectAccess с помощью PKI использовался мастер расширенной установки, следует использовать вариант 2 ниже.

Чтобы выполнить автономное присоединение к домену, выполните следующие действия.

Параметр1: создание пакета подготовки для клиента без PKI

В командной строке сервера удаленного доступа введите следующую команду для подготовки учетной записи компьютера:

Параметр2: создание пакета подготовки для клиента с помощью PKI

Добавление клиентского компьютера в группу безопасности Директакцессклиентс

На начальном экране контроллера домена введите активный и выберите Active Directory пользователи и компьютеры из приложений .

Разверните дерево в своем домене и выберите контейнер Пользователи .

В области сведений щелкните правой кнопкой мыши директакцессклиентси выберите пункт свойства.

На вкладке Члены группы щелкните Добавить.

Щелкните типы объектов, выберите Компьютеры, а затем нажмите кнопку ОК.

Введите имя добавляемого клиента и нажмите кнопку ОК.

Скопируйте и примените пакет подготовки к клиентскому компьютеру.

Скопируйте пакет подготовки из c:\files\provision.txt на сервере удаленного доступа, где он был сохранен, чтобы c:\provision\provision.txt на клиентском компьютере.

На клиентском компьютере откройте командную строку с повышенными привилегиями и введите следующую команду, чтобы запросить присоединение к домену:

Перезагрузите клиентский компьютер. Компьютер будет присоединен к домену. После перезагрузки клиент будет присоединен к домену и иметь возможность подключения к корпоративной сети с DirectAccess.

Данная инструкция не подходит для ПК, на которых установлено ПО SecretNet версии 1.9.

Ввод в домен с помощью скрипта

Установим скрипт для автоматизации ввода компьютера в домен из репозитория РЕД ОС:
для РЕД ОС версии 7.1 или 7.2:

для РЕД ОС версии 7.3 и старше:

После ввода пароля от root, появится основное окно программы, где вводятся значения для добавления компьютера в домен.

Для запуска скрипта в консоли в интерактивном режиме добавления к домену, выполните:

при этом скриптом будет запрошен ввод имени домена, компьютера, а также имя администратора домена и его пароль.

Возможен также запуска скрипта с параметрами в консоли:

Описание параметров запуска:

-d имя домена
-n имя компьютера
-u имя администратора домена
-p пароль администратора домена
-g запуск графического интерфейса

PS: если на ПК установлен Secret Net, то рекомендуется воспользоваться автоматическим скриптом ввода хоста в домен Windows.

Подключаемся к домену Active Directory с помощью realmd.

Realmd (Realm Discovery) – это сервис, позволяющий производить настройку сетевой аутентификации и членства в домене MS AD без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) (также может использоваться и Winbind).

Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:

Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

После изменений конфигурационного файла вам надо перезапустить chronyd:

Проверьте работу chrony с помощью двух команд::

Пример вывода команды:

Установите необходимые пакеты, если они ещё не установлены

для РЕД ОС версии 7.1 или 7.2:

для РЕД ОС версии 7.3 и старше:

. Не рекомендовано использовать домен .local . Он зарезервирован для автоматически конфигурируемых сетей.

Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

В РЕД ОС 7.3 изменять конфигурацию /etc/nsswitch.conf следует через файл

после чего выполнить применение настроек:

Введите компьютер в домен, указав логин и пароль администратора домена

Для Windows Server 2003 имя пользователя, которому разрешено добавлять компьютеры в домен должно быть на английском языке. Для этого создайте на контроллере домена пользователя с английским именем и предоставьте ему необходимые права.

Приведите строки к указанному ниже виду:

Для доступа к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно закомментировать строку

После нее вставить строку:

Изменить значение параметра можно следующей командой:

В секцию [libdefaults] нужно добавить параметр default_realm = REALM NAME

Пример записи для домена win.redos:

Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

Этот параметр позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS).

Для контроллера домена на базе Windows Server 2003 выполните дополнительные действия

В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.

Проверьте состояние службы sssd, в выводе статуса должно быть написано active (running)

Добавьте в файл следующую строку, сохраните изменения и закройте редактор.

Данный параметр можно добавить командой:

Имя доменного пользователя должно состоять из латинских символов (кириллицу в имени пользователя использовать не рекомендуется ).

Список команд для быстрого ввода в домен через консоль

В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

1. Настройте NTP-клиент

Здесь введите своё FQDN имя контроллера домена.

2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

Для РЕД ОС версии 7.1 или 7.2:

Для РЕД ОС версии 7.3 и старше:

3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние категории.

4. Чтобы убрать предупреждение "rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)" при выводе команды testparm -s :

Теперь мне нужно восстановить членство ПК в домене. Но так как я не могу войти в систему, я не могу изменить ни имя компьютера, ни членство в домене.

Как я могу доверять ПК и домену?
Могу ли я добавить или обновить членство с консоли контроллеров домена?

Редактировать :

На компьютере нет активных локальных учетных записей, которые я мог бы использовать для входа в систему.

Доступ к чему? Я предполагаю: AD = активный каталог UC = ?? Но: да, у меня есть административные права на домен.

Этот трюк приходит через мою исследовательскую группу Active Directory. Я предлагаю всем присоединиться к группе пользователей и / или учебной группе. Дело не в том, что мы не знаем AD, а в том, что мы забываем или пропускаем новые функции. Курс повышения квалификации тоже весело.

Классический способ решить эту проблему - присоединиться к домену. Это довольно болезненно, потому что для этого требуется несколько перезагрузок, а профиль пользователя не всегда повторно подключается. Эве. Кроме того, если у вас был этот компьютер в каких-либо группах или ему были назначены определенные разрешения, они пропали, потому что теперь у вашего компьютера новый SID, поэтому AD больше не видит его как ту же машину. Вы должны будете воссоздать все эти вещи из отличной документации, которую вы держали. У тебя отличная документация. Двойная овца

Вместо этого мы можем просто сбросить безопасный канал. Есть несколько способов сделать это:

В AD щелкните правой кнопкой мыши компьютер и выберите «Сбросить учетную запись».
Затем повторно присоединитесь, не отсоединяя компьютер от домена.
Требуется перезагрузка.
В командной строке с повышенными правами введите: dsmod computer "ComputerDN" -reset
Затем повторно присоедините компьютер, не присоединяя его к домену.
Требуется перезагрузка.
В командной строке с повышенными привилегиями введите: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
Учетная запись, учетные данные которой вы указали, должна входить в группу локальных администраторов.
Не возвращайся. Нет перезагрузки.
В командной строке поднятия введите: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
Нет присоединиться. Нет перезагрузки.

Перестаньте бороться с этой проблемой со стороны клиента. Если вы не можете войти в домен, вам нужно будет либо войти с включенной локальной учетной записью, либо использовать загрузочный компакт-диск, чтобы включить его.

Попробуйте удалить компьютер из Active Directory - пользователи и компьютеры. Это должно быть в Администрировании на вашем сервере. Откройте подразделение (подразделение), в котором находится компьютер. Найдите компьютер, щелкните по нему правой кнопкой мыши и нажмите «Удалить».

Возможно, не повредит быть терпеливым и просто позволить репликации делать свое дело, в зависимости от того, сколько у вас контроллеров домена. Если ваш домен довольно прост (без сайтов и только два DC), вы можете использовать repadmin /replicate для принудительной репликации. Дайте это прочитать, прежде чем сделать это.

Теперь снова добавьте ПК с помощью AD UC и либо дождитесь репликации, либо форсируйте его.

Если он все еще скулит на вас, netdom /remove попробуйте ( man-страница здесь ) и посмотрите, получится ли это с вашего домена. Если у вас есть проблемы с этим, взгляните на этот вопрос . Это другой сценарий, но по сути та же концепция: пытаться удалить компьютер из домена, когда он не может связаться с DC.

Это удалит компьютер из домена, не так ли? Как использовать аутентификацию домена для входа на ПК, когда он больше не является членом домена? Я не могу добавить это с ADUC?

Возможно, вам придется войти, используя учетные данные, которые являются локальными для этого компьютера. Когда ОС была впервые установлена, была настроена локальная учетная запись.

Войдите в систему с этой учетной записью, используя имя компьютера в качестве домена (например, MYCOMP \ JSmith). Обычно учетная запись администратора локального компьютера присутствует, но по умолчанию отключена.

После того как вы вошли в систему как локальный пользователь, вы сможете выйти и снова присоединиться к домену.

Выход и повторный вход в домен является предпочтительным решением этой проблемы. Однако иногда это просто не работает, и вам также необходимо изменить имя компьютера, если Active Directory по каким-либо причинам не понимает это изменение.

Начиная с Server 2008 R2, задача очень проста. Теперь мы можем использовать Test-ComputerSecureChannel командлет.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Добавьте -Repair параметр для выполнения фактического ремонта; используйте учетные данные для учетной записи, которая авторизована для подключения компьютеров к домену.

-- РЕДАКТИРОВАТЬ--

Если для этого нет учетных записей локальных администраторов, вы можете создать их (или включить отключенную встроенную учетную запись администратора) с помощью известного хакера Sticky Keys .

Чтобы сбросить забытый пароль администратора, выполните следующие действия: ^

Загрузитесь с Windows PE или Windows RE и получите доступ к командной строке.
Найдите букву диска раздела, где установлена Windows. В Vista и Windows XP обычно это C :, в Windows 7 это D: в большинстве случаев, потому что первый раздел содержит Восстановление запуска. Чтобы найти букву диска, введите C: (или D: соответственно) и найдите папку Windows. Обратите внимание, что Windows PE (RE) обычно находится в X :. В целях этой демонстрации мы будем предполагать, что Windows установлена на диске C:
Введите следующую команду: copy C:\Windows\System32\sethc.exe C:\ Это создаст копию sethc.exe для восстановления позже.
Введите эту команду, чтобы заменить sethc.exe на cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe перезагрузите компьютер и запустите экземпляр Windows, для которого у вас нет пароля администратора.
После того, как вы увидите экран входа в систему, нажмите клавишу SHIFT пять раз.
Вы должны увидеть командную строку, в которой вы можете ввести следующую команду для сброса пароля Windows: net user [username] [password] Если вы не знаете свое имя пользователя, просто введите net user список доступных имен пользователей.
Теперь вы можете войти с новым паролем.

Если вы хотите включить отключенную по умолчанию встроенную учетную запись администратора вместо сброса пароля для существующей учетной записи, введите следующую команду:

Если вы хотите создать новую учетную запись и добавить ее в локальную группу администраторов, последовательность команд :

net user /add [username] [password]
net localgroup administrators [username] /add

Отличный источник информации здесь! $credential = Get-Credential нажмите Enter , введите пароль при появлении приглашения, затем Test-ComputerSecureChannel -Credential $credential -Repair -Verbose мы сделали то, что сделали и работали для нас (в основном то, что вы описали, но немного нюансировалось для тех, кому трудно следовать). Отличный трюк на sethc.exe и получение локальной учетной записи администратора снова. @vapcguy - Все эти годы, и они до сих пор не исправили это. Это немного сбивает с толку, зная, что установка Windows может быть легко взломана.

Добавлять ПК можно только тогда, когда у вас есть права администратора на ПК и право менять контроллер домена.

Поэтому необходимо сбросить пароль администратора на ПК. Одним из способов выполнения этой задачи является использование установочного DVD и использование консоли восстановления. Это позволяет вам восстановить полный контроль.

Единственное решение, если у вас есть проблема PC / Server Trust (после сброса, воссоздать на DC и т. Д.), Чтобы решить ее без какого-либо восстановления!

Отключите работу сетевых карт и кэшированных учетных данных, после чего вы сможете снова присоединиться к домену netdom join .

Если у вас закончились попытки кэширования учетных данных (зависит от локальной политики ОС / объекта групповой политики - до 50), выполните восстановление системы за предыдущие дни, это тоже будет работать.

Пожалуйста, прочитайте перед публикацией. Последнее предложение (после редактирования ) показывает, что я не могу использовать локальные учетные записи.

Отключите сетевой кабель и войдите на соответствующую рабочую станцию (кэшированные учетные данные позволят это сделать). После этого снова подключите сетевой кабель.

Установите скачанный пакет. У нас были проблемы с этим, пока мы не использовали режим чистой загрузки, поэтому вам, возможно, придется перезагрузить рабочую станцию после настройки чистой загрузки, которую можно отменить после этого процесса.

Установка RSAT автоматически не делает его доступным для использования. Перейдите в Панель управления -> Программы -> Добавить / Удалить компоненты Windows и найдите Инструменты администратора удаленного сервера. Разверните это и перейдите к AD / AS / Command line и включите это.

Откройте командное окно от имени администратора и введите эту команду:

NETDOM.EXE resetpwd / s: (сервер) / ud: (имя пользователя) / pd: *

Где (сервер) - это имя Netbios сервера домена, а (имя пользователя) - учетная запись уязвимой рабочей станции в формате ДОМЕН \ Имя пользователя.

Классический способ добавить компьютер в домен из командной строки это использовать утилиту netdom.exe из поставки Support Tools Windows, однако, данная утилита не может добавить компьютер в рабочую группу (Может версия 1.8 из поставки Support Tools Windows NT).

Далее, я рассмотрю, другой способ добавления компьютера в домен/рабочую группу. Данный способ использует WMI и такой инструмент как wmic.exe.

uint32 JoinDomainOrWorkgroup(
[in] string Name,
[in] string Password,
[in] string UserName,
[in, optional] string AccountOU,
[in] uint32 FJoinOptions = 1
);

Если указан параметр UserName, параметр Password должен указывать пароль пользователя для подключения к контроллеру домена. В противном случае, параметр не указывается. Указывает имя пользователя для подключения к контроллеру домена, если параметр не указан используется имя вызывающего пользователя. Может содержать путь к койнтейнеру Active Directory в который требуется добавить компьютер, опциональный параметр. Пример: "OU=testOU, DC=domain, DC=Domain, DC=com" Устанавливает флаги которые определяют опции подключения.
1 (0x1) - Подключает компьютер к домену, если значение не указано, то к рабочей группе
2 (0x2) - Создает аккаунт в домене 4 (0x4) - Удаляет аккаунт, если домен существует
16 (0x10) - Процедура присоединения является частью апгрейда с Windows 98,Windows 95 до Windows 2000бТЕ 32 (0x20) - Разрешает присоединение к домену, даже если компьютер уже является членом домена.
64 (0x40) - Разрешает небезопасное присоединение к домену 128 (0x80) - Пропуск проверки пароля компьютера, не пользователя. Только для небезопасного присоединения к домену.
256 (0x100) - Запись атрибутов SPN, DnsHostName должна быть отложена, до следуещего за присоединением к домену переименованием компьютера.

Выполнение (\\COMPUTERNAME\ROOT\CIMV2:Win32_Compute rSystem.Name="USER")->JoinDomainO

rWorkgroup()
Успешный вызов метода.
Параметры вывода:
instance of __PARAMETERS
<
ReturnValue = 0;
>;

Пример для присоединения компьютера к домену из командной строки:

Пример для присоединения компьютера к рабочей группе из командной строки:

Читайте также: