- Способи створення комп'ютера в AD.
- Створення комп'ютерів за допомогою оснастки «Active Directory - користувачі і комп'ютери».
- Створення облікового запису комп'ютера за допомогою команди DSADD.
- Створення об'єкта Комп'ютер за допомогою Ldifde ( посилання на детальну інформацію ) І...
Комп'ютери відносяться до ще одного типу об'єктів Active Directory, але на відміну від користувачів і груп AD до них немає повинно уваги і відповідно адміністратори нехтують їх адмініструванням. Але комп'ютери так само як і групи, користувачі AD мають свій SID і відповідно їх можна укладати в групи, призначати їм доступ до ресурсів, управляти ними засобами групових політик.
Способи створення комп'ютера в AD.
Всім відомо, після установки операційної системи, комп'ютер спочатку включений в робочу групу (за замовчуванням в WORKGROUP). В робочій групі кожен комп'ютер це незалежна автономна система в якій існує база даних диспетчера безпеки облікових записів SAM (Security Accounts Manager). При вході людини на комп'ютер виконується перевірка наявності облікового запису в SAM і відповідно до цих записами даються певні права. Комп'ютер який введений в домен продовжує підтримувати свою базу даних SAM, але якщо користувач заходить під доменної обліковим записом то про проходить перевірку на вже на контролер домену, тобто комп'ютер довіряє контролеру домену ідентифікацію користувача.
- у вас є право на приєднання комп'ютера до домену (за замовчуванням це право мають Адміністратори підприємства (Enterperise Admins), адміністраторів домену (Domain Admins), Адміністратори (Administrators), Оператори Обліку (Account Admins));
- об'єкт комп'ютера створений в домені;
- ви повинні увійти в приєднується комп'ютер як локальний адміністратор.
У багатьох адміністраторів другий пункт може викликати обурення, - навіщо створювати комп'ютер в AD, якщо він з'явитися в контейнері Computers після введення комп'ютера в домен. Вся справа в тому, що в контейнері Computers не можна створити підрозділи, але ще гірше, що до контейнера не можна прив'язати об'єкти групової політики. Саме тому рекомендується створити об'єкт комп'ютер в необхідному підрозділі, а не задовольнятися автоматично створеної обліковим записом комп'ютера. Звичайно можна перемістити автоматично створений комп'ютер в необхідне підрозділ, але найчастіше подібні речі адміністратори забувають робити.
Тепер розберемо способи створення комп'ютера (комп'ютерів) в AD:
Створення комп'ютерів за допомогою оснастки «Active Directory - користувачі і комп'ютери».
Для цього способу нам знадобиться запустити оснащення "Active Directory - користувачі і комп'ютери», у себе на комп'ютері за допомогою Admin Pack або на контролері домену. Для цього необхідно натиснути "Пуск Панель управління-Система і безпека-Адміністрування- Active Directory - користувачі і комп'ютери" виберіть необхідне підрозділ, натисніть на ньому правою кнопкою миші, в контекстному меню виберіть "Створити- Комп'ютер".
Впишіть ім'я комп'ютера.
Створення облікового запису комп'ютера за допомогою команди DSADD.
Загальний вигляд команди:
dsadd computer <DN_компьютера> [-desc <опис>] [-loc <розташування>] [-memberof <група ...>] [{-s <сервер> | -d <домен>}] [-u <користувач>] [-p {<пароль> | *}] [-Q] [{-uc | -uco | -uci}]
параметри:
значення Опис
<DN_компьютера> Обов'язковий параметр. Задає различающееся ім'я (DN), що додається комп'ютера.
-desc <опис> Задає опис комп'ютера.
-loc <розміщення> Задає налаштування робочої станції.
-memberof <група ...> Додає комп'ютер в одну або кілька груп, які визначаються розділяються пробілами списком імен DN <група ...>.
{-s <сервер> | -d <домен>}
-s <сервер> задає підключення до контролера домену (DC) з ім'ям <сервер>.
-d <домен> задає підключення до DC в домені <домен>.
За замовчуванням: DC в домені входу.
-u <користувач> Підключення під ім'ям <користувач>. За замовчуванням: ім'я користувача, який увійшов в систему. Можливі варіанти: ім'я користувача, домен \ ім'я користувача, основне ім'я користувача (UPN).
-p {<пароль> | *} Пароль користувача <користувач>. Якщо введена *, буде запропоновано ввести відповідний пароль.
-q "Тихий" режим: весь висновок замінюється стандартним висновком.
{-uc | -uco | -uci}
-uc Задає форматування введення з каналу або виведення в канал в Юникоде.
-uco Задає форматування виводу в канал або файл в Юникоде.
-uci Задає форматування введення з каналу або файлу в Юникоде.
Приклад використання команди Dsadd:
Dsadd computer "CN = COMP001, OU = Moscow, OU = Departments, DC = pk-help, DC = com" -desc "Комп'ютер відділу IT"
Створення облікового запису робочої станції або сервера за допомогою команди Netdom.
Загальний вигляд команди Netdom:
NETDOM ADD <комп'ютер> [/ Domain: домен] [/ UserD: користувач] [/ PasswordD: [пароль | *]] [/ Server: сервер] [/ OU: шлях до підрозділу] [/ DC] [/ SecurePasswordPrompt]
<комп'ютер> це ім'я додається комп'ютера
/ Domain вказує домен, в якому потрібно створити обліковий запис комп'ютера
/ UserD обліковий запис користувача, яка використовується при підключенні до домену, заданому аргументом / Domain
/ PasswordD пароль облікового запису користувача, заданої аргументом / UserD. Знак * означає запрошення на введення пароля
/ Server ім'я контролера домену, який використовується для додавання. Цей параметр не можна використовувати одночасно з параметром / OU.
/ OU підрозділ, в якому необхідно створити обліковий запис комп'ютера. Потрібно повне различающееся доменне ім'я RFC тисячі сімсот сімдесят дев'ять для підрозділу. При використанні цього аргументу необхідно працювати безпосередньо на контролері зазначеного домену. Якщо цей аргумент не заданий, обліковий запис буде створена в підрозділі за замовчуванням для об'єктів комп'ютерів цього домену.
/ DC вказує, що потрібно створити обліковий запис комп'ютера контролера домену. Цей параметр не можна використовувати одночасно з параметром / OU.
/ SecurePasswordPrompt Використовувати для вказівки облікових даних безпечне спливаюче вікно. Цей параметр слід використовувати при необхідності вказівки облікових даних смарт-карти. Цей параметр діє тільки в разі завдання пароля у вигляді *.
Створення об'єкта Комп'ютер за допомогою Ldifde ( посилання на детальну інформацію ) І Csvde ( посилання на детальну інформацію ).
Адміністрування облікового запису комп'ютерів в Active Directory.
Перейменування комп'ютера в AD.
Запускаємо командний рядок і за допомогою команди Netdom перейменовуємо комп'ютер в AD:
Netdom renamecomputer <Ім'я комп'ютера> / Newname: <Нове ім'я>
Приклад: Netdom renamecomputer COMP01 / Newname: COMP02
Видалення облікових записів комп'ютера.
1 Видалити обліковий запис комп'ютера за допомогою оснастки "Active Directory - користувачі і комп'ютери". Запускаєте оснащення "Active Directory - користувачі і комп'ютери" знаходите необхідний комп'ютер натискаєте не німий правою кнопкою миші, в контекстному меню вибираєте "Видалити", підтверджуєте видалення
2 Видалити комп'ютер можна за допомогою команди DSRM:
DSRM <DN об'єкта>
приклад:
DSRM CN = COMP001, OU = Moscow, OU = Departments, DC = pk-help, DC = com
.
Усунення помилки "Неможливо встановити довірчих відносин між цією робочою станцією і основним доменом".
Іноді при попидке увійти в комп'ютер користувач отримує повідомлення "Не вдалося встановити довірчих відносин між цією робочою станцією і основним доменом". Це помилка виникає при відмові в роботі безпечного каналу між машиною і контролером домену. Що б це усунути необхідно скинути безпечний канал. Можна скористатися одним з методів:
1 Зайти оснащення «Active Directory - користувачі і комп'ютери», знайти проблемний компьтер, натиснути на ньому правою кнопкою миші і вибрати "Переустановити обліковий запис" (Reset Account). Після цього комп'ютер слід заново приєднати до домену і перезавантажити.
2 За допомогою команди Netdom:
Netdom reset <ім'я машини> / domain <Ім'я домену> / User0 <Ім'я користувача> / Password0 <Пароль> без лапок <>
Приклад: Netdom reset COMP01 / domain pk-help.com / User0 Ivanov / Password *****
Перезавантаження комп'ютера не потрібна.
3 За допомогою команди Nltest:
Nltest / server: <Ім'я комп'ютера> / sc_reset: <Домен> \ <Контролер домену>
Приклад: Nltest / server: Comp01 /sc_reset:pk-help.com\ad1
Перезавантаження комп'ютера не потрібна.