איך להוסיף מחשב לדומיין (ממשק משתמש גרפי ופוורשל)

מדריכים

ספריית הפעילות (Active Directory או AD) היא טכנולוגיה שנוצרה לפני עשורים ושמאות ארגונים משתמשים בה מדי יום. כדי להנות מהיתרונות של AD, עליך להצטרף במחשבים לדומיין של AD. ייתכן שלא תהיה מודע לכך, אך קיימים כמה דרכים שונות לעשות זאת, כאשר חלקן יותר טובות מאחרות. המשך לקרוא כדי ללמוד כיצד.

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

במדריך זה, תלמד כיצד להוסיף מחשב לדומיין באמצעות ממשק המשתמש הגרפי של Windows, וגם באמצעות שורת פקודה עם כלי ה-netdom ו-PowerShell.

נדרשים מקדמות

אם ברצונך לעקוב אחרי כל השלבים במדריך זה, וודא שיש לך את הבא:

  • דומיין של Active Directory. במדריך זה נשתמש בדומיין בשם homelab.local.
  • A Windows 10 Pro, Enterprise, or Education computer in a workgroup that can access an AD domain controller. Not all versions of Windows 10 can be joined to a domain. This tutorial will use a computer called Win10Demo.
  • חשבון משתמש ב-AD עם הרשאות להוספת מחשב לדומיין. ניתן למצוא מידע נוסף על מהו הרשאות הנדרשות כאן.
  • גישה למנהלי משתמשים ומחשבים ב-Active Directory (ADUC) בשרת בדומיין (כדי לאשר את הצטרפות המחשב לדומיין).
  • חבילת כלי ניהול מרחוק של שרתים (RSAT) כדי להשתמש בשורת הפקודה

הוספת מחשב לדומיין באמצעות ממשק המשתמש הגרפי (GUI)

אחת מהדרכים הנפוצות ביותר להוסיף מחשב לדומיין של AD היא דרך ה-GUI. השיטה הזו מתאימה כאשר נדרש להוסיף מחשב אחד או מספר קטן של מחשבים בו זמן. עם זאת, השיטה לא מתאימה להוספת מספר רב של מחשבים בו זמן אחד. המדריך יכלול דרכים לכך מאוחר יותר.

1. הפעל את הפקודה sysdm.cpl. הפקודה תפתח את חלון ניהול מאפייני המערכת.

System Properties Dialog box

2. במסך מאפייני המערכת, לחץ על הכפתור שינוי. הכפתור יפעיל את חלון הדיאלוג שינוי שם המחשב/דומיין.

Change option in System Properties Dialog box

3. ניתן לראות שהמחשב משתמש כרגע בקבוצת עבודה בשם WORKGROUP. בחלון הדיאלוג שינוי שם המחשב/דומיין, לחץ על אפשרות דומיין כדי להזין את הדומיין שבו תרצה להוסיף את המחשב.

Computer Name/Domain Name Change Dialog box

4. הזן את שם הדומיין שבו תרצה להוסיף את המחשב בתיבת דומיין ולחץ על אישור. המחשב ינסה ליצור קשר עם בקר דומיין ולהוסיף את עצמו לדומיין.

Computer Name/Domain Name Change Dialog box

קשור:היחסים בין העמדה הזו לעיבודים הראשוניים של התחום נכשלו

אם המחשב אינו מצליח ליצור קשר עם שם הדומיין שהזנת מיד, הוא עשוי לזרוק את השגיאה הבאה: אם המחשב אינו יכול ליצור קשר עם בקר דומיין, וודא ששרת ה-DNS של המחשב מצביע על בקר דומיין. המחשב חייב להצליח למצוא את רשומת ה-DNS SRV כדי למצוא בקר דומיין.

5. אם המחשב יכול ליצור קשר עם שלט שדה, יפעיל אותך להזין שם משתמש וסיסמה, כפי שמוצג למטה. הזן חשבון משתמש עם הרשאות להוסיף את המחשב הזה לתחום ולחץ על אישור.

Domain Join Credentials Dialog box

6. אם הכל הולך כצפוי, תקבל הודעת ברכה לתחום כפי שמוצג למטה. בזמן זה, המחשב יוצר אובייקט מחשב של שלט פעולה. לחץ על אישור.

קשור:Get-ADComputer: מצא מחשבים ביחידות ארגון בכוח פועל

Successfully added to Domain Notification

7. לחץ על אישור שוב כדי לאשר את הצורך באיתור מחדש של המחשב.

Restart your computer Notification

8. לאחר מכן, תועבר שוב אל תיבת הדו-שיח הנכספת, אך כעת תראה התראה (השינויים ייכנסו לתוקף לאחר שתאפשר את המחשב הזה.) לחץ על סגור.

System Properties dialog box post joining to domain

9. לאחר שתלחץ על סגור, Windows תבקש ממך לאתחל כעת. לחץ על אתחל עכשיו כדי לאתחל את המחשב מיידית.

Local computer Restart prompt

הוספת מחשב מקומי לתחום דרך אפליקציית ההגדרות

השלבים המפורטים למטה זמינים רק בגרסת Windows10 20H2. השלבים אלה עשויים להשתנות בגרסאות הווינדוס10 הבאות.

1. לחץ ימני על תפריט התחל ולחץ על הגדרות.

Settings option in start menu

2. בתוך ההגדרות, לחץ על חשבונות.

Accounts option in Settings app

3. בדף הבא, לחץ על אפשרות "גישה לעבודה או לבית ספר" ולחץ על החיבור לימין.

Access work or school option in settings

4. בעודנו הולכים להצטרף את המחשב הזה לדומיין של Active Directory המקומי, בתיבת הדו-שיח של חשבון ה-Microsoft, לחץ על אפשרות "הצטרף למכשיר זה לדומיין של Active Directory המקומי" ולחץ על הבא.

Join this device to local Active Directory Domain option

5. בדף הבא, הזן את שם הדומיין שלך ולחץ על הבא.

Domain Name dialog box

6. אם המחשב יכול ליצור קשר עם בקר הדומיין, הוא יבקש ממך שם משתמש וסיסמה, כפי שמוצג למטה. הזן חשבון משתמש עם הרשאות להוספת מחשב זה לדומיין ולחץ על אישור.

Credentials dialog box

7. בדף הבא, בחר את סוג החשבון שישתמש במכשיר זה.

  • אם תבחר במנהל, המזהה שהשתמשת בו להוספת המכשיר הזה לדומיין יתווסף לקבוצת המנהלים המקומית במחשב.
  • אם תבחר במשתמש סטנדרטי, הוא לא יוסיף את המזהה לקבוצת המנהלים המקומית. תוכל גם לדלג על זה ולהמשיך לדף הבא. עבור הדגמה זו, בוא נבחר במשתמש סטנדרטי ונלחץ על הבא.
Account type prompt

8. לחץ על "איחזור כעת" כדי לאחזר את המחשב מיידית.

Restart prompt

9. לאחר האיחזור, תוכל להתחבר למכשיר עם מזהה משתמש של הדומיין.

הוספת מחשב מקומי לדומיין באמצעות Netdom

עד כה, ראית כיצד להוסיף מחשב עם Windows 10 לדומיין באמצעות ממשק משתמש גרפי, אך אין צורך להשתמש בממשק משתמש גרפי. במקום זאת, תוכל להשתמש בשורת הפקודה באמצעות כלי ה-netdom. Netdom הוא כלי שורת פקודה הכולל בחבילת ה-RSAT.

בהנחה שאתה במחשב עבודה של Windows 10 שיכול לגשת לבקר הדומיין הקיים:

1. פתח את cmd.exe כמנהל.

2. הפעל netdom join וספק את הפרמטרים הבאים.

Netdom מחייב שם מחשב מיד אחרי הפרמטר join. אם אתה משתמש בפקודה זו על מחשבים אחרים, החלף את הערך במשתנה %computername% כדי לייצג תמיד את המחשב המקומי. 

netdom.exe join %computername% /domain:DomainName /UserD:DomainName\UserName /PasswordD:Password
Netdom command output

3. אז אנא הפעל מחדש את המחשב והמחשב יתממן לתחום.

הוספת מחשב מקומי לתחום באמצעות PowerShell

אם יש לך הרבה מחשבים להוסיף לתחום, יש לך תהליך אוטומציה לכניסה או אתה מעדיף את השורת פקודה, תוכל להשתמש ב-PowerShell כדי להוסיף מחשב לתחום.

בהנחה שאתה על מחשב עם Windows 10 בקבוצת עבודה שיכול לגשת לשלט קיים בדומיין:

1. פתח את Windows PowerShell ווודא שאתה מפעיל אותו כמנהל.

קשור:איך להפעיל את PowerShell כמנהל

במסוף PowerShell, הפעל את הפקודה Add-Computer. פקודה זו מבצעת את אותו הפעולה של הוספת מחשב לתחום דרך הממשק הגרפי. ציין את שם התחום שבו תרצה להוסיף את המחשב עם הפרמטר DomainName ובאפשרותך גם לציין את הפרמטר Restart לאוטומטית לאתחל את המחשב בסיום.

אתה יכול גם לציין את הפרמטר Credential כדי לציין את שם המשתמש והסיסמה מראש. ראה מאמר זה למידע נוסף. אם ברצונך להוסיף מחשב ליחידת ארגון שונה בעת יצירתו, ציין את הפרמטר OUPath. לאפשרויות נוספות, הפעל Get-Help Add-Computer -Full. 

Add-Computer -DomainName DomainName -Restart
Add-Computer cmdlet credentials prompt

ב-PowerShell 7.x, קומנדלט Add-Computer אינה זמינה. כדי לייבא מודול זה ל-PowerShell 7.x, תוכל להשתמש ב- Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue, שישתמש ב-Windows PowerShell 5.1 ברקע כדי להפעיל את הפקודה בהפעלת PS 7.x הנוכחית שלך.

הוסף מחשב מקומי לדומיין באמצעות WMI

כדי לוודא שהמדריך מכסה כל הדרכים להוסיף מחשב לדומיין, נמשיך עם שיטה פחות ידועה של שימוש ב- Windows Management Instrumentation (WMI). WMI היא חלק אוביקטיבי בחלון המערכת שמכיל המון מידע על מחשב ויכולת לבצע פעולות עליו.

כדי להוסיף מחשב מקומי לדומיין עם WMI, עליך לקרוא לשיטת WMI. שיטה זו מבצעת את אותו המשימה כמו שימוש ב- netdom או ב- Add-Computer קומנדלט PowerShell.

אפשר להפעיל שיטות WMI בכמה דרכים שונות. למדריך זה, נתמקד בשתי הדרכים הבאות באמצעות הכלי שורת הפקודה *wmic* ופוורשל.

שימוש ב- WMIC

כדי להוסיף מחשב לדומיין עם WMIC:

1. פתח את חלון הפקודה (cmd.exe) כמנהל.

2. הפעל את הפקודה הבאה. הפקודה הזו:

  • מציין את המחשב המקומי באמצעות שאילתת where (where name="%computername%")
  • קורא לשיטת WMI joindomainorworkgroup (call joindomainorworkgroup) שהיא חלק ממחלקת ה-Win32_ComputerSystem WMI (computersystem)
  • מציין אופרטורים דו-כיווניים מתאימים להצטרפות לדומיין (fjoin options 3)
  • מוסיף את המחשב לדומיין homelab.local (homelab.local) תוך אימות עם חשבון המשתמש labadmin (username="homelab\labadmin Password="secret")
wmic computersystem where name="%computername%" call joindomainorworkgroup fjoinoptions=3 name="homelab.local" username="homelab\labadmin" Password="secret"
WMIC command output

3. כאשר הפעולה הושלמה, אנא הפעל מחדש את המחשב.

שימוש בפוורשל באמצעות Cmdlet של Get-WmiObject

ניתן גם לקרוא לשיטת WMI JoinDomainOrWorkgroup באמצעות PowerShell. כדי לעשות זאת:

1. פתח PowerShell כמנהל מערכת.

2. הרץ את הפקודה הבאה. פקודה זו מבצעת את אותה המשימה כמו שאמור לעשות wmic למעלה באמצעות הארגומנטים השווים. 

(Get-WMIObject -NameSpace "Root\Cimv2" -Class "Win32_ComputerSystem").JoinDomainOrWorkgroup("homelab.local","secret","homelab\labadmin",$null,3)
Get-WMIObject command output

3. כאשר הסיום, אנא אתחל את המחשב.

הוספת מחשבים מרחוק לדומיין

במהלך המדריך הזה, למדת כיצד להוסיף מחשב לדומיין בעודך יושב מול המחשב הממשי. אבל מה קורה כשאי אפשר לשבת מול המחשב ההוא, או כשיש לך הרבה מחשבים להוסיף? במקרה כזה, PowerShell הוא החבר הכי טוב שלך.

כדי להוסיף מחשבים לדומיין מרחוק, תוכל לבחור להשתמש בשיטת WMI ב-PowerShell כפי שתואר למעלה אך להשתמש בפרמטר ComputerName על cmdlet ה-Get-WmiObject או להשתמש ב-PSRemoting.

קשור:פקודות רחוקות ב-PowerShell: המדריך המלא

כדי להצטרף למחשבים מרחוק לדומיין, קרא ל-cmdlet ה-PowerShell של Add-Computer. אך הפעם, השתמש בפרמטר ComputerName.

כדי להריץ את cmdlet ה-PowerShell של Add-Computer מרחוק, עליך לוודא ש-PSRemoting מופעל על כל המחשבים המרוחקים.

1. בתחנת העבודה המקומית שלך (לא במחשב שאתה מוסיף לדומיין), פתח את PowerShell כמנהל.

2. הפעל את הפקודה הבאה. פקודה זו:

  • מוסיפה את המחשב המרוחק הנקרא win10demo (-ComputerName win10demo) לדומיין homelab.local (-DomainName homelab.local).
  • משתמשת במשתמש המקומי user01 על win10demo לאימות למחשב המרוחק (-LocalCredential win10demo\user01)
  • משתמשת בחשבון דומיין labadmin לאימות לדומיין על מנת להוסיף חשבון מחשב (-Credential homelab\labadmin).
  • יפעיל מחדש את המחשב אוטומטית לאחר שהוא סיים (-Restart) 
Add-Computer -ComputerName win10demo -LocalCredential win10demo\user01 -DomainName homelab.local -Credential homelab\labadmin -Restart

ב-PowerShell 7.x, הפקודה Add-Computer אינה זמינה. כדי לייבא את המודול הזה ל-PowerShell 7.x, תוכל להשתמש ב-Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue, שישתמש ב-Windows Powershell 5.1 ברקע כדי להריץ פקודה זו בהפעלת PS 7.x הנוכחית שלך.

כאשר יש בקריאה, פקודה Add-Computer תבקש ממך את הסיסמאות למשתמשי user01 ו־labadmin. כאשר הפעולה הושלמה, PowerShell יפעיל מחדש את המחשב המרוחק באופן אוטומטי.

כברירת מחדל, פקודה Add-Computer לא תפעיל מחדש את המחשב המרוחק אם משתמש מחובר. כדי לדרוס זאת, ציין את הפרמטר Force לתמיד להפעלת מחדש של המחשב המרוחק.

אישור יצירת חשבון המחשב ב-AD

כאשר מחשב מתווסף לדומיין, הוא יוצר אובייקט מחשב. כדי לוודא שהמחשב יצר את אובייקט המחשב כפי שצוין, בואו נפתח את "ניהול משתמשים ותקיות פעילות" (ADUC) לאימות.

1. חיבור באמצעות RDP לשרת הדומיין שלך ופתיחת "ניהול משתמשים ותקיות פעילות" (ADUC) או פתיחת ADUC על המחשב המקומי שלך אם יש לך את חבילת הכלים לניהול שרתים מרוחקים (RSAT) מותקנת.

קשור:איך להתקין ולייבא את מודול הניהול של פעילות התקיות

2. ב-ADUC, נפרש את צומת שם הדומיין (homelab.local במקרה זה) ונלחץ על קונטיינר ה-מחשבים. אתה צריך לראות את אובייקט המחשב שנוסף בחלק הקודם.

כברירת מחדל, כל המחשבים שמתווספים לדומיין יתווספו תחת קונטיינר המחשבים.

Active Directory Users and Computers snapin

3. בחזרה למחשב שעליו מותקן Windows 10, כעת התחבר עם כל חשבון משתמש AD על ידי לחיצה על משתמש אחר במסך הכניסה.

Login as Other user option post domain joined

עכשיו ניתן לראות את שם הדומיין שלך מתחת לתיבת ה-סיסמה כפי שמוצג למטה.

Domain name while logging in

השתמש בכלי הבדיקה ללא תשלום Specops Password Auditor כדי לסרוק את הניהול שלך ולזהות חולשות הקשורות לסיסמה, כולל למעלה מ-930 מיליון סיסמאות ידועות שנפרצו. הורד היום!

Conclusion

אודות מאמר זה, ראית כמה דרכים שונות להוסיף מחשבים לדומיין AD. כל שיטה יש לה מיניה וחסרונותיה, אך כעת אתה אמור להכיר את כל האפשרויות שלך.

עכשיו שאתה יודע את כל הדרכים להוסיף מחשב לדומיין, איך תוסיף את המחשב הבא שלך לדומיין?

Source:
https://adamtheautomator.com/add-computer-to-domain/