Как добавить компьютер в домен (через GUI и PowerShell)

Учебники

Активный каталог (AD) – это технология десятилетней давности, которую тысячи организаций используют каждый день. Чтобы воспользоваться преимуществами AD, необходимо присоединить компьютеры к домену AD. Возможно, вы не осознаете, что существует много различных способов сделать это, причем некоторые из них лучше, чем другие. Читайте далее, чтобы узнать как.

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

В этом руководстве вы узнаете, как добавить компьютер в домен с использованием графического интерфейса Windows и командной строки с помощью утилиты netdom и PowerShell.

Предварительные требования

Если вы хотите следовать всем шагам в этом руководстве, убедитесь, что у вас есть следующее:

  • Домен Active Directory. В данном руководстве используется домен с именем homelab.local.
  • A Windows 10 Pro, Enterprise, or Education computer in a workgroup that can access an AD domain controller. Not all versions of Windows 10 can be joined to a domain. This tutorial will use a computer called Win10Demo.
  • Учетная запись пользователя AD с разрешениями на добавление компьютера в домен. Более подробную информацию о том, как узнать, какие разрешения необходимы, можно найти здесь.
  • Доступ к Active Directory Users and Computers (ADUC) на контроллере домена (для подтверждения присоединения к домену).
  • Пакет Remote Server Administration Tools (RSAT) для использования командной строки

Добавление компьютера в домен через GUI

Один из самых распространенных способов добавления компьютера в AD-домен – это графический интерфейс пользователя (GUI). Этот подход удобен, когда необходимо добавить всего один или несколько компьютеров за раз. Однако этот метод не подходит для добавления нескольких компьютеров одновременно. Об этом поговорим позже.

Предполагая, что вы находитесь на компьютере с операционной системой Windows 10 в рабочей группе и имеете доступ к существующему контроллеру домена:

1. Выполните команду sysdm.cpl. Эта команда откроет панель управления Свойства системы.

System Properties Dialog box

2. На экране Свойства системы нажмите кнопку Изменить. Эта кнопка вызовет диалоговое окно Изменение имени компьютера/домена.

Change option in System Properties Dialog box

3. Вы увидите, что этот компьютер находится в рабочей группе с именем WORKGROUP. В диалоговом окне Изменение имени компьютера/домена выберите радиокнопку Домен, чтобы ввести имя домена, к которому нужно добавить этот компьютер.

Computer Name/Domain Name Change Dialog box

4. Введите имя домена, к которому нужно добавить компьютер, в поле Домен и нажмите ОК. Компьютер затем попытается связаться с контроллером домена и добавить себя в домен.

Computer Name/Domain Name Change Dialog box

Связано:Сбой доверительного отношения между этой рабочей станцией и основным доменом

Если ваш компьютер не может немедленно связаться с введенным именем домена, возникает следующая ошибка: Если компьютер не может связаться с контроллером домена, убедитесь, что DNS-сервер компьютера указывает на контроллер домена. Компьютер должен быть способен найти DNS SRV-запись, чтобы найти контроллер домена.

5. Если компьютер может связаться с контроллером домена, он попросит вас ввести имя пользователя и пароль, как показано ниже. Введите учетную запись пользователя с разрешениями на добавление этого компьютера в домен и нажмите ОК.

Domain Join Credentials Dialog box

6. Если все прошло успешно, вы получите сообщение о приветствии на домене, как показано ниже. В этот момент компьютер создает объект компьютера AD. Нажмите ОК.

Связано:Get-ADComputer: Поиск компьютеров в организационных единицах в PowerShell

Successfully added to Domain Notification

7. Нажмите ОК еще раз, чтобы подтвердить необходимость перезагрузки компьютера.

Restart your computer Notification

8. Затем вы будете перенаправлены обратно к диалоговому окну Свойства системы, но теперь вы увидите предупреждение (Изменения вступят в силу после перезагрузки этого компьютера.). Нажмите Закрыть.

System Properties dialog box post joining to domain

9. После нажатия Закрыть Windows запросит перезагрузку сейчас. Нажмите Перезагрузить сейчас, чтобы немедленно перезагрузить компьютер.

Local computer Restart prompt

Добавление локального компьютера в домен через приложение Настройки

Приведенные ниже объяснения шагов доступны только в версии Windows10 20H2. Эти шаги могут измениться в будущих версиях Windows10.

1. Щелкните правой кнопкой мыши по меню “Пуск” и выберите “Настройки”.

Settings option in start menu

2. В разделе “Настройки” нажмите на “Учетные записи”.

Accounts option in Settings app

3. На следующей странице нажмите на опцию “Доступ к рабочему месту или школе” и нажмите на правую кнопку “Подключить”.

Access work or school option in settings

4. Поскольку мы собираемся присоединить эту машину к локальному домену Active Directory, в диалоговом окне учетной записи Microsoft щелкните опцию “Присоединить этот компьютер к локальному домену Active Directory” и нажмите “Далее”.

Join this device to local Active Directory Domain option

5. На следующей странице введите имя вашего домена и нажмите “Далее”.

Domain Name dialog box

6. Если компьютер может связаться с контроллером домена, он запросит у вас имя пользователя и пароль, как показано ниже. Введите учетную запись пользователя с разрешениями на добавление этого компьютера в домен и нажмите ОК.

Credentials dialog box

7. На следующей странице выберите тип учетной записи, которая будет использоваться на этой машине.

  • Если выбран администратор, идентификатор пользователя, который вы использовали для добавления этой машины в домен, будет добавлен в локальную группу администраторов на машине.
  • Если выбран стандартный пользователь, идентификатор пользователя не будет добавлен в локальную группу администраторов. Вы также можете пропустить этот шаг и продолжить на следующую страницу. Для этой демонстрации давайте выберем стандартного пользователя и нажмем “Далее”.
Account type prompt

8. Нажмите “Перезагрузить сейчас”, чтобы немедленно перезагрузить компьютер.

Restart prompt

9. После перезагрузки вы можете войти в систему на машине с идентификатором пользователя домена.

Добавление локального компьютера в домен через Netdom

До сих пор вы видели, как добавить компьютер с Windows 10 в домен через графический интерфейс пользователя, но для этого не обязательно использовать GUI. Вместо этого вы можете использовать командную строку с помощью утилиты netdom. Netdom – это инструмент командной строки, поставляемый вместе с пакетом RSAT.

Предполагая, что вы находитесь на компьютере с Windows 10 в рабочей группе, который имеет доступ к существующему контроллеру домена:

1. Откройте cmd.exe от имени администратора.

2. Запустите netdom join, указав следующие параметры.

Netdom требует указания имени компьютера сразу после параметра join. Если вы используете эту команду на других компьютерах, замените значение на переменную %computername%, чтобы всегда представлять локальный компьютер. 

netdom.exe join %computername% /domain:DomainName /UserD:DomainName\UserName /PasswordD:Password
Netdom command output

3. Теперь перезагрузите компьютер, и он будет присоединен к домену.

Добавление локального компьютера к домену через PowerShell

Если у вас много компьютеров для добавления в домен, есть процесс автоматизации внедрения или вы предпочитаете командную строку, вы можете использовать PowerShell для добавления компьютера в домен.

Предполагая, что вы находитесь на компьютере с рабочей группой Windows 10, который может получить доступ к существующему контроллеру домена:

1. Откройте Windows PowerShell, убедившись, что запускаете его от имени администратора.

Связанный:Как запустить PowerShell от имени администратора

В консоли PowerShell выполните командлет Add-Computer. Этот командлет выполняет ту же операцию, что и добавление компьютера в домен через графический интерфейс. Укажите имя домена, в который следует добавить компьютер, с помощью параметра DomainName и опционально укажите параметр Restart, чтобы компьютер автоматически перезагрузился после завершения.

Вы также можете указать параметр Credential, чтобы заранее указать имя пользователя и пароль. См. эту статью для получения дополнительной информации. Если вы хотите добавить компьютер в другую организационную единицу при создании, укажите параметр OUPath. Для получения дополнительных параметров выполните Get-Help Add-Computer -Full. 

Add-Computer -DomainName DomainName -Restart
Add-Computer cmdlet credentials prompt

В PowerShell 7.x командлет Add-Computer недоступен. Чтобы импортировать этот модуль в PowerShell 7.x, вы можете использовать Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue, который будет использовать Windows PowerShell 5.1 в фоновом режиме для выполнения этой команды в вашей текущей сессии PS 7.x.

Добавление локального компьютера в домен через WMI Для того чтобы убедиться, что этот учебник охватывает все способы добавления компьютера в домен, давайте продолжим с менее известным методом использования Windows Management Instrumentation (WMI). WMI – это неотъемлемая часть Windows, которая содержит множество информации о ПК и может выполнять действия с ним.

Чтобы добавить локальный компьютер в домен с помощью WMI, вам нужно вызвать метод WMI. Этот метод выполняет ту же задачу, что и использование netdom или командлета PowerShell Add-Computer.

Вы можете вызывать методы WMI разными способами. В этом руководстве рассмотрим два способа: использование утилиты командной строки *wmic* и PowerShell.

Использование WMIC

Чтобы добавить компьютер в домен с помощью WMIC:

1. Откройте командную строку (cmd.exe) от имени администратора.

2. Выполните следующую команду. Эта команда:

  • Указывает локальный компьютер с помощью запроса where (where name="%computername%")
  • Вызывает метод WMI joindomainorworkgroup (call joindomainorworkgroup), который является частью класса WMI Win32_ComputerSystem (computersystem)
  • Указывает соответствующие побитовые операторы для присоединения к домену (fjoin options 3)
  • Добавляет компьютер в домен homelab.local (homelab.local), выполняя аутентификацию с учетной записью пользователя labadmin (username="homelab\labadmin Password="secret")
wmic computersystem where name="%computername%" call joindomainorworkgroup fjoinoptions=3 name="homelab.local" username="homelab\labadmin" Password="secret"
WMIC command output

3. После завершения перезагрузите компьютер.

Использование командлета PowerShell Get-WmiObject

Вы также можете вызвать метод WMI JoinDomainOrWorkgroup с помощью PowerShell. Для этого выполните следующие действия:

1. Откройте PowerShell от имени администратора.

2. Выполните следующую команду. Эта команда выполняет ту же задачу, что и wmic выше, используя те же аргументы. 

(Get-WMIObject -NameSpace "Root\Cimv2" -Class "Win32_ComputerSystem").JoinDomainOrWorkgroup("homelab.local","secret","homelab\labadmin",$null,3)
Get-WMIObject command output

3. По завершении перезагрузите компьютер.

Добавление компьютеров в домен удаленно

На протяжении этого учебника вы узнали, как добавить компьютер в домен, находясь перед ним. Но что делать, если вы не можете находиться перед этим компьютером, или вам нужно добавить много компьютеров? В таком случае PowerShell становится вашим лучшим другом.

Чтобы добавить компьютеры в домен удаленно, вы можете выбрать использовать метод WMI в PowerShell, как описано выше, но с использованием параметра ComputerName в командлете Get-WmiObject, или использовать PSRemoting.

Связанное:PowerShell Remoting: Полное руководство

Чтобы присоединить удаленные компьютеры к домену удаленно, вызовите командлет PowerShell Add-Computer. Но на этот раз используйте параметр ComputerName.

Чтобы запустить командлет Add-Computer удаленно, убедитесь, что PSRemoting включен на всех удаленных компьютерах.

1. На вашем локальном компьютере (не на компьютере, который нужно добавить в домен), откройте PowerShell с правами администратора.

2. Выполните следующую команду. Эта команда:

  • Добавляет удаленный компьютер с именем win10demo (-ComputerName win10demo) в домен homelab.local (-DomainName homelab.local).
  • Использует локального пользователя user01 на компьютере win10demo для аутентификации на удаленном компьютере (-LocalCredential win10demo\user01)
  • Использует учетную запись домена labadmin для аутентификации в домене и добавления учетной записи компьютера (-Credential homelab\labadmin).
  • Автоматически перезапустит компьютер после завершения операции (-Restart) 
Add-Computer -ComputerName win10demo -LocalCredential win10demo\user01 -DomainName homelab.local -Credential homelab\labadmin -Restart

В PowerShell 7.x отсутствует командлет Add-Computer. Чтобы импортировать этот модуль в PowerShell 7.x, вы можете использовать Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue, который будет использовать Windows Powershell 5.1 для выполнения этой команды в текущей сессии PS 7.x.

После вызова командлета Add-Computer вам будет предложено ввести пароли для учетных записей user01 и labadmin. После завершения операции PowerShell автоматически перезапустит удаленный компьютер.

По умолчанию командлет Add-Computer не будет перезапускать удаленный компьютер, если пользователь вошел в систему. Чтобы переопределить это, укажите параметр переключения Force, чтобы всегда перезапускать удаленный компьютер.

Подтверждение создания учетной записи компьютера в AD.

Когда компьютер добавляется в домен, создается объект компьютера. Чтобы убедиться, что компьютер создал объект компьютера как ожидалось, давайте откроем Active Directory Users and Computers (ADUC), чтобы подтвердить.

1. Подключитесь по RDP к контроллеру домена и откройте Active Directory Users and Computers (ADUC) или откройте ADUC на локальном компьютере, если у вас установлен пакет Remote Server Administration Tools (RSAT).

Связанные:Как установить и импортировать модуль Active Directory

2. В ADUC разверните узел с именем домена (homelab.local в данном случае) и щелкните по контейнеру Компьютеры. Вы должны увидеть добавленный объект компьютера в предыдущем разделе.

По умолчанию все компьютеры, добавленные в домен, будут добавлены в контейнер Компьютеры.

Active Directory Users and Computers snapin

3. Вернитесь на компьютер с Windows 10, теперь выполните вход с любой учетной записью AD, щелкнув Другой пользователь на экране входа в систему.

Login as Other user option post domain joined

Теперь вы можете увидеть имя вашего домена под Пароль, как показано ниже.

Domain name while logging in

Используйте бесплатный инструмент Specops Password Auditor для сканирования вашего Active Directory и выявления уязвимостей, связанных с паролями, включая более 930 миллионов известных скомпрометированных паролей. Скачайте сегодня!

Conclusion

На протяжении этой статьи вы увидели несколько способов добавления компьютеров в домен AD. Каждый метод имеет свои преимущества и недостатки, но теперь у вас должны быть все варианты перед глазами.

Теперь, когда вы знаете все способы добавления компьютера в домен, как вы добавите свой следующий компьютер в домен?

Source:
https://adamtheautomator.com/add-computer-to-domain/