如何将计算机添加到域 (GUI 和 PowerShell)

教程

活动目录(AD)是一个几十年历史的技术,成千上万的组织每天都在使用。要利用AD,您必须将计算机加入到一个AD域中。您可能没有意识到有许多不同的方法可以做到这一点,其中一些比其他方法更好。继续阅读以了解更多。

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

在本教程中,您将学习如何使用Windows GUI和命令行以及netdom实用程序和PowerShell将计算机添加到域中。

先决条件

如果您想跟着本教程的所有步骤进行操作,请确保您拥有以下内容:

  • 一个活动目录域。本教程将使用一个名为homelab.local的域。
  • A Windows 10 Pro, Enterprise, or Education computer in a workgroup that can access an AD domain controller. Not all versions of Windows 10 can be joined to a domain. This tutorial will use a computer called Win10Demo.
  • 一个具有权限将计算机添加到域中的AD用户帐户。查找有关如何发现所需权限的更多信息此处
  • 在域控制器上访问活动目录用户和计算机(ADUC)(以确认域加入)。
  • 使用命令行的远程服务器管理工具(RSAT)包

通过GUI将计算机添加到域中

将计算机添加到AD域中的最常见方法之一是使用GUI。当您只需要一次添加单个或少量计算机时,这种方法很好。此方法不适用于一次添加多台计算机。那将会在稍后进行。

假设您正在使用可以访问现有域控制器的 Windows 10 工作组计算机:

1. 运行命令 sysdm.cpl。该命令将打开 系统属性 控制面板小程序。

System Properties Dialog box

2. 在 系统属性 屏幕上,点击 更改 按钮。该按钮将弹出 计算机名称/域更改 对话框。

Change option in System Properties Dialog box

3. 您可以看到此计算机属于名为 WORKGROUP 的工作组。在 计算机名称/域更改 对话框中,点击 单选按钮以输入要将此计算机添加到的域。

Computer Name/Domain Name Change Dialog box

4. 在 框中输入要将计算机添加到的域的名称,然后点击 确定。计算机将尝试联系域控制器并加入域。

Computer Name/Domain Name Change Dialog box

相关内容:此工作站与主域之间的信任关系失败

如果您的计算机无法立即联系到您输入的域名,则会出现以下错误:如果计算机无法联系到域控制器,请确保计算机的 DNS 服务器指向域控制器。计算机必须能够找到 DNS SRV 记录以找到域控制器。

5. 如果计算机能够联系到域控制器,它会提示您输入用户名和密码,如下所示。 输入具有将此计算机添加到域的权限的用户帐户,然后单击确定

Domain Join Credentials Dialog box

6. 如果一切顺利,您将收到以下所示的欢迎加入域的消息。此时,计算机会创建一个AD计算机对象。单击确定

相关:Get-ADComputer: 在PowerShell中查找OU中的计算机

Successfully added to Domain Notification

7. 再次单击确定以确认需要重新启动计算机。

Restart your computer Notification

8. 然后,您将被重定向回系统属性对话框,但现在您会看到一个警告(更改将在重新启动此计算机后生效。)单击关闭

System Properties dialog box post joining to domain

9. 一旦您单击关闭,Windows 将提示您立即重新启动。单击立即重新启动以立即重新启动计算机。

Local computer Restart prompt

通过“设置”应用程序将本地计算机添加到域

以下所述的步骤仅适用于 Windows10 20H2 版本。这些步骤可能会在将来的Windows10版本中更改。

1.右键单击“开始”菜单,然后单击“设置”。

Settings option in start menu

2.在设置下,单击“帐户”。

Accounts option in Settings app

3.在下一页中,单击“访问工作或学校”选项,然后单击右侧的“连接”选项。

Access work or school option in settings

4. 当我们要将这台机器加入本地活动目录域时,在Microsoft帐户对话框中,点击“加入此设备到本地活动目录域”选项,然后点击“下一步”。

Join this device to local Active Directory Domain option

5. 在下一个页面中,输入您的域名,然后点击“下一步”。

Domain Name dialog box

6. 如果计算机能够联系到域控制器,它将提示您输入用户名和密码,如下所示。 输入一个具有将此计算机添加到域的权限的用户帐户,然后点击“确定”

Credentials dialog box

7. 在下一个页面中,选择将使用此计算机的帐户类型。

  • 如果选择管理员,则将您用于将此机器添加到域的用户ID添加到该计算机上的本地管理员组。
  • 如果选择标准用户,则不会将用户ID添加到本地管理员组。您也可以跳过此步骤并继续到下一个页面。对于此演示,让我们选择标准用户,然后点击“下一步”。
Account type prompt

8. 点击“立即重新启动”以立即重新启动计算机。

Restart prompt

9. 重新启动后,您可以使用域用户ID登录计算机。

通过Netdom将本地计算机添加到域

到目前为止,您已经了解了如何通过GUI将Windows 10计算机添加到域,但您不必使用GUI。相反,您可以使用命令行来使用netdom实用程序。 Netdom是一个随RSAT软件包一起提供的命令行工具。

假设您正在一个可以访问现有域控制器的Windows 10工作组计算机上:

1. 以管理员身份打开cmd.exe

2. 运行netdom join,提供以下参数。

Netdom在join参数后面需要计算机名。如果在其他计算机上使用此命令,请用变量%computername%替换该值,以始终表示本地计算机。

netdom.exe join %computername% /domain:DomainName /UserD:DomainName\UserName /PasswordD:Password
Netdom command output

3. 现在重新启动计算机,计算机将加入域。

通过PowerShell将本地计算机添加到域

如果您有许多计算机要添加到域,有一个入职自动化流程,或者更喜欢使用命令行,您可以使用PowerShell将计算机添加到域。

假设您在可以访问现有域控制器的Windows 10工作组计算机上:

1. 打开Windows PowerShell,确保以管理员身份运行。

相关:如何以管理员身份运行PowerShell

在PowerShell控制台中,运行Add-Computer cmdlet。此cmdlet执行与通过GUI将计算机添加到域相同的操作。使用DomainName参数指定要将计算机添加到的域的名称,并可选择使用Restart参数在完成后自动重新启动计算机。

你还可以指定Credential参数来更快地指定用户名和密码。有关更多信息,请参阅此文章。如果您想在创建时将计算机添加到不同的OU,请指定OUPath参数。要获取更多选项,请运行Get-Help Add-Computer -Full

Add-Computer -DomainName DomainName -Restart
Add-Computer cmdlet credentials prompt

在PowerShell 7.x中,Add-Computer cmdlet不可用。要将此模块导入到PowerShell 7.x中,您可以使用Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue,它将在后台使用Windows Powershell 5.1来运行此命令在您当前的PS 7.x会话中。

通过WMI将本地计算机添加到域所有方法你可以添加计算机到域,让我们继续使用一个不太常见的方法,即使用Windows管理仪器(WMI)。WMI是Windows的一个无处不在的部分,其中包含有关PC的大量信息,并且可以在其上执行操作。

要使用WMI将本地计算机添加到域中,您需要调用WMI方法。该方法执行与使用netdom Add-Computer PowerShell cmdlet相同的任务。

你可以以许多不同的方式调用 WMI 方法。对于本教程,让我们专注于两种方式,即使用 *wmic* 命令行实用程序和 PowerShell。

使用 WMIC

使用 WMIC 将计算机添加到域中:

1. 以管理员身份打开命令提示符(cmd.exe)。

2. 运行以下命令。此命令:

  • 使用 where 查询指定本地计算机(where name="%computername%"
  • 调用 Win32_ComputerSystem WMI 类的 WMI 方法 joindomainorworkgroupcall joindomainorworkgroup
  • 使用 适当的位运算符 加入域(fjoin options 3
  • 将计算机添加到 homelab.local 域(homelab.local),使用 labadmin 用户帐户进行身份验证(username="homelab\labadmin Password="secret"
wmic computersystem where name="%computername%" call joindomainorworkgroup fjoinoptions=3 name="homelab.local" username="homelab\labadmin" Password="secret"
WMIC command output

3. 完成后,重新启动计算机。

使用 PowerShell 的 Get-WmiObject Cmdlet

你还可以使用 PowerShell 调用 JoinDomainOrWorkgroup WMI 方法。操作步骤如下:

1. 以管理员身份打开 PowerShell。

2. 运行以下命令。此命令使用相同的参数执行与上述 wmic 相同任务。

(Get-WMIObject -NameSpace "Root\Cimv2" -Class "Win32_ComputerSystem").JoinDomainOrWorkgroup("homelab.local","secret","homelab\labadmin",$null,3)
Get-WMIObject command output

3. 完成后,重新启动计算机。

远程将计算机添加到域

在本教程中,您已经学会如何在坐在实际计算机前的情况下将计算机添加到域。但是,当您不能坐在计算机前,或者您需要添加许多计算机时会怎么样?在这种情况下,PowerShell 是您的好朋友。

要远程将计算机添加到域,您可以选择在 PowerShell 中使用上述的 WMI 方法,但要在 Get-WmiObject cmdlet 上使用 ComputerName 参数,或者使用 PSRemoting。

相关:PowerShell 远程控制:终极指南

要远程加入计算机到域,请调用 Add-Computer PowerShell cmdlet。但是这次,请使用 ComputerName 参数。

要远程运行 Add-Computer cmdlet,必须确保所有远程计算机上启用了 PSRemoting

1. 在本地工作站上(非要添加到域的计算机),以管理员身份打开 PowerShell。

2. 运行以下命令。该命令:

  • 将名为win10demo的远程计算机(-ComputerName win10demo)添加到homelab.local域(-DomainName homelab.local)。
  • 使用win10demo上的user01本地用户进行远程计算机身份验证(-LocalCredential win10demo\user01
  • 使用labadmin域账户进行域身份验证以添加计算机账户(-Credential homelab\labadmin
  • 在完成后将自动重新启动计算机(-Restart
Add-Computer -ComputerName win10demo -LocalCredential win10demo\user01 -DomainName homelab.local -Credential homelab\labadmin -Restart

在 PowerShell 7.x 中,Add-Computer 命令不可用。要将此模块导入到 PowerShell 7.x 中,您可以使用Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue,它将在后台使用 Windows Powershell 5.1 运行此命令在当前的 PS 7.x 会话中运行此命令。

一旦调用,Add-Computer 命令将提示您输入user01labadmin账户的密码。完成后,PowerShell 将自动重新启动远程计算机。

默认情况下,如果有用户登录,Add-Computer 命令不会重新启动远程计算机。要覆盖此行为,请指定Force 开关参数以始终重新启动远程计算机。

确认创建 AD 计算机账户

当将计算机添加到域时,它会创建一个计算机对象。为了确保计算机已按预期创建了计算机对象,让我们打开Active Directory用户和计算机(ADUC)进行确认。

1. 远程桌面连接到您的域控制器并打开Active Directory用户和计算机(ADUC),或者如果已安装了远程服务器管理工具(RSAT)包,则在本地计算机上打开ADUC。

相关:如何安装和导入Active Directory模块

2. 在ADUC中,展开域名节点(在本例中为homelab.local),然后单击计算机容器。您应该看到在前一部分中添加的计算机对象。

默认情况下,添加到域的所有计算机都将添加到“计算机”容器下。

Active Directory Users and Computers snapin

3. 回到Windows 10计算机,现在使用任何AD用户帐户登录,方法是在登录屏幕上单击其他用户

Login as Other user option post domain joined

现在,您可以在密码框下看到您的域名,如下所示。

Domain name while logging in

使用免费的Specops Password Auditor工具扫描您的Active Directory,识别与密码相关的漏洞,包括超过9.3亿个已知的Compromised密码。立即下载!

结论

在本文中,您已经看到了将计算机添加到 AD 域的多种方法。每种方法都有其优点和缺点,但现在您应该已经掌握了所有的选择。

既然您已经了解了将计算机添加到域的所有方法,那么您将如何将下一台计算机添加到域呢?

Source:
https://adamtheautomator.com/add-computer-to-domain/