如何將電腦新增到網域(使用 GUI 和 PowerShell)

教學

Active Directory(AD)是一种几十年前的技术,成千上万的组织每天都在使用。要利用AD,您必须将计算机加入AD域。您可能没有意识到有许多不同的方法可以做到这一点,有些方法比其他方法好。请继续阅读以了解如何操作。

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

在本教程中,您将学习如何使用Windows图形用户界面(GUI)和命令行以及netdom实用程序和PowerShell将计算机添加到域中。

先决条件

如果您想按照本教程中的所有步骤操作,请确保具备以下条件:

  • 一个Active Directory域。本教程将使用一个名为homelab.local的域。
  • A Windows 10 Pro, Enterprise, or Education computer in a workgroup that can access an AD domain controller. Not all versions of Windows 10 can be joined to a domain. This tutorial will use a computer called Win10Demo.
  • 一个具有权限将计算机添加到域的AD用户帐户。有关如何查找所需权限的更多信息,请查看此处
  • 访问域控制器上的Active Directory Users and Computers(ADUC)(以确认域加入)。
  • 要使用命令行,需要远程服务器管理工具(RSAT)软件包

通过GUI将计算机添加到域中

将计算机添加到AD域的最常见方法之一是使用GUI。当您只需要一次添加一个或几个计算机时,此方法很好。这种方法不适用于一次添加多个计算机,稍后会介绍如何做到这一点。

假設您正在使用可以訪問現有域控制器的 Windows 10 工作組電腦:

1.執行命令sysdm.cpl。 這個命令將打開系統內容控制面板小程式。

System Properties Dialog box

2.在系統內容畫面上,點擊更改按鈕。 這個按鈕將彈出計算機名稱/域更改對話框。

Change option in System Properties Dialog box

3.您可以看到這台電腦屬於一個名為WORKGROUP的工作組。 在計算機名稱/域更改對話框中,點擊選項按鈕以輸入要將此電腦添加到的域。

Computer Name/Domain Name Change Dialog box

4.在框中輸入要將電腦添加到的域名,然後點擊確定。 然後,電腦將嘗試聯繫域控制器並將自己添加到該域。

Computer Name/Domain Name Change Dialog box

相關資訊:此工作站與主域之間的信任關係失敗

如果您的電腦無法立即聯繫您輸入的域名,它會顯示以下錯誤:如果電腦無法聯繫域控制器,請確保電腦的 DNS 服務器指向域控制器。 電腦必須能夠找到 DNS SRV 記錄以找到域控制器。

5. 如果電腦能夠聯繫到域控制器,它將提示您輸入用戶名和密碼,如下所示。輸入一個具有將此電腦添加到域的權限的用戶帳戶,然後點擊確定

Domain Join Credentials Dialog box

6. 如果一切順利,您將收到歡迎您加入域的消息,如下所示。此時,計算機將創建一個AD計算機對象。點擊確定

相關:Get-ADComputer:在PowerShell中查找OU中的計算機

Successfully added to Domain Notification

7. 再次點擊確定以確認需要重新啟動計算機。

Restart your computer Notification

8. 然後,您將被重定向回系統屬性對話框,但現在您將看到一條警告(更改將在重新啟動此計算機後生效。)點擊關閉

System Properties dialog box post joining to domain

9. 一旦點擊關閉,Windows將提示您立即重新啟動。點擊立即重新啟動以立即重新啟動計算機。

Local computer Restart prompt

通過設置應用程序將本地計算機添加到域

以下解釋的步驟僅適用於Windows10 20H2版本。這些步驟可能在未來的Windows10版本中更改。

1. 右擊開始菜單並點擊設置。

Settings option in start menu

2. 在設置下,點擊帳戶

Accounts option in Settings app

3. 在下一頁中,點擊“訪問工作或學校”選項,然後單擊右側的連接選項。

Access work or school option in settings

4. 當我們要將這台機器加入本地 Active Directory 域時,在 Microsoft 帳戶對話框中,點擊“加入此設備到本地 Active Directory 域”選項,然後點擊下一步。

Join this device to local Active Directory Domain option

5. 在下一頁中,輸入您的域名,然後點擊下一步。

Domain Name dialog box

6. 如果計算機能夠聯繫到域控制器,它將提示您輸入用戶名和密碼,如下所示。輸入具有添加此計算機到域的權限的用戶帳戶,然後點擊 確定

Credentials dialog box

7. 在下一頁中,選擇將使用此機器的帳戶類型。

  • 如果選擇管理員,則將用於將此機器添加到域的用戶 ID 將被添加到該機器上的本地管理員組。
  • 如果選擇標準用戶,則不會將用戶 ID 添加到本地管理員組。您也可以跳過它並繼續下一頁。對於此演示,讓我們選擇標準用戶,然後點擊下一步。
Account type prompt

8. 點擊立即重新啟動以立即重新啟動計算機。

Restart prompt

9. 重新啟動後,您可以使用域用戶 ID 登錄到計算機。

通過 Netdom 將本地計算機添加到域

到目前為止,您已經看到如何通過 GUI 將 Windows 10 計算機添加到域,但您不必使用 GUI。相反,您可以使用命令行使用 netdom 工具。Netdom 是一個帶有 RSAT 包的命令行工具。

假設您正在一台可以訪問現有域控制器的 Windows 10 工作組計算機上:

1. 以管理員身份打開 cmd.exe

運行netdom join並提供以下參數。

Netdom需要在join參數之後立即提供計算機名稱。如果您在其他計算機上使用此命令,請將值替換為變數%computername%,以始終代表本地計算機。 

netdom.exe join %computername% /domain:DomainName /UserD:DomainName\UserName /PasswordD:Password
Netdom command output

現在重新啟動計算機,計算機將加入域。

通過PowerShell將本地計算機添加到域

如果您有許多計算機要添加到域中,有一個上線自動化流程,或者偏好使用命令行,您可以使用PowerShell將計算機添加到域中。

假設您在可以訪問現有域控制器的Windows 10工作組計算機上:

1. 打開Windows PowerShell,確保以管理員身份運行。

相關:如何以管理員身份運行PowerShell

在PowerShell控制台中,運行Add-Computer cmdlet。此cmdlet執行與通過GUI將計算機添加到域相同的操作。使用DomainName參數指定要將計算機添加到的域名,並可選地使用Restart參數在完成後自動重新啟動計算機。

您還可以指定Credential參數,以更早指定用戶名和密碼。有關更多信息,請參閱此文章。如果您想在創建時將計算機添加到不同的 OU 中,請指定OUPath參數。有關更多選項,請運行Get-Help Add-Computer -Full 

Add-Computer -DomainName DomainName -Restart
Add-Computer cmdlet credentials prompt

在 PowerShell 7.x 中,Add-Computer 命令將不可用。要將此模塊導入到 PowerShell 7.x 中,您可以使用Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue,這將在後台使用 Windows Powershell 5.1 來運行此命令在您當前的 PS 7.x 會話中。

通過 WMI 將本地計算機添加到域

為了確保本教程涵蓋所有將計算機添加到域的方式,讓我們繼續使用較少人知道的方法,即使用Windows 管理儀器(WMI)。WMI 是 Windows 的一個普遍組件,包含有關 PC 的大量信息並可以對其執行操作。

要使用 WMI 將本地計算機添加到域,您需要調用一個 WMI 方法。此方法執行與使用netdomAdd-Computer PowerShell 命令相同的任務。

您可以以許多不同的方式調用WMI方法。對於本教程,讓我們專注於使用wmic命令行實用程序和PowerShell兩種方式。

使用WMIC

使用WMIC將計算機添加到域:

1.以系統管理員身份打開命令提示符(cmd.exe)。

2.運行下面的命令。此命令:

  • 使用where查詢指定本地計算機(where name="%computername%"
  • 調用WMI方法joindomainorworkgroupcall joindomainorworkgroup),該方法是Win32_ComputerSystem WMI類的一部分(computersystem
  • 使用適當的位元運算符加入域(fjoin options 3
  • 將計算機添加到homelab.local域(homelab.local),使用labadmin用戶帳戶進行身份驗證(username="homelab\labadmin Password="secret"
wmic computersystem where name="%computername%" call joindomainorworkgroup fjoinoptions=3 name="homelab.local" username="homelab\labadmin" Password="secret"
WMIC command output

3.完成後,重新啟動計算機。

使用PowerShell的Get-WmiObject Cmdlet

JoinDomainOrWorkgroup WMI 方法 可以通过 PowerShell 进行调用。操作步骤如下:

1. 以管理员身份打开 PowerShell。

2. 运行以下命令。该命令使用相同的参数执行与上述 wmic 相同的任务。

(Get-WMIObject -NameSpace "Root\Cimv2" -Class "Win32_ComputerSystem").JoinDomainOrWorkgroup("homelab.local","secret","homelab\labadmin",$null,3)
Get-WMIObject command output

3. 完成后,重新启动计算机。

远程将计算机添加到域

在本教程中,您已经学会了如何在坐在实际计算机前的情况下将计算机添加到域。但是当您无法坐在计算机前,或者需要添加多台计算机时会怎么样?在这种情况下,PowerShell 是您的好朋友。

要远程将计算机添加到域,您可以选择使用 PowerShell 中的 WMI 方法,如上所述,但在 Get-WmiObject cmdlet 上使用 ComputerName 参数,或者使用 PSRemoting。

相关:PowerShell 远程操作:终极指南

要远程将计算机加入域,调用 Add-Computer PowerShell cmdlet。但这次,请使用 ComputerName 参数。

要远程运行 Add-Computer cmdlet,请确保所有远程计算机上启用了 PSRemoting

1. 在本地工作站(不是要加入域的计算机)上以管理员身份打开 PowerShell。

2. 运行以下命令。此命令:

  • 将远程计算机命名为win10demo-ComputerName win10demo),加入homelab.local域(-DomainName homelab.local
  • 使用win10demo上的user01本地用户进行远程计算机身份验证(-LocalCredential win10demo\user01
  • 使用labadmin域帐户进行域身份验证以添加计算机帐户(-Credential homelab\labadmin
  • 在完成后将自动重新启动计算机(-Restart)
Add-Computer -ComputerName win10demo -LocalCredential win10demo\user01 -DomainName homelab.local -Credential homelab\labadmin -Restart

在 PowerShell 7.x 中,Add-Computer 命令不可用。要将此模块导入到 PowerShell 7.x 中,您可以使用 Import-Module Microsoft.PowerShell.Management -UseWindowsPowerShell -WarningAction SilentlyContinue,这将在后台使用 Windows PowerShell 5.1 在当前 PS 7.x 会话中运行此命令。

一旦调用,Add-Computer 命令将提示您输入user01labadmin帐户的密码。完成后,PowerShell 将自动重新启动远程计算机。

默认情况下,Add-Computer 命令不会在用户登录时重新启动远程计算机。要覆盖此设置,指定Force开关参数以始终重新启动远程计算机。

确认创建 AD 计算机帐户

當將電腦新增到域時,它會建立一個電腦對象。為確保電腦如預期般建立了電腦對象,讓我們打開活動目錄使用者和電腦 (ADUC) 進行確認。

1. 遠程桌面連線到您的域控制器,並打開活動目錄使用者和電腦 (ADUC),或者如果已安裝了遠程伺服器管理工具 (RSAT) 套件,則在本地電腦上打開 ADUC。

相關:如何安裝和匯入活動目錄模組

2. 在 ADUC 中,展開域名節點 (homelab.local 在這種情況下),並點擊 電腦 容器。您應該看到在上一節中添加的電腦對象。

默認情況下,將添加到域中的所有電腦都會添加到 “電腦” 容器下。

Active Directory Users and Computers snapin

3. 回到 Windows 10 電腦上,現在使用任何 AD 使用者帳戶登錄,方法是在登錄畫面點擊 其他使用者

Login as Other user option post domain joined

您現在可以在 密碼 方塊下看到您的域名,如下所示。

Domain name while logging in

使用免費的 Specops 密碼審核工具掃描您的活動目錄,並識別與密碼相關的弱點,包括超過 9.3 億個已知的受損密碼。立即下載!

結論

在本文中,您已經看到了將多台計算機添加到AD域的多種方法。每種方法都有優點和缺點,但現在您應該已經將所有選擇都擺在面前。

既然您已經知道將計算機添加到域的所有方法,下一步您將如何將您的下一台計算機添加到域中呢?

Source:
https://adamtheautomator.com/add-computer-to-domain/