Ввод в домен Windows 10

Ввод в домен Windows 10, за минуту

windows-10-logo.png

Доброго времени суток! Уважаемые подписчики и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали в десятке, новую версию утилиты Robocopy, которая помогает переносить данные в раз быстрее, чем через обычный проводник. В сегодняшней статье, я вам хочу показать, как ввести в домен Active Directory Windows 10. Так как многие с новым интерфейсом и его видоизменением от версии к версии, не могут это сделать. Ну что поехали.

Постановка задачи

У меня есть домен Active Directory, если вы не в курсе что это такое, то переходите по ссылке слева, там очень подробно описано, но если в двух словах, то это база данных всех устройств и пользователей в организации, которой централизованно управляет системный администратор.Устанавливая тестовую виртуальную машину с Windows 10 1803 (Если вы не знаете, где взять дистрибутив, то вот вам легальный метод, как скачать ISO образ Windows 10), я захотел ее ввести в домен, но не классическим методом, а новым, модным, через интерфейс аля метро 2.0. Какого же было мое удивление, что я минут 10 не мог его найти, я даже ради эксперимента спросил своих коллег со второй линии из технической поддержки, знают ли они, но они мне кроме классического метода не смогли ничего показать. Гугление так же оставляло больше вопросов, чем ответов, так как той кнопки, про которую все говорили уже не было в моем случае, но я все же ее нашел и решил написать небольшую заметку, мало ли кому-то пригодится.

Читайте так же, как вывести правильно компьютер из домена Active Directory

Методы присоединения в домен Windows 10

Для того, чтобы присоединить Windows 10 к домену Active Directory, лично я знаю 4 метода, о которых мы подробно с вами поговорим:

  1. Ввод Windows 10 в домен, через новый интерфейс параметров Windows
  2. Классический, я его называю, так как он самый старый и всем хорошо известный, через свойства системы, в окне с переименовыванием компьютера
  3. Подключить вашу десятку к Active Directory можно с помощью командлетов PowerShell
  4. Оффлайн ввод в домен, через утилиту djoin, редкий случай, но знать его нужно

Практика подключения Windows 10 к домену

Ввод через новый интерфейс

Данный метод можно разделить на два, объясню почему. Текущая политика компании Microsoft, заключается в том, что она хочет привести внешний вид операционной системы Windows 10 к общему виду на всех устройствах, чтобы все действия, где бы их пользователь не совершал, выполнялись одинаково. С одной стороны это хорошо и наверное правильно, но с другой стороны, это влечет к постоянному и глобальному изменению интерфейса с каждым новым релизом и выпиливание классических оснасток, в виде панели управления.

В виду этого десятка у которой версия до 1511 имеет одно расположение кнопки, а вот уже релизы начиная с 1607 и заканчивая текущим 1809, уже этой кнопки не имеют, так как концепция изменилась и была переработана (Если вы не знаете, как узнать версию Windows 10, то перейдите по ссылке слева)

Подключаем к домену Windows 10 до 1511

Для десятки с релизом Threshold 1 и 2 (1507 и 1511) процедура добавления компьютера в Active Directory имеет такой алгоритм. Вы нажимаете сочетание клавиш Win и I одновременно (Это одна из многих горячих комбинаций в Windows), в результате у вас откроется меню “Параметры”. В параметрах вы находите пункт

vvod-v-domen-windows-10-1511-01.jpg

Далее вы находите раздел “О системе”, тут вы увидите сводную информацию, видно, что в моем примере у меня Windows 10 1511, и обратите внимание, что есть две удобные кнопки:

  • Присоединение к домену предприятия
  • Присоединиться к Azure AD

для подключения к домену вам необходимо указать его полное имя, в моем случае это root.pyatilistnik.org и нажимаем далее.

Следующим шагом у вас будет форма авторизации, где вам предстоит представится от чьего имени вы будите производить подключение к домену Active Directory вашей Windows 10, обычно, это учетная запись администратора домена или пользователя, кому делегированы права.

напоминаю, что обычный рядовой пользователь может вводить до 10 компьютеров в домен

Следующим шагов, вас спросят чтобы вы указали сведения, о учетной записи, которая будет использовать данный компьютер, я этот этап пропускаю.

и последним этапом нужно выполнить перезагрузку рабочей станции, после этого ввод в домен Windows 10, можно считать успешным.

Подключаем к домену Windows 10 выше 1607

С версией 1511 мы разобрались, на мой взгляд там были удобно расположены кнопки, не знаю что не понравилось разработчикам. Теперь я вам приведу пример присоединения в Active Directory Windows 10 1607 и выше, в моем примере, это будет версия 1803. Вы также открываете “Параметры Windows”. Если вы зайдете в систему и “О системе”, то не обнаружите там нужных кнопок для подключения к AD предприятия, туше. Как я и писал выше функционал перенесли.

В параметрах Windows найдите и перейдите в пункт “Учетные записи”

Находите пункт “Доступ к учетной записи места работы иди учебного заведения” и нажимаем кнопку “Подключиться”

Получите доступ к таким ресурсам, как электронная почта, приложения и сеть. Подключение подразумевает, что ваша компания или учебное заведение смогут управлять некоторыми функциями на этом устройстве, например, параметры, которые вы можете изменить. Для получения конкретных сведений об этом обратитесь в свою компанию или учебное заведение.

Про образовательные учреждения можно почитать на MS https://docs.microsoft.com/ru-ru/education/windows/change-to-pro-education

Про присоединение к Azure AD можно почитать вот это https://docs.microsoft.com/ru-ru/previous-versions//mt629472(v=vs.85)

У вас откроется окно “Настройка рабочей или учебной записи”. В самом низу нас будет интересовать два пункта:

  • Присоединить это устройство к Azure Active Directory
  • Присоединить это устройство к локальному домену Active Directory, наш вариант

У вас откроется окно с вводом FQDN имени вашего домена Active Directory.

Далее вас попросят указать учетные данные для присоединения рабочей станции к AD.

Пропускаем шаг с добавлением учетной записи.

Когда все готово, то делаем обязательную перезагрузку, и ваша Windows 10, теперь является членом Active Directory.

После перезагрузки мы видим префикс домена.

Классический метод ввода в домен Windows 10

Модным способом мы с вами загнали десятку в домен, теперь я напомню, а для кого-то покажу, что из себя представляет классический метод.

Откройте окно выполнить и введите команду:

sysdm.cpl

У вас откроется окно “Свойства системы”, в него можно так же попасть если щелкнуть по значку “Этот компьютер” и перейти в его свойства, далее выбрать “Изменить параметры”

На вкладке имя компьютера, нажмите кнопку “Изменить”. В открывшемся окне “Изменение имени компьютера или домена”, поставьте переключатель на поле “Является членом домена” и введите его имя, у меня это root.pyatilistnik.org. Нажмите ок.

Если вашей рабочей станции удалось обратиться с запросом к контроллеру домена, то у вас появится форма авторизации, где для ввода Windows 10 в домен, вам нужно указать логин и пароль учетной записи у которой есть на это права.

Если проблем не возникло, то вы увидите окно “Добро пожаловать в домен root.pyatilistnik.org”.

Далее вас уведомят, что необходимо произвести перезагрузку, “Чтобы изменения вступили в силу, нужно перезагрузить компьютер”

На выходе получаем присоединенную рабочую станцию с Windows 10 Pro к Active Directory.

Как подключить Windows 10 к домену с помощью PowerShell

Данный метод ввода в домен Active Directory, будет быстр и полезен, особенно для начинающих системных администраторов. Открываете оболочку PowerShell от имени администратора и пишите вот такую команду:

Add-Computer -DomainName root.pyatilistnik.org (где root.pyatilistnik.org, это имя вашего домена, у вас оно будет свое)

У вас появится окно авторизации, где вы должны указать учетные данные пользователя, у которого есть права на ввод в рабочей станции Windows 10 в домен.

Если учетные данные правильные, то у вас появится уведомление, что изменения вступят в силу после перезагрузки компьютера, это будет означать, что компьютер стал частью домена.

Если открыть оснастку ADUC на контроллере домена, то в контейнере Computers, вы обнаружите вашу рабочую станцию.

Как подключить Windows 10 к домену с помощью djoin

Утилита djoin, данный метод еще называют Offline ввод в домен, о нем подробнее по ссылке слева. Его смысл в том, что у вас есть некий компьютер, который по каким-либо причинам не может обратиться к контроллеру домена, для него готовится специальный BLOB-файл, в котором есть нужная информация для вступления в домен. Выполняется команда djoin с применением BLOB-файла и ваш Offline компьютер, стал частью Active Directory. На этом все с вами был Иван Семин, автор и создатель IT Блога Pyatilistnik.org.

Дек 1, 2018 09:00 Задайте вопрос Быстрый доступ

Администрирование клиентских ОС Windows > Windows 10
  • Вопрос

  • Всем добрый день.

    Меня бомбит… Вот нарисовали весь этот новый интерфейс панели управления, а где функционал?!

    Поставил свежую Windows 10 корпоративная, 10 минут лазил по менюшкам в поисках ввода компуктера в домен не используя старые оснастки панели управления – не нашел!

    Это действительно так?

    12 апреля 2018 г. 12:59

Ответы

  • Добрый день!

    Ничего, привыкните.

    Классическая панель управления:

    Наверняка в интернете есть куча статей как ввести компьютер в домен, но скорее всего вы даже не пытались поискать.

    • Помечено в качестве ответа17 апреля 2018 г. 17:15

    12 апреля 2018 г. 13:10

  • Добрый день, здесь смотрели:

    Start > Settings > System > About

    Start > Settings > accounts > access work or school

    Ничего похожего на ввод в домен не нашел

    По первому пути максимум, что можно сделать – переименовать компуктер или ввести ключ активации, по второму – войти с учетной записью майкрософт

    У вас точно Pro версия?

    • Помечено в качестве ответа13 апреля 2018 г. 5:51

    12 апреля 2018 г. 13:19

Все ответы

  • Добрый день!

    Ничего, привыкните.

    Классическая панель управления:

    Наверняка в интернете есть куча статей как ввести компьютер в домен, но скорее всего вы даже не пытались поискать.

    • Помечено в качестве ответа17 апреля 2018 г. 17:15

    12 апреля 2018 г. 13:10

  • Добрый день, здесь смотрели:

    Start > Settings > System > About

    Start > Settings > accounts > access work or school

    12 апреля 2018 г. 13:11

  • Добрый день!

    Ничего, привыкните.

    Классическая панель управления:

    Наверняка в интернете есть куча статей как ввести компьютер в домен, но скорее всего вы даже не пытались поискать.

    Это все понятно, меня интересует именно через новую панель управления.12 апреля 2018 г. 13:13

  • всё гораздо проще:

    12 апреля 2018 г. 13:13

  • Добрый день, здесь смотрели:

    Start > Settings > System > About

    Start > Settings > accounts > access work or school

    Ничего похожего на ввод в домен не нашел

    По первому пути максимум, что можно сделать – переименовать компуктер или ввести ключ активации, по второму – войти с учетной записью майкрософт

    12 апреля 2018 г. 13:14

  • Добрый день, здесь смотрели:

    Start > Settings > System > About

    Start > Settings > accounts > access work or school

    Ничего похожего на ввод в домен не нашел

    По первому пути максимум, что можно сделать – переименовать компуктер или ввести ключ активации, по второму – войти с учетной записью майкрософт

    У вас точно Pro версия?

    • Помечено в качестве ответа13 апреля 2018 г. 5:51

    12 апреля 2018 г. 13:19

  • Добрый день, здесь смотрели:

    Start > Settings > System > About

    Start > Settings > accounts > access work or school

    Ничего похожего на ввод в домен не нашел

    По первому пути максимум, что можно сделать – переименовать компуктер или ввести ключ активации, по второму – войти с учетной записью майкрософт

    У вас точно Pro версия?

    Корпоративная.

    Вот строчки мог не заметить…. спасибо за наводку!

    13 апреля 2018 г. 5:50

  • Это худшая операционка, после Win8. Традиционно- напихали крякалок и цветных петухов в убыток функционалу. Следующая операционка будет выглядеть как тумблер вклвыкл, игрушка для дибилов. Мигрирую все клиентские машины на Лин. В последующем и серверную архитектуру. Дешевле и на людей рассчитано.25 февраля 2021 г. 8:34
    • Изменено25 февраля 2021 г. 8:53

    25 февраля 2021 г. 8:52

  • Это худшая операционка, после Win8. Традиционно- напихали крякалок и цветных петухов в убыток функционалу. Следующая операционка будет выглядеть как тумблер вклвыкл, игрушка для дибилов. Мигрирую все клиентские машины на Лин. В последующем и серверную архитектуру. Дешевле и на людей рассчитано.

    Уважаемый std847.

    Какой смысл в некропостах.

    Тема не актуальна и отвечено.

    На форумах недопустим некропостинг и флуд.

    Тема закрыта

    Я не волшебник, только учусь. MCTS, CCNA. Если вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку “отметить как ответ” или проголосовать за “полезное сообщение”. Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub, Facebook, TechNet Forum Team.

    25 февраля 2021 г. 9:09

Из данной статьи вы узнаете, как ввести компьютер в домен Server 2012 что бы пользователь мог входить под учетной записью которая создается в Active Directory, помимо этого на него распространялись групповые политики и т.д

Перед тем как начать ввод компьютера в домен и создавать нового пользователя ознакомьтесь с первичными настройками Windows Server 2012 перейдя по этой ссылке

Ввод ПК в домен Server 2012:

Осуществим вход на наш сервер и откроем оснастку “Пользователи и компьютеры Active Directory” которая расположена в средствах диспетчера серверов

Зайдем в папку Computers” и убедимся в том что пока что ни один компьютер пока что не подключен к домену

Давайте перейдем к настройкам:

Первой настройкой нам необходимо что бы на рабочих станциях был прописан IP адрес DNS сервера, в нашем случае DNS установлен на контроллере домена и если мы откроем в диспетчере сервером оснастку DNS” то увидим, что ip адрес совпадает с адресом контроллера домена

Теперь создадим первого пользователя, и назовем его Тест. Для этого вновь откройте вкладку Пользователи и компьютеры Active Directory” далее перейдите в парку UzersСоздатьПользователь”

В появившимся окне заполняем необходимые параметры для новой учетной записи информация расположена ниже на картинке и жмем Далее”

После чего заполняем поля с паролем. Пароль должен отвечать требованиям сложности (содержать латинские буквы с верхним регистром, символы и т.д) Для того что бы каждый раз вам не вводить сложные пароли необходимо отключить данную политику, как это сделать можете узнать их этой статьи.

После ввода паролей нажмите поставьте чекбоксы как указано на рисунке и жмите Далее”

Кликаем Готово” непосредственно для завершения создания нового пользователя

После чего в оснастке AD появится Тест Тестович!

Подключаем компьютер к домену

Первым делом проверяем настройки сетевых подключений, ориентируйтесь на картинку приведенную ниже:

Наконец то мы добрались до основной настройки компьютера.

У пользовательского ПК жмем ПКМ по значку Мой компьютер” и открываем Свойства” В появившимся окне ищем вкладку Изменить параметры” переходим по ней В свойствах системы нам необходимо присоединить компьютер к домену для этого кликнем на кнопку Изменить” Переключаем курсор является членом Домена вводим доменное имя после чего нажимаем Ок” Всплывающее окно просит нас что бы мы напечатали Имя пользователя” и Пароль администратора домена” соответственно после ввода жмем Ок” Если вы выполнили все настройки корректно то компьютер перейдет к вам в домен Перезагружаем компьютер для сохранения параметров После перезагрузки входим под учетной записью которую мы создали выше а именно под «Тест Тестовичем» Теперь перейдем на сервер и в оснастке AD в папке Computers” у нас появится новый компьютер На этом статья закончена возникшие вопросы пишите в комментарии и не забываем подписываемся на рассылку, всем спасибо и удачи в компьютерных начинаниях!

–>

Область примененияApplies to

  • Windows 10Windows 10

В этой статье описываются советы и положения, значения, вопросы управления политиками и безопасности для параметра “Добавление рабочих станций в параметры политики безопасности домена”.Describes the best practices, location, values, policy management and security considerations for the Add workstations to domain security policy setting.

Справочные материалыReference

Этот параметр политики определяет, какие пользователи могут добавить устройство в определенный домен.This policy setting determines which users can add a device to a specific domain.Чтобы оно вступает в силу, его необходимо на назначении, чтобы оно применялось по крайней мере к одному контроллеру домена.For it to take effect, it must be assigned so that it applies to at least one domain controller.Пользователь, которому назначено это право пользователя, может добавить в домен до десяти рабочих станций.A user who is assigned this user right can add up to ten workstations to the domain.Добавление учетной записи компьютера в домен позволяет устройству участвовать в сети на основе Active Directory.Adding a machine account to the domain allows the device to participate in Active Directory-based networking.

Константа: SeMachineAccountPrivilegeConstant: SeMachineAccountPrivilege

Возможные значенияPossible values

  • Определяемый пользователей список учетных записейUser-defined list of accounts
  • Не определеноNot Defined

РекомендацииBest practices

  • Настройте этот параметр таким образом, чтобы только авторизованные участники ИТ-группы были разрешены добавлять устройства в домен.Configure this setting so that only authorized members of the IT team are allowed to add devices to the domain.

РасположениеLocation

Конфигурация компьютераПараметры WindowsПараметры безопасностиНазначение прав пользователяComputer ConfigurationWindows SettingsSecurity SettingsUser Rights Assignment

Значения по умолчаниюDefault values

По умолчанию этот параметр разрешает доступ для пользователей, для проверки подлинности на контроллерах домена и не определяется на автономных серверах.By default, this setting allows access for Authenticated Users on domain controllers, and it is not defined on stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows.The following table lists the actual and effective default policy values for the most recent supported versions of Windows.Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политикиServer type or GPO Значение по умолчаниюDefault value
Default Domain PolicyDefault Domain Policy Не определеноNot Defined
Политика контроллера домена по умолчаниюDefault Domain Controller Policy Не определеноNot Defined
Параметры по умолчанию для автономного сервераStand-Alone Server Default Settings Не определеноNot Defined
Действующие параметры по умолчанию для контроллера доменаDomain Controller Effective Default Settings Пользователи, для проверки подлинностиAuthenticated Users
Действующие параметры по умолчанию для рядового сервераMember Server Effective Default Settings Не определеноNot Defined
Действующие параметры по умолчанию для клиентского компьютераClient Computer Effective Default Settings Не определеноNot Defined

Управление политикойPolicy management

Пользователи также могут присоединить компьютер к домену, если у них есть разрешение на создание объектов компьютера для подразделения или контейнера Computers в каталоге.Users can also join a computer to a domain if they have the Create Computer Objects permission for an organizational unit (OU) or for the Computers container in the directory.Пользователи, которым назначено это разрешение, могут добавлять в домен неограниченное число устройств независимо от того, есть ли у них право на добавление рабочих станций в домен.Users who are assigned this permission can add an unlimited number of devices to the domain regardless of whether they have the Add workstations to domain user right.

Кроме того, учетные записи компьютеров, созданные с помощью средства добавления рабочих станций в домен, имеют администраторов домена в качестве владельца учетной записи компьютера. ****Furthermore, machine accounts that are created by means of the Add workstations to domain user right have Domain Administrators as the owner of the machine account.Учетные записи компьютеров, созданные с помощью разрешений в контейнере компьютера, используют создателя в качестве владельца учетной записи компьютера.Machine accounts that are created by means of permissions on the computer’s container use the creator as the owner of the machine account.Если у пользователя есть разрешения для контейнера, а также права пользователя “Добавление рабочей станции к домену”, устройство добавляется на основе разрешений контейнера компьютера, а не прав пользователя. ****If a user has permissions on the container and also has the Add workstation to domain user right, the device is added based on the computer container permissions rather than the user right.

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным.A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политикаGroup Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики:Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Параметры локальной политикиLocal policy settings
  2. Параметры политики сайтаSite policy settings
  3. Параметры политики доменаDomain policy settings
  4. Параметры политики подразделенияOU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO.When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасностиSecurity considerations

Эта политика имеет следующие аспекты безопасности:This policy has the following security considerations:

УязвимостьVulnerability

При добавлении рабочих станций в доменное право пользователя присутствует умеренно уязвимость.The Add workstations to domain user right presents a moderate vulnerability.Пользователи с этим правом могут добавить устройство в домен, настроенный таким образом, чтобы нарушать политики безопасности организации.Users with this right could add a device to the domain that is configured in a way that violates organizational security policies.Например, если организация не хочет, чтобы пользователи на своих устройствах могли иметь права администратора, пользователи могут установить Windows на свои компьютеры, а затем добавить компьютеры в домен.For example, if your organization does not want its users to have administrative privileges on their devices, users could install Windows on their computers and then add the computers to the domain.Пользователь знает пароль учетной записи локального администратора, может войти с этой учетной записью, а затем добавить личную учетную запись домена в локализованную группу администраторов.The user would know the password for the local administrator account, could log on with that account, and then add a personal domain account to the local Administrators group.

ПротиводействиеCountermeasure

Настройте этот параметр так, чтобы добавлять компьютеры в домен было разрешено только авторизованным участникам ИТ-группы.Configure this setting so that only authorized members of the IT team are allowed to add computers to the domain.

Возможное влияниеPotential impact

Для организаций, которые никогда не позволяли пользователям устанавливать собственные компьютеры и добавлять их в домен, это противодействие не оказывает влияния.For organizations that have never allowed users to set up their own computers and add them to the domain, this countermeasure has no impact.Для тех, кто разрешил некоторым или всем пользователям настраивать собственные устройства, это противодействие заставляет организацию установить формальный процесс для этих процедур в будущем.For those that have allowed some or all users to configure their own devices, this countermeasure forces the organization to establish a formal process for these procedures going forward.Это не влияет на существующие компьютеры, если они не удаляются и не добавляются в домен.It does not affect existing computers unless they are removed from and then added to the domain.

Статьи по темеRelated topics

–>Используемые источники:

  • http://pyatilistnik.org/windows-10-join-to-active-directory/
  • https://social.technet.microsoft.com/forums/ru-ru/338cbc65-2b83-4d81-b820-fc813d9b3f61/1042107410861076-1074-10761086108410771085-windows-10
  • https://mixprise.ru/server-2012/vvod-kompyutera-v-domen-server-2012/
  • https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/add-workstations-to-domain

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий