Присоединение компьютера к домену

Присоединение сервера или клиентского устройства к домену является важным шагом для достижения централизованного управления и повышения безопасности в сети организации. Если вы настраиваете новое устройство или оптимизируете настройку сети, следуйте этому руководству, чтобы легко интегрироваться в среду домена.

Important

KB5020276 is a Microsoft update that strengthens the security of the domain join process. Это обновление представляет расширенную проверку и проверку подлинности, чтобы предотвратить присоединение несанкционированных устройств к домену Windows, гарантируя, что в сеть можно добавлять только доверенные устройства. Дополнительные сведения см. в статье KB5020276 — Netjoin: увеличение жесткости присоединения к домену.

Prerequisites

Server requirements

Ваше устройство Windows Server должно иметь установленную роль службы доменов Active Directory, чтобы использовать средство "Пользователи и компьютеры Active Directory" (ADUC). Дополнительные сведения см. в разделе Установка или удаление ролей, служб ролей или компонентов.

Вы должны быть членом группы "Администраторы" или иметь права администратора как в локальной учетной записи, так и в учетной записи домена.

Client requirements

Учетная запись пользователя должна иметь права администратора на локальном компьютере для присоединения к домену.

Клиентское устройство должно иметь одну из следующих версий Windows:

• Enterprise
• Enterprise N
• Pro
• Pro N
• Pro Education
• Pro Education N
• Pro для рабочих станций
• Pro N для рабочих станций

Note

Для синхронизации времени организации часто используют службу времени Windows или сервер NTP. В домене компьютеры обычно синхронизируют часы с контроллером домена, который должен быть согласован с зависимым источником времени. Этот процесс обеспечивает согласованные параметры времени на всех устройствах в домене, минимизируя потенциальные проблемы с проверкой подлинности Kerberos.

Подготовка (престейджинг) устройства с помощью ADUC

Этот шаг необязателен и не является обязательным для присоединения устройства к домену. Однако предварительная настройка устройства в Active Directory может упростить процесс, предварительно назначив учетную запись компьютера соответствующему подразделению организации и гарантируя наличие соответствующих разрешений перед присоединением устройства к домену.

1. In Server Manager, select the Tools button from the top right menu.

2. В раскрывающемся меню выберите "Пользователи и компьютеры Active Directory".

3. В левой области перейдите к соответствующему организационному подразделению и выберите его.

4. Select the Actions tab, select New, then select Computer.

5. Введите имя компьютера и настройте пользователя или группу, к которому должно принадлежать устройство.

6. Select OK This can help prepare for when the client is ready to join the domain.

Присоединение устройства к домену

Присоединение устройства к домену можно сделать с помощью методов графического пользовательского интерфейса (GUI) или средств командной строки в зависимости от предпочтений и потребностей вашей среды. Оба подхода обеспечивают интеграцию с доменом.

Метод диспетчера серверов

1. In Server Manager, select Local Server, under Workgroup, select the workgroup or domain name hyperlink.

2. Under the Computer Name tab, select Change.

3. Under Member of, select Domain, type the name of the domain that you wish the computer to join, and then select OK.

4. Provide the credentials needed to join the domain, then select OK.

5. После успешного присоединения устройства к домену уведомление подтверждает членство в домене устройства. Select OK, and you're prompted to restart your device.

Метод панели управления

1. Select Start, type Control Panel, and then press ENTER.

2. Ensure that from the View by drop-down menu at the top right is set to Category.

3. Перейдите к системе и безопасности, а затем выберите "Система".

4. Выберите домен или рабочую группу на вкладке "Имя компьютера " нажмите кнопку "Изменить".

5. Under Member of, select Domain, type the name of the domain that you wish the computer to join, and then select OK.

6. Provide the credentials needed to join the domain, then select OK.

7. После успешного присоединения устройства к домену уведомление подтверждает членство в домене устройства. Select OK, and you're prompted to restart your device.

1. Select Start, type Control Panel, and then press ENTER.

2. Ensure that from the View by drop-down menu at the top right is set to Category.

3. Перейдите к системе и безопасности, а затем выберите "Система".

4. Выберите "Дополнительные параметры системы", а затем нажмите кнопку "Изменить параметры".

5. Under the Computer Name tab, select Change. '

6. Under Member of, select Domain, type the name of the domain that you wish the computer to join, and then select OK.

7. Provide the credentials needed to join the domain, then select OK.

8. После успешного присоединения устройства к домену уведомление подтверждает членство в домене устройства. Select OK, and you're prompted to restart your device.

1. Select Start, type Control Panel, and then press ENTER.

2. Ensure that from the View by drop-down menu at the top right is set to Category.

3. Перейдите к системе и безопасности, а затем выберите "Система".

4. В разделе "Имя компьютера", "Домен" и "Рабочие группы" выберите "Изменить параметры".

5. Under the Computer Name tab, select Change. '

6. Under Member of, select Domain, type the name of the domain that you wish the computer to join, and then select OK.

7. Provide the credentials needed to join the domain, then select OK.

8. После успешного присоединения устройства к домену уведомление подтверждает членство в домене устройства. Select OK, and you're prompted to restart your device.

Метод приложения 'Настройки'

1. Select Start, select Settings, then select Accounts.

2. Выберите "Доступ к рабочим или учебным заведениям", а затем нажмите кнопку "Подключить".

3. Выберите "Присоединить это устройство к локальному домену Active Directory".

4. Enter the domain name, select Next, and the account credentials, then select OK.

5. Перезагрузите устройство.

Метод командной строки

Добавление устройства в домен можно выполнить с помощью командной строки или PowerShell.

Command Prompt

1. Откройте окно командной строки с повышенными привилегиями.

2. Выполните следующую команду, заменив YourDomainName и DomainUsername на ваши значения.

   netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. Система предложит ввести пароль для указанной учетной записи пользователя домена.

4. Перезагрузите устройство. После входа вы присоединитесь к домену.

PowerShell

1. Откройте окно PowerShell с повышенными привилегиями.

2. Выполните следующую команду, заменив YourDomainName вашим значением.

   Add-Computer -DomainName "YourDomainName" -Credential (Get-Credential)
   Restart-Computer
   

3. Вам будет предложено ввести учетные данные домена.

Устройство перезапускается после ввода учетных данных домена для присоединения к домену.

Присоединение ранее отключённого устройства к домену

В случаях, когда клиентское или серверное устройство отсоединяется от домена, можно восстановить отношение доверия, удалив устройство из домена, а затем повторно присоединитесь к нему. Этот процесс повторно устанавливает соединение между устройством и доменом. Процесс выхода из домена аналогичен присоединению к домену.

Повторное присоединение домена с помощью диспетчера серверов

To leave a domain using the Server Manager, follow the previous steps to join the domain until you reach the System Properties window.

1. Under Member of, select Workgroup, type the name of a workgroup to temporarily join, and then select OK.

2. Select OK again and then reboot your device.

3. После входа в локальную учетную запись повторите шаги для присоединения устройства к домену, отсоединенного от него ранее.

Повторное присоединение сервера к домену с помощью панели управления

To leave a domain using the Control Panel, follow the previous steps to join the domain until you reach the System Properties window.

1. Under Member of, select Workgroup, type the name of a workgroup to temporarily join, and then select OK.

2. Select OK again and then reboot your device.

3. После входа в локальную учетную запись повторите шаги для присоединения устройства к домену, отсоединенного от него ранее.

Повторное присоединение клиента к домену с помощью панели управления

To leave a domain using the Control Panel, follow the previous steps to join the domain until you reach the System Properties window.

1. Under Member of, select Workgroup, type the name of a workgroup to temporarily join, and then select OK.

2. Select OK again and then reboot your device.

3. После входа в локальную учетную запись повторите шаги для повторного подключения устройства к домену, отсоединенного от него ранее.

Повторное присоединение к домену с помощью настроек

To leave a domain using the Settings app, follow the previous steps to join the domain until you reach the Access work or school window.

1. Under your account, select Disconnect, then select Yes.

2. Перезагрузите устройство.

3. После входа в локальную учетную запись повторите шаги для повторного подключения устройства к домену, отсоединенного от него ранее.

Повторное присоединение к домену с помощью командной строки

To leave a domain using the command line, follow these steps:

Command Prompt

1. Откройте окно командной строки с повышенными привилегиями.

2. Выполните следующую команду, заменив YourDomainName и DomainUsername на ваши значения.

   netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. Система предложит ввести пароль для указанной учетной записи пользователя домена.

4. После перезагрузки устройства войдите в локальную учетную запись.

5. Выполните действия, описанные в методе командной строки , чтобы повторно присоединиться к домену.

PowerShell

1. Откройте окно PowerShell с повышенными привилегиями.

2. Выполните следующую команду:

   Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Verbose -Restart
   

3. Вам будет предложено ввести учетные данные домена. Устройство перезапускается после ввода учетных данных домена.

4. Войдите на устройство и выполните действия, описанные в методе командной строки , чтобы повторно присоединиться к домену.

Восстановление отношения доверия к домену

При нарушении безопасного канала между присоединенным к домену компьютером и контроллером домена может возникнуть следующая ошибка:

The trust relationship between this workstation and the primary domain failed.

Эта ошибка обычно возникает, когда пароль компьютера не синхронизирован с базой данных домена. Это также может произойти, если учетная запись компьютера в домене была удалена или повреждена. Вы можете устранить проблему отношения доверия между устройством и доменом с помощью командной строки.

Command Prompt

1. Войдите с помощью учетной записи локального администратора.

2. Откройте окно командной строки с повышенными привилегиями.

3. Проверьте безопасный канал, выполнив следующую команду, заменив ComputerName и YourDomainName указав значения:

   netdom verify ComputerName /domain:YourDomainName
   

4. Сбросьте пароль машины, выполнив следующую команду, заменив DomainControllerName и Domain\Username вашими значениями.

   netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*
   

   Вам будет предложено указать пароль для учетной записи.

5. Выполните следующую команду, заменив YourDomainName и DomainUsername вашими значениями, чтобы сбросить безопасный канал.

   netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

   Вам будет предложено указать пароль для учетной записи.

6. Перезапустите устройство, чтобы изменения вступили в силу. Выполните действия, описанные в методе командной строки , чтобы повторно присоединиться к домену.

PowerShell

1. Войдите с помощью учетной записи локального администратора.

2. Откройте окно PowerShell с повышенными привилегиями.

3. Проверьте безопасный канал, выполнив следующую команду:

      Test-ComputerSecureChannel
   

   Если тест возвращается True, безопасный канал нетронут, и проблема может быть в другом месте, например с системой доменных имен (DNS) или другой проблемой сети. Если False, перейдите к следующим шагам.

4. Попытайтесь восстановить безопасный канал непосредственно с помощью следующей команды и укажите учетные данные при появлении запроса:

   Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
   

5. Выполните следующую команду, чтобы сбросить пароль учетной записи компьютера и ввести учетные данные домена при появлении запроса:

   $credential = Get-Credential
   Reset-ComputerMachinePassword -Credential $credential
   Restart-Computer -Force
   

6. После перезагрузки устройства выполните действия, описанные в методе командной строки , чтобы повторно присоединиться к домену.