Dołączanie komputera do domeny

Dołączanie serwera lub urządzenia klienckiego do domeny jest niezbędnym krokiem w celu osiągnięcia scentralizowanego zarządzania i poprawy zabezpieczeń w sieci organizacji. Niezależnie od tego, czy konfigurujesz nowe urządzenie, czy optymalizujesz konfigurację sieci, postępuj zgodnie z tym przewodnikiem, aby osiągnąć bezproblemową integrację ze środowiskiem domeny.

Ważne

KB5020276 to aktualizacja firmy Microsoft, która wzmacnia bezpieczeństwo procesu przyłączania do domeny. Ta aktualizacja wprowadza rozszerzoną walidację i uwierzytelnianie, aby zapobiec dołączaniu nieautoryzowanych urządzeń do domeny systemu Windows, dzięki czemu tylko zaufane urządzenia mogą być dodawane do sieci. Aby dowiedzieć się więcej, zobacz KB5020276 — Netjoin: Zmiany wzmacniania zabezpieczeń przyłączania do domeny.

Wymagania wstępne

Wymagania dotyczące serwera

Na urządzeniu z systemem Windows Server musi być zainstalowana rola Usługi domenowe Active Directory, aby móc korzystać z narzędzia Użytkownicy i komputery Active Directory (ADUC). Aby dowiedzieć się więcej, zobacz Instalowanie lub usuwanie ról, usług ról bądź funkcji.

Musisz być członkiem grupy Administratorzy lub mieć uprawnienia administracyjne zarówno na koncie lokalnym, jak i w domenie.

Wymagania klienta

Konto użytkownika musi mieć uprawnienia administracyjne na komputerze lokalnym, aby dołączyć do domeny.

Urządzenie klienckie musi mieć zainstalowaną jedną z następujących wersji systemu Windows:

• Przedsiębiorstwo
• Przedsiębiorstwo N
• Pro
• Pro N
• Pro Education
• Pro Education N
• Pro dla stacji roboczych
• Pro N dla stacji roboczych

Uwaga / Notatka

Aby zachować synchronizację czasu, organizacje często korzystają z usługi Czas systemu Windows lub serwera protokołu NTP (Network Time Protocol). W domenie komputery zazwyczaj synchronizują zegary z kontrolerem domeny, który powinien być wyrównany do niezawodnego źródła czasu. Ten proces zapewnia spójne ustawienia czasu na wszystkich urządzeniach w domenie, minimalizując potencjalne problemy z uwierzytelnianiem Kerberos.

Wstępne przygotowanie urządzenia przy użyciu usługi ADUC

Ten krok jest opcjonalny i nie jest obowiązkowy w przypadku dołączania urządzenia do domeny. Jednak wstępne przygotowanie urządzenia w usłudze Active Directory może usprawnić proces przez wstępne przypisanie konta komputera do odpowiedniej jednostki organizacyjnej i zapewnienie odpowiednich uprawnień przed dołączeniem urządzenia do domeny.

1. W Menedżerze serwera wybierz przycisk Narzędzia w prawym górnym menu.

2. W menu rozwijanym wybierz pozycję Użytkownicy i komputery usługi Active Directory.

3. W okienku po lewej stronie przejdź do i wybierz odpowiednią jednostkę organizacyjną (OU).

4. Wybierz kartę Akcje , wybierz pozycję Nowy, a następnie wybierz pozycję Komputer.

5. Wprowadź nazwę komputera i skonfiguruj użytkownika lub grupę, do której ma należeć urządzenie.

6. Wybierz przycisk OK . Może to pomóc w przygotowaniu się do momentu, gdy klient jest gotowy do dołączenia do domeny.

Dołączanie urządzenia do domeny

Dołączanie urządzenia do domeny można wykonać przy użyciu metod graficznego interfejsu użytkownika (GUI) lub narzędzi wiersza polecenia, w zależności od preferencji i potrzeb środowiska. Oba podejścia zapewniają integrację z domeną.

Metoda Menedżera serwera

1. W Menedżerze serwera wybierz pozycję Serwer lokalny, w obszarze Grupa robocza wybierz hiperlink grupy roboczej lub nazwy domeny.

2. Na karcie Nazwa komputera wybierz pozycję Zmień.

3. W obszarze Członek wybierz pozycję Domena, wpisz nazwę domeny, którą komputer ma dołączyć, a następnie wybierz przycisk OK.

4. Podaj poświadczenia wymagane do dołączenia do domeny, a następnie wybierz przycisk OK.

5. Po pomyślnym dołączeniu urządzenia do domeny powiadomienie potwierdza członkostwo w domenie urządzenia. Wybierz przycisk OK i zostanie wyświetlony monit o ponowne uruchomienie urządzenia.

Metoda Panelu sterowania

1. Wybierz pozycję Start, wpisz Panel sterowania, a następnie naciśnij ENTER.

2. Upewnij się, że w menu rozwijanym Widok według w prawym górnym rogu ustawiona jest opcja Kategoria.

3. Przejdź do obszaru System i zabezpieczenia, a następnie wybierz pozycję System.

4. Wybierz pozycję Domena lub grupa robocza, na karcie Nazwa komputera wybierz pozycję Zmień.

5. W obszarze Członek wybierz pozycję Domena, wpisz nazwę domeny, którą komputer ma dołączyć, a następnie wybierz przycisk OK.

6. Podaj poświadczenia wymagane do dołączenia do domeny, a następnie wybierz przycisk OK.

7. Po pomyślnym dołączeniu urządzenia do domeny powiadomienie potwierdza członkostwo w domenie urządzenia. Wybierz przycisk OK i zostanie wyświetlony monit o ponowne uruchomienie urządzenia.

1. Wybierz pozycję Start, wpisz Panel sterowania, a następnie naciśnij ENTER.

2. Upewnij się, że w menu rozwijanym Widok według w prawym górnym rogu ustawiona jest opcja Kategoria.

3. Przejdź do obszaru System i zabezpieczenia, a następnie wybierz pozycję System.

4. Wybierz pozycję Zaawansowane ustawienia systemowe, a następnie wybierz pozycję Zmień ustawienia.

5. Na karcie Nazwa komputera wybierz pozycję Zmień. '

6. W obszarze Członek wybierz pozycję Domena, wpisz nazwę domeny, którą komputer ma dołączyć, a następnie wybierz przycisk OK.

7. Podaj poświadczenia wymagane do dołączenia do domeny, a następnie wybierz przycisk OK.

8. Po pomyślnym dołączeniu urządzenia do domeny powiadomienie potwierdza członkostwo w domenie urządzenia. Wybierz przycisk OK i zostanie wyświetlony monit o ponowne uruchomienie urządzenia.

1. Wybierz pozycję Start, wpisz Panel sterowania, a następnie naciśnij ENTER.

2. Upewnij się, że w menu rozwijanym Widok według w prawym górnym rogu ustawiona jest opcja Kategoria.

3. Przejdź do obszaru System i zabezpieczenia, a następnie wybierz pozycję System.

4. W obszarze Nazwa komputera, domena i ustawienia grupy roboczej wybierz pozycję Zmień ustawienia.

5. Na karcie Nazwa komputera wybierz pozycję Zmień. '

6. W obszarze Członek wybierz pozycję Domena, wpisz nazwę domeny, którą komputer ma dołączyć, a następnie wybierz przycisk OK.

7. Podaj poświadczenia wymagane do dołączenia do domeny, a następnie wybierz przycisk OK.

8. Po pomyślnym dołączeniu urządzenia do domeny powiadomienie potwierdza członkostwo w domenie urządzenia. Wybierz przycisk OK i zostanie wyświetlony monit o ponowne uruchomienie urządzenia.

Metoda aplikacji Ustawienia

1. Wybierz pozycję Start, wybierz pozycję Ustawienia, a następnie wybierz pozycję Konta.

2. Wybierz pozycję Uzyskaj dostęp do miejsca pracy lub nauki, a następnie wybierz pozycję Połącz.

3. Wybierz pozycję Dołącz to urządzenie do lokalnej domeny usługi Active Directory.

4. Wprowadź nazwę domeny, wybierz pozycję Dalej, a następnie poświadczenia konta, a następnie wybierz przycisk OK.

5. Uruchom urządzenie ponownie.

Metoda wiersza polecenia

Dodawanie urządzenia do domeny można wykonać za pomocą wiersza polecenia lub programu PowerShell.

Wiersz polecenia

1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień.

2. Uruchom następujące polecenie, zastępując wartości YourDomainName i DomainUsername następującymi wartościami:

   netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. System monituje o wprowadzenie hasła dla określonego konta użytkownika domeny.

4. Uruchom ponownie urządzenie. Po zalogowaniu użytkownik jest przyłączony do domeny.

PowerShell

1. Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień.

2. Uruchom następujące polecenie, zastępując YourDomainName swoją wartością:

   Add-Computer -DomainName "YourDomainName" -Credential (Get-Credential)
   Restart-Computer
   

3. Zostanie wyświetlony monit o wprowadzenie poświadczeń domeny.

Urządzenie zostanie uruchomione ponownie po wprowadzeniu poświadczeń domeny w celu dołączenia do domeny.

Ponownie dołącz rozłączone urządzenie do domeny

W przypadkach, gdy urządzenie klienckie lub serwerowe jest odłączone od domeny, można przywrócić relację zaufania, usuwając urządzenie z domeny, a następnie ponownie dołączając je. Ten proces ponownie ustanawia połączenie między urządzeniem a domeną. Proces opuszczania domeny jest podobny do dołączania do domeny.

Ponowne dołączanie domeny przy użyciu Menedżera serwera

Aby opuścić domenę przy użyciu Menedżera serwera, wykonaj poprzednie kroki, aby dołączyć do domeny do momentu uzyskania dostępu do okna Właściwości systemu .

1. W obszarze Członek wybierz pozycję Grupa robocza, wpisz nazwę grupy roboczej, aby tymczasowo dołączyć, a następnie wybierz przycisk OK.

2. Ponownie wybierz przycisk OK , a następnie ponownie uruchom urządzenie.

3. Po ponownym zalogowaniu się do konta lokalnego powtórz kroki, aby dołączyć urządzenie do domeny, z której zostało ono wcześniej odłączone.

Ponowne dołączanie serwera do domeny przy użyciu Panelu sterowania

Aby opuścić domenę przy użyciu Panelu sterowania, wykonaj poprzednie kroki, aby dołączyć do domeny do momentu uzyskania dostępu do okna Właściwości systemu .

1. W obszarze Członek wybierz pozycję Grupa robocza, wpisz nazwę grupy roboczej, aby tymczasowo dołączyć, a następnie wybierz przycisk OK.

2. Ponownie wybierz przycisk OK , a następnie ponownie uruchom urządzenie.

3. Po ponownym zalogowaniu się do konta lokalnego powtórz kroki, aby dołączyć urządzenie do domeny, z której zostało ono wcześniej odłączone.

Ponowne dołączanie klienta do domeny przy użyciu Panelu sterowania

Aby opuścić domenę przy użyciu Panelu sterowania, wykonaj poprzednie kroki, aby dołączyć do domeny do momentu uzyskania dostępu do okna Właściwości systemu .

1. W obszarze Członek wybierz pozycję Grupa robocza, wpisz nazwę grupy roboczej, aby tymczasowo dołączyć, a następnie wybierz przycisk OK.

2. Ponownie wybierz przycisk OK , a następnie ponownie uruchom urządzenie.

3. Po ponownym zalogowaniu się do konta lokalnego powtórz kroki, aby ponownie połączyć urządzenie z domeną, z której zostało ono wcześniej odłączone.

Ponowne dołączanie domeny przy użyciu ustawień

Aby opuścić domenę przy użyciu aplikacji Ustawienia, wykonaj poprzednie kroki, aby dołączyć do domeny do momentu, gdy zobaczysz okno Dostęp do pracy lub szkoły.

1. W obszarze konta wybierz pozycję Rozłącz, a następnie wybierz pozycję Tak.

2. Uruchom ponownie urządzenie.

3. Po ponownym zalogowaniu się do konta lokalnego powtórz kroki, aby ponownie połączyć urządzenie z domeną, z której zostało ono wcześniej odłączone.

Ponowne dołączanie domeny przy użyciu wiersza polecenia

Aby opuścić domenę przy użyciu wiersza polecenia, wykonaj następujące kroki:

Wiersz polecenia

1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień.

2. Uruchom następujące polecenie, zastępując wartości YourDomainName i DomainUsername następującymi wartościami:

   netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

3. System monituje o wprowadzenie hasła dla określonego konta użytkownika domeny.

4. Po ponownym uruchomieniu urządzenia zaloguj się do konta lokalnego.

5. Wykonaj kroki podane w metodzie wiersza polecenia , aby ponownie połączyć domenę.

PowerShell

1. Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień.

2. Uruchom następujące polecenie:

   Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Verbose -Restart
   

3. Zostanie wyświetlony monit o wprowadzenie poświadczeń domeny. Urządzenie zostanie uruchomione ponownie po wprowadzeniu poświadczeń domeny.

4. Zaloguj się do urządzenia i postępuj zgodnie z instrukcjami podanymi w metodzie wiersza poleceń, aby ponownie dołączyć do domeny.

Naprawianie relacji zaufania domeny

Może wystąpić następujący błąd, gdy bezpieczny kanał między komputerem przyłączonym do domeny a kontrolerem domeny jest zakłócany:

The trust relationship between this workstation and the primary domain failed.

Ten błąd zwykle występuje, gdy hasło maszyny nie jest synchronizowane z bazą danych domeny. Może się to również zdarzyć, jeśli konto komputera w domenie zostało usunięte lub zostało uszkodzone. Możesz rozwiązać problem z relacją zaufania między urządzeniem a domeną przy użyciu wiersza polecenia.

Wiersz polecenia

1. Zaloguj się przy użyciu konta administratora lokalnego.

2. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień.

3. Przetestuj bezpieczny kanał, uruchamiając następujące polecenie zastępując wartości ComputerName i YourDomainName następującymi wartościami:

   netdom verify ComputerName /domain:YourDomainName
   

4. Zresetuj hasło maszyny, uruchamiając następujące polecenie, zastępując DomainControllerName i Domain\Username swoimi wartościami.

   netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*
   

   Zostanie wyświetlony monit o podanie hasła dla konta.

5. Uruchom następujące polecenie, zastępując YourDomainName oraz DomainUsername swoimi wartościami, aby zresetować bezpieczny kanał.

   netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*
   

   Zostanie wyświetlony monit o podanie hasła dla konta.

6. Uruchom ponownie urządzenie, aby zmiany zaczęły obowiązywać. Wykonaj kroki podane w metodzie wiersza polecenia , aby ponownie połączyć domenę.

PowerShell

1. Zaloguj się przy użyciu konta administratora lokalnego.

2. Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień.

3. Przetestuj bezpieczny kanał, uruchamiając następujące polecenie:

      Test-ComputerSecureChannel
   

   Jeśli test zwróci True wartość, bezpieczny kanał jest nienaruszony, a problem może występować w innych miejscach, takich jak system nazw domen (DNS) lub inny problem z siecią. Jeśli False, przejdź do następnych kroków.

4. Spróbuj naprawić kanał zabezpieczony bezpośrednio przy użyciu następującego polecenia i gdy system o to poprosi, podaj poświadczenia.

   Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
   

5. Uruchom następujące polecenie, aby zresetować hasło konta komputera i po wyświetleniu monitu wprowadź poświadczenia domeny:

   $credential = Get-Credential
   Reset-ComputerMachinePassword -Credential $credential
   Restart-Computer -Force
   

6. Po ponownym uruchomieniu urządzenia wykonaj kroki podane w metodzie Wiersza polecenia, aby ponownie dołączyć do domeny.