將伺服器或用戶端裝置加入網域是實現組織網路內集中式管理和改善安全性的重要步驟。 無論您是設定新的裝置或優化網路設定,請遵循本指南,以順暢地整合到網域環境。
這很重要
KB5020276 是一種Microsoft更新,可強化網域加入程序的安全性。 此更新引進增強的驗證和驗證,有助於防止未經授權的裝置加入 Windows 網域,確保只有受信任的裝置可以新增至您的網路。 若要深入瞭解,請參閱 KB5020276 - Netjoin:網域加入安全性強化變更。
先決條件
伺服器需求
您的 Windows Server 裝置必須安裝 Active Directory 網域服務 角色,才能使用 Active Directory 使用者和電腦 (ADUC) 工具。 若要了解詳細資訊,請參閱安裝或解除安裝角色、角色服務或功能。
您必須是 Administrators 群組的成員,或具有本機帳戶和網域帳戶的系統管理許可權。
用戶端需求
用戶帳戶必須具有本機計算機上的系統管理許可權,才能加入網域。
您的用戶端裝置必須已安裝下列其中一個版本的 Windows:
- 企業
- 企業 N
- 專業版
- Pro N
- 專業教育版
- 專業教育 N
- 工作站專業版。
- 專業N工作站
備註
為了保持時間同步,組織通常會使用Windows Time服務或網路時間通訊協定 (NTP) 伺服器。 在網域中,計算機通常會將其時鐘與域控制器同步,這應該與可靠的時間來源一致。 此程式可確保網域中所有裝置的一致時間設定,將 Kerberos 驗證的潛在問題降到最低。
使用ADUC預配置裝置
此步驟是選擇性的,不需要將裝置加入網域。 不過,在 Active Directory 中預先配置裝置可以簡化流程,方法是將電腦帳戶預先指派給適當的組織單位(OU),並確保在該裝置加入網域之前適當的許可權已設妥。
在 [伺服器管理員] 中,從右上方功能表選取 [ 工具] 按鈕。
在下拉功能表中,選取 [Active Directory 使用者和計算機]。
在左窗格中,流覽至並選取適當的組織單位(OU)。
選取 [ 動作] 索引標籤,選取 [ 新增],然後選取 [ 計算機]。
輸入計算機名稱,並設定裝置應該所屬的使用者或群組。
選取 [確定 ],這可協助準備用戶端何時準備好加入網域。
將裝置加入網域
視您的喜好設定和環境需求而定,您可以使用圖形使用者介面(GUI)方法或命令行工具,將裝置加入網域。 這兩種方法可確保整合到網域中。
伺服器管理員方法
在 [伺服器管理員] 中,選取 [ 本地伺服器],在 [ 工作組] 底下,選取工作組或域名超連結。
在 [ 計算機名稱] 索引標籤下,選取 [變更]。
在 [成員] 底下,選取 [ 網域],輸入您希望計算機加入的域名,然後選取 [ 確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [確定],系統會提示您重新啟動您的裝置。
控制面板方法
選取 [開始],輸入 [控制面板],然後按 ENTER。
請確保將右上方的 [檢視依據] 下拉功能表設定為 [類別]。
流覽至 [系統與安全性],然後選取 [系統]。
選取 [網域或工作組],在 [ 計算機名稱] 索引卷標底下,選取 [變更]。
在 [成員] 底下,選取 [ 網域],輸入您希望計算機加入的域名,然後選取 [ 確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [確定],系統會提示您重新啟動您的裝置。
選取 [開始],輸入 [控制面板],然後按 ENTER。
請確保將右上方的 [檢視依據] 下拉功能表設定為 [類別]。
流覽至 [系統與安全性],然後選取 [系統]。
選取 [進階系統設定],然後選取 [變更設定]。
在 [ 計算機名稱] 索引標籤下,選取 [變更]。 '
在 [成員] 底下,選取 [ 網域],輸入您希望計算機加入的域名,然後選取 [ 確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [確定],系統會提示您重新啟動您的裝置。
選取 [開始],輸入 [控制面板],然後按 ENTER。
請確保將右上方的 [檢視依據] 下拉功能表設定為 [類別]。
流覽至 [系統與安全性],然後選取 [系統]。
在 [計算機名稱、網域和工作組設定] 底下,選取 [變更設定]。
在 [ 計算機名稱] 索引標籤下,選取 [變更]。 '
在 [成員] 底下,選取 [ 網域],輸入您希望計算機加入的域名,然後選取 [ 確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [確定],系統會提示您重新啟動您的裝置。
設定應用程式方法
選取 [開始],選取 [ 設定],然後選取 [ 帳戶]。
選取 存取公司或學校,然後選取 聯機。
選取 [將此裝置加入本機 Active Directory 網域]。
輸入網域名稱,選取 [ 下一步],輸入帳戶憑證,然後選取 [ 確定]。
重新開機裝置。
命令行方法
透過命令提示字元或PowerShell可以執行將裝置新增至網域。
開啟提升權限的命令提示字元視窗。
執行下列命令,並將
YourDomainName和DomainUsername分別替換為您的值:netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*系統會提示您輸入指定網域用戶帳戶的密碼。
將您的裝置重新啟動。 登入之後,您就會加入網域。
將脫離的裝置重新加入網域
如果客戶端或伺服器裝置脫離網域,您可以從網域移除裝置,然後重新加入它,以還原其信任關係。 此程式會重新建立裝置與網域之間的連線。 離開網域的程序類似於加入網域。
使用伺服器管理員重新加入網域
若要使用 伺服器管理員離開網域,請遵循先前的步驟來加入網域,直到您到達 [系統屬性 ] 窗口為止。
在 [成員] 底下,選取 [ 工作組],輸入要暫時加入的工作組名稱,然後選取 [ 確定]。
再次選取 [確定 ],然後重新啟動您的裝置。
登入本機帳戶之後,請重複步驟,將裝置加入先前脫離的網域。
使用控制面板將伺服器重新加入網域
若要使用 [控制面板] 離開網域,請依照先前的步驟加入網域,直到您到達 [系統屬性 ] 視窗為止。
在 [成員] 底下,選取 [ 工作組],輸入要暫時加入的工作組名稱,然後選取 [ 確定]。
再次選取 [確定 ],然後重新啟動您的裝置。
登入本機帳戶之後,請重複步驟,將裝置加入先前脫離的網域。
使用控制面板將用戶端重新加入網域
若要使用 [控制面板] 離開網域,請依照先前的步驟加入網域,直到您到達 [系統屬性 ] 視窗為止。
在 [成員] 底下,選取 [ 工作組],輸入要暫時加入的工作組名稱,然後選取 [ 確定]。
再次選取 [確定 ],然後重新啟動您的裝置。
登入本機帳戶之後,請重複步驟,將裝置重新加入先前脫離的網域。
使用 [設定] 重新加入網域
若要使用 [設定] 應用程式離開網域,請依照先前的步驟加入網域,直到您到達 Access 公司或學校 窗口為止。
在您的帳戶下,選取 [ 中斷聯機],然後選取 [ 是]。
將您的裝置重新啟動。
登入本機帳戶之後,請重複步驟,將裝置重新加入先前脫離的網域。
使用命令行重新加入網域
若要使用 命令行離開網域,請遵循下列步驟:
開啟提升權限的命令提示字元視窗。
執行下列命令,並將
YourDomainName和DomainUsername分別替換為您的值:netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*系統會提示您輸入指定網域用戶帳戶的密碼。
裝置重新啟動之後,請登入本機帳戶。
請依照 命令行方法 中提供的步驟重新加入網域。
修復網域信任關係
當已加入網域的電腦與域控制器之間的安全通道中斷時,您可能會遇到下列錯誤:
The trust relationship between this workstation and the primary domain failed.
當計算機的密碼未與網域資料庫同步處理時,通常會發生此錯誤。 如果刪除或損毀網域中的計算機帳戶,也可能會發生此情況。 您可以使用命令行來解決裝置與網域之間的信任關係問題。
使用本機系統管理員帳戶登入。
開啟提升權限的命令提示字元視窗。
執行下列命令來測試安全通道,將
ComputerName和YourDomainName替換為您的值:netdom verify ComputerName /domain:YourDomainName執行以下命令,並將
DomainControllerName和Domain\Username替換為您的值,以重設機器密碼:netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*系統會提示您提供帳戶的密碼。
執行下列命令,將
YourDomainName和DomainUsername替換成您的值,以重設安全通道。netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*系統會提示您提供帳戶的密碼。
重新啟動您的裝置,變更才會生效。 請依照 命令行方法 中提供的步驟重新加入網域。