Комп'ютери відносяться до ще одного типу об'єктів Active Directory, але на відміну від користувачів і груп AD до них немає повинно уваги і відповідно адміністратори нехтують їх адмініструванням. Але комп'ютери так само як і групи, користувачі AD мають свій SID і відповідно їх можна укладати в групи, призначати їм доступ до ресурсів, управляти ними засобами групових політик.
Способи створення комп'ютера в AD.
Всім відомо, після установки операційної системи, комп'ютер спочатку включений в робочу групу (за замовчуванням в WORKGROUP). В робочій групі кожен комп'ютер це незалежна автономна система в якій існує база даних диспетчера безпеки облікових записів SAM (Security Accounts Manager). При вході людини на комп'ютер виконується перевірка наявності облікового запису в SAM і відповідно до цих записами даються певні права. Комп'ютер який введений в домен продовжує підтримувати свою базу даних SAM, але якщо користувач заходить під доменної обліковим записом то про проходить перевірку на вже на контролер домену, тобто комп'ютер довіряє контролеру домену ідентифікацію користувача.
Ввести комп'ютер в домен можна різними способами, але перед тим як це робити ви повинні переконатися, що даний комп'ютер відповідає таким вимогам:
- у вас є право на приєднання комп'ютера до домену (за замовчуванням це право мають Адміністратори підприємства (Enterperise Admins), адміністраторів домену (Domain Admins), Адміністратори (Administrators), Оператори Обліку (Account Admins));
- об'єкт комп'ютера створений в домені;
- ви повинні увійти в приєднується комп'ютер як локальний адміністратор.
У багатьох адміністраторів другий пункт може викликати обурення, - навіщо створювати комп'ютер в AD, якщо він з'явитися в контейнері Computers після введення комп'ютера в домен. Вся справа в тому, що в контейнері Computers не можна створити підрозділи, але ще гірше, що до контейнера не можна прив'язати об'єкти групової політики. Саме тому рекомендується створити об'єкт комп'ютер в необхідному підрозділі, а не задовольнятися автоматично створеної обліковим записом комп'ютера. Звичайно можна перемістити автоматично створений комп'ютер в необхідне підрозділ, але найчастіше подібні речі адміністратори забувають робити.
Тепер розберемо способи створення комп'ютера (комп'ютерів) в AD:
Створення комп'ютерів за допомогою оснастки «Active Directory - користувачі і комп'ютери».
Для цього способу нам знадобиться запустити оснащення "Active Directory - користувачі і комп'ютери», у себе на комп'ютері за допомогою Admin Pack або на контролері домену. Для цього необхідно натиснути "Пуск Панель управління-Система і безпека-Адміністрування- Active Directory - користувачі і комп'ютери" виберіть необхідне підрозділ, натисніть на ньому правою кнопкою миші, в контекстному меню виберіть "Створити- Комп'ютер".
Впишіть ім'я комп'ютера.
Створення облікового запису комп'ютера за допомогою команди DSADD.
Загальний вигляд команди:
значення Опис
-desc <описание> Задає опис комп'ютера.
-loc <размещение> Задає налаштування робочої станції.
-memberof <группа.> Додає комп'ютер в одну або кілька груп, які визначаються розділяються пробілами списком імен DN <группа.>.
-s <сервер> задає підключення до контролера домену (DC) з ім'ям <сервер>.
-d <домен> задає підключення до DC в домені <домен>.
За замовчуванням: DC в домені входу.
-u <пользователь> Підключення під ім'ям <пользователь>. За замовчуванням: ім'я користувача, який увійшов в систему. Можливі варіанти: ім'я користувача, домен \ ім'я користувача, основне ім'я користувача (UPN).
-p Пароль користувача <пользователь>. Якщо введена *, буде запропоновано ввести відповідний пароль.
-q "Тихий" режим: весь висновок замінюється стандартним висновком.
-uc Задає форматування введення з каналу або виведення в канал в Юникоде.
-uco Задає форматування виводу в канал або файл в Юникоде.
-uci Задає форматування введення з каналу або файлу в Юникоде.
Приклад використання команди Dsadd:
Dsadd computer "CN = COMP001, OU = Moscow, OU = Departments, DC = pk-help, DC = com" -desc "Комп'ютер відділу IT"
Созданіеучетной записи робочої станції або сервера за допомогою команди Netdom.
Загальний вигляд команди Netdom:
Адміністрування облікового запису комп'ютерів в Active Directory.
Перейменування комп'ютера в AD.
Запускаємо командний рядок і за допомогою команди Netdom перейменовуємо комп'ютер в AD:
Netdom renamecomputer <Имя компьютера> / Newname: <Новое имя>
Приклад: Netdom renamecomputer COMP01 / Newname: COMP02
Видалення облікових записів комп'ютера.
1 Видалити обліковий запис комп'ютера за допомогою оснастки "Active Directory - користувачі і комп'ютери". Запускаєте оснащення "Active Directory - користувачі і комп'ютери" знаходите необхідний комп'ютер натискаєте не німий правою кнопкою миші, в контекстному меню вибираєте "Видалити", підтверджуєте видалення
2 Видалити комп'ютер можна за допомогою команди DSRM:
Усунення помилки "Неможливо встановити довірчих відносин між цією робочою станцією і основним доменом".
Іноді при попидке увійти в комп'ютер користувач отримує повідомлення "Не вдалося встановити довірчих відносин між цією робочою станцією і основним доменом". Це помилка виникає при відмові в роботі безпечного каналу між машиною і контролером домену. Що б це усунути необхідно скинути безпечний канал. Можна скористатися одним з методів:
1 Зайти оснащення «Active Directory - користувачі і комп'ютери», знайти проблемний компьтер, натиснути на ньому правою кнопкою миші і вибрати "Переустановити обліковий запис" (Reset Account). Після цього комп'ютер слід заново приєднати до домену і перезавантажити.
2 За допомогою команди Netdom:
Netdom reset <имя машины> / domain <Имя домена> / User0 <Имя пользователя> / Password0 <Пароль> без лапок <>
Приклад: Netdom reset COMP01 / domain pk-help.com / User0 Ivanov / Password *****
Перезавантаження комп'ютера не потрібна.
3 За допомогою команди Nltest:
Nltest / server:<Имя компьютера> / Sc_reset:<Домен>\<Контроллер домена>
Приклад: Nltest / server: Comp01 /sc_reset:pk-help.com\ad1
Перезавантаження комп'ютера не потрібна.