Что такое Домен Windows и как он влияет на мой компьютер?
Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.
Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer /Newname:
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«. Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.
Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».
Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«. Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom:
Netdom reset /domain /User0 /Password0 без кавычек <>
Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****
Перезагрузка компьютера не нужна.
3 С помощью команды Nltest:
Пример:Nltest /server:Comp01 /sc_reset:pk-help.comad1
Перезагрузка компьютера не нужна.
Утилита Netdom
Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:
Разберем опции команды:
- Server — имя любого доменного контроллера
- UserD — имя учетной записи администратора домена
- PasswordD — пароль администратора домена
После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.
Получить список компьютеров по ОС из PowerShell
Запускаем оболочку PowerShell, для того чтобы получить список всех компьютеров с нужной операционной системой введите вот такую команду:
Get-ADComputer -Filter < OperatingSystem -Like '*Windows Server 2008*' >-Properties OperatingSystem | Select Name, OperatingSystem | Format-Table -AutoSize
На выходе получите список из имени и версии ОС
Согласитесь, что это не информативно. Хочется, чтобы были данные:
- Имя
- Версию операционной системы
- Дату последнего обращения (LastLogonDate)
- Дату изменения (Modified)
- Статус (Включена/Отключена)
- Сетевая доступность (Отвечает на ping или нет)
Эту задачу я выполню с помощью вот такого кода, который я писал еще пару лет назад:
$Comps = Get-ADComputer -Filter < OperatingSystem -Like '*Windows Server 2008*' >-Properties OperatingSystem, LastLogonDate, Modified | Select Name, OperatingSystem, LastLogonDate, Modified, Enabled | Sort-Object Enabled # | Format-Table -AutoSize
foreach ($comp in $Comps)
$comp_info = $null
$comp_info = New-Object psobject -Property @ «OperatingSystem» = $comp.OperatingSystem; «LastLogonDate» = $comp.LastLogonDate; «Modified» = $comp.Modified; «Enabled» = $comp.Enabled>
$comps2 += $comp_info
>
# Скрипт с сайта Pyatilistnik.org
$comps2 | select Name, OperatingSystem, LastLogonDate, Modified, Enabled, Ping | sort Ping | Format-Table -AutoSize
Если нужно выгрузить в файл, то просто добавьте в конце | Out-File C:ScriptsWindows-Server.txt или для csv файла | Export-CSV All-Windows.csv -NoTypeInformation -Encoding UTF8
В итоге я получил вот такой замечательный текстовый файл, в котором я вижу, какой компьютер живой и отвечает по сети, а какой нет и когда он последний раз обращался к контроллеру домена.
Восстановить доверительные отношения путём повторного ввода в домен
Самый долгий, но самый верный способ, который поможет восстановить доверительные отношения с доменом при любом раскладе! Работет железебетонно .
Открываем свойства системы Win + R sysdm.cpl Enter и переходим в Изменение имени компьютера или домена через кнопку изменить. . Возвращаем компьютер в любую рабочую группу (придумываем сами), сохраняемся без перезагрузки. Теперь повторно вводим компьютер в домен и перезагружаемся чтобы восстановить доверительные отношения с доменом.
Пароль компьютера в домене AD
При регистрации компьютера в домене, между ним и контроллером домена устанавливается безопасный канал, по которому передаются учетные данные, и дальнейшее взаимодействие происходит в соответствии с политиками безопасности, установленными администратором.
Пароль учетной записи компьютера по умолчанию действует 30 дней, после чего автоматически меняется. Смена пароля инициируется самим компьютером на основании доменных политик.
Совет . Максимальный срок жизни пароля может быть настроен с помощью политики Domain member : Maximum machine account password age , которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options . Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).
Если пароль компьютера просрочен, он автоматически меняется при следующей регистрации в домене. Поэтом, если вы не перезагружали компьютер несколько месяцев, доверительные отношения между ПК и доменом сохраняются, а пароль компьютера будет сменен при следующей перезагрузке.
Доверительные отношения разрываются, если компьютер пытается аутентифцироваться в домене под неверным паролем. Обычно это происходит, когда компьютер или из снапшота виртуальной машины. В этом случае пароль машины, хранящийся локально, и пароль в домене могут не совпадать.
«Классический» способ восстановить доверительные отношения в этом случае::
- Сбросить пароль локального администратора
- Вывести ПК из домена и включить его в рабочую группу
- Перезагрузится
- С помощью оснастки – сбросить учёту компьютера в домене (Reset Account)
- Повторно включить ПК в домен
- Еще раз перезагрузиться
Этот метод самый простой, но слишком топорный и требует как минимум двух перезагрузок и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.
Есть более элегантный способ восстановить доверительные отношения без перевключения в домен и без перезагрузок.
Перенаправление вывода
В листинге 6 показан собранный сценарий, GetServiceStatus.vbs. Этот сценарий может генерировать большой объем данных, поэтому при проверке трех и большего числа серверов я рекомендую не пытаться читать информацию из командного окна. Лучше перенаправить вывод в файл:
getservicestatus.vbs [arguments]
> status.txt
Теперь можно не только проверить состояние служб на локальном или удаленном компьютере, но и предоставить подсказку пользователям сценария, форматировать выходные данные и работать с входными данными различных типов. Эти приемы могут пригодиться и для других сценариев, используемых для подготовки отчетов.
Криста Андерсон — независимый автор и консультант журнала Windows NT Magazine.
Способ третий
Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:
— проверить безопасное соединение с доменом;
— сбросить учетную запись компьютера в домене;
— изменить пароль компьютера.
Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.
Домен Мастера
Мы рассмотрели, что делают домены Windows и как они используются. По сути, домены позволяют администраторам контролировать большое количество бизнес-ПК из центрального местоположения. Локальный пользователь имеет меньший контроль над управляемым доменом ПК, чем персональный. Без доменов управление корпоративными компьютерами было бы кошмаром для ИТ-персонала.
С новыми сотрудниками и компьютерами, постоянно заменяющими отдельных сотрудников и старые машины, хорошо отлаженная система является ключом для бесперебойной работы бизнес-компьютеров. Чтобы обеспечить бесперебойную работу вашего ПК, ознакомьтесь с нашим руководством для начинающих по исправлению Windows 10 .
