Программа для создания компьютерных объектов 10 букв

Обновлено: 21.11.2024

Прежде чем пользователь сможет войти на компьютер и получить доступ к сетевым и доменным ресурсам, этот компьютер должен быть членом среды Active Directory. В этом руководстве вы узнаете, как автоматизировать повседневные задачи, связанные с учетными записями компьютеров, например, как легко создавать, переименовывать и удалять учетные записи.

В целом вы узнаете, как использовать PowerShell для выполнения следующих задач по управлению учетными записями компьютеров:

• Присоединение компьютера к домену
  • Присоединение нескольких компьютеров к домену
  • Создание учетных записей компьютеров из CSV-файла
  • Удалить учетные записи компьютеров с помощью списка
  • Удаление устаревших учетных записей компьютеров в Active Directory с помощью PowerShell
  • Переименовать компьютер и присоединить его к домену
  • Отключение учетных записей компьютеров с помощью списка

  PowerShell ISE — лучший инструмент для работы со сценариями PowerShell. Запустите инструмент PowerShell ISE с правами администратора, нажав «Windows + R» и введя «runas/profile/user:Administrator PowerShell_ISE» в окне «Выполнить». (Кроме того, вы можете щелкнуть правой кнопкой мыши значок PowerShell ISE и выбрать параметр «Запуск от имени администратора».) При появлении запроса введите пароль администратора.

  Прежде чем вы сможете работать с AD и ее объектами, вам необходимо импортировать модуль Active Directory для Windows PowerShell. В Microsoft Windows Server 2008 R2 вам необходимо включить этот модуль, выполнив следующую команду:

  В Microsoft Windows Server 2012 и более поздних версиях этот модуль включен по умолчанию.

  Присоединение компьютера к домену

  Самая распространенная задача — присоединение компьютера к контроллеру домена. Чтобы присоединить ПК к домену Active Directory, локально запустите следующий сценарий PowerShell:

  Компьютер перезагрузится и присоединится к домену; он будет добавлен в контейнер по умолчанию.

  Чтобы удаленно подключить компьютер к контроллеру домена, вам необходимо улучшить этот скрипт следующим образом:

  Переменная $pc и параметр –LocalCredential используются для аутентификации компьютера в домене. Обратите внимание, что для использования этого метода необходимо отключить брандмауэр на локальном компьютере.

  Присоединение нескольких компьютеров к домену

  Вы можете добавить в домен несколько компьютеров, указав их в командной строке в виде списка, разделенного запятыми, или импортировав их имена из текстового файла.

  Вот как указать компьютеры в списке с разделителями-запятыми:

  А вот как использовать текстовый файл со списком компьютеров, которые нужно объединить:

  Удалить компьютер из домена с помощью PowerShell

  Чтобы удаленно удалить компьютер из домена, используйте командлет Remove-Computer. Здесь мы удаляем компьютер из домена, поэтому локальные учетные данные не нужны, и мы можем пропустить параметр ?LocalCredential:

  Чтобы удалить несколько компьютеров с помощью списка в файле TXT, используйте приведенный выше сценарий для присоединения компьютеров к контроллеру домена, заменив командлет Add-Computer на Remove-Computer. Обратите внимание, что для выполнения этой операции отсоединения вам по-прежнему потребуются учетные данные администратора домена.

  Создать объект-компьютер в AD

  Чтобы создать объект-компьютер, используйте командлет New-ADComputer. Например, выполните следующие параметры командлета, чтобы создать объект-компьютер с именем «WKS932» и значением пути LDAP по умолчанию:

  Создание учетных записей компьютеров из CSV-файла

  Если у вас есть список компьютеров, которые необходимо импортировать в Active Directory, сохраните этот список в файл CSV с заголовком «компьютер» и списком имен компьютеров в столбце под ним. Запустите следующий сценарий PowerShell на контроллере домена, чтобы добавить компьютеры из CSV-файла, убедившись, что у вас правильно установлены переменные «Путь» и «Файл»:

  Удалить компьютер из AD

  Чтобы удалить учетную запись компьютера из AD, используйте командлет Remove-ADObject. Параметр -Identity указывает, какой компьютер Active Directory следует удалить. Вы можете указать компьютер по его различающемуся имени, GUID, идентификатору безопасности (SID) или имени учетной записи диспетчера учетных записей безопасности (SAM).

  Вам будет предложено подтвердить удаление.

  Удалить учетные записи компьютеров с помощью списка

  Если у вас есть текстовый файл со списком старых компьютеров, вы можете упростить задачу их удаления с помощью PowerShell. Следующий сценарий будет считывать имена компьютеров из TXT-файла и удалять соответствующие учетные записи с помощью цепочки команд или конвейера:

  Удаление устаревших учетных записей компьютеров из Active Directory с помощью PowerShell

  Устаревшие учетные записи в Active Directory могут быть скомпрометированы, что приведет к нарушениям безопасности, поэтому крайне важно следить за ними.Этот сценарий PowerShell будет запрашивать Active Directory и возвращать все компьютеры, на которых не выполнялся вход в течение последних 30 дней; вы можете легко изменить это значение по умолчанию в скрипте. Он также удалит эти учетные записи, чтобы ваша реклама оставалась чистой.

  Есть один компьютер, FS1, на который не заходили более 30 дней. Система запросит подтверждение перед удалением из домена:

  Если вы хотите отключить, а не удалять неактивные учетные записи компьютеров, замените командлет Remove-ADComputer на Set-ADComputer и параметр и значение -Enabled $false.

  Переименовать компьютер

  Чтобы изменить имя компьютера, используйте командлет Rename-Computer. Обратите внимание, что компьютер должен быть в сети и подключен к Active Directory.

  Если вы хотите запустить этот скрипт локально, он будет выглядеть следующим образом:

  Переименовать компьютер и присоединить его к домену

  Вы можете улучшить сценарий переименования, одновременно присоединив компьютер к домену и поместив его в указанную OU. Сценарий следует запускать на целевой машине, а не на контроллере домена.

  Сценарий запросит учетные данные учетной записи, имеющей разрешение на присоединение компьютеров к домену, после чего компьютер будет переименован, перезапущен и присоединен к домену.

  Отключить учетную запись компьютера AD

  Используйте командлет Disable-ADAccount, чтобы отключить учетные записи пользователей, компьютеров и служб Active Directory. Если вы указываете имя учетной записи компьютера, не забудьте добавить знак доллара ($) в конце имени; в противном случае вы получите сообщение об ошибке после выполнения скрипта.

  Отключить учетные записи компьютеров с помощью списка

  Вы также можете массово отключить учетные записи компьютеров, используя список в текстовом файле:

  Сброс учетной записи компьютера AD

  Как и учетная запись пользователя, учетная запись компьютера взаимодействует с Active Directory с помощью пароля. Но для учетных записей компьютеров по умолчанию смена пароля инициируется каждые 30 дней, а пароль исключен из политики паролей домена. Изменение пароля осуществляется клиентом (компьютером), а не AD.

  Учетные данные компьютера обычно неизвестны пользователю, поскольку они задаются компьютером случайным образом. Но вы можете установить свой собственный пароль; вот скрипт PowerShell для этого:

  Заключение

  Теперь вы узнали, как управлять учетными записями компьютеров Active Directory с помощью PowerShell. Вы можете улучшить все эти скрипты по своему усмотрению, чтобы они соответствовали вашим целям.

  Помните, что очень важно тщательно отслеживать все изменения в учетных записях компьютеров, чтобы вы могли быстро обнаружить любые нежелательные изменения и отреагировать соответствующим образом.

  Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.

  -->

  Описание события:

  Это событие генерируется каждый раз при создании нового объекта компьютера.

  Это событие генерируется только на контроллерах домена.

  Для получения рекомендаций см. Рекомендации по мониторингу безопасности для этого события.

  XML события:

  Необходимые роли сервера: контроллер домена Active Directory.

  Минимальная версия ОС: Windows Server 2008.

  Версии события: 0.

  Описания полей:

  Тема:

  • Идентификатор безопасности [Type = SID]: SID учетной записи, которая запросила операцию «создать объект-компьютер». Средство просмотра событий автоматически пытается разрешить SID и показать имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.

  Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (участника безопасности). Каждая учетная запись имеет уникальный SID, выдаваемый органом власти, например контроллером домена Active Directory, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows.Когда SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать снова для идентификации другого пользователя или группы. Дополнительные сведения об идентификаторах SID см. в разделе Идентификаторы безопасности.

  Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая запросила операцию «создать объект компьютера».

  Домен учетной записи [Type = UnicodeString]: доменное имя субъекта. Форматы различаются и включают следующее:

  Пример доменного имени NETBIOS: CONTOSO

  Полное доменное имя в нижнем регистре: contoso.local

  Полное доменное имя в верхнем регистре: CONTOSO.LOCAL

  Для некоторых общеизвестных принципов безопасности, таких как ЛОКАЛЬНАЯ СЛУЖБА или АНОНИМНЫЙ ВХОД, значение этого поля равно "NT AUTHORITY".

  Идентификатор входа [Type = HexInt64]: шестнадцатеричное значение, которое может помочь вам сопоставить это событие с недавними событиями, которые могут содержать тот же идентификатор входа, например, "4624: вход в учетную запись выполнен успешно".

  Новая учетная запись компьютера:

  Идентификатор безопасности [Type = SID]: SID созданной учетной записи компьютера. Средство просмотра событий автоматически пытается разрешить SID и показать имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.

  Имя учетной записи [Type = UnicodeString]: имя созданной учетной записи компьютера. Например: WIN81$

  Домен учетной записи [Type = UnicodeString]: доменное имя созданной учетной записи компьютера. Форматы различаются и включают следующее:

  Пример доменного имени NETBIOS: CONTOSO

  Полное доменное имя в нижнем регистре: contoso.local

  Полное доменное имя в верхнем регистре: CONTOSO.LOCAL

  Атрибуты:

  Имя учетной записи SAM [Type = UnicodeString]: имя для входа в систему для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя для входа до Windows 2000). Значение атрибута sAMAccountName нового объекта компьютера. Например: WIN81$.

  Отображаемое имя [Type = UnicodeString]: значение атрибута displayName нового объекта компьютера. Это имя, отображаемое в адресной книге для определенной учетной записи (обычно — учетной записи пользователя). Обычно это комбинация имени пользователя, среднего инициала и фамилии. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Основное имя пользователя [Type = UnicodeString]: имя для входа в учетную запись в интернет-стиле, основанное на интернет-стандарте RFC 822. По соглашению это должно сопоставляться с именем электронной почты учетной записи. Этот параметр содержит значение атрибута userPrincipalName нового объекта компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Домашний каталог [Type = UnicodeString]: домашний каталог пользователя. Если атрибут homeDrive установлен и указывает букву диска, homeDirectory должен быть путем UNC. Путь должен быть сетевым UNC вида \\Server\Share\Directory. Этот параметр содержит значение атрибута homeDirectory нового объекта компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Домашний диск [Type = UnicodeString]: указывает букву диска, на которую сопоставляется путь UNC, указанный в атрибуте учетной записи homeDirectory. Буква диска должна быть указана в формате DRIVE\_LETTER: . Например – Х: . Этот параметр содержит значение атрибута homeDrive нового объекта-компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Путь к сценарию [Type = UnicodeString]: указывает путь к сценарию входа в учетную запись. Этот параметр содержит значение атрибута scriptPath нового объекта компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Путь к профилю [Type = UnicodeString]: указывает путь к профилю учетной записи. Это значение может быть пустой строкой, локальным абсолютным путем или путем UNC. Этот параметр содержит значение атрибута profilePath нового объекта компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

  Рабочие станции пользователя [Type = UnicodeString]: содержит список имен NetBIOS или DNS компьютеров, с которых пользователь может войти в систему. Каждое имя компьютера отделяется запятой. Имя компьютера — это свойство sAMAccountName объекта-компьютера. Этот параметр содержит значение атрибута userWorkstations нового объекта компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Последний набор пароля [Type = UnicodeString]: время последнего изменения пароля учетной записи. Для учетной записи компьютера, созданной вручную с помощью оснастки Active Directory Users and Computers, это поле обычно имеет значение . Для учетной записи компьютера, созданной во время стандартной процедуры присоединения к домену, это поле будет содержать время создания объекта компьютера, поскольку пароль создается во время процедуры присоединения к домену. Например: 12.08.2015 11:41:39. Этот параметр содержит значение атрибута pwdLastSet нового объекта компьютера.

  Срок действия учетной записи [Type = UnicodeString]: дата истечения срока действия учетной записи. Этот параметр содержит значение атрибута accountExpires нового объекта-компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Идентификатор основной группы [Type = UnicodeString]: относительный идентификатор (RID) основной группы объектов компьютера.

  Относительный идентификатор (RID) – это число переменной длины, которое присваивается объектам при создании и становится частью идентификатора безопасности (SID) объекта, уникально идентифицирующего учетную запись или группу в домене.

  Обычно поле «Основная группа» для новых учетных записей компьютеров имеет следующие значения:

  516 (контроллеры домена) — для контроллеров домена.

  521 (контроллеры домена только для чтения) — для контроллеров домена только для чтения (RODC).

  515 (компьютеры домена) — для рядовых серверов и рабочих станций.

  Дополнительную информацию см. в известных принципах безопасности. Этот параметр содержит значение атрибута primaryGroupID нового объекта-компьютера.

  • AllowedToDelegateTo [Type = UnicodeString]: список имен участников-служб, которым эта учетная запись может предоставлять делегированные учетные данные. Можно изменить с помощью консоли управления «Пользователи и компьютеры Active Directory» на вкладке «Делегирование» учетной записи компьютера. Обычно устанавливается значение - для новых компьютерных объектов. Этот параметр содержит значение атрибута AllowedToDelegateTo нового объекта-компьютера. Дополнительные сведения см. в описании поля AllowedToDelegateTo для события «4742: учетная запись компьютера была изменена».

  Имя субъекта-службы (SPN) — это имя, по которому клиент однозначно идентифицирует экземпляр службы. Если вы устанавливаете несколько экземпляров службы на компьютерах в лесу, каждый экземпляр должен иметь собственное имя участника-службы. У данного экземпляра службы может быть несколько имен участников-служб, если существует несколько имен, которые клиенты могут использовать для проверки подлинности. Например, имя участника-службы всегда включает имя главного компьютера, на котором запущен экземпляр службы, поэтому экземпляр службы может зарегистрировать имя участника-службы для каждого имени или псевдонима своего узла.

  Старое значение UAC [Type = UnicodeString]: указывает флаги, управляющие паролем, блокировкой, отключением/включением, сценарием и другим поведением для учетной записи пользователя или компьютера. Старое значение UAC всегда 0x0 для новых учетных записей компьютеров. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта компьютера.

  Новое значение UAC [Type = UnicodeString]: указывает флаги, управляющие паролем, блокировкой, отключением/включением, сценарием и другим поведением для учетной записи пользователя или компьютера. Этот параметр содержит значение атрибута userAccountControl нового объекта компьютера.

  Чтобы расшифровать это значение, вы можете просмотреть определения значений свойств в «Таблица 7. Флаги UAC учетной записи пользователя или компьютера». от большего к меньшему. Сравните каждое значение свойства со значением флага в событии. Если значение флага в событии больше или равно значению свойства, то свойство устанавливается и применяется к этому событию. Вычтите значение свойства из значения флагов в событии и обратите внимание, что флаг применяется, а затем перейдите к следующему флагу.

  Вот пример: значение флага из события: 0x15

  0x0020 > 0x15, поэтому PASSWD_NOTREQD не применяется к этому событию

  0x10 0x1, поэтому ACCOUNTDISABLE не применяется к этому событию

  0x1 = 0x1, поэтому к этому событию применяется SCRIPT. 0x1 - 0x1 = 0x0, готово.

  Значит, значение этого флага UAC декодируется в: LOCKOUT и SCRIPT

  • Контроль учетных записей пользователей [Type = UnicodeString]: показывает список изменений в атрибуте userAccountControl. Вы увидите строку текста для каждого изменения.Для новых учетных записей компьютеров при создании объекта для этой учетной записи значение userAccountControl считалось равным 0x0, а затем оно было изменено с 0x0 на реальное значение атрибута userAccountControl учетной записи. См. возможные значения в таблице ниже. В столбце "Текст поля контроля учетных записей пользователей" вы можете увидеть текст, который будет отображаться в поле контроля учетных записей пользователей в событии 4741.

  Таблица 7. Флаги UAC учетной записи пользователя или компьютера.

  Параметры пользователя [Type = UnicodeString]: если вы измените какой-либо параметр с помощью консоли управления Active Directory Users and Computers на вкладке Dial-in в свойствах учетной записи компьютера, вы увидите в этом поле «4742(S): Компьютер учетная запись была изменена». Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Журнал SID [Type = UnicodeString]: содержит предыдущие идентификаторы SID, использовавшиеся для объекта, если объект был перемещен из другого домена. Всякий раз, когда объект перемещается из одного домена в другой, создается новый SID, который становится objectSID. Предыдущий SID добавляется в свойство sIDHistory. Этот параметр содержит значение атрибута sIDHistory нового объекта компьютера. Этот параметр может не быть зафиксирован в событии, и в этом случае отображается как - .

  Часы входа в систему [Type = UnicodeString]: часы, в течение которых учетной записи разрешен вход в домен. Значение атрибута logonHours нового объекта компьютера. Для объектов-компьютеров это необязательно и обычно не устанавливается. Вы можете изменить этот атрибут с помощью Active Directory Users and Computers или, например, с помощью сценария. Вы увидите значение для новых созданных учетных записей компьютеров в событии 4741.

  Имя хоста DNS [Type = UnicodeString]: имя учетной записи компьютера, зарегистрированное в DNS. Значение атрибута dNSHostName нового объекта компьютера. Для объектов учетных записей компьютеров, созданных вручную, это поле имеет значение - .

  Имена субъектов-служб [Type = UnicodeString]: список имен участников-служб, зарегистрированных для учетной записи компьютера. Для новых учетных записей компьютеров он обычно содержит имена участников-служб HOST и имена участников-служб RestrictedKrbHost. Значение атрибута servicePrincipalName нового объекта компьютера. Для созданных вручную компьютерных объектов он обычно равен - . Это пример поля Service Principal Names для новой рабочей станции, присоединенной к домену:

  Дополнительная информация:

  • Privileges [Type = UnicodeString]: список привилегий пользователя, которые использовались во время операции, например, SeBackupPrivilege. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - . См. полный список привилегий пользователя в таблице ниже:

  Рекомендации по мониторингу безопасности

  Для 4741(S): создана учетная запись компьютера.

  Если ваша политика мониторинга информационной безопасности требует, чтобы вы отслеживали создание учетной записи компьютера, отслеживайте это событие.

  База данных Active Directory имеет определенные ограничения, связанные с именованием объектов-компьютеров. Поскольку эти ограничения часто конфликтуют с пространствами имен, используемыми в развертывании Unix/Linux, у AD Bridge есть способы интегрировать несоответствия между ними. AD Bridge выполняет это, используя значение dNSHostName объекта компьютера в качестве первичного ключа для идентификации компьютера в Active Directory. Из-за этого имя компьютера в AD (sAMAccountName) не обязательно должно совпадать с локальным именем хоста системы.

  Имена компьютеров длиной более 15 символов

  В системах Windows (и Active Directory) длина имени компьютера (sAMAccountName) не может превышать 15 символов. Это ограничение соблюдается и применяется во всей Windows. В средах UNIX имена машин могут содержать более 15 символов, например prod-oracle-db12. AD Bridge поддерживает имена компьютеров длиной более 15 символов, создавая новое хешированное имя компьютера в процессе присоединения. Сгенерированное имя состоит из первых семи символов исходного имени, дефиса и уникального семизначного кода.

  Например, имя компьютера Oracle prod-oracle-db12 может быть объединено как PROD-OR-PC3LRX4. Это сгенерированное имя машины представляет объект только в AD. Имя не используется в качестве имени хоста на локальном компьютере и не используется при обмене данными с системой с других хостов.

  Повторяющиеся имена компьютеров

  Чтобы сохранить полное доменное имя каждой машины, при выполнении операции присоединения необходимо указать параметр --disable hostname.

  Следующее ограничение не имеет прямого отношения ни к одной из перечисленных проблем делегирования. Начиная с Windows 2012 R2, Microsoft начала реализовывать уникальность имени участника-службы во всем лесу Active Directory. Поскольку каждый объект-компьютер регистрирует короткое имя участника-службы в форме HOST/COMPUTERNAME, даже компьютеры с разными полными доменными именами будут иметь проблемы при присоединении к нескольким доменам с повторяющимися именами компьютеров.

  В предыдущих версиях (до 2012 R2) два объекта-компьютера с одинаковым именем sAMAccountName могли существовать в разных доменах одного леса. Например, ДОМЕН\СЕРВЕРА и ДОМЕНБ\СЕРВЕРА. Хотя это могло быть не рекомендовано, это было разрешено, и некоторые организации могут зависеть от этой функции в зависимости от их процесса. В 2012 R2 и более поздних версиях присоединение с тем же именем sAMAccountName, что и у другой системы в лесу, завершится ошибкой.

  Это ограничение Windows, а не AD Bridge.

  Дополнительную информацию см. в разделе Уникальность имени участника-службы и имени участника-пользователя.

  Избегайте сгенерированных (хешированных) имен компьютеров

  В некоторых средах предпочтительнее управлять значением созданного объекта-компьютера, а не полагаться на динамически хешированные значения. Это может быть достигнуто путем предварительной подготовки компьютерного объекта. При предварительной настройке учетной записи компьютера по-прежнему необходимо выбрать уникальное имя для каждого компьютера. Например, указанные выше компьютеры Oracle могут быть предварительно настроены как ORACLE12-PROD и ORACLE12-DEV до присоединения.

  Чтобы предварительно настроить учетную запись компьютера, чтобы избежать создания или хеширования имен, выполните стандартную процедуру предварительной подготовки учетных записей компьютеров. Затем выполните следующее:

  1. Используя Active Directory Users and Computers, ADSI Edit или другой инструмент, способный напрямую изменять атрибуты AD, находить и просматривать свойства предварительно настроенной учетной записи компьютера.
  2. Найдите и измените атрибут dnsHostName, чтобы он совпадал с полным доменным именем компьютера, к которому будет присоединен этот компьютер.
  3. Сохранить все изменения.

  BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.

  ©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022

  Прочитайте разделы этой главы, чтобы решить проблемы с присоединением к домену.

  10 основных причин сбоя присоединения к домену

  Вот 10 основных причин неудачной попытки присоединения к домену:

  1. Корневой каталог не использовался для запуска команды присоединения к домену (или для запуска графического пользовательского интерфейса присоединения к домену).
  2. Неверное имя пользователя или пароль учетной записи, используемой для присоединения к домену.
  3. Ошибка в имени домена.
  4. Ошибка в названии организационной единицы.
  5. Недопустимое локальное имя хоста.
  6. Контроллер домена недоступен для клиента из-за брандмауэра или из-за того, что на контроллере домена не запущена служба NTP.
  1. Клиент использует RHEL 2.1 и старую версию SSH.
  2. В SUSE необходимо перезапустить GDM (dbus). Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с помощью графического пользовательского интерфейса.
  3. В Solaris необходимо перезапустить dtlogin. Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с графическим пользовательским интерфейсом Solaris. Чтобы перезапустить dtlogin, выполните следующую команду:
  4. SELinux настроен либо на принудительное, либо на разрешающее действие, скорее всего, в Fedora. Перед присоединением компьютера к домену необходимо отключить SELinux.

  Чтобы отключить SELinux, см. справочную страницу SELinux.

  Решение проблем с присоединением к домену

  Чтобы устранить проблемы с присоединением компьютера Linux к домену, последовательно выполните следующую серию диагностических тестов на компьютере Linux с учетной записью root.

  Эти тесты также можно использовать для устранения неполадок при присоединении к домену на компьютере Unix; однако синтаксис команд в Unix может немного отличаться.

  В процедурах, описанных в этом разделе, предполагается, что вы уже проверили, относится ли проблема к 10 основным причинам неудачного присоединения к домену (см. выше). Мы также рекомендуем создать журнал присоединения к домену.

  Убедитесь, что сервер имен может найти домен

  Выполните следующую команду от имени пользователя root:

  Убедитесь, что клиент может подключиться к контроллеру домена

  Вы можете убедиться, что ваш компьютер может подключиться к контроллеру домена, отправив ему команду ping:

  Проверьте подключение к DNS

  Возможно, компьютер использует неправильный DNS-сервер или вообще не использует его. Убедитесь, что запись сервера имен в файле /etc/resolv.conf содержит IP-адрес DNS-сервера, который может разрешать имя домена, к которому вы пытаетесь присоединиться. Скорее всего, это IP-адрес одного из ваших контроллеров домена.

  Убедитесь, что nsswitch.conf настроен на проверку имен хостов в DNS

  Файл /etc/nsswitch.conf должен содержать следующую строку. (В AIX это файл /etc/netsvc.conf.)

  В частности, компьютеры с ОС Solaris могут не содержать эту строку в nsswitch.conf, пока вы ее не добавите.

  Убедитесь, что DNS-запросы используют правильную карту сетевого интерфейса

  Если компьютер является многосетевым, DNS-запросы могут отправляться не на ту сетевую карту.

  Временно отключите все сетевые адаптеры, кроме карты в той же подсети, что и ваш контроллер домена или DNS-сервер, а затем проверьте поиск DNS в домене AD.

  Если это работает, снова включите все сетевые адаптеры и отредактируйте локальные или сетевые таблицы маршрутизации, чтобы контроллеры домена AD были доступны с хоста.

  Определить, настроен ли DNS-сервер для возврата записей SRV

  Ваш DNS-сервер должен быть настроен на возврат записей SRV, чтобы можно было найти контроллер домена. DNS-серверы, отличные от Windows (привязка), часто не настроены на возврат записей SRV.

  Проверьте это, выполнив следующую команду:

  Убедитесь, что глобальный каталог доступен

  Должен быть доступен глобальный каталог Active Directory. Глобальный каталог в другой зоне может не отображаться в DNS. Диагностируйте его, выполнив следующую команду:

  Из списка IP-адресов в результатах выберите один или несколько адресов и проверьте, доступны ли они через порт 3268 с помощью telnet.

  Убедитесь, что клиент может подключиться к домену через порт 123

  В следующем тесте проверяется, может ли клиент подключиться к контроллеру домена через порт 123 и запущена ли служба протокола сетевого времени (NTP) на контроллере домена. Чтобы клиент мог присоединиться к домену, NTP, служба времени Windows, должна работать на контроллере домена.

  На компьютере с Linux выполните следующую команду от имени пользователя root:

  Дополнительную информацию см. в разделе Диагностика NTP на порту 123

  Кроме того, проверьте журналы контроллера домена на наличие ошибок из источника с именем w32tm, который является службой времени Windows.

  FreeBSD: запустите ldconfig, если не удается перезагрузить компьютер

  При установке AD Bridge Enterprise на новый компьютер с FreeBSD, в котором ничего нет в /usr/local, запустите /etc/rc.d/ldconfig start после установки, если не удается перезагрузить компьютер. В противном случае /usr/local/lib не будет в пути поиска библиотеки.

  Игнорировать недоступные доверительные отношения

  Недоступное доверие может помешать успешному присоединению к домену. Если вы знаете, что в вашей сети Active Directory есть недоступные доверительные отношения, вы можете настроить AD Bridge Enterprise на игнорирование всех доверительных отношений, прежде чем пытаться присоединиться к домену. Для этого используйте инструмент настройки, чтобы изменить значения параметра DomainManagerIgnoreAllTrusts.

  Результаты будут выглядеть примерно так. Параметр, о котором идет речь, — DomainManagerIgnoreAllTrusts.

  1. Перечислите сведения о параметре DomainManagerIgnoreAllTrusts, чтобы увидеть, какие значения он принимает:
  1. Измените значение параметра на true, чтобы AD Bridge Enterprise игнорировал доверительные отношения при попытке присоединиться к домену.
  1. Проверьте, чтобы изменения вступили в силу:

  Теперь попробуйте снова присоединиться к домену. В случае успеха имейте в виду, что только пользователи и группы, которые находятся в локальном домене, смогут войти в систему на компьютере.

  В приведенном выше примере вывода, который показывает текущие значения параметра, указана локальная политика, что означает, что параметр управляется локально через конфигурацию, поскольку параметр групповой политики предприятия AD Bridge не управляет параметром. Как правило, с AD Bridge Enterprise вы должны управлять параметром DomainManagerIgnoreAllTrusts с помощью соответствующего параметра групповой политики, но вы не можете применять объекты групповой политики (GPO) к компьютеру до тех пор, пока он не будет добавлен в домен. Соответствующий параметр политики AD Bridge Enterprise называется Lsass: игнорировать все доверительные отношения при перечислении доменов.

  Для получения информации об аргументах config выполните следующую команду:

  Устранение распространенных сообщений об ошибках

  В этом разделе перечислены решения для распространенных ошибок, которые могут возникнуть при попытке присоединиться к домену.

  Конфигурация krb5

  Удалите /etc/krb5.conf и попробуйте снова присоединиться к домену.

  Ошибка Chkconfig

  Эта ошибка может возникнуть, когда вы пытаетесь присоединиться к домену или пытаетесь выполнить команду domain-join с параметром, но демон netlogond еще не запущен.

  Описание: Произошла ошибка при использовании chkconfig для обработки демона netlogond, который необходимо добавить в список процессов, запускаемых при перезагрузке компьютера. Проблема может быть вызвана сценариями запуска в дереве /etc/rc.d/, несовместимыми с LSB.

  Проверка. Выполнение следующей команды от имени пользователя root может предоставить информацию об ошибке:

  Удалите сценарии запуска, не соответствующие LSB, из дерева /etc/rc.d/.

  Проблемы репликации

  При наличии задержек репликации в вашей среде может возникнуть следующая ошибка. Задержка репликации может возникнуть, если клиент находится на том же сайте, что и контроллер домена только для чтения.

  После возникновения ошибки подождите 15 минут, а затем выполните следующую команду, чтобы перезапустить AD Bridge Enterprise:

  Диагностика NTP на порту 123

  При использовании утилиты присоединения к домену AD Bridge Enterprise для присоединения клиента Linux или Unix к домену эта утилита может быть не в состоянии связаться с контроллером домена через порт 123 с помощью UDP. Агент AD Bridge Enterprise требует, чтобы порт 123 был открыт на клиенте, чтобы он мог получать данные NTP от контроллера домена. Кроме того, на контроллере домена должна быть запущена служба времени.

  Вы можете диагностировать подключение NTP, выполнив следующую команду от имени пользователя root в командной строке вашего компьютера с Linux:

  Если все в порядке, результат должен выглядеть следующим образом:

  Вывод при отсутствии службы NTP

  Если контроллер домена не использует NTP на порту 123, команда возвращает ответ, например подходящий сервер для синхронизации не найден, как показано в следующем выводе:

  Отключить Apache для присоединения к домену

  Веб-сервер Apache блокирует файл keytab, что может заблокировать попытку присоединения к домену. Если на компьютере работает Apache, остановите Apache, присоединитесь к домену и перезапустите Apache.

  BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.

  ©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022

  Читайте также:

    
  • Программное обеспечение для программирования Pascal
    
  • Перенос контактов из Google в Outlook
    
  • Как изменить организатора собрания в Outlook
    
  • Какие программы входят в состав Microsoft Office 2007
    
  • Программное обеспечение для лидара iphone 12 pro