Как подключить windows 10 к домену windows server 2003

Здравствуйте!

Для ввода компьютера с ОС Windows 10 Pro в домен на базе ОС Windows Server 2003 мне потребовалось предварительно включить поддержку протокола SMB 1.0. Подключение к домену прошло успешно.

Теперь пытаюсь добавить доменного пользователя в систему. Пользователь находится успешно, но при завершающем моменте его добавления получаю следующую ошибку: ‘Не удалось обработать объект с именем «ФИО»
из-за следующей ошибки: Сервер RPC недоступен.’ 

В журнале система проскакивают следующие ошибки от источника DistributedCOM и кодом события 10016:

Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID 
Windows.SecurityCenter.WscDataProtection
 и APPID 
Недоступно
 пользователю NT AUTHORITYСИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID 
Windows.SecurityCenter.WscBrokerManager
 и APPID 
Недоступно
 пользователю NT AUTHORITYСИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Я находил в интернете решения с добавлением прав доступа через реестр. Но, в моём случае APPID недоступен.

Что сможете предложить для решения моей проблемы?

У меня Windows 10 Pro (обновленная с Windows 8.1 Pro), и я не могу присоединиться к домену. Все существующие профили и настройки работают, но сегодня мне нужно было войти в систему с учетной записью пользователя, которая никогда ранее не заходила на этот компьютер. И я получил сообщение:

В настоящее время нет серверов входа, доступных для обслуживания входа

Пробовал эти шаги: войти в систему локального администратора, покинуть домен, перезагрузить компьютер, изменить имя хоста компьютера, перезагрузиться снова, присоединиться к домену.

Но сейчас я застрял, потому что я не могу снова присоединиться к домену. Я получил сообщение о том, что доменное имя не найдено или не может связаться.

Я удалил компьютер из активного каталога DC, сбросил DNS на компьютере и DC, перезагрузил DC, вручную изменил DNS на компьютере, включил NetBIOS через TCP/IP на IPv4. Но ничего не помогает, всегда получайте одно и то же сообщение о том, что домен не найден или с ним невозможно связаться.

Это то, что я нашел в папке WINDOWSdebug в одном текстовом файле (имя файла не запоминается)

09/03/2015 15:49:29:477 NetpDoDomainJoin
09/03/2015 15:49:29:477 NetpDoDomainJoin: using current computer names
09/03/2015 15:49:29:477 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
09/03/2015 15:49:29:477 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
09/03/2015 15:49:29:477 NetpMachineValidToJoin: 'IVETA-PC'
09/03/2015 15:49:29:477 NetpMachineValidToJoin: status: 0x0
09/03/2015 15:49:29:477 NetpJoinDomain
09/03/2015 15:49:29:477     HostName: Iveta-PC
09/03/2015 15:49:29:477     NetbiosName: IVETA-PC
09/03/2015 15:49:29:477     Domain: NEPLPADOME
09/03/2015 15:49:29:477     MachineAccountOU: (NULL)
09/03/2015 15:49:29:477     Account: NEPLPADOMEadministrator
09/03/2015 15:49:29:477     Options: 0x27
09/03/2015 15:49:29:493 NetpValidateName: checking to see if 'NEPLPADOME' is valid as type 3 name
09/03/2015 15:49:29:555 NetpCheckDomainNameIsValid [ Exists ] for 'NEPLPADOME' returned 0x0
09/03/2015 15:49:29:555 NetpValidateName: name 'NEPLPADOME' is valid for type 3
09/03/2015 15:49:29:555 NetpDsGetDcName: trying to find DC in domain 'NEPLPADOME', flags: 0x40001010
09/03/2015 15:49:44:559 NetpDsGetDcName: failed to find a DC having account 'IVETA-PC$': 0x525, last error is 0x0
09/03/2015 15:49:59:562 NetpDsGetDcName: failed to find a DC in the specified domain: 0x54b, last error is 0x0
09/03/2015 15:49:59:562 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x54b
09/03/2015 15:49:59:562 NetpJoinDomainOnDs: Function exits with status of: 0x54b
09/03/2015 15:49:59:562 NetpJoinDomainOnDs: NetpResetIDNEncoding on '(null)': 0x0
09/03/2015 15:49:59:562 NetpDoDomainJoin: status: 0x54b

Что может быть причиной этого? Сервер старый и не я настроил Server 2003 и DC. Я не думаю, что есть какая-то особая конфигурация, просто простой DC.

Я могу пинговать сервер из cmd по имени и IP-адресу. Я использую ту же сеть, что и домен. После изменения DNS на IP-адрес сервера (который по умолчанию используется один раз) и перерегистрации DNS, я получил ту же ошибку.

Оглавление:

• Присоедините ПК или устройство с Windows 10 к домену
• Покинуть домен

Доменная сеть обеспечивает централизованное администрирование всей сети с одного компьютера, называемого сервером. Домены обеспечивают однопользовательский вход с любого сетевого компьютера в пределах периметра сети. Пользователи могут получить доступ к ресурсам, для которых у них есть соответствующие разрешения. Хотя я не хочу вдаваться в сложности доменных сетей, вы можете узнать больше, обратившись к администратору сети, если у вас возникнут трудности с подключением к вашему рабочему домену.

Чтобы присоединиться к домену, вы должны сначала убедиться, что у вас есть следующая информация и ресурсы:

• Учетная запись пользователя в домене. Эту информацию вы можете получить у сетевого администратора. Имя домена. На компьютере под управлением Windows 10 Pro или Enterprise / Education Edition. Контроллер домена должен работать под управлением Windows Server 2003 (функциональный уровень или более поздний). Во время тестирования я обнаружил, что Windows 10 не поддерживает контроллеры домена Windows 2000 Server.

Присоедините ПК или устройство с Windows 10 к домену

На ПК с Windows 10 зайдите в Настройки> Система> О программе затем нажмите Присоединиться к домену.

Введите имя домена и нажмите «Далее». У вас должна быть правильная информация о домене, но если нет, обратитесь к администратору сети.

Введите информацию об учетной записи, которая используется для аутентификации в Домене, затем нажмите OK.

Подождите, пока ваш компьютер аутентифицирован в Домене.

Нажмите Next, когда увидите этот экран.

И тогда вам нужно будет перезагрузить, чтобы завершить процесс.

Когда появится экран входа, вы увидите, что отображается учетная запись DOMAIN User. Введите свой пароль, и вы войдете в свой домен.

Вы заметите, что, как только вы подключитесь к Домену, ваши настройки About больше не будут содержать список опций, которые были представлены ранее. Это потому, что ваш компьютер централизованно управляется сервером.

Покидая Домен или войдите в свою локальную учетную запись

Если возникает необходимость, когда вам нужно покинуть домен или войти в свою локальную учетную запись, вы можете легко это сделать. Войдите в свою локальную учетную запись, когда ваш компьютер присоединен к домену. Выйдите из машины на экране входа, выберите «Другой» пользователь.

Введите имя машины, затем обратную косую черту, а затем учетную запись локального пользователя, как показано ниже.

Покинуть домен

Чтобы покинуть домен, войдите в свою локальную учетную запись, нажмите « Пуск»> «Настройка»> «Система»> «О программе» и выберите «Отключиться от организации».

Обратите внимание, что при присоединении к домену может потребоваться изменить пароль при первом входе в систему.

Skip to content

В этой статье мы рассмотрим, как ввести компьютер с Windows 10/11 или Windows Server 2022/2019/2016 в домен Active Directory.

Предварительные требования для присоединения Windows к домену

Рассмотрим основные требования и подготовительные шаги, которые нужно выполнить на вашем компьютере для подключения его к домену Active Directory:

• В домен можно добавить только следующие редакции Windows 10/11: Pro, Education, Pro for Workstations и Enterprise. Редакции Home не поддерживают работу в домене Active Directory;
• Вы должны подключить ваш компьютер к локальной сети, из которой доступен хотя бы один контроллер домена AD. Предположим, что на вашем компьютере уже настроен IP адрес из локальной подсети, а в настройках DNS северов указаны IP адреса ближайших котроллеров домена (вы можете настроить параметры сетевого адаптера вручную или получить от DHCP сервера);
• Проверьте, что ваш компьютер может отрезолвить имя домена и с него доступны контроллеры домена:
  ping contoso.com
  
• Время на компьютере не должно сильно расходится со временем на контроллере домена (плюс-минус пять минут). Корректное время нужно для выполнения Kerberos аутентификации;
• Задайте имя вашего компьютера (hostname), под которым он будет добавлен в домен. По умолчанию Windows генерирует имя компьютера при установке, но лучше изменить его на что-то более осмысленное. Вы можете изменить имя компьютера
  Через классическую панель
  sysdm.cpl
  . Нажмите кнопку Change, укажите новое имя компьютера и нажмите OK (как вы видите, сейчас компьютера находится в рабочей группе Workgroup);
  Также Можно изменить имя компьютера с помощью PowerShell команды:
  Rename-Computer -NewName "wks-test1"
  
  

После смены
hostname
нужно перезагрузить Windows.

Вводим компьютер Windows в домен через классический интерфейс System Properties

Вы можете добавить ваш компьютер в домен из классической панели управления Windows.

1. Выполните команду
   sysdm.cpl
   и нажмите кнопку Change;
2. В поле Member of переключите опцию на Domain и укажите имя вашего домена;
3. Появится запрос имени и пароля пользователя, которому делегированы административные права на добавление компьютеров в домен. Это может быть обычный пользователь AD (по умолчанию любой пользователь домена может присоединить до 10 устройств) или учетная запись с правами Domain Admins;
4. После этого должна появится надпись Welcome to the contoso.com domain;
5. Перезагрузите компьютер.

В Windows Server 2022/2019/2019 диалог System Properties для присоединения к домену AD можно открыть из Server Manager -> Local Server -> Domain.

После перезагрузки к компьютеру загрузить и применит доменные групповые политики, а вы может выполнить аутентификацию на компьютере с помощью учетной записи пользователя домена.

Добавление Windows в домен через панель Settings

В современных версиях Windows 10 и Windows 11 вы можете присоединить ваш компьютер в домен AD через панель Settings.

1. Перейдите в раздел Settings -> Accounts -> Access work or school -> нажмите Connect (для быстрого перехода в этот раздел Setting можно использовать команду быстрого доступа: ms-settings:workplace);
2. В открывшейся форме нажмите на ссылку Alternate actions: Join this device to a local Active Directory domain;

   Если ваш компьютер уже добавлен в домен, здесь будет надпись Connected to CONTOSO AD domain.

3. Укажите имя домена в форме Join a domain;
4. Затем укажите имя доменного пользователя и пароль.
5. Пропустите следующий шаг с добавлением пользователя в администраторы (вы можете добавить пользователя в локальные админы с помощью GPO);
6. Осталось перезагрузить компьютер, чтобы завершить добавление в домен.

Добавить Windows в домен с помощью PowerShell

Для присоединения компьютеров к домену Active Directory можно использовать команду Powershell Add-Computer. Командлет позволяет ввести компьютер в домен с новым именем, а также позволяет сразу поместить учетную запись компьютера в определенный OU.

В самом простом случае для добавления в домен достаточно выполнить команду:

Add-Computer -DomainName contoso.com

Появится окно, в котором нужно указать свою учетную запись и пароль.

Вы можете сразу поместить ваш компьютер в нужную OU. Для этого имя OU в формате DN (distinguishedName) нужно указать в параметре OUPath:

$OU ="OU=Computers,OU=SPB,OU=RU,DC=contosoc,DC=loc"
Add-Computer -DomainName contoso.loc -OUPath $OU -Restart

Ключ -Restart означает, что вы хотите перезагрузить Windows сразу после завершения команды добавления в домен.

После перезагрузки вы можете проверить, что ваш компьютер теперь является членом домена Windows с помощью команды:

Get-WmiObject Win32_NTDomain

Команда вернули имя домена, сайта AD, IP адрес и имя контроллера домена, через который выполнен вход (Logon server)

Также можно получить имя вашего домена с помощью команды:

systeminfo | findstr /B "Domain"

Вы можете добавить удаленный компьютер в домен. Для этого нужно указать имя компьютера в параметре -ComputerName:

Add-Computer -ComputerName wks-pc22 -DomainName contoso.com -Credential contosoAdministrator -LocalCredential wks-pc22Admin -Restart –Force

В новых версиях PowerShell Core 6.x и 7.x команда Add-Computer отсутствует в модуле Microsoft.PowerShell.Management.

Add-Computer: The term 'Add-Computer' is not recognized as a name of a cmdlet, function, script file, or executable program.
Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
Suggestion [4,General]: The most similar commands are: Add-Computer, Stop-Computer, Get-ADComputer, New-ADComputer, Set-ADComputer, Add-Content, Rename-Computer, Add-Member.

Поэтому для добавления компьютера в домен, нужно запускать
powershell.exe
, а не pwsh.exe.

Если вам нужно вывести компьютер из домена и вернуть его в рабочую группу, выполните команду PowerShell:

Remove-Computer

After you leave the domain, you will need to know the password of the local Administrator account to log onto this computer. Do you wish to continue?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y

Предварительное создание учетной записи компьютера в домене

При добавлении в домен новые компьютеры по умолчанию помещаются в стандартный контейнер (Organizational Unit / OU) с именем Computers в корне домена. Вы можете вручную перенести учетную запись компьютера в новую OU с помощью пункта меню Move или простым перетягиванием (drag and drop).

Администратор может предварительно создать учетную запись компьютера в Active Directory с помощью графической консоли Active Directory Users and Computers dsa.msc (New -> Computer) или с помощью командлета New-ADComputer из модуля ActiveDirectory PowerShell:
New-ADComputer -Name "wks-msk022" -SamAccountName "wks-msk022" -Path "OU=Computers,OU=MSK,OU=RU,DC=contoso,DC=loc"

Если вы создаёте учетную запись компьютера вручную, ее имя должно совпадать с именем компьютера (hostname), который вы добавляете в домен AD.

Сначала рекомендуем воспользоваться поиском в AD для поиска компьютеров с таким же именем. Если это имя уже занято, и вы хотите его использовать для другого компьютера, можно его сбросить. Щёлкните правой клавишей по компьютеру в AD и выберите Reset Account.

Также можно сбросить учетную запись компьютера в AD с помощью команды:

Get-ADComputer -Identity "computername" | % {dsmod computer $_.distinguishedName -reset}

Это сбросит пароль компьютера в домене который используется для установки доверительных отношений с AD.

Присоединение компьютера к домену
Active Directory

В стандартной конфигурации Windows Server
2003 и всех ОС Microsoft Windows компьютер
принадлежит какой-либо рабочей
группе (workgroup). В рабочей группе
компьютер на базе Windows NT (включая Windows
NT 4, 2000, XP и Windows Server 2003) может проверять
подлинность пользователей только из
своей локальной БД диспетчера учетных
записей безопасности (Security
Accounts Manager,
SAM). Такая система автономна
во всех смыслах. Принадлежность к рабочей
группе позволяет лишь видеть список
компьютеров своей группы в Проводнике.
Хотя пользователь такого компьютера
и может подсоединяться к общим ресурсам
на других машинах в рабочих группах или
доменах, он на самом деле не входит в
систему под доменной учетной записью.

Чтобы пользователь входил в систему
под доменной учетной записью, компьютер
должен принадлежать какому-нибудь
домену: необходимо создать учетную
запись компьютера и настроить его для
присоединения к домену по этой учетной
записи.

Учетная запись компьютера, как и учетная
запись пользователя, содержит имя,
пароль и идентификатор безопасности
(security identifier, SID). Эти свойства встроены
в класс объекта компьютера в Active
Directory. Подготовка к включению компьютера
в домен, таким образом, очень похожа на
подготовку объекта пользователя для
добавления в домен: вам нужно создать
в Active Directory объект компьютера.

Создание учетных записей компьютеров

Для создания объекта компьютера в Active
Directory необходимо быть членом групп
Администраторы (Administrators) или Операторы
учета (Account Operators) на контроллерах
домена. Члены групп Администраторы
домена (Domain Admins) и Администраторы
предприятия (Enterprise Admins) по умолчанию
являются участниками группы Администраторы
(Administrators). Также можно делегировать
административные права, чтобы другие
пользователи или группы могли создавать
объекты компьютеров.

Впрочем, пользователи домена также
могут создавать объекты компьютеров
косвенным путем. Когда компьютер
присоединяется к домену, а учетная
запись еще не создана, Active Directory по
умолчанию автоматически создает объект
компьютера в контейнере Computers. Каждому
пользователю из группы Прошедшие
проверку (Authenticated Users) (то есть всем
пользователям) разрешается присоединять
к домену до 10 компьютеров и, следовательно,
создавать до 10 объектов компьютеров.

Создание объектов компьютеров в
консоли Active Directory – пользователи
и компьютеры

Чтобы создать объект компьютера, или
его учетную запись, откройте консоль
Active Directory —
пользователи и компьютеры (Active
Directory Users
And Computers) и
выберите контейнер или ОП, в котором
нужно создать объект. В меню Действие
(Action) или в контекстном меню выберите
команду Создать (New)Компьютер (Computer).
Откроется диалоговое окно Новый
объект — Компьютер (New
Object_Computer), показанное на рис. 6_1.

Рис. 6_1. Диалоговое окно Новый
объект — Компьютер

В окне Новый объект — Компьютер
(New Object—Computer) введите имя
компьютера.

Щелкните OK.

Создание объектов компьютеров командой
DSADD

Windows Server 2003 предоставляет удобную команду
DSADD, позволяющую создавать объекты
компьютеров из командной строки или в
ходе выполнения командного файла.

Для создания объекта компьютера просто
введите dsadd computer DN_компьютера…,

где DN_компьютера… — это
различающееся имя данного компьютера,
например CN=Desktop123,OU=Desktops,
DC=povtas,
DC=com.

Если в DN компьютера есть пробел, заключите
все имя в кавычки. Параметр DN_кoмпьютера…
может включать множество различающихся
имен для новых объектов компьютеров,
что делает команду DSADD Computer удобным
средством для массовой генерации таких
объектов. Этот параметр можно вводить
следующими способами:

• Передача по каналу списка DN_имен,
полученного при выполнении другой
команды, например DSQUERY;

• Указание всех DN_имен в командной
строке через пробел;

• Без указания параметра DN: тогда вы
сможете ввести все DN_имена по одному с
клавиатуры в ответ на приглашение
команды. Нажимайте Enter после ввода
каждого DN. Нажмите Ctrl+Z и затем Enter после
ввода последнего DN.

Для команды DSADD Computer после DN можно указать
следующие необязательные параметры:

• -samid имя_SAM;

• -desc описание;

• -loc размещение.

Создание учетной записи компьютера
командой NETDOM

Программа NETDOM входит в
комплект средств поддержки и устанавливается
из каталога SupportTools
компакт-диска Windows Server
2003. Эта программа также содержится на
компакт-дисках Windows 2000 и XP. Используйте
версию, подходящую для вашей платформы.
Команда NETDOM позволяет выполнять из
командной строки множество операций,
связанных с учетными записями доменов
и безопасностью.

Чтобы создать в домене учетную запись
компьютера, введите следующую команду:

netdom add имя_компьютера /
domain:имя_домена /userd:пользователь
/

PasswordD:пapoль_пoльзoвaтeля
[/ou:DN_ОП]

Эта команда создает учетную запись для
компьютера имя_компьютера в домене
имя_домена от имени пользователя
домена с паролем пароль_пользователя.
Параметр /ou приводит к созданию объекта
в ОП с различающимся именем DN_ОП. Если
имя целевого ОП не указано, по умолчанию
учетная запись компьютера создается в
контейнере Computers. Безусловно, инициатор
команды должен обладать разрешениями
на создание объектов компьютеров.

Присоединение компьютера к домену

Собственно учетной записи компьютера
недостаточно для создания необходимых
безопасных отношений между доменом и
компьютером. Компьютер нужно присоединить
к домену.

1. Щелкните правой кнопкой Мой компьютер
(My Computer) и выберите Свойства
(Properties). Перейдите на вкладку Имя
компьютера (Computer Name).

• В Панели управления выберите
Система (System) и в диалоговом окне
Свойства системы (System Properties) перейдите
на вкладку Имя компьютера (Computer Name).

• Откройте окно свойств Имя компьютера
(Computer Name). К свойствам компьютера
на этой вкладке можно получить доступ
несколькими способами.

В Windows 2000 вкладка Имя компьютера
(Computer Name) называется Сетевая
идентификация (Network Identification), а
кнопка Изменить (Change) — Свойства
(Properties). Тем не менее, работают они
одинаково.

2. В Панели управления откройте
Сетевые подключения (Network Connections) и
в меню Дополнительно (Advanced) выберите
Сетевая идентификация (Network
Identification).

3. На вкладке Имя компьютера (Computer Name)
щелкните кнопку Изменить (Change).
Диалоговое окно Изменение имени
компьютера (Computer Name Changes) позволяет
изменить имя компьютера и его принадлежность
к домену и рабочей группе (рис. 6_2).

Нельзя изменять имя компьютера или его
членство, если вы вошли в систему не с
администраторскими реквизитами. Кнопка
Изменить (Change) доступна только
пользователям из локальной группы
Администраторы (Administrators).

Рис. 6_2. Диалоговое окно Изменение
имени компьютера

4. В окне Изменение имени компьютера
(Computer Name Changes) установите переключатель
в положение домена (Domain) и введите
нужное имя домена.

Хотя нужный домен обычно можно найти
по «плоскому» NetBIOS-имени, возьмите за
правило вводить DNS-имя целевого домена.
Конфигурация DNS жизненно важна для
компьютера с Windows 2000/XP или Windows Server 2003.
Используя для домена DNS-имя, вы активизируете
предпочтительный процесс разрешения
имен и проверяете конфигурацию DNS на
данном компьютере. Если компьютер не
сможет найти домен, к которому вы
пытаетесь присоединить его, проверьте
правильность параметров DNS-сервера,
заданных в свойствах сетевого подключения.

5. Щелкните ОК. Компьютер попытается
связаться с контроллером домена. Если
связаться с доменом не удается, проверьте
сетевые подключения и их параметры, а
также конфигурацию DNS.

Когда компьютер успешно свяжется с
доменом, появится приглашение (рис. 6_3)
для ввода имени пользователя и пароля,
у которого есть привилегии присоединять
компьютер к домену. Заметьте: запрошенные
имя и пароль — это доменное имя и пароль.

Рис. 6_3. Запрос реквизитов пользователя
для присоединения компьютера к домену

Если в домене заранее не была создана
учетная запись компьютера с тем же
именем, по умолчанию Active Directory автоматически
создаст такую учетную запись в контейнере
Computers. После того как доменная учетная
запись компьютера найдена или создана,
компьютер установит доверительные
отношения с доменом, изменит свой SID,
чтобы он совпадал с SID этой доменной
учетной записи, и изменит свое членство
в группах. Для завершения процесса
компьютер необходимо перезагрузить.

Для присоединения рабочей станции или
сервера к домену также можно применять
команду NETDOM JOIN. Ее функции идентичны
возможностям диалогового окна Изменение
имени компьютера (Computer Name Changes), но она
позволяет задать еще и ОП, в котором
будет создана учетная запись, если
соответствующего объекта компьютера
еще нет в Active Directory.

Сравнение контейнера Computers и ОП

По умолчанию Active Directory помещает объекты
компьютеров в контейнер Computers.

После модернизации домена Windows NT 4 до
Windows 2000 все учетные записи компьютеров
сначала находятся в этом контейнере.
Более того, если к домену присоединяется
компьютер, для которого в этом домене
еще нет учетной записи, объект компьютера
создается автоматически.

Комплект ресурсов Microsoft Windows Server 2003
содержит средство REDIRCOMP, позволяющее
автоматически создавать объекты
компьютеров в ОП по выбору, при этом
домен должен обладать функциональными
возможностями Windows Server 2003, то есть все
его контроллеры должны работать под
управлением этой ОС. Такое средство
полезно для организаций, где создание
учетных записей компьютеров контролируется
не очень строго. Поскольку объекты
компьютеров автоматически создаются
в определенных ОП, ими можно управлять
посредством политик, связанных с этими
ОП.

Хотя по умолчанию объекты компьютеров
помещаются в контейнер Computers, это не
лучшее место для их хранения. В отличие
от ОП, такие контейнеры, как Computers, Users и
Builtin не могут быть связаны с политиками,
ограничивающими возможную область
действия групповой политики в отношении
компьютеров. На практике стоит включить
в структуру Active Directory минимум одно ОП
для компьютеров. Обычно для компьютеров
создают несколько ОП на основании
структуры организации, местоположения
компьютеров или назначения ОП, чтобы
можно было отдельно администрировать
ноутбуки, рабочие станции, серверы
файлов, печати или приложений.

Например, в Active Directory есть ОП, предназначенное
по умолчанию для контроллеров домена,
связанное с политикой Default Domain Controller
Policy. Создавая в организации одно или
несколько ОП для компьютеров, можно
делегировать администрирование и более
гибко управлять конфигурацией компьютеров
через групповую политику.

Если в организации создано одно или
несколько ОП для компьютеров, вам
придется перемещать все объекты
компьютеров, автоматически создаваемые
в контейнере Computers, в соответствующие
ОП. Для перемещения отметьте нужный
компьютер и в меню Действие (Action)
выберите Переместить (Move). Кроме
того, для перемещения можно использовать
новую функцию перетаскивания
(drag-and-drop) объектов, поддерживаемую ММС.

Поскольку никакой объект компьютера в
контейнере Computers не управляется групповыми
политиками для ОП, выделенных для
компьютеров, и поскольку необходимы
дополнительные действия по переносу
объекта компьютера из контейнера
Computers в соответствующее ОП, рекомендуется
создавать объекты компьютеров до
присоединения к домену. Вы можете сначала
создать объект компьютера в нужном ОП,
чтобы сразу после присоединения к домену
он управлялся политиками, связанными
с данным ОП.

Можно также перемещать объект компьютера
или любой другой объект командой DSMOVE.
Ее синтаксис таков:

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #