Как войти под локальной учетной записью windows 10 в домене

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» - @Computer_Name (this computer).

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain namedomain user name to sign in to another domain.
Type РKZ-ТZI01K1local user name to sign in to this PC only (not a domain)

Чтобы войти в другой домен, введите имя_доменаимя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1локальное_имя_пользователя

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить ., то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.

Теперь после . осталось набрать имя локальной учетной записи и пароль.

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

Ввод в домен Windows 10, за минуту

Ввод в домен Windows 10, за минуту

Доброго времени суток! Уважаемые подписчики и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали в десятке, новую версию утилиты Robocopy, которая помогает переносить данные в раз быстрее, чем через обычный проводник. В сегодняшней статье, я вам хочу показать, как ввести в домен Active Directory Windows 10. Так как многие с новым интерфейсом и его видоизменением от версии к версии, не могут это сделать. Ну что поехали.

Постановка задачи

У меня есть домен Active Directory, если вы не в курсе что это такое, то переходите по ссылке слева, там очень подробно описано, но если в двух словах, то это база данных всех устройств и пользователей в организации, которой централизованно управляет системный администратор.Устанавливая тестовую виртуальную машину с Windows 10 1803 (Если вы не знаете, где взять дистрибутив, то вот вам легальный метод, как скачать ISO образ Windows 10), я захотел ее ввести в домен, но не классическим методом, а новым, модным, через интерфейс аля метро 2.0. Какого же было мое удивление, что я минут 10 не мог его найти, я даже ради эксперимента спросил своих коллег со второй линии из технической поддержки, знают ли они, но они мне кроме классического метода не смогли ничего показать. Гугление так же оставляло больше вопросов, чем ответов, так как той кнопки, про которую все говорили уже не было в моем случае, но я все же ее нашел и решил написать небольшую заметку, мало ли кому-то пригодится.

Читайте так же, как вывести правильно компьютер из домена Active Directory

Методы присоединения в домен Windows 10

Для того, чтобы присоединить Windows 10 к домену Active Directory, лично я знаю 4 метода, о которых мы подробно с вами поговорим:

1. Ввод Windows 10 в домен, через новый интерфейс параметров Windows
2. Классический, я его называю, так как он самый старый и всем хорошо известный, через свойства системы, в окне с переименовыванием компьютера
3. Подключить вашу десятку к Active Directory можно с помощью командлетов PowerShell
4. Оффлайн ввод в домен, через утилиту djoin, редкий случай, но знать его нужно

Практика подключения Windows 10 к домену

Ввод через новый интерфейс

Данный метод можно разделить на два, объясню почему. Текущая политика компании Microsoft, заключается в том, что она хочет привести внешний вид операционной системы Windows 10 к общему виду на всех устройствах, чтобы все действия, где бы их пользователь не совершал, выполнялись одинаково. С одной стороны это хорошо и наверное правильно, но с другой стороны, это влечет к постоянному и глобальному изменению интерфейса с каждым новым релизом и выпиливание классических оснасток, в виде панели управления.

В виду этого десятка у которой версия до 1511 имеет одно расположение кнопки, а вот уже релизы начиная с 1607 и заканчивая текущим 1809, уже этой кнопки не имеют, так как концепция изменилась и была переработана (Если вы не знаете, как узнать версию Windows 10, то перейдите по ссылке слева)

Подключаем к домену Windows 10 до 1511

Для десятки с релизом Threshold 1 и 2 (1507 и 1511) процедура добавления компьютера в Active Directory имеет такой алгоритм. Вы нажимаете сочетание клавиш Win и I одновременно (Это одна из многих горячих комбинаций в Windows), в результате у вас откроется меню «Параметры». В параметрах вы находите пункт

Далее вы находите раздел «О системе», тут вы увидите сводную информацию, видно, что в моем примере у меня Windows 10 1511, и обратите внимание, что есть две удобные кнопки:

• Присоединение к домену предприятия
• Присоединиться к Azure AD

для подключения к домену вам необходимо указать его полное имя, в моем случае это root.pyatilistnik.org и нажимаем далее.

Следующим шагом у вас будет форма авторизации, где вам предстоит представится от чьего имени вы будите производить подключение к домену Active Directory вашей Windows 10, обычно, это учетная запись администратора домена или пользователя, кому делегированы права.

напоминаю, что обычный рядовой пользователь может вводить до 10 компьютеров в домен

Следующим шагов, вас спросят чтобы вы указали сведения, о учетной записи, которая будет использовать данный компьютер, я этот этап пропускаю.

и последним этапом нужно выполнить перезагрузку рабочей станции, после этого ввод в домен Windows 10, можно считать успешным.

Подключаем к домену Windows 10 выше 1607

С версией 1511 мы разобрались, на мой взгляд там были удобно расположены кнопки, не знаю что не понравилось разработчикам. Теперь я вам приведу пример присоединения в Active Directory Windows 10 1607 и выше, в моем примере, это будет версия 1803. Вы также открываете «Параметры Windows». Если вы зайдете в систему и «О системе», то не обнаружите там нужных кнопок для подключения к AD предприятия, туше. Как я и писал выше функционал перенесли.

В параметрах Windows найдите и перейдите в пункт «Учетные записи»

Находите пункт «Доступ к учетной записи места работы иди учебного заведения» и нажимаем кнопку «Подключиться»

Получите доступ к таким ресурсам, как электронная почта, приложения и сеть. Подключение подразумевает, что ваша компания или учебное заведение смогут управлять некоторыми функциями на этом устройстве, например, параметры, которые вы можете изменить. Для получения конкретных сведений об этом обратитесь в свою компанию или учебное заведение.

Про образовательные учреждения можно почитать на MS https://docs.microsoft.com/ru-ru/education/windows/change-to-pro-education

Про присоединение к Azure AD можно почитать вот это https://docs.microsoft.com/ru-ru/previous-versions//mt629472(v=vs.85)

У вас откроется окно «Настройка рабочей или учебной записи». В самом низу нас будет интересовать два пункта:

• Присоединить это устройство к Azure Active Directory
• Присоединить это устройство к локальному домену Active Directory, наш вариант

У вас откроется окно с вводом FQDN имени вашего домена Active Directory.

Далее вас попросят указать учетные данные для присоединения рабочей станции к AD.

Пропускаем шаг с добавлением учетной записи.

Когда все готово, то делаем обязательную перезагрузку, и ваша Windows 10, теперь является членом Active Directory.

После перезагрузки мы видим префикс домена.

Классический метод ввода в домен Windows 10

Модным способом мы с вами загнали десятку в домен, теперь я напомню, а для кого-то покажу, что из себя представляет классический метод.

Откройте окно выполнить и введите команду:

sysdm.cpl

У вас откроется окно «Свойства системы», в него можно так же попасть если щелкнуть по значку «Этот компьютер» и перейти в его свойства, далее выбрать «Изменить параметры»

На вкладке имя компьютера, нажмите кнопку «Изменить». В открывшемся окне «Изменение имени компьютера или домена», поставьте переключатель на поле «Является членом домена» и введите его имя, у меня это root.pyatilistnik.org. Нажмите ок.

Если вашей рабочей станции удалось обратиться с запросом к контроллеру домена, то у вас появится форма авторизации, где для ввода Windows 10 в домен, вам нужно указать логин и пароль учетной записи у которой есть на это права.

Если проблем не возникло, то вы увидите окно «Добро пожаловать в домен root.pyatilistnik.org».

Далее вас уведомят, что необходимо произвести перезагрузку, «Чтобы изменения вступили в силу, нужно перезагрузить компьютер»

На выходе получаем присоединенную рабочую станцию с Windows 10 Pro к Active Directory.

Как подключить Windows 10 к домену с помощью PowerShell

Данный метод ввода в домен Active Directory, будет быстр и полезен, особенно для начинающих системных администраторов. Открываете оболочку PowerShell от имени администратора и пишите вот такую команду:

Add-Computer -DomainName root.pyatilistnik.org (где root.pyatilistnik.org, это имя вашего домена, у вас оно будет свое)

У вас появится окно авторизации, где вы должны указать учетные данные пользователя, у которого есть права на ввод в рабочей станции Windows 10 в домен.

Если учетные данные правильные, то у вас появится уведомление, что изменения вступят в силу после перезагрузки компьютера, это будет означать, что компьютер стал частью домена.

Если открыть оснастку ADUC на контроллере домена, то в контейнере Computers, вы обнаружите вашу рабочую станцию.

Как подключить Windows 10 к домену с помощью djoin

Утилита djoin, данный метод еще называют Offline ввод в домен, о нем подробнее по ссылке слева. Его смысл в том, что у вас есть некий компьютер, который по каким-либо причинам не может обратиться к контроллеру домена, для него готовится специальный BLOB-файл, в котором есть нужная информация для вступления в домен. Выполняется команда djoin с применением BLOB-файла и ваш Offline компьютер, стал частью Active Directory. На этом все с вами был Иван Семин, автор и создатель IT Блога Pyatilistnik.org.

Дек 1, 2018 09:00 Задайте вопрос Быстрый доступ

—>

Область применения

• Windows 10

В этой статье описаны рекомендации, расположение, значения, политики управления политиками и безопасности для параметров политики безопасности » Добавить рабочие станции в домен «.

Справочник

Этот параметр политики определяет, какие пользователи могут добавлять устройства в определенный домен. Чтобы она вступила в силу, она должна быть назначена, чтобы она применялась хотя бы к одному контроллеру домена. Пользователь, которому назначено это право пользователя, может добавить в домен до десяти рабочих станций. Добавление учетной записи компьютера в домен позволяет устройству принимать участие в сетях, использующих Active Directory.

Константа: Семачинеаккаунтпривилеже

Возможные значения

• Определенный пользователем список учетных записей
• Не определено

Рекомендации

• Настройте этот параметр таким образом, чтобы только авторизованные пользователи отдела ИТ могли добавлять устройства в домен.

Назначение

Computer Конфигуратионвиндовс Сеттингссекурити Сеттингсусер Rights Ассигнмент

Значения по умолчанию

По умолчанию этот параметр разрешает доступ для пользователей, прошедших проверку подлинности, на контроллерах домена и не определен на отдельных серверах.

В приведенной ниже таблице перечислены фактические и действующие значения политики по умолчанию для самых последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Средства управления политикой

Пользователи также могут присоединиться к домену, если у него есть разрешение на создание объектов компьютера для подразделения (OU) или для контейнера Computers (компьютеры) в каталоге. Пользователи, которым назначено это разрешение, могут добавлять в домен неограниченное количество устройств, независимо от того, имеют ли они право на Добавление рабочих станций в доменные пользователи.

Кроме того, учетные записи компьютеров, созданные с помощью средства » Добавление рабочих станций к домену «, имеют администраторам домена роль владельца учетной записи компьютера. Учетные записи компьютеров, созданные с помощью разрешений на доступ к контейнеру компьютера, используют его создатель в качестве владельца учетной записи компьютера. Если у пользователя есть разрешения на доступ к контейнеру и у него есть право » Добавить рабочую станцию на пользователя домена «, устройство добавляется на основе разрешений контейнера компьютера, а не его прав пользователя.

Перезагрузка устройства не требуется, чтобы этот параметр политики был эффективным.

Любые изменения, внесенные в назначение прав пользователя для учетной записи, вступают в силу при следующем входе в систему владельца учетной записи.

Групповая политика

Параметры применяются в указанном ниже порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики:

1. Параметры локальной политики
2. Параметры политики сайта
3. Параметры политики домена
4. Параметры политики OU

Если локальная настройка недоступна, это указывает на то, что объект GPO, который в настоящее время управляет этим параметром.

Вопросы безопасности

Эта политика имеет следующие соображения для обеспечения безопасности:

Уязвимость

Права на Добавление рабочих станций в домен отображаются с умеренной уязвимостью. Пользователи с этим правом могут добавить устройство в домен, настроенный таким образом, чтобы нарушались политики безопасности Организации. Например, если ваша организация не должна иметь права администратора на своих устройствах, пользователи могут установить Windows на своем компьютере, а затем добавить компьютеры в домен. Пользователь знает пароль учетной записи локального администратора, может войти в систему с помощью этой учетной записи, а затем добавить учетную запись личного домена в локальную группу администраторов.

Противодействие

Настройте этот параметр таким образом, чтобы только авторизованные пользователи отдела ИТ могли добавлять компьютеры в домен.

Возможное влияние

Для организаций, которые не разрешили пользователям настраивать собственные компьютеры и добавлять их в домен, этот контрмер не будет оказывать влияния. Для тех, у которых есть возможность настроить собственные устройства для некоторых или всех пользователей, этот контрмер заставляет Организацию установить формальный процесс, пересылаемый на передний план. Она не влияет на существующие компьютеры, если они не были удалены, а затем добавлены в домен.

Еще по теме

—>Используемые источники:

• http://pyatilistnik.org/windows-10-join-to-active-directory/
• https://social.technet.microsoft.com/forums/ru-ru/338cbc65-2b83-4d81-b820-fc813d9b3f61/1042107410861076-1074-10761086108410771085-windows-10
• https://docs.microsoft.com/ru-ru/windows/security/threat-protection/security-policy-settings/add-workstations-to-domain

Вход на доменный компьютер под локальной учетной записью

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain namedomain user name to sign in to another domain.
Type РKZ-ТZI01K1local user name to sign in to this PC only (not a domain )

Чтобы войти в другой домен, введите имя_доменаимя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1локальное_имя_пользователя

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

Теперь после . осталось набрать имя локальной учетной записи и пароль.

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

Источник

Вход на компьютер через локально сохраненную доменную учетную запись

foxmuldercp, Windows всегда создает локальный профиль пользователя и использует его. Если у пользователя сконфигурирован сетевой (роаминговый) профиль — локальный профиль синхронизуется с ним при входе пользователя, в обратную сторону синхронизация происходит при выходе. По сети напрямую можно использовать только отдельные специальные папки (Рабочий стол, Мои Документы и т.п.).

Вот, у меня это вот тут: Computer ConfigurationWindows SettingsSecurity SettingLocal PoliciesSecurity OptionsInteractive LogonPolicy Setting

и параметр называется: «Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)» и стоит там: «50 входов в систему» и это, похоже, максимум.

Вот описание параметра:

Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)

Сведения о предыдущих входах пользователей в систему кэшируются локально, чтобы обеспечить последующий вход в систему в случае отсутствия доступа к контроллеру домена. При отсутствии доступа к контроллеру домена и кэшировании сведений о входах пользователей в систему пользователь получает следующее сообщение:

Не удалось установить связь с сервером и получить параметры входа в систему. Вход выполнен с помощью локально сохраненной информации об учетной записи. Если эта информация была изменена со времени последнего входа в систему на этом компьютере, то изменения не будут отражены во время текущего сеанса.

При отсутствии доступа к контроллеру домена и отсутствии кэширования данных о входах пользователей в систему пользователь получает следующее сообщение:

Подключение к системе сейчас невозможно, так как домен недоступен.

Значение этого параметра «0» отключает кэширование данных входа. При любом значении большем 50 кэшируется только 50 попыток входа в систему.

Источник

ИТ База знаний

Полезно

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Создание доменного пользователя и ввод компьютера в домен

В прошлой статье мы создали и настроили контроллер домена (DC), настало время наполнить наш домен пользователями и рабочими станциями.

Конфигурация

Открываем Server Manager и выбираем опцию Roles.

Отметим также, что вы можете создать свою группу и добавлять пользователей туда.

Перед нами откроется окно добавления нового пользователя. Заполняем учетные данные нового пользователя. Как правило, в корпоративных доменах, принято создавать именные учетные записи для того, чтобы в дальнейшем можно было отслеживать действия конкретного пользователя в целях безопасности и однозначно его идентифицировать.

Далее, нас просят ввести пароль для новой учетной записи и выбрать дополнительные опции:

После того, как все данные будут заполнены, нас попросят подтвердить создание нового объекта.

Отлично, новый пользователь домена создан. Теперь нам нужно зайти на компьютер пользователя и ввести его в домен. Для этого логинимся на компьютер пользователя с локальными учетными данными и открываем Свойства компьютера. Как видите, наш компьютер пока еще не стал частью домена, он ещё является частью рабочей группы WORKGROUP/. Убедитесь, что компьютер пользователя имеет версию Windows не ниже Professional. Чтобы ввести его в домен выбираем Change Settings

Важно! Поддержка доменной инфраструктуры начинается только с версии Windows Professional. На версиях Starter, Home Basic, Home Premium подключиться к домену не получится!

Далее напротив опции «To rename this computer or change its domain or workgroup, click Change» нажимаем собственно Change

Важно! Для того, чтобы наш компьютер узнал о существующем контроллере домена нам нужно указать ему на DNS сервер, который имеет такую информацию. В нашем случае – контроллер домена является по совместительству DNS сервером для пользовательских машин. Поэтому мы указываем контроллер домена в качестве DNS сервера для настраиваемого компьютера.

Далее в открывшемся окне в опции «Member of» вместо Workgroup выбираем Domain и вводим имя нашего домена (в нашем случае – merionet.loc)

Далее нас попросят ввести учетные данные для учетной записи, которая уже создана и имеет право присоединиться к домену. Вводим учетные данные ранее созданного пользователя.

После чего, нас попросят перезагрузить компьютер для применения изменений.

После перезагрузки, мы можем логиниться уже с учетными данными доменного пользователя.

Теперь, если мы откроем свойства компьютера, то увидим, что наш компьютер принадлежит домену (в нашем случае – merionet.loc)

Онлайн курс по Linux

Мы собрали концентрат самых востребованных знаний, которые позволят тебе начать карьеру администратора Linux, расширить текущие знания и сделать уверенный шаг к DevOps

Источник

Как войти на контроллер домена с локальной учетной записью

Войти с локальной учетной записью на контроллер домена в принципе невозможно, поскольку при повышении сервера до контроллера домена локальная база учетных записей становится недоступной. Однако из этого правила есть одно исключение.

На случай неисправности службы каталогов на контроллерах домена есть специальный режим загрузки Directory Services Restore Mode (DSRM). В этом режиме служба каталогов не запускаются, а база данных AD переводится в автономный режим. Для входа в этом режиме используется специальная учетная запись администратора DSRM, которая и является единственной локальной учетной записью на контроллере домена. В связи с этим возникает два вопроса.

Как узнать пароль DSRM

Пароль DSRM указывается в процессе развертывания контроллера домена.

Впрочем, запоминать или записывать пароль вовсе не обязательно, при необходимости его легко можно сбросить с помощью утилиты ntdsutil. Для сброса пароля DSRM необходимо зайти на контроллер домена и выполнить команды:

ntdsutil
set dsrm password
reset password on server NULL
новый пароль
подтверждение пароля
quit
quit

С выходом SP2 для Windows Server 2008 появился еще один способ сбросить пароль DSRM-админа — синхронизировать его с паролем доменной учетной записи. Для синхронизации можно выбрать любого пользователя, либо создать нового.

Для примера я создал пользователя Dsrmadmin.

Для синхронизации опять же заходим на контроллер домена и выполняем команды:

ntdsutil
set dsrm password
sync from domain account dsrmadmin
quit
quit

Либо то же самое одной строкой:

ntdsutil ″set dsrm password″ ″sync from domain account dsrmadmin″ q q

После этого можем заходить на контроллер домена, используя пароль от доменной учетной записи. Стоит уточнить, что процедура синхронизации не обеспечивает отслеживание изменений и постоянное соответствие паролей. Для регулярной синхронизации придется придумывать что либо, например добавить команду синхронизации в Startup Scripts, либо создать задание в планировщике.

Можно ли войти под DSRM администратором в обычном режиме

В предыдущих версиях Windows DSRM администратор мог осуществить локальный вход на контроллер домена только загрузившись в режиме DSRM. Начиная с Windows Server 2008 службы AD могут быть остановлены из оснастки Services, без необходимости перезагрузки. Соответственно у DSRM администратора теперь есть возможность подключиться к контроллеру домена и в обычном (не DSRM) режиме.

Активировать эту возможность можно с помощью правки реестра на контроллере домена. Для изменения отвечает параметр типа DWORD с названием DsrmAdminLogonBehavior, находящийся в разделе HKLMSystemCurrentControlSetControlLsa. Он может иметь значения:

0 — DSRM администратор может войти в систему только в режиме DSRM. Это значение по умолчанию;
1 — DSRM администратор может войти в систему при остановленной службе AD DS;
2 — DSRM администратор может зайти на контроллер домена в любое время.

Установить необходимое значение можно с помощью утилиты reg.exe, запущенной из командной строки с правами администратора. Для примера установим для параметра значение, равное 1:

REG ADD ″HKLMSystemCurrentControlSetControlLsa″ /v DsrmAdminLogonBehavior /t REG_DWORD /d 1 /F

Либо с помощью PowerShell, например так зададим для параметра значение 2:

В заключение напомню, что разрешать локальный вход на контроллере домена без особой необходимости не стоит, так как это снижает безопасность.

Источник

Вход в систему при недоступности контроллера домена

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLMSECURITYCache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesSecurity Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.

Источник

Обновлено 01.12.2018

Доброго времени суток! Уважаемые подписчики и гости, крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали в десятке, новую версию утилиты Robocopy, которая помогает переносить данные в раз быстрее, чем через обычный проводник. В сегодняшней статье, я вам хочу показать, как ввести в домен Active Directory Windows 10. Так как многие с новым интерфейсом и его видоизменением от версии к версии, не могут это сделать. Ну что поехали.

Постановка задачи

У меня есть домен Active Directory, если вы не в курсе что это такое, то переходите по ссылке слева, там очень подробно описано, но если в двух словах, то это база данных всех устройств и пользователей в организации, которой централизованно управляет системный администратор.Устанавливая тестовую виртуальную машину с Windows 10 1803 (Если вы не знаете, где взять дистрибутив, то вот вам легальный метод, как скачать ISO образ Windows 10), я захотел ее ввести в домен, но не классическим методом, а новым, модным, через интерфейс аля метро 2.0. Какого же было мое удивление, что я минут 10 не мог его найти, я даже ради эксперимента спросил своих коллег со второй линии из технической поддержки, знают ли они, но они мне кроме классического метода не смогли ничего показать. Гугление так же оставляло больше вопросов, чем ответов, так как той кнопки, про которую все говорили уже не было в моем случае, но я все же ее нашел и решил написать небольшую заметку, мало ли кому-то пригодится.

Методы присоединения в домен Windows 10

Для того, чтобы присоединить Windows 10 к домену Active Directory, лично я знаю 4 метода, о которых мы подробно с вами поговорим:

1. Ввод Windows 10 в домен, через новый интерфейс параметров Windows
2. Классический, я его называю, так как он самый старый и всем хорошо известный, через свойства системы, в окне с переименовыванием компьютера
3. Подключить вашу десятку к Active Directory можно с помощью командлетов PowerShell
4. Оффлайн ввод в домен, через утилиту djoin, редкий случай, но знать его нужно

Практика подключения Windows 10 к домену

Ввод через новый интерфейс

Данный метод можно разделить на два, объясню почему. Текущая политика компании Microsoft, заключается в том, что она хочет привести внешний вид операционной системы Windows 10 к общему виду на всех устройствах, чтобы все действия, где бы их пользователь не совершал, выполнялись одинаково. С одной стороны это хорошо и наверное правильно, но с другой стороны, это влечет к постоянному и глобальному изменению интерфейса с каждым новым релизом и выпиливание классических оснасток, в виде панели управления.

Подключаем к домену Windows 10 до 1511

Для десятки с релизом Threshold 1 и 2 (1507 и 1511) процедура добавления компьютера в Active Directory имеет такой алгоритм. Вы нажимаете сочетание клавиш Win и I одновременно (Это одна из многих горячих комбинаций в Windows), в результате у вас откроется меню «Параметры». В параметрах вы находите пункт

Далее вы находите раздел «О системе», тут вы увидите сводную информацию, видно, что в моем примере у меня Windows 10 1511, и обратите внимание, что есть две удобные кнопки:

• Присоединение к домену предприятия
• Присоединиться к Azure AD

для подключения к домену вам необходимо указать его полное имя, в моем случае это root.pyatilistnik.org и нажимаем далее.

Следующим шагом у вас будет форма авторизации, где вам предстоит представится от чьего имени вы будите производить подключение к домену Active Directory вашей Windows 10, обычно, это учетная запись администратора домена или пользователя, кому делегированы права.

Следующим шагов, вас спросят чтобы вы указали сведения, о учетной записи, которая будет использовать данный компьютер, я этот этап пропускаю.

и последним этапом нужно выполнить перезагрузку рабочей станции, после этого ввод в домен Windows 10, можно считать успешным.

Подключаем к домену Windows 10 выше 1607

С версией 1511 мы разобрались, на мой взгляд там были удобно расположены кнопки, не знаю что не понравилось разработчикам. Теперь я вам приведу пример присоединения в Active Directory Windows 10 1607 и выше, в моем примере, это будет версия 1803. Вы также открываете «Параметры Windows». Если вы зайдете в систему и «О системе», то не обнаружите там нужных кнопок для подключения к AD предприятия, туше. Как я и писал выше функционал перенесли.

В параметрах Windows найдите и перейдите в пункт «Учетные записи»

Находите пункт «Доступ к учетной записи места работы иди учебного заведения» и нажимаем кнопку «Подключиться»

Получите доступ к таким ресурсам, как электронная почта, приложения и сеть. Подключение подразумевает, что ваша компания или учебное заведение смогут управлять некоторыми функциями на этом устройстве, например, параметры, которые вы можете изменить. Для получения конкретных сведений об этом обратитесь в свою компанию или учебное заведение.

У вас откроется окно «Настройка рабочей или учебной записи». В самом низу нас будет интересовать два пункта:

• Присоединить это устройство к Azure Active Directory
• Присоединить это устройство к локальному домену Active Directory, наш вариант

У вас откроется окно с вводом FQDN имени вашего домена Active Directory.

Далее вас попросят указать учетные данные для присоединения рабочей станции к AD.

Пропускаем шаг с добавлением учетной записи.

Когда все готово, то делаем обязательную перезагрузку, и ваша Windows 10, теперь является членом Active Directory.

После перезагрузки мы видим префикс домена.

Классический метод ввода в домен Windows 10

Модным способом мы с вами загнали десятку в домен, теперь я напомню, а для кого-то покажу, что из себя представляет классический метод.

Откройте окно выполнить и введите команду:

У вас откроется окно «Свойства системы», в него можно так же попасть если щелкнуть по значку «Этот компьютер» и перейти в его свойства, далее выбрать «Изменить параметры»

На вкладке имя компьютера, нажмите кнопку «Изменить». В открывшемся окне «Изменение имени компьютера или домена», поставьте переключатель на поле «Является членом домена» и введите его имя, у меня это root.pyatilistnik.org. Нажмите ок.

Если вашей рабочей станции удалось обратиться с запросом к контроллеру домена, то у вас появится форма авторизации, где для ввода Windows 10 в домен, вам нужно указать логин и пароль учетной записи у которой есть на это права.

Если проблем не возникло, то вы увидите окно «Добро пожаловать в домен root.pyatilistnik.org».

Далее вас уведомят, что необходимо произвести перезагрузку, «Чтобы изменения вступили в силу, нужно перезагрузить компьютер»

На выходе получаем присоединенную рабочую станцию с Windows 10 Pro к Active Directory.

Как подключить Windows 10 к домену с помощью PowerShell

Данный метод ввода в домен Active Directory, будет быстр и полезен, особенно для начинающих системных администраторов. Открываете оболочку PowerShell от имени администратора и пишите вот такую команду:

У вас появится окно авторизации, где вы должны указать учетные данные пользователя, у которого есть права на ввод в рабочей станции Windows 10 в домен.

Если учетные данные правильные, то у вас появится уведомление, что изменения вступят в силу после перезагрузки компьютера, это будет означать, что компьютер стал частью домена.

Если открыть оснастку ADUC на контроллере домена, то в контейнере Computers, вы обнаружите вашу рабочую станцию.

Как подключить Windows 10 к домену с помощью djoin

Утилита djoin, данный метод еще называют Offline ввод в домен, о нем подробнее по ссылке слева. Его смысл в том, что у вас есть некий компьютер, который по каким-либо причинам не может обратиться к контроллеру домена, для него готовится специальный BLOB-файл, в котором есть нужная информация для вступления в домен. Выполняется команда djoin с применением BLOB-файла и ваш Offline компьютер, стал частью Active Directory. На этом все с вами был Иван Семин, автор и создатель IT Блога Pyatilistnik.org.

Хотя Windows 10 позволяет вам выбрать учетную запись Microsoft или традиционную локальную учетную запись с помощью встроенного интерфейса (OOBE) или приложения «Параметры», этот набор функций был разработан для того, чтобы привлечь пользователей к выбору варианта учетной записи Microsoft.

Причиной такого подхода является то, что использование учетной записи Microsoft позволяет получить дополнительные преимущества, включая возможность синхронизации настроек, паролей, тем и файлов на разных устройствах. Вы можете управлять различными аспектами вашего компьютера, такими как обновление личной информации, сброс пароля учетной записи и поиск устройства в случае его утери или кражи.

Однако это не тот тип учетной записи, который все хотят использовать. Если вы по ошибке подключили учетную запись Microsoft к Windows 10 или просто не хотите её использовать, в приложении «Параметры» есть возможность переключиться на локальную учетную запись без необходимости начинать с нуля.

В этом руководстве по Windows 10 мы расскажем, как переключиться на локальную учетную запись из учетной записи Microsoft с помощью приложения «Параметры».

Как перейти на локальную учетную запись

Чтобы переключиться на локальную учетную запись из учетной записи Microsoft в Windows 10, выполните следующие действия.

1. Откройте приложение «Параметры» (или нажмите Win + I).
2. Нажмите на Учетные записи.
3. Нажмите на Ваши данные.
4. Нажмите ссылку Войти вместо этого с локальной учетной записью.

   

5. Введите свой текущий пароль учетной записи Microsoft.

   

6. Нажмите кнопку Далее.
7. Введите новое имя для вашей учетной записи и создайте новый пароль.
8. Введите подсказку, которая поможет вам запомнить свой пароль на случай, если вы его забудете.

   

9. Нажмите кнопку Выйти и закончить.
10. Войдите в свой новый локальный аккаунт.

    Совет. Если у вас уже был настроен PIN-код, вы все равно можете использовать его для входа без необходимости ввода сложного пароля.

После выполнения этих действий ваша учетная запись Windows 10 будет отключена от учетной записи Microsoft и переключится на традиционный стиль локальной учетной записи. Используя этот метод, учетные данные вашей учетной записи Microsoft будут по-прежнему доступны на устройстве, чтобы автоматически подключать вас к различным службам.

Как удалить данные учетной записи Microsoft

Если вы переходите на локальную учетную запись и не хотите сохранять данные своей учетной записи Microsoft на своем компьютере, выполните следующие действия.

1. Откройте приложение «Параметры» (или нажмите Win + I).
2. Нажмите на Учетные записи.
3. Нажмите на Электронная почта и учетные записи.
4. В разделе «Учетные записи, используемые другими приложениями» выберите учетную запись Microsoft, которую вы хотите удалить.
5. Нажмите кнопку Удалить.

   

6. Нажмите кнопку Да.

После выполнения этих действий перезагрузите компьютер, чтобы полностью удалить данные учетной записи Microsoft с вашего устройства.