Питання підключення комп'ютера до домену зазвичай виникає у системних адміністраторів, яким потрібно створити локальну мережу. Доменна система означає, що всі комп'ютери в мережі використовують налаштування основного ПК. Спробуймо розібратися, як підключити до домену комп'ютер з операційною системою Windows 7. Для інших ОС підключення не дуже відрізняється.
Які переваги дає доменна структура? З її допомогою можна використовувати, наприклад, групові політики та централізоване управління. Це дозволяє налагодити ефективну роботу.
Важливі вимоги
Перед тим, як вводити комп'ютер на віндовс 7 в домен, необхідно перевірити, чи ПК задовольняє ряду вимог, чи всі налаштування виконані. Їх досить багато, хоча більшість із них вже мають бути зроблені. Перевірте таке:
- Повинна використовуватися віндовс 7 наступних версій: Professional, Ultimate або Enterprise. Тільки ці версії можна підключати до домену;
- Має бути мережна карта. Але це само собою зрозуміле;
- Повинне бути здійснено підключення по локальній мережі. У більшості випадків, хоча можна підключити віндовс 7 до Windows Server 2008 R2 в офлайн режимі, але це окрема тема;
- Повинна бути вказана правильна IP-адреса. Його можна настроїти вручну, отримати від DHCP-сервера або це може бути APIPA-address (його значення починаються з 169.254.X.Z);
- Потрібно переконатися, що контролери (хоча б один) доступний для підключення;
- Також перевірте з'єднання контролера (наприклад, його можна пропінгувати, тобто перевірити, яка якість з'єднання);
- DNS сервер має бути правильно налаштований. Це важливо, якщо він некоректно налаштований, можуть виникнути проблеми при підключенні до домену. Навіть якщо підключення здійсниться успішно, збої можливі потім;
- сервери DNS повинні бути доступні. Для цього необхідно перевірити підключення за допомогою програми PING;
- Подивіться ваші права у локальній системі. Повинні бути права локального адміністратора комп'ютера;
- Потрібно знати назву доменного імені, ім'я адміністратора та пароль.
Підключення ПК до домену
Ввести комп'ютер у домен можна двома способами. Давайте розглянемо їх докладніше.
Перший метод
Це стандартний спосіб підключення ПК до домену. Виконайте такі кроки:
- Натисніть значок «Пуск», клацніть правою клавішею мишки на ярлику «Комп'ютер», виберіть «Властивості»;
- У пункті “Ім'я комп'ютера, домен та робочі налаштування” натисніть “Змінити налаштування”;
- Відкрийте вкладку "Ім'я комп'ютера" та натисніть "Змінити";
- У розділі «Частина (чогось)» виберіть «Домен»;
- Введіть ім'я домену, до якого підключено, натисніть «OK»;
- Введіть ім'я ще раз і пароль.
Потім перезавантажте комп'ютер. Після цього ПК буде підключено до домену в локальній мережі.
Другий метод
Необхідно використовувати програму NETDOM. Щоб підключити домен, у командному рядку потрібно ввести лише одну команду:
При цьому:
- Параметри «DOMAIN.COM» та «DOMAIN» слід замінити на ім'я домену. Також потрібно вказати логін та пароль;
- Додаткова «d» у «user» та «password» не є друкарською помилкою;
- У віндовсі 7 NETDOM вже є в операційній системі. У версіях віндовс 2000, XP та 2003 потрібно встановити Support Tools.
Щоб завершити підключення, перезавантажте комп'ютер.
Що робити, якщо домен випав?
Це вже після підключення ПК до домену. Комп'ютер його просто не бачить. Ви це одразу помітите, бо не зможете авторизуватись. Зробіть таке:
- Авторизуйтесь як локальний адміністратор;
- Перейдіть до властивостей системи та в пункті «Ім'я комп'ютера» відзначте, що ПК – частина робочої групи;
- Перезавантажте комп'ютер;
- Потім знову підключіть ПК до домену, як описано вище;
- Виконайте перезавантаження.
Тепер комп'ютер повинен підключитися до домену.
Розміщення комп'ютера у певний контейнер
Недолік описаних методів підключення до домену – ПК розміщується у стандартному контейнері, зазвичай, у папці «Комп'ютер». І щоб перемістити в інше місце, потрібний адміністратор. Але можна розмістити комп'ютер відразу у потрібному контейнері. Для цього є два варіанти.
Метод номер 1
Для цього спочатку створюється порожній обліковий запис, куди і розміщується комп'ютер (потрібно, щоб ви мали права на створення об'єкта). У консолі ADUC новий обліковий запис створюється з тим самим ім'ям, яке використовуватиметься для підключення до домену. Потім використовуйте спосіб з'єднання, описаний вище. Система побачить обліковий запис, що вже існує в домені, але просто не зіставлений з ним. Після зіставлення комп'ютер поміститься у потрібному контейнері.
Метод номер 2
Можна використовувати команду Powershell:
- Увійдіть у систему з правами адміністратора;
- У командному рядку введіть "powershell" (потім замість нього можна буде використовувати PoSh);
- Команда для включення ПК в домен corp.company.ru з облікового запису corpcompany_admin, що створює обліковий запис у контейнері corp.company.ru/ Admin /Computers, де company - назва комп'ютера, виглядатиме так:
add-computer -DomainName corp.company.ru -credential corp company_admin -OUPath "OU=Computers,OU=Admin,dc=corp,dc=company,DC=ru";
- Відкриється нове вікно, у якому введіть пароль користувача company_admin;
- Потім з'явиться вікно "WARNING: The changes will take effect after you restart the computer pcwin8" (pcwin8 означає операційну систему). Перезавантажте комп'ютер.
Тепер ПК буде розташовано у потрібному контейнері, там, куди посилається домен.
Для коректного підключення ПК до домену виконувати його краще адміністратору, який створив цю локальну мережу. Він знає про всі підводні камені в цьому домені, і тому зможе швидко виконати підключення. Якщо ви вирішили з'єднати комп'ютер із доменом самостійно, то у разі будь-якої проблеми залиште ПК у такому стані, поки фахівець не виконає корекцію.
Вам знадобиться
- - права адміністратора;
- - локальна мережа з доменом Windows;
- - Обліковий запис користувача в домені;
- - Ім'я домену.
Інструкція
Увімкнути комп'ютер у домені Windows можна на вкладці «Ім'я комп'ютера» у вікні «Властивості системи». Щоб відкрити вікно «Властивості системи» в операційній системі Windows XP, за допомогою меню «Пуск» відкрийте «Панель керування» та клацніть на «Система». Якщо на вашому комп'ютері інстальовано операційну систему Windows 7 або Vista, відкрийте «Панель керування» та перейдіть до категорії «Система та безпека», в якій клацніть на «Система». На сторінці, що відкрилася, клацніть за посиланням «Додаткові параметри системи», розташованої в лівій бічній колонці.
У вікні «Властивості системи» виберіть вкладку «Ім'я комп'ютера». Натисніть кнопку «Змінити» і у вікні, введіть ім'я домену, в який ви хочете . Далі клацніть по кнопці OK. У вікні, введіть ім'я користувача домену та його пароль. Після цього натисніть кнопку OK та перезавантажте комп'ютер. Ваш комп'ютер включено до домену.
Крім графічного інтерфейсу можна включити комп'ютер до домену за допомогою командного рядка. До складу операційної системи Windows XP включена утиліта NETDOM, яка може додати комп'ютер до домену за допомогою команди:
netdom join computer_name /domain:domain_name /userd:domain_name\user_name /passwordd:user_pass.
Де computer_name, domain_name і user_name потрібно відповідно замінити іменами комп'ютера, що додається, домену і користувача, а user_pass поміняти на пароль користувача в домені. У Windows 7 утиліта NETDOM була замінена командою PowerShell - add-computer. Щоб увімкнути комп'ютер у домен з консолі Window 7, виконайте таку команду:
Add-computer -DomainName domain_name -credential domain_name\user_name
Де також domain_name і user_name замініть імена домену та користувача.
Відео на тему
Зверніть увагу
Домен Windows не призначений для домашнього використання, він дуже зручний у корпоративних мережах з великою кількістю користувачів, які мають різний рівень доступу до файлів та пристроїв. Тому комп'ютери, які працюють під керуванням операційних систем для домашнього використання, тобто нижче рівня Professional, не мають інструментів включення до домену. Щоб додати такі комп'ютери, спочатку перевстановіть систему.
Корисна порада
Існує швидший спосіб запустити вікно «Властивості системи». Якщо у вас операційна система Windows XP, клацніть правою кнопкою миші по значку «Мій комп'ютер» і в меню, що розкрилося, клацніть по пункту «Властивості системи». Якщо у вас є операційна система Windows 7 або Vista, зробіть клік правою кнопкою по значку «Комп'ютер», виберіть «Властивості системи» і клацніть «Додаткові параметри системи».
Увімкнувши комп'ютер до домену на вкладці «Ім'я комп'ютера», можна вказати опис вашого комп'ютера, який буде підказкою для користувачів домену.
Джерела:
- як домен підключати
Панель адміністратора існує для того, щоб веб-майстер через неї міг додавати, редагувати та видаляти вміст сайту. Для входу в доменнеобхідно знати логін та пароль.
Інструкція
Щоб запустити в браузері майбутній сайт, вбийте адресний рядок localhost/ домен. Якщо ви створили робочу частину ресурсу, вона має постати перед вами. Щоб увійти до адміністративної панелі, наведіть курсор миші на адресний рядок і допишіть admin. Підтвердьте операцію, натиснувши клавішу Enter. У вас має з'явитися така адреса: localhost/site/admin/.
Отже, перед вами панель адміну. Введіть в одне текстове поле логін (Ім'я користувача), в інше – пароль. За промовчанням ім'я адміністратора – admin. Якщо ви хочете змінити його, зайдіть в налаштування панелі та поміняйте логін. Пароль видав вам хостинг за замовчуванням. Ви також можете змінити його у загальних налаштуваннях. Для цього зайдіть в розділ «Керування користувачами», клацніть по «Адміністратор», введіть новий пароль та підтвердіть його.
Після того як ви введете логін та пароль від адміністративної панелі, натисніть «Увійти». Перед вами з'явиться адміністративна панель, де ви можете керувати сайтом. Ви можете змінювати, додавати або видаляти дані. Коли входите до адмінки, поставте галочку поруч із написом «Запам'ятати мене». Це дозволить вам не вводити пароль щоразу під час входу до панелі керування.
Існує другий спосіб. Зайдіть до адміністративної панелі через сам сайт. Для цього в адресному рядку введіть адресу вашого сайту ( домен) та натисніть Enter. Клацніть «Авторизація» або «Вхід». Введіть свій логін та пароль. Натисніть клавішу Enter. Якщо ви ввели дані правильно, система відкриє перед вами адміністративну панель.
Третій спосіб. Введіть в адресному рядку домен. Відкриється сайт. Зверху мають бути деякі функції панелі керування. Там буде напис «Панель адміністратора». Клацніть по ній, за потреби введіть ваші реєстраційні дані.
Джерела:
- як увійти до пошти свого домену
Облікова запис « Гість» дозволяє обмежити доступ до файлів і програм комп'ютера, якщо їм користується велика кількість людей. Користувач, який увійшов до системи як Гість, зможе переглядати загальні та особисті документи, переглядати інтернет-сторінки, але не зможе встановлювати програми та бачити особисті файли інших користувачів.
Інструкція
Щоб визначити, куди входить ваш комп'ютер, клацніть правою кнопкою на іконці "Мій комп'ютер". У вікні, у розділі "Ім'я комп'ютера, ім'я домену та параметри робочої групи" буде відповідний напис "Домен" або "Робоча група", після якого йде назва, наприклад "Workgroup".
Якщо ваш комп'ютер входить до домену. Відкрийте "Облікові записи користувачів", перейшовши за адресою "Пуск" -> "Панель управління". У вікні виберіть пункт «Облікові записи користувачів» і знову «Облікові записи користувачів». Виберіть «Керування обліковими записами користувачів». Якщо пароль адміністратора встановлено, система попросить його ввести або підтвердити. Введіть пароль. Після підтвердження пароля, у вікні, перейдіть на вкладку «Додатково», натисніть кнопку «Додатково і виберіть пункт « Гість». У діалоговому вікні «Властивості облікового запису гостя» зніміть прапорець у полі поруч із «Вимкнути обліковий запис запис». Натисніть "Ок". Облікова запис « Гість» увімкнено.
Якщо комп'ютер входить до робочої групи. Пройдіть за адресою: "Пуск" -> "Панель управління" -> "Облікові записи користувачів та батьківський контроль" -> "Облікові записи користувачів". У вікні, виберіть пункт «Управління іншою обліковою записю». Один раз натисніть на іконку з написом « Гість». У наступному вікні система запитає, чи включити облікову запис « Гість»? Натисніть кнопку "Увімкнути".
Після включення облікового запису « Гість», при вході в систему, буде відображатися екран із вибором облікового запису. Вибрати облікову записможна, клацнувши на неї. Якщо ви є основним користувачем комп'ютера, не забудьте встановити пароль адміністратора, щоб інші користувачі не могли бачити та змінювати ваші документи, а також встановлювати та видаляти програми.
Зверніть увагу
Облікові записи гостя не підтримуються в Windows 7 Початкова.
При зверненні до дисків, папок або оптичного приводу чужого комп'ютера в локальній мережі система використовує адреси цих пристроїв та об'єктів, які включають ім'я мережі віддаленого комп'ютера. Так само відбувається звернення до принтера, флешки та інших підключених до чужого комп'ютера периферійних пристроїв. Змінити це ім'я мережі можна в налаштуваннях операційної системи.
Інструкція
Вікно з настройками мережі ім'я комп'ютера викликається через один з аплетів «Панелі керування» Windows. Посилання на цю панель поміщено в головне меню операційної системи - клацніть по кнопці "Пуск" і виберіть у правій колонці пункт "Панель управління". У вікні клацніть по напису «Система та безпека», а потім - «Система». Після цього на екрані з'явиться потрібний аплет. Втім, всі ці дії можна замінити натисканням пари гарячих клавіш Win + Pause.
В аплеті є окрема секція з підзаголовком "Ім'я комп'ютера, ім'я домену та параметри робочої групи", у правого краю якої розміщено посилання "Змінити параметри". Клацніть її, щоб відкрити вікно зміни деяких властивостей системи. Доступ до них вимагає наявності прав адміністратора. Якщо ви увійшли до системи не як адміністратор, то на екрані з'явиться діалогове вікно, яке вимагає ввести пароль.
На вкладці «Ім'я комп'ютера» у вікні властивостей системи натисніть кнопку «Змінити», після чого з'явиться віконце з полем «Ім'я комп'ютера», значення якого вам потрібно змінити. Введіть нове ім'я мережі, дотримуючись стандартних правил для інтернет-імен. Вони дозволяють використовувати літери лише латинського алфавіту, і навіть цифри та деякі символи, крім спеціальних. До заборонених відносяться, наприклад, ; : " * + \ | , ? =. Корпорація Microsoft рекомендує використовувати короткі та інформативні імена не довші 15 символів. Крім того, вони не повинні складатися тільки з цифр і не можуть містити пробіли.
Потім натисніть кнопку OK і закрийте панель керування. Якщо комп'ютер входить до домену, система вимагатиме ввести пароль користувача, який має право змінювати імена комп'ютерів домену. А якщо домен не використовується, зверніть увагу, що інші комп'ютери в локальній мережі намагатимуться знайти ресурси цього комп'ютера (наприклад, мережевий диск) за попередньою адресою. Тому вам потрібно вручну змінити ім'я на адресу мережного ресурсу або вимкнути його та підключити заново.
Зверніть увагу
У цій статті йдеться про те, як можна змінити ім'я комп'ютера в Windows 7. Робиться це досить просто, всього за кілька кроків. Ім'я ком'ютера зазвичай використовується для ідентифікації його в мережі та задається під час встановлення системи. Дізнатись це ім'я можна у властивостях Комп'ютера (що в меню «Пуск»). Щоб змінити ім'я комп'ютера, виконайте послідовність дій
Корисна порада
Зміна імені комп'ютера. Кожен комп'ютер у мережі повинен мати своє унікальне ім'я, щоб комп'ютери могли однозначно ідентифікувати один одного та взаємодіяти. Більшість комп'ютерів мають стандартні імена, але зазвичай їх можна змінити. Доцільно надавати комп'ютерам короткі (не більше п'ятнадцяти символів) і зрозумілі імена. Для імені комп'ютера рекомендується використовувати лише стандартні символи Інтернету.
Введення комп'ютера в домен дозволяє використовувати всі переваги домену, такі як централізоване управління, групові політики та багато іншого.
Попередні вимоги
Перед введенням комп'ютера під керуванням Windows 7 в домен переконайтеся, що такі вимоги дотримуються:
Використовується Windows 7 Professional, Ultimate чи Enterprise- лише ці редакції Windows 7 можуть бути підключені до домену.
У вас є мережна карта- власне без коментарів, думаю ви не забули про це
Ви підключені до локальної мережі- Переконайтеся, що ви підключені до локальної мережі. Хоча Windows 7 може бути приєднана до домену Windows Server 2008 R2 в режимі офлайн, це тема для окремої статті.
Ви маєте правильну IP адресу- Ще раз переконайтеся, що ви підключені до мережі та отримали правильну IP-адресу. Адреса може бути налаштована вручну, отримана від DHCP сервера або може бути отримана APIPA address (який починається з 169.254.X.Y). Якщо вами отримано адресу APIPA, ви гарантовано отримаєте потенційні проблеми, оскільки APIPA і AD не працюють спільно.
Вам доступні котолери домену -або як мінімум один із них. Ви повинні перевірити зв'язок з контролером домену, наприклад пропінгувавши його, хоча успішний пінг не гарантує, що контролер домену повністю доступний.
Ви повинні мати правильно налаштований сервер DNS- Без правильно налаштованого DNS сервера ви гарантовано отримаєте проблеми під час введення в домен, під час роботи та інше.
Вам доступні сервери DNS- Перевірте ваше підключення до DNS серверів за допомогою програми PING та виконайте запит NSLOOKUP.
Перевірте свої права на локальну систему- Для успішного введення в домен у вас мають бути права локального адміністратора комп'ютера.
Знайте ваше доменне ім'я, ім'я адміністратора та пароль
Існує два способи введення комп'ютера до домену. У цій статті ми розглянемо обидва способи
Метод #1 - Традиційний спосіб
1. Відкрийте властивості системи, натиснувши кнопку Start, потім правою кнопкою миші на ярлику "Computer" та натисніть "Properties".
2. У розділі "Computer name, domain, and workgroup settings" натисніть "Change settings".
3. Перейдіть на вкладку Computer Name і натисніть "Change".
4. У розділі Member of клацніть Domain.
5. Введіть ім'я домену, до якого потрібно підключитися, і натисніть OK.
Вам буде запропоновано ввести ім'я користувача домену та пароль.
Після успішного введення комп'ютера до домену вам буде запропоновано перевантажитися. Щоб завершити введення, зробіть це.
Метод #2 - Використовуємо NETDOM
За допомогою NETDOM ми можемо виконати введення комп'ютера в домен із командного рядка за допомогою лише однієї команди.
NETDOM в Windows 7 включений в операційну систему, на відміну від Windows 2000/XP/2003, де необхідно було встановлювати Support Tools.
Відкрийте командний рядок від імені адміністратора:
та введіть наступну команду:
Зауваження: Замініть DOMAIN.COM та DOMAIN на ваше ім'я домену і природно вкажіть ваше доменне логін та пароль. Зверніть увагу також на додаткову "d" в "user" та "password", це НЕдрукарська помилка.
Netdom join %computername% /domain:DOMAIN.COM /userd:DOMAIN\administrator /passwordd 
@ssw0rd
Щоб завершити процедуру, перевантажте комп'ютер.
Якщо ви як і я завжди уважно відстежуєте новини hi-tech, то раджу підписатися на відмінний сайт новин Informua.net. Тільки найцікавіші новини високих технологій та багато іншого.
Щоб змінити опис або ім'я комп'ютера, необхідно відкрити вікно властивостей системи. Для цього найпростіше ввести рядок sysdm.cpl у меню Пуск(Start), у вікні консолі або у вікні Виконати(Run). Або відкрийте вікно системи Windows 7, натиснувши клавіші Win+Pause/Break, і клацніть на посилання Додаткові параметри системи(Advanced System Settings).
На вкладці Ім'я комп'ютера(Computer Name) вказується опис компіотера, який можуть бачити клієнти мережі, що працюють у системах нижче Windows Vista (починаючи з Windows Vista, опис комп'ютера в папціМережа (Network) не відображається !). Кнопка Змінити(Change) на владці опису комп'ютера дозволяє відкрити вікно, де задано ім'я комп'ютера. Це ім'я можна змінити; після цього буде потрібно перезавантаження системи.
Усі комп'ютери за замовчуванням належать до робочої групи WORKGROUP, яка задається під час встановлення системи. Для Windows Vista та Windows 7 ім'я групи та приналежність до домену можна задавати тільки після інсталяції (якщо не використовувати автоматичну установку). У цьому вікні ім'я групи можна змінити, після чого потрібно перезавантажити комп'ютер.
Щоб підключити комп'ютер до домену Active Directory (на базі Windows 2000 Server/Windows Server 2003/ Windows Server 2008), слід вибрати відповідний перемикач та ввести DNS-ім'я домену . До цього обов'язково потрібно змінити (або перевірити) налаштування протоколу TCP/IP для підключення по локальній мережі:
- IP-адреса бажаного DNS-сервера (Preferred DNS server) повинна збігатися з адресою DNS-сервера, використовуваного контролерами домену (або всі мережеві параметри повинні автоматично виходити від корпоративного DHCP-сервера);
- має бути дозволена реєстрація IP-адреси комп'ютера у службі DNS; основний DNS-суфікс комп'ютера за промовчанням дописується до імені комп'ютера.
Основний DNS-суфікс(Primary DNS Suffix) автоматично задається при підключенні комп'ютера до домену; вручну його вводити не потрібно, необхідно лише, щоб було встановлено прапорець дозволу зміни суфікса. При зміні домену або при відключенні від домену основний суфікс DNS змінюється автоматично.
Після натискання кнопки ОКу вікні імені комп'ютера почнеться звернення до контролерів вказаного домену. Якщо дозвіл DNS-імен налаштований неправильно, подальші операції неможливі. У разі помилки необхідно проаналізувати інформаційне повідомлення, довірити параметри TCP/IP для підключення до мережі та доступність зазначеного DNS-сервера. Після цього операцію можна повторити. Якщо підключення до контролера відбулося успішно, пропонується ввести ім'я та пароль користувача, який має право на підключення комп'ютерів до домену (зазвичай вибирається обліковий запис адміністратора домену).
Після виконання всіх операцій з'являється вікно запрошення у вказаний домен, а потім потрібне перезавантаження комп'ютера. Після цього вигляд екрана привітання зміниться.
У обране:
Шановний відвідувач, для доступу до ресурсів сайту сайт, а також для завантаження матеріалів - Вам необхідно або увійти під своїм ім'ям.
Найчастіше виникає необхідність ввести Linux-машину в домен Windows. Наприклад, щоб створити файловий сервер за допомогою Samba. Зробити це дуже просто, для цього вам знадобляться клієнт Kerberos, Samba та Winbind.
Перед встановленням бажано оновитись:
Sudo aptitude update sudo aptitude upgrade
Встановити все це добро можна командою:
Sudo aptitude install krb5-user samba winbind
Також може знадобитися встановити такі бібліотеки:
Sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind
Або, якщо ви використовуєте Ubuntu Desktop, такі ж пакети можна поставити через менеджер пакетів Synaptic.
Далі вам потрібно буде налаштувати всі перераховані вище інструменти для роботи з вашим доменом. Допустимо, ви хочете увійти в домен DOMAIN.COM, доменконтроллером якого є сервер dc.domain.comз IP адресою 192.168.0.1 . Цей сервер є і первинним DNS сервером домену. Крім того припустимо у вас є другий доменконтроллер, він же DNS- dc2.domain.comз IP 192.168.0.2 . Ваш же комп'ютер називатиметься smbsrv01.
Налаштування DNS
Для початку необхідно змінити налаштування DNS на вашій машині, прописавши як DNS сервер доменконтроллер і як домен пошуку - потрібний домен.
Якщо у вас статична IP-адреса, то в Ubuntu Desktop це можна зробити через Network Manager, в Ubuntu Server необхідно змінити вміст файлу /etc/resolv.conf приблизно таке:
Domain domain.com search domain.com nameserver 192.168.0.1 nameserver 192.168.0.2
У сучасних дистрибутивах файл resolv.conf створюється автоматично і правити вручну не потрібно. Для отримання потрібного результату потрібно додати необхідні зміни до файлу: /etc/resolvconf/resolv.conf.d/head Дані, які будуть додані до нього, будуть автоматично вставлені у файл /etc/resolv.conf
Якщо IP-адреса динамічна і присвоюється DHCP сервером, то після перезавантаження resolv.conf може формуватися «неправильна» resolv.conf" , наприклад є тільки один nameserver 192.168.0.1 і не вказані domain і search. Потрібно відредагувати /etc/dhcp/dhcli. Щоб з'явилися записи domain і search, потрібно прибрати коментар перед рядком supersede domain-name, і вписати свій домен:
Supersede domain-name "domain.com";
Щоб додати ще один nameserver, потрібно прибрати коментар перед prepend domain-name-servers і вказати ip сервера:
Prepend domain-name-servers 192.168.0.2;
Для застосування змін залишається перезапустити службу:
/etc/init.d/networking restart
Тепер переконайтеся, що ви задали потрібне ім'я комп'ютера у файлі /etc/hostname:
Smbsrv01
Крім того, необхідно відредагувати файл /etc/hosts так, щоб у ньому був запис з повним доменним ім'ям комп'ютера і обов'язковокоротким ім'ям хоста, що посилається на один із внутрішніх IP:
# Імена цього комп'ютера 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01
Відразу потрібно перевірити що нормально пінгується наш контролер домену, за коротким і повним ім'ям, щоб у майбутньому не отримувати помилки, що контролер домену не знайдено:
Ping dc ping dc.domain.com
Не обов'язково, але якщо ви щось зміните, перезавантажте комп'ютер для застосування змін.
Налаштування синхронізації часу
Далі необхідно налаштувати синхронізацію часу із доменконтроллером. Якщо різниця буде більше 5 хвилин, ми не зможемо отримати лист від Kerberos. Для одноразової синхронізації можна скористатися командою:
Sudo net time set dc
Якщо в мережі існує сервер точного часу, то можна скористатися ним чи будь-яким публічним:
Ntpdate ntp.mobatime.ru
Автоматична синхронізація налаштовується за допомогою ntpd , це демон буде періодично виконувати синхронізацію. Для початку його необхідно встановити:
Sudo aptitude install ntp
Тепер виправте файл /etc/ntp.conf , додавши до нього інформацію про ваш сервер часу:
# Ви потребуєте розмовляти NTP-сервер або два (або три). server dc.domain.com
Після цього перезапустіть демон ntpd:
Sudo /etc/init.d/ntp restart
Тепер час налаштовувати безпосередньо взаємодію з доменом.
Налаштування авторизації через Kerberos
Default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = ( host = ( rcmd = host ftp = ftp ) plain = ( something =- someth DOMAIN.COM = ( kdc = dc kdc = dc2 admin_server = dc default_domain = DOMAIN.COM ) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false
Вам, звичайно, потрібно змінити domain.com на ваш домен і DC і DC2 на ваші доменконтролери. До речі, можливо вам знадобиться написати повні імена доменконтролерів dc.domain.com та dc2.domain.com. Оскільки у мене прописаний домен пошуку в DNS, то мені це робити не потрібно.
Зверніть особливу увагу на регістр написання імені домену – скрізь, де домен написано у верхньому регістрі, його обов'язково потрібно писати саме у верхньому регістрі. Інакше чарівним чином нічого не може заробити.
Це не всі можливі опції налаштування Kerberos, лише основні. Однак їх зазвичай достатньо.
Тепер настав час перевірити, чи ми можемо авторизуватися в домені. Для цього виконайте команду
Kinit [email protected]
Замість username, звичайно, варто вписати ім'я існуючого користувача домену.
Ім'я домену необхідно писати великими літерами!
Якщо ви не отримали жодних помилок - значить ви налаштували все правильно і домен віддає вам квиток Kerberos. До речі, деякі поширені помилки перераховані трохи нижче.
Переконатись у тому, що квиток отримано, можна виконавши команду
Видалити всі квитки (вони вам взагалі не потрібні) можна командою
Поширені помилки kinit
Kinit(v5): Clock skew too great while getting initial credentials
Це означає, що ваш комп'ютер не синхронізує час з доменконтроллером (див. вище).
Kinit(v5): Preauthentication failed while getting initial credentials
Ви ввели неправильний пароль.
Kinit(v5): KDC reply did not match expectations while getting initial credentials
Найдивніша помилка. Переконайтеся, що ім'я realm в krb5.conf , а також домен у команді kinit введені великими літерами:
DOMAIN.COM = ( # ... kinit [email protected] kinit(v5): Ви не маєте інформації про Kerberos database while getting initial credentials
Вказаного користувача немає в домені.
Налаштування Samba та вхід до домену
Для того, щоб увійти до домену, необхідно прописати правильні налаштування у файлі /etc/samba/smb.conf . На даному етапі вас повинні цікавити лише деякі опції із секції. Нижче – приклад частини файлу конфігурації Samba з коментарями щодо значення важливих параметрів:
# Ці дві опції потрібно писати саме в великому регістрі, причому workgroup без # останньої секції після точки, а realm - повне ім'я домену workgroup = DOMAIN realm = DOMAIN.COM # Ці дві опції відповідають саме за авторизацію через AD security = ADS = true # Просто важливі dns proxy = no socket options = TCP_NODELAY # Якщо ви не хочете, щоб самба намагалася при нагоді вилізти в лідери в домені або робочій групі, або навіть стати доменконтроллером, то завжди прописуйте ці п'ять опцій саме в такому вигляді domain master=no local master=no preferred master=no os level=0 domain logons=no # Вимкнути підтримку принтерів load printers=no show add printer wizard=no printcap name=/dev/null disable spoolss=yes
Після того, як ви відредагуєте smb.conf, виконайте команду
Testparm
Вона перевірить вашу конфігурацію на помилки та видасть сумарне зведення про нього:
# testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Натисніть, щоб отримати доступ до ваших служб визначення
Як видно, ми задали правильні параметри для того, щоб наш комп'ютер став членом домену. Тепер настав час спробувати безпосередньо увійти в домен. Для цього введіть команду:
Net ads join -U username -D DOMAIN
І у разі успіху ви побачите щось схоже на:
# net ads join -U username -D DOMAIN Enter username"s password: Використовуючи short domain name -- DOMAIN Joined "SMBSRV01" to realm "domain.com"
Параметри команди net, що використовуються
U username%password: Обов'язковий параметр, замість username необхідно підставити ім'я користувача з правами адміністратора домену, та вказати пароль.
D DOMAIN: DOMAIN - власне сам домен, домен можна і не вказувати, але краще все ж таки це завжди робити - гірше не буде.
S win_domain_controller: win_domain_controller , можна не вказувати, але бувають випадки, коли автоматично сервер не знаходить контролер домену.
createcomputer=«OU/OU/…»: В AD часто використовується OU (Organizational Unit), є в корені домену OU = Office, в ньому OU = Cabinet, щоб одразу додати до потрібного можна вказати так: sudo net ads join -U username createcomputer="Office/Cabinet".
Якщо більше ніяких повідомлень немає - це все добре. Спробуйте попінгувати свій комп'ютер на ім'я з іншого члена домену, щоб переконатися, що в домені все прописалося так, як треба.
Також можна набрати команду:
Net ads testjoin
Якщо все добре, можна побачити:
#net ads testjoin Join is OK
Але іноді після повідомлення про приєднання до домену видається помилка на кшталт:
DNS update failed!
Це не дуже добре, і в цьому випадку рекомендується знову прочитати розділ про налаштування DNS трохи вище і зрозуміти, що ж ви зробили не так. Після цього потрібно видалити комп'ютер із домену та спробувати ввести його заново. Якщо ви впевнені, що все налаштували правильно, а DNS все одно не оновлюється, то можна внести вручну запис для вашого комп'ютера на ваш сервер DNS і все буде працювати. Звичайно, якщо немає жодних інших помилок, і ви успішно увійшли до домену. Однак краще все ж таки розберіться, чому DNS не оновлюється автоматично. Це може бути пов'язано не тільки з вашим комп'ютером, але й з некоректним налаштуванням AD.
Перш ніж з'ясовувати, чому ж не оновлюється DNS, не забудьте перезавантажити комп'ютер після введення в домен! Цілком можливо, що це вирішить проблему.
Якщо все пройшло без помилок, то вітаємо, ви успішно увійшли до домену! Ви можете заглянути в AD і переконатися в цьому. Крім того, добре б перевірити, що ви можете бачити ресурси в домені. Для цього встановіть smbclient:
Sudo aptitude install smbclient
Тепер можна переглядати ресурси доменів. Але цього потрібно мати квиток kerberos, тобто. якщо ми їх видалили, отримуємо знову через kinit (див. вище). Подивимося які ресурси надані в мережу комп'ютером workstation:
Smbclient -k -L workstation
Ви повинні побачити список загальних ресурсів на цьому комп'ютері.
Налаштування Winbind
Якщо вам необхідно якось працювати з користувачами домену, наприклад, налаштовувати SMB-кулі з розмежуванням доступу, то вам знадобиться, крім самої Samba, ще й Winbind - спеціальний демон, що служить для зв'язку локальної системи керування користувачами та групами Linux із сервером Active Directory. Простіше кажучи, Winbind потрібен, якщо ви хочете бачити користувачів домену на своєму комп'ютері з Ubuntu.
Winbind дозволяє спроектувати всіх користувачів та всі групи AD у вашу Linux систему, надавши їм ID із заданого діапазону. Таким чином ви зможете призначати користувачів домену власниками папок та файлів на вашому комп'ютері та виконувати будь-які інші операції, пов'язані з користувачами та групами.
Для налаштування Winbind використовується той самий файл /etc/samba/smb.conf . Додайте до секції наступні рядки:
# Опції зіставлення доменних користувачів та віртуальних користувачів у системі через Winbind. # Діапазони ідентифікаторів для віртуальних користувачів та груп. idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Ці опції не варто вимикати. winbind enum groups = yes winbind enum users = yes # Використовувати домен за промовчанням для імен користувачів. Без цієї опції імена користувачів і груп # використовуватимуться з доменом, тобто. замість username - DOMAIN\username. # Можливо, саме це вам і потрібно, проте зазвичай простіше цей параметр включити. winbind use default domain = yes # Якщо ви бажаєте дозволити використовувати командний рядок для користувачів домену, то # додайте наступний рядок, інакше як shell"а буде викликатися /bin/false template shell = /bin/bash # Для автоматичного оновлення квитка Kerberos модулем pam_winbind.so потрібно додати рядок winbind refresh tickets = yes
Параметри:
idmap uid = 10000 – 40000
idmap gid = 10000 – 40000
у нових версіях Samba вже застаріли і при перевірці конфіга самби за допомогою testparm буде висуватись попередження:
WARNING: "idmap uid" option is deprecated
WARNING: "idmap gid" option is deprecated
Щоб прибрати попередження, потрібно замінити ці рядки на нові:
idmap config *: range = 10000-20000
idmap config *: backend = tdb
Тепер перезапустіть демон Winbind та Samba у наступному порядку:
Sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start
Запускаємо
Sudo testparm
Чи є помилки або попередження, якщо з'явиться:
"rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)"
Без перезавантаження можна усунути так:
Ulimit -n 16384
Щоб зберегти після перезавантаження, відредагувати файл /etc/security/limits.conf
# Додати до кінця файлу рядка: * - nofile 16384 root - nofile 16384
Після перезапуску перевірте, що Winbind встановив довірчі відносини з командою AD:
# wbinfo -t checking trust secret for domain DCN via RPC calls succeeded
А так само, що Winbind побачив користувачів та групи з AD командами:
Wbinfo -u wbinfo -g
Ці дві команди повинні видати список користувачів та груп з домену відповідно. Або з префіксом DOMAIN\ або без нього - в залежності від того, яке значення ви вказали параметру "winbind use default domain" в smb.conf .
Отже, Winbind працює, але в систему він ще не інтегрований.
Додавання Winbind як джерело користувачів та груп
Для того, щоб ваша Ubuntu прозоро працювала з користувачами домену, зокрема, щоб ви могли призначати користувачів домену власниками папок та файлів, необхідно вказати Ubuntu використовувати Winbind як додаткове джерело інформації про користувачів та групи.
Для цього змініть два рядки у файлі /etc/nsswitch.conf:
Passwd: compat group: compat
додавши до них у кінець winbind:
Passwd: compat winbind group: compat winbind
Files: dns mdns4_minimal mdns4
ubuntu server 14.04, файл /etc/nsswitch.conf не містив рядок "files: dns mdns4_minimal mdns4" замість неї було: "hosts: files mdns4_minimal dns wins" Яку я перетворив на: "hosts: dns mdns4_mini
Тепер перевірте, що Ubuntu запитує у Winbind інформацію про користувачів та групи, виконавши
Getent passwd getent group
Перша команда повинна вам повернути весь вміст вашого файлу /etc/passwd , тобто ваших локальних користувачів плюс користувачів домену з ID із заданого вами в smb.conf діапазону. Друга має зробити те саме для груп.
Тепер ви можете взяти будь-якого користувача домену і зробити його, наприклад, власником якогось файлу.
Авторизація в Ubuntu через користувачів домену
Незважаючи на те, що всі користувачі домену фактично стали повноцінними користувачами системи (у чому можна переконатися, виконавши останні дві команди з попереднього розділу), зайти ні під ким із них до системи все ще не можна. Для увімкнення можливості авторизації користувачів домену на комп'ютері з Ubuntu необхідно налаштувати PAM на роботу з Winbind.
Он-лайн авторизація
Для Ubuntu 10.04 та вищедодайте лише один рядок у файлі /etc/pam.d/common-session, т.к. PAM і так непогано справляється з авторизацією:
Session optional pam_mkhomedir.so skel=/etc/skel/umask=0077
Для Ubuntu 13.10щоб з'явилося поле ручного введення логіну необхідно до будь-якого файлу з папки /etc/lightdm/lightdm.conf/ знизу додати рядок:
Greeter-show-manual-login=true
Для Ubuntu 9.10 та нижчедоведеться редагувати кілька файлів (але ніхто не забороняє використовувати цей спосіб і о 10.04 – він теж працює):
Послідовність рядків у файлах має значення!
/etc/pam.d/common-auth
Auth required pam_env.so auth sufficient pam_unix.so likeauth nullok try_first_pass auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth required pam_deny.so
/etc/pam.d/common-account
Account sufficient pam_winbind.so Account required pam_unix.so
/etc/pam.d/common-session
Session optional pam_mkhomedir.so skel=/etc/skel/umask=0077 session optional pam_ck_connector.so nox11 session required pam_limits.so session required pam_env.so session required pam_unix.so
/etc/pam.d/common-password
Password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow password sufficient pam_winbind.so password required pam_deny.so
І, нарешті, необхідно перенести запуск Winbind під час завантаження системи після решти служб (за замовчуванням він запускається з індексом 20). Для цього у терміналі виконайте таку команду:
Sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"
Що еквівалентно запуску для кожного рівня (у прикладі – 4) команди:
Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
У деяких випадках winbind може мати інший рівень запуску (наприклад, S02winbind). Тому спочатку перевірте імена файлів, заповнивши команду ls /etc/rc(2,3,4,5).d/ | grep winbind» (без лапок).
Готово, всі налаштування завершено. Перезавантажуйтеся та намагайтеся увійти з обліковим записом користувача домену.
Офф-лайн авторизація
Часто виникає ситуація, коли домен-контролер недоступний з різних причин – профілактика, відключення світла або ви принесли ноутбук додому та хочете попрацювати. У цьому випадку для Winbind можна настроїти кешування облікових записів користувачів домену. Для цього потрібно зробити таке. Додайте до секції файлу /etc/samba/smb.conf наступні рядки:
# Можливість офлайн-авторизації при недоступності доменконтроллера winbind offline logon = yes # Період кешування облікових записів, за замовчуванням дорівнює 300 секунд winbind cache time = 300 # Необов'язкова настройка, але позбавляє від нудних пауз, вказуємо контролер але це є поганим тоном password server = dc
Зазвичай цього достатньо. Якщо ж виникають помилки, необхідно створити файл /etc/security/pam_winbind.conf з наступним змістом:
Увага! При використанні порад нижче може виникати випадкова помилка «Збій аутентифікації»! Тому все що Ви робите, Ви робите на свій страх та ризик!
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # # turn on debugging debug = no # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes # authenticate використовуючи kerberos krb5_auth = yes # при використанні kerberos, вимагаючи "FILE" krb5 credential cache type # (ліжний empty to just do krb5 authentication but not a ticket # afterwards) krb5_ccache_type = FILE # make successful authen (can also take a name); require_membership_of = silent = yes
Файл /etc/pam.d/gnome-screensaver у такому випадку набуває вигляду:
Auth sufficient pam_unix.so nullok_secure auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
А також змінюється файл /etc/pam.d/common-auth:
Auth optional pam_group.so auth sufficient pam_unix.so nullok_secure use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
