将服务器或客户端设备加入域是实现组织网络中集中管理和改进安全性的重要步骤。 无论是配置新设备还是优化网络设置,请遵循本指南以无缝集成到域环境。
Important
KB5020276 是一项Microsoft更新,可增强域加入过程的安全性。 此更新引入了增强的验证和身份验证,以帮助防止未经授权的设备加入 Windows 域,确保只能将受信任的设备添加到网络。 若要了解详细信息,请参阅 KB5020276 - Netjoin:域加入强化更改。
Prerequisites
服务器要求
Windows Server 设备必须安装 Active Directory 域服务 角色才能使用 Active Directory 用户和计算机(ADUC)工具。 若要了解详细信息,请参阅 安装或卸载角色、角色服务或功能。
必须是管理员组的成员,或者对本地帐户和域帐户具有管理权限。
客户端要求
用户帐户必须具有本地计算机上的管理权限才能加入域。
客户端设备必须安装以下版本的 Windows 之一:
- Enterprise
- 企业 N
- Pro
- Pro N
- 专业教育版
- 专业教育 N
- 专业工作站版
- 适用于工作站的 Pro N
Note
为了保持时间同步,组织通常使用 Windows 时间服务或网络时间协议 (NTP) 服务器。 在域中,计算机通常将其时钟与域控制器同步,该域控制器应与可靠的时间源保持一致。 此过程可确保域中所有设备的时间设置一致,最大限度地减少 Kerberos 身份验证的潜在问题。
使用 ADUC 预配置设备
此步骤是可选的,不需要将设备加入域。 但是,在 Active Directory 中预先配置设备,可以通过将计算机帐户分配到适当的组织单位(OU)并确保在设备加入域之前设有适当的权限,从而简化流程。
在 服务器管理器中,从右上角菜单中选择 “工具” 按钮。
在下拉菜单中,选择 “Active Directory 用户和计算机”。
在左窗格中,导航到并选择相应的组织单位(OU)。
选择“ 作 ”选项卡,选择“ 新建”,然后选择“ 计算机”。
输入计算机名称并配置设备应所属的用户或组。
选择 “确定” 这可以帮助在客户端准备好加入域时做好准备。
将设备加入域
可以使用图形用户界面(GUI)方法或命令行工具(具体取决于偏好和环境的需求)将设备加入域。 这两种方法可确保集成到域中。
服务器管理器方法
在“服务器管理器”中,选择“工作组”下的“本地服务器”,选择工作组或域名超链接。
在“ 计算机名称 ”选项卡下,选择“ 更改”。
在“ 成员”下,选择“ 域”,键入希望计算机加入的域的名称,然后选择“ 确定”。
提供加入域所需的凭据,然后选择“ 确定”。
设备成功加入域后,通知会确认设备的域成员身份。 选择 “确定”,系统会提示你重启设备。
控制面板方法
选择 “开始”,键入 “控制面板”,然后按 Enter。
确保从右上角的“ 视图” 下拉菜单设置为 “类别”。
导航到 “系统和安全”,然后选择“ 系统”。
选择 “域或工作组”,在“ 计算机名称 ”选项卡下,选择“ 更改”。
在“ 成员”下,选择“ 域”,键入希望计算机加入的域的名称,然后选择“ 确定”。
提供加入域所需的凭据,然后选择“ 确定”。
设备成功加入域后,通知会确认设备的域成员身份。 选择 “确定”,系统会提示你重启设备。
选择 “开始”,键入 “控制面板”,然后按 Enter。
确保从右上角的“ 视图” 下拉菜单设置为 “类别”。
导航到 “系统和安全”,然后选择“ 系统”。
选择 “高级系统设置”,然后选择“ 更改设置”。
在“ 计算机名称 ”选项卡下,选择“ 更改”。 '
在“ 成员”下,选择“ 域”,键入希望计算机加入的域的名称,然后选择“ 确定”。
提供加入域所需的凭据,然后选择“ 确定”。
设备成功加入域后,通知会确认设备的域成员身份。 选择 “确定”,系统会提示你重启设备。
选择 “开始”,键入 “控制面板”,然后按 Enter。
确保从右上角的“ 视图” 下拉菜单设置为 “类别”。
导航到 “系统和安全”,然后选择“ 系统”。
在 “计算机名称”、“域”和“工作组设置”下,选择“ 更改设置”。
在“ 计算机名称 ”选项卡下,选择“ 更改”。 '
在“ 成员”下,选择“ 域”,键入希望计算机加入的域的名称,然后选择“ 确定”。
提供加入域所需的凭据,然后选择“ 确定”。
设备成功加入域后,通知会确认设备的域成员身份。 选择 “确定”,系统会提示你重启设备。
设置应用程序方法
依次选择“开始”、“设置”、“帐户”。
选择 “访问工作或学校”,然后选择“ 连接”。
选择“ 将此设备加入本地 Active Directory 域”。
输入域名,选择“ 下一步”和帐户凭据,然后选择“ 确定”。
重启设备。
命令行方法
可以通过命令提示符或 PowerShell 将设备添加到域。
打开提升的命令提示符窗口。
运行以下命令,将
YourDomainName和DomainUsername替换为您的值:netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*系统会提示输入指定域用户帐户的密码。
重新启动设备。 登录后,您将被加入至域。
将已断开连接的设备重新加入域
如果客户端或服务器设备脱离域,可以通过从域中删除设备,然后重新将其加入域来恢复信任关系。 此过程重新建立设备与域之间的连接。 离开网络域的过程类似于加入网络域。
使用服务器管理器重新加入域
若要使用 服务器管理器离开域,请按照前面的步骤加入域,直到到达 “系统属性” 窗口。
在“ 成员”下,选择 “工作组”,键入要临时加入的工作组的名称,然后选择“ 确定”。
再次选择 “确定 ”,然后重新启动设备。
重新登录到本地帐户后,重复步骤,将设备重新加入之前取消加入的域。
使用控制面板将服务器重新连接到域
若要使用 控制面板离开域,请按照前面的步骤加入域,直到到达 “系统属性” 窗口。
在“ 成员”下,选择 “工作组”,键入要临时加入的工作组的名称,然后选择“ 确定”。
再次选择 “确定 ”,然后重新启动设备。
重新登录到本地帐户后,重复步骤,将设备重新加入之前取消加入的域。
使用控制面板将客户端重新加入域
若要使用 控制面板离开域,请按照前面的步骤加入域,直到到达 “系统属性” 窗口。
在“ 成员”下,选择 “工作组”,键入要临时加入的工作组的名称,然后选择“ 确定”。
再次选择 “确定 ”,然后重新启动设备。
重新登录到本地帐户后,重复步骤,将设备重新加入此前被移除的域。
使用“设置”重新加入域
若要使用 “设置”应用离开域,请按照前面的步骤加入域,直到到达 Access 工作或学校 窗口。
在帐户下,选择“ 断开连接”,然后选择“ 是”。
重新启动设备。
重新登录到本地帐户后,重复步骤,将设备重新加入此前被移除的域。
使用命令行重新加入域
若要使用 命令行离开域,请执行以下步骤:
打开提升的命令提示符窗口。
运行以下命令,将
YourDomainName和DomainUsername替换为您的值:netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*系统会提示输入指定域用户帐户的密码。
设备重新启动后,登录到本地帐户。
按照 命令行方法 中提供的步骤重新加入域。
修复域信任关系
当已加入域的计算机与域控制器之间的安全通道中断时,可能会遇到以下错误:
The trust relationship between this workstation and the primary domain failed.
当计算机的密码未与域数据库同步时,通常会发生此错误。 如果删除或损坏了域中的计算机帐户,也可能发生这种情况。 可以使用命令行解决设备与域之间的信任关系问题。
使用本地管理员帐户登录。
打开提升的命令提示符窗口。
通过运行以下命令来测试安全通道,并将
ComputerName和YourDomainName替换为您的具体值:netdom verify ComputerName /domain:YourDomainName通过运行以下命令来重置计算机密码,并分别将
DomainControllerName和Domain\Username替换为您的具体值:netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*系统会提示你提供帐户的密码。
运行以下命令,将
YourDomainName和DomainUsername替换为你的值以重置安全通道:netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*系统会提示你提供帐户的密码。
重启设备,使更改生效。 按照 命令行方法 中提供的步骤重新加入域。