一、創建計算機賬號
在使用AD賬號登陸之前,電腦必須加入域。計算機賬號和用戶賬號類似,也有登錄名(sAMAccountName)和密碼(這個密碼由服務器自動維護)及安全標示符(SID)。有了這些憑據,計算機可以在AD中進行身份驗證,並創建安全關係,AD用戶才能登陸到這些計算機。如果計算機和AD之間的憑據出現問題,用戶在登錄時則會提示“此工作站與主域之間的信任關係失敗”。
1.創建計算機OU
安裝好AD後會有2個默認有2個地方可以計算機賬號:一個爲Computer,計算機及成員服務器加入域後都會默認在該容器,但是不建議使用這個默認容易,因爲這個系統默認容器無法鏈接組策略。另一個爲DomainController,這個OU是放所有域控制器(DC),這個建議保持默認不變。一般建議大家至少爲計算機賬號創建至少兩個OU:一個放客戶端計算機賬號,一個放服務器賬號。方便今後組策略的鏈接,因爲客戶端和服務器可能需要鏈接不同的GPO。
如果是使用基於站點的管理方式,並且臺式機和筆記本分開管理,建議按站點的物理位置進行劃分,具體如圖:
注:當計算機加入域時,如果AD中不存在該計算機賬號時,會默認在Computer容器中自動創建計算機對象,如果需要改變這個目錄,則可以使用redircmp這個命令進行重定向。使用語法:redircmp“ou=xxx,dc=contoso,dc=com”
2.創建計算機賬號
在“ActiveDirectory用戶和計算機”中創建計算機賬號,輸入計算機名稱即可。
使用dsadd創建計算機,語法示例:dsaddcomputer“cn=desktop002,ou=xxx,dc=contoso,dc=com”
使用csvde批量創建計算機賬號。
將需要創建的計算機賬號信息按如下格式保存成csv格式文件
使用csvde–i–f“d:\computerinfo.csv”-k命令批量創建計算機賬號,如果所示成功創建。
使用powershell導入計算機賬號
語法
New-ADComputer[-Name]<string>[-WhatIf][-Confirm][-AccountExpirationDate<datetime>][-AccountNotDelegated<bool>][-AccountPassword<securestring>][-AllowReversiblePasswordEncryption<bool>][-AuthType<ADAuthType>{Negotiate|Basic}][-CannotChangePassword<bool>][-Certificates<X509Certificate[]>][-ChangePasswordAtLogon<bool>][-CompoundIdentitySupported<bool>][-Credential<pscredential>][-Description<string>][-DisplayName<string>][-DNSHostName<string>][-Enabled<bool>][-HomePage<string>][-Instance<ADComputer>][-KerberosEncryptionType<ADKerberosEncryptionType>{None|DES|RC4|AES128|AES256}][-Location<string>][-ManagedBy<ADPrincipal>][-OperatingSystem<string>][-OperatingSystemHotfix<string>][-OperatingSystemServicePack<string>][-OperatingSystemVersion<string>][-OtherAttributes<hashtable>][-PassThru][-PasswordNeverExpires<bool>][-PasswordNotRequired<bool>][-Path<string>][-PrincipalsAllowedToDelegateToAccount<ADPrincipal[]>][-SAMAccountName<string>][-Server<string>][-ServicePrincipalNames<string[]>][-TrustedForDelegation<bool>][-UserPrincipalName<string>][<CommonParameters>]
創建單個計算機賬號示例:
New-ADComputer–Namepc001–SAMAccountNamepc001–Path“ou=xxx,dc=contoso,dc=com”
批量創建計算機賬號,將需要創建的計算機賬號信息按如下格式保存成csv格式文件:
使用命令導入csv文件中的信息
Import-Csv"d:\computerinfo2.csv"|ForEach-Object{New-ADComputer-Name$_.name-SAMAccountName$_.samaccountname-Path$_.path}
二、導出AD中計算機賬號的信息
如果我們需要查詢AD中電腦安裝的操作系統版本、最後一次登錄時間等信息,也可以使用powershell的Get-ADComputer進行導出。
示例命令:
Get-ADComputer-Filter*-Properties*–Searchbase“ou=workstation,ou=long,dc=lab,dc=com”|Select-ObjectName,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion,LastLogonDate|Export-CSV-NoTypeInformation-EncodingUTF8–Path“d:\cmpinfo.csv”
三、將計算機加入域
加入域前,首先確保客戶端DNS設置正確,DNS指向環境中的DNS服務器。確保客戶端能ping通域。
1.在計算機屬性中更該成域模式即可,這是最常用的一種方法,相信大家基本都會,這裏就不做說明了。
2.使用netdom命令將計算機加入域。
示例命令:
netdomjoincomputername/domain:contoso.com/userd:contoso\administrator/passwordd:123@#abc/reboot:5
3.默認設置下,普通用戶也是有權限將計算機加入域的,最多可以將10臺計算機加入域。處於安全考慮,建議關閉這一設置。
開始--運行—adsiedit.msc,打開ADSI編輯器。右擊“ADSI編輯器”選擇“連接到…”。在連接設置中選擇“默認命名上下文”。
右擊“DC=Lab,DC=Com”,選擇“屬性”,在屬性對話框中找到“ms-DS-MachineAccountQuota”將值修改爲0。
完成上述步驟後,只有域管理員或委派權限的用戶纔可以將計算機加入域。
四、計算機的登錄和安全通道
與用戶賬號類似,計算機賬號也有登錄名(sAMAccountName)和密碼。計算機會將自己的密碼以本地安全機構(LSA)密文形式保存,並每30天聯繫AD修改密碼。這個過程不需要人爲參與。Netlogon服務將使用該憑據登錄到AD,並與DC建立安全通道。
如果安全通道失敗,則必須將其重置。可以直接右擊計算機賬號,選擇“重置賬戶”。不建議大家通過將計算機刪除,然後新建一個同名的方式來重置。因爲這種方法會導致計算機賬號及SID徹底刪除,即時新建一個同名的計算機賬號SID也是不一樣的,如果該計算機有資源權限分配也會丟失。
總結:很多管理在AD賬號管理過程中可能會忽略計算機賬號的管理,更多的時間花在用戶賬號及組的維護上。其實不然,計算機賬號的管理和用戶賬號同等重要,客戶端開機首先是使用計算機賬號憑據進行驗證的,如果計算機憑據出現問題,用戶也是無法登陸。
本文出自“蠟筆小牛”博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1269502