Lazarev-granit.ru

Лазарев Гранит
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как удаленный компьютер подключить к домену

Вопросы и ответы о подключении к удаленному рабочему столу Windows

Подключение к удаленному рабочему столу – это технология, которая позволяет сидеть за компьютером (который иногда называют клиентским компьютером) и подключаться к удаленному компьютеру (который иногда называют главным компьютером), расположенному в другом месте.

Например, с домашнего компьютера можно подключиться к рабочему и получить доступ ко всем своим программам, файлам и сетевым ресурсам, так как будто вы сидите перед своим компьютером на работе.

Можно оставить программы выполняться на работе, а потом, добравшись домой, увидеть рабочий стол рабочего компьютера на экране домашнего, с теми же запущенными программами.

Управление питанием

Режим «Управление питанием» позволяет производить выключение, перезагрузку, гибернацию и другие операции, связанные с управлением питания удаленного компьютера.

  • Перезагрузка, выключение или смена удаленного пользователя.
  • Перезагрузка ОС в безопасном режиме.
  • Включение и выключение удаленного монитора.
  • Перевод компьютера в режим сна или гибернации.
  • Удаленное включение компьютера, при помощи технологии Wake-on-LAN.

1. Настройка разрешений удаленного доступа подключений к Windows Server 2016

Разрешения подключения, которые задаются в оснастке «Конфигурация» удаленных рабочих столов, также определяют действия, которые данный пользователь может выполнять через оснастку Диспетчер служб удаленных рабочих столов. Например, пользователь должен иметь как минимум специальное разрешение доступа «Удаленное управление», чтобы удаленно управлять сеансом пользователя с помощью оснастки Диспетчер служб удаленных рабочих столов.

Выберите панель управления и сделайте поиск «рабочий стол», среди результатов поиска выберите «Разрешение удаленного доступа к компьютеру»

В окне свойства системы отметить опцию «Разрешить удаленные подключения к этому компьютеру»

Также дополнительно можно указать каким учетным записям — пользователям разрешен доступ.

Выпуск серверных и клиентских сертификатов

Выпуск сертификатов производится согласно документации ЖТЯИ.00103-01 92 01. Инструкция по использованию. Windows (раздел 5).

При этом в свойствах сертификата TLS рекомендуется указывать все необходимые для идентифицирования имена в поле Дополнительное имя субъекта (SubjectAlternativeName, SAN)

Выпускаем сертификат TLS в соответствии с алгоритмом ГОСТ, для этого подходит шаблон «Проверка подлинности рабочей станции», выгружаем в .pfx

Выпускаем сертификаты пользователей домена на основе шаблона для входа по смарт-карте с использованием алгоритмов ГОСТ.

У сертификатов смарт-карт есть дополнительные требования к формату:

  • Точка распространения CRL (где CRL — список отзыва сертификата) должна быть заполнена, доступна и находиться в оперативном режиме.

[1]Точка распространения CRL
Имя точки распространения:
Полное имя:
URL=http://server1.name.com/CertEnroll/caname.crl

  • Использование ключа = Цифровая подпись
  • Основные ограничения [Тип темы=Конечный субъект, Ограничения длины пути=нет] (Необязательно)
  • Использование улучшенного ключа =
  • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
    (Проверка подлинности клиента (OID) требуется только в случаях, когда сертификат используется для проверки подлинности по протоколу SSL.)
  • Вход в систему с помощью смарт-карты (1.3.6.1.4.1.311.20.2.2)
  • Дополнительное имя субъекта = другое имя: Основное имя пользователя= (UPN). Например:

основное имя пользователя = user1@name.com
UPN Другое имя OID: «1.3.6.1.4.1.311.20.2.3»
UPN Другое имя значение: Это должна быть ASN1-кодированная строка UTF8

  • Тема = Различающееся имя пользователя. Это поле является обязательным дополнением, но заполнять его необязательно.

Подробнее о создании шаблона сертификата TLS в УЦ 2.0 для защиты RDP-подключений

Для выпуска правильного сертификата TLS нужно создать шаблон сертификата в консоли Диспетчера УЦ. Для этого создаётся копия шаблона Веб-сервера (Диспетчер УЦ — Роли УЦ — Сервер ЦС — Шаблоны — Добавить). В мастере создания шаблона сертификата выбирается шаблон Веб-сервер, указывается наименование нового шаблона, например, RDG-сервер и далее по подсказкам мастера.

Читать еще:  Как подключить камеру видеонаблюдения к компьютеру в домашних условиях

После этого редактируются свойства шаблона (важно разрешить в параметрах создания ключа экспорт ключа)

5. Узнать адрес компьютера (IP-адрес) в сети НГУ.

Это можно сделать несколькими способами:

В панели задач возле часов (внизу справа) найти значок Удалённого помощника , навести на него курсор и посмотреть адрес во всплывающей подсказке. Если не успели записать адрес, а подсказка исчезла – уберите курсор с иконки Помощника и наведите снова.

  • Нажмите сочетание клавиш Win+R,
  • Введите в открывшемся окне cmd и нажмите Enter,
  • В открывшемся окне Командной строки введите команду ipconfig .
  • В выведенных данных найти строку, начинающуюся с IP-адрес или IPv4-адрес. Она будет содержать искомый адрес, состоящий из 4 чисел, разделённых точками.

Действия при динамическом IP

Каждый роутер действует, как маршрутизатор. Это значит, что он идентифицирует любое обращающееся к нему устройство (ПК, ноутбук, смартфон), присваивая ему IP из некоторого диапазона значений. Но для доступа к удаленному рабочему столу нам нужно постоянное значение этого адреса. Иначе придется каждый раз задавать новый. Чтобы преобразовать постоянно меняющийся IP на постоянный, существует технология DDNS. Она отслеживает изменения адреса и преобразует его в постоянный, закрепленный именно за этим устройством.

Технология доступна на нескольких сайтах. Расскажем об одном из них – бесплатном сервисе noip.com. Он превратит динамический адрес в домен второго или третьего уровня. Зайдите и зарегистрируйтесь. Кликните «Sign Up» и подтвердите регистрацию в письме, полученном по указанному электронному адресу.

Потом вводите свои данные для входа на ресурс. Нажмите «Add Host». Все данные во вновь открывшемся окошке будут уже проставлены по умолчанию. Все, кроме пункта Hostname. Здесь вы сами выдумываете адрес и выбираете домен. Рядом с полем «Port 80 redirect» ставим галочку. А в качестве значения порта вводим 3389. Осталось сохранить настройки.

Теперь нужно ввести доменное имя, которое мы завели, а также пару логин-пароль, которую мы вводили на сервисе, в панель настройки роутера. Поставить галочку в пункте «Включить DDNS». Вы получили доступ к удаленному рабочему столу через интернет.

Как удаленный компьютер подключить к домену

Компьютеры относятся к еще одному типу объектов Active Directory, но в отличие от пользователей и групп AD к ним нет должно внимания и соответственно администраторы пренебрегают их администрированием. Но компьютеры так же как и группы, пользователи AD имеют свой SID и соответственно их можно заключать в группы, назначать им доступ к ресурсам, управлять ими средствами групповых политик.

Способы создания компьютера в AD.

Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.

Читать еще:  Самсунг а71 как настроить уведомления

Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:

— у вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена ( Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));

— объект компьютера создан в домене;

— вы должны войти в присоединяемый компьютер как локальный администратор.

У многих администраторов второй пункт может вызвать негодование, — зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.

Теперь разберем способы создания компьютера (компьютеров) в AD:

Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».

Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать «Пуск- Панель управления- Система и безопасность- Администрирование- Active Directory – пользователи и компьютеры» выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите «Создать- Компьютер«.

Впишите имя компьютера.

Создание учетной записи компьютера с помощью команды DSADD.

Общий вид команды:

dsadd computer [-desc ] [-loc ] [-memberof ] [<-s | -d >] [-u ] [-p < | *>] [-q] [<-uc | -uco | -uci>]

Значение Описание
Обязательный параметр. Задает различающееся имя (DN) добавляемого компьютера.
-desc Задает описание компьютера.
-loc Задает размещение компьютера.
-memberof Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN .

-s задает подключение к контроллеру домена(DC) с именем .
-d задает подключение к DC в домене .
По умолчанию: DC в домене входа.
-u Подключение под именем . По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, доменимя пользователя, основное имя пользователя (UPN).
-p Пароль пользователя . Если введена *, будет запрошен пароль.
-q «Тихий» режим: весь вывод заменяется стандартным выводом.

-uc Задает форматирование ввода из канала или вывода в канал в Юникоде.
-uco Задает форматирование вывода в канал или файл в Юникоде.
-uci Задает форматирование ввода из канала или файла в Юникоде.

Читать еще:  Как правильно установить дверную коробку в деревянном доме

Пример использования команды Dsadd:

Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”

Создание учетной записи рабочей станции или сервера с помощью команды Netdom.

Общий вид команды Netdom:

NETDOM ADD [/Domain:домен] [/UserD:пользователь] [/PasswordD:[пароль | *]] [/Server:сервер] [/OU:путь к подразделению] [/DC] [/SecurePasswordPrompt]
это имя добавляемого компьютера
/Domain указывает домен, в котором требуется создать учетную запись компьютера
/UserD учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU.
/OU подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.

Создание объекта Компьютер с помощью Ldifde ( ссылка на подробную информацию ) и Csvde ( ссылка на подробную информацию ).

Администрирование учетной записи компьютеров в Active Directory.

Переименование компьютера в AD.

Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:

Netdom renamecomputer /Newname:

Пример: Netdom renamecomputer COMP01 /Newname: COMP02

Удаление учетных записей компьютера.

1 Удалить учетную запись компьютера с помощью оснастки «Active Directory – пользователи и компьютеры«. Запускаете оснастку «Active Directory – пользователи и компьютеры» находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете «Удалить«, подтверждаете удаление

2 Удалить компьютер можно с помощью команды DSRM:

DSRM

DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.

Устранение ошибки «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом».

Иногда при попыдке войти в компьютер пользователь получает сообщение «Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом«. Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:

1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать «Переустановить учетную запись» (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.

2 С помощью команды Netdom:

Netdom reset /domain /User0 /Password0 без кавычек <>

Пример: Netdom reset COMP01 /domain pk-help.com /User0 Ivanov /Password *****
Перезагрузка компьютера не нужна.

3 С помощью команды Nltest:

Nltest /server: /sc_reset:

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector