Zařazování počítačů do Active Directory domény
Vlastní zařazení počítače do domény
Podmínkou pro úspěšné provedení tohoto kroku je předcházející zajištění vhodné konfigurace OS pro zařazení do domény.
Zařazení počítače do domény přes GUI, které jste mohli zahlédnout při úpravě konfigurace OS, bohužel nelze provést zcela přímočaře. Je to proto, že Windows neumožňují touto cestou určit, kde v Active Directory se má účet nově zařazovaného počítače vytvořit. (Jako kdyby toto GUI "znalo" jen prapůvodní NT domény a pro Active Directory vůbec nebylo přepracováno...) Účty počítačů zařazených touto cestou jsou vytvářeny ve výchozím kontejneru v Active Directory a takový postup nepřipadá v úvahu.
Výjimkou je zařazení počítačů, pro které již v Active Directory účet existuje. Pak se použije již existující účet (za předpokladu, že k němu máte příslušná práva). Znovuzařazení počítače s již existující registrací tedy takto provést lze. Nové počítače lze takto zařazovat až po předchozím (před)vytvoření účtu, je tedy nutná určitá příprava. I z tohoto důvodu bude dále popsán postup, který tuto přípravu nevyžaduje a lze jej provést přímo ze zařazovaného počítače. Postup popsaný v tomto odstavci je nabízen jako určitá alternativa, kterou by zkušenější správci měli být schopni zvládnout intuitivně.
Pro zařazení bez předvytváření účtu je nutné použít jiné nástroje, které umožňují kontejner, kde má být účet vytvořen, specifikovat. Lze tak např. využít:
- command-line utilitu
netdom
, - metody WMI objektu
Win32_ComputerSystem
(vewmic
aliasComputerSystem
), - PowerShell apod.
WMI je vhodné pro implementaci vlastního skriptu v jazycích,
které WMI umožňují používat. Prostřednictvím command-line utility
wmic
je lze využít i v jednoduchých skriptech
pro cmd
(dávkových souborech). WMI stejně jako využití
cmdletů v PowerShellu, bude zajímavé zejména pro správce, kteří
mají zájem tento proces automatizovat prostřednictvím vlastních
skriptů. Nejjednodušší použití z uvedených ale nabízí utilita
netdom
a její použití bude dále popsáno. I tuto
utilitu lze využít v jednoduchém cmd
skriptu.
Command-line utilitu netdom
lze stáhnout od Microsoftu,
ale tento nástroj je pro různé verze Windows odlišný. Navíc se zdá, že
pro všechny verze Windows jej Microsoft distribuuje jen jako součást
větších balíků. Pro Windows XP a Windows 7 lze netdom
proto samostatně (a možná i poněkud neoficiálně) najít ke stažení i zde.
Zařazení počítače do domény je pak s netdom
otázkou
2 příkazů:
netdom join 127.0.0.1 /Domain:ad.feec.vutbr.cz /OU:<kontejner> /UserD:<uživatel> /PasswordD:*
netdom renamecomputer 127.0.0.1 /NewName:%COMPUTERNAME% /Force /UserD:<uživatel> /PasswordD:*
Zařazením do domény prakticky dochází ke změně konfigurace počítače a proto je oba příkazy nutné provádět s efektivními administrátorskými právy. (Pokud zařazujete počítač s Windows podporujícími UAC, které je povoleno, nezapomeňte na nutnost elevace, aby tato práva byla skutečně efektivní!)
Druhý z uvedených příkazů byl při testech nutný jen ve Windows 7 a jeho účelem je aktualizovat/opravit DNS jméno u účtu právě zařazeného počítače v Active Directory (principiálně jinak provádí "nulové přejmenování" – z aktuálního jména na to samé jméno). Registrace Windows XP v Active Directory byla při testech správná již po 1. příkazu, ale klidně lze oba příkazy použít i zde a používat jeden společný postup.
Oba příkazy po úspěšném provedení oznámí nutnost restartovat počítač. Při testech s Windows XP i Windows 7 nebyl problém ignorovat výzvu po prvním příkazu a konečný restart provést až po provedení obou příkazů. V případě výskytu problémů s druhým příkazem však restart mezi oběma příkazy navíc může takovýto problém vyřešit. Podle zpětné vazby od správců by se toto mohlo týkat např. Windows Vista.
Oba příkazy budou vyžadovat ověření správce zadáním hesla, ale lze si
ušetřit dvojí zadávání hesla připravením skriptu, ve kterém se heslo
dosadí místo hvězdiček u voleb /PasswordD
.
Distingovaná jména <kontejner>
ů (OU)
pro jednotlivé ústavy budou ústavním správcům sdělována individuálně
společně se zřízením účtů <uživatel>
pro
správu těchto kontejnerů. Při tomto bude zároveň po dohodě upravena
prvotní struktura (pod)kontejnerů a nalinkovány dohodnuté GPO
tak, aby bylo možné začít uvedené ihned využívat. Následná správa
objektů v těchto kontejnerech bude tímto delegována a dále
už tedy v režii jednotlivých správců správců.