Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз я вам показал, все методы ввода Windows 10 в домен, сегодня я хочу показать обратную задачу, и научу вас правильно выводить компьютеры из домена, будь то клиентские версии Windows 7, 8.1 или же серверные Windows Server. Расскажу для чего, это нужно уметь и почему нельзя просто забить на такие компьютеры. Уверен, что данная информация окажется для начинающих системных администраторов полезное, ее кстати любят спрашивать на собеседованиях. Ну приступаем.
- Для чего выводить компьютеры из домена?
- Методы исключения компьютера из домена
- Меры предосторожности
- Вывод компьютера из домена классическим методом
- Исключение из домена Windows 10 и Windows Server 2016
- Метод вывода для Windows 10 версий 1503-1511
- Метод вывода для Windows 10 версий 1607 и выше
- Исключение из домена через PowerShell
- Исключение из домена через NETDOM.EXE
- Документация по ОС Windows
- Вывод рабочей станции Windows из домена
- Решаем задачу по выводу компьютера из домена Windows Active Directory с сохранением всех данных пользователя
- Для вывода учетных записей из домена Windows (AD) с сохранением данных мы используем утилиту: User Profile Wizard 3.16
- Удаление домена
- Удаление домена
- Пример заявления для физического лица или ИП
- Пример формы для юридического лица
- Прекращение действия домена в международной зоне
- Удаление вторичного контроллера
- Ручное удаление резервного сервера
- Удаление метаданных
- Удаление сервера из оснасток
- Домен с редиректом
- Вывод компьютера из домена
- Вывод сервера без прав администратора
- Вывод через командную строку
- Использование утилиты Netdom
- Выведение с сохранением данных пользователей
- Выведение из домена в Windows 7 и 10
- Как выйти из домена в windows 7 без администратора
- Как вывести компьютер из домена, все методы
- Для чего выводить компьютеры из домена?
- Методы исключения компьютера из домена
- Меры предосторожности
- Вывод компьютера из домена классическим методом
- Исключение из домена Windows 10 и Windows Server 2016
- Метод вывода для Windows 10 версий 1503-1511
- Метод вывода для Windows 10 версий 1607 и выше
- Исключение из домена через PowerShell
- Исключение из домена через NETDOM.EXE
- Как вывести из домена?
- Как вывести из домена компьютер
- Инструкция
- Инструкция
- Инструкция
- Инструкция
- Настройка сетевого интерфейса
- Добавление компьютера в домен с помощью графического интерфейса
- Добавление компьютера в домен с помощью PowerShell
- Удаление компьютера из домена с помощью графического интерфейса
- Удаление компьютера из домена с помощью PowerShell
- Присоединение Windows 7 к домену
- Предварительные требования
- Еще записи по теме
- Введение
- Об автоматическом входе в систему
- Необходимые условия
- Компьютеры, не входящие в домен
- Компьютеры, входящие в домен
- Выбор пользователя при автоматическом входе
- Включить учетную запись администратора в Windows 7 без входа в систему с паролем
- Включить учетную запись администратора в Windows 7 с CMD
- Активируйте учетную запись администратора в Windows 7 с помощью инструмента
- Как мне войти в систему как администратор?
- Как войти в систему с локальной учетной записью вместо учетной записи домена
- Вход в локальные учетные записи в Windows
- Вход в Windows с локальной учетной записью без ввода имени компьютера
- Как войти в Windows 10 под локальной учетной записью вместо учетной записи Microsoft?
- Показать все локальные учетные записи на экране приветствия в Windows 10
- Как выйти из системы всех пользователей Windows из командной строки в качестве администратора домена
- В этой статье
- Сводка
- Дополнительная информация
- Подробнее об учетной записи CLIUSR
Видео:Как открыть командную строку в Windows 7Скачать
Для чего выводить компьютеры из домена?
И так если вы задались этим вопросом, то у вас как минимум есть домен Actvie Directory и вы хотели бы в нем навести порядок (Если не знаете, что такое Active Directory, то читайте об этом по ссылке слева). Наверняка многие пользователи могут спросить, зачем вообще проводить эту процедуру, на это есть ряд причин:
Видео:Как получить права администратора в Windows 7Скачать
Методы исключения компьютера из домена
Видео:Если вдруг, ваша копия windows 7 не является подлинной? это можно решить!Скачать
Меры предосторожности
Видео:Как войти на ПК в домене и сменить при этом пароль?Скачать
Вывод компьютера из домена классическим методом
Данный метод подойдет абсолютно для любой версии Windows, начиная с Vista. Тут все просто вы открываете всем известное окно выполнить (Сочетанием клавиш WIN и R) и пишите в нем вот такую команду sysdm.cpl и нажмите OK.
Так же в него можно попасть и другим методом, через свойства значка «Этот компьютер». Щелкните по нему правым кликом и выберите свойства. В открывшемся окне «Система» выберите пункт «Изменить параметры»
В окне «Имя компьютера» нажмите кнопку «Изменить», далее в открывшемся окошке «Изменение имени компьютера или домена» деактивируйте поля «Является членом домена» и выставите рабочей группы.
Заполните поле имени рабочей группы и нажмите кнопку «OK», у вас появится окно:
Вам сообщат, что вы теперь являетесь членом рабочей группы. Будет произведена перезагрузка вашей рабочей станции, в моем примере, это Windows 10.
При правильном выводе компьютера из Active Directory, вы увидите, что в оснастке ADUC, данный компьютер будет отключен в контейнере, где он располагался. Об этом будет говорить стрелка вниз на его значке. Напоминаю, что это классический метод исключения из AD, подходит абсолютно для всех систем Windows.
Видео:Как создать или удалить учетную запись от имени администратора через командную строку в Windows 7 8Скачать
Исключение из домена Windows 10 и Windows Server 2016
Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.
Метод вывода для Windows 10 версий 1503-1511
Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку «Пуск» или же сочетанием клавиш WIN и I одновременно. Находим там пункт «Система».
В самом низу находим пункт «О Системе» и видим кнопку «Отключиться от организации», нажимаем ее.
В окне «Отключение от организации» просто нажмите продолжить.
У вас просто появится окно с предложением о перезагрузке, соглашаемся.
В оснастке ADUC данный компьютер так же был отключен.
Метод вывода для Windows 10 версий 1607 и выше
Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете «Параметры Windows 10», но уже переходите в пункт «Учетные записи»
Далее находите пункт «Доступ к учетной записи места работы или учебного заведения» и нажимаете отключиться.
У вас выскочит окно с уведомлением:
После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.
Нажимаем кнопку «Отключить»
Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную.
Видео:Как активировать Windows 7 через командную строкуСкачать
Исключение из домена через PowerShell
Я вам не перестаю повторять, что PowerShell, просто обязан быть в вашем инструментарии системного администратора, он умеет если не все, то почти все. Открываем оснастку PowerShell от имени администратора и вводим команду:
У вас откроется форма с вводом пароля учетной записи,что вы указали для вывода рабочей станции из AD, указываем пароль и нажимаем «OK»
У вас спросят подтверждения на ваши действия, соглашаемся и вводим Y.
Все ваш Windows 10 с помощью PowerShell был выведен из состава домена Active Directory. В оснастке ADUC, данный компьютер был отключен, в отличии от предыдущего метода.
Видео:Работа с локальными и доменными пользователямиСкачать
Исключение из домена через NETDOM.EXE
Напоминаю, что на клиентских Windows системах этой утилиты нет и ее нужно отдельно скачивать, она идет в составе Windows Server 2003 Resource Kit Tools. Сама команда вывода из домена выглядит вот так и запускается в cmd от имени администратора:
Видео:Как запустить программу без прав администратораСкачать
Документация по ОС Windows
Записная книжка по ОС Windows
Видео:Удаленное управление компьютером Windows из командной строкиСкачать
Вывод рабочей станции Windows из домена
Видео:Сброс пароля Windows 7Скачать
Решаем задачу по выводу компьютера из домена Windows Active Directory с сохранением всех данных пользователя
Для вывода учетных записей из домена Windows (AD) с сохранением данных мы используем утилиту: User Profile Wizard 3.16
Перед выводом учетной записи из домена требуется сделать следующие шаги:
Сохранить пароли из браузеров, закладки. Обязательно предупредить пользователя о необходимости ввести логин и пароль от браузера для синхронизации и последующего восстановления паролей и закладок.
Узнать точное название профиля, который использует пользователь на локальном компьютере.
Создать локального пользователя и зайти в него первый раз.
Проверить, что у вас есть данные по сетевому доступу к нужным папкам, после копирования доменной учетной записи пользователя в локальную, в доменную войти более будет нельзя.
На скриншоте показано следующее: на локальном компьютере есть учетная запись Comp8, локальная.
Запускаем программу от пользователя администратор (доменный или локальный), выбираем учетную запись в домене для копирования в локальную учетную запись.
Обычно она отображается в стиле: corp(домен)/comp8(имя пользователя в домене).
Никакие галочки мы не ставим.
Выбираем название пк. Ставим галочку «Set as default logon».
В поле Enter The Account Name вводим название локальной учетной записи, которую вы ранее создали в пункте 2.
Началась процедура копирования профиля из доменной учетной записи в локальную. После завершения копирования, для проверки успешности нашего мероприятия, заходим под локальной учетной записью, проверяем что данные перенеслись и все работает.
Окончательно выводим компьютер из домена путем ввода его в рабочую группу.
Все. На этом вывод рабочей станции, с сохранением профиля и данных пользователя из домена, закончился.
Видео:Как включить или отключить Учетную запись администратора в Windows 7Скачать
Удаление домена
Случаются ситуации, когда владелец сайта хочет его удалить из сети или сделать редирект с одного домена на другой. Причины могут быть различные – ресурс неэффективен, малая посещаемость, проблемы с администрированием.
Видео:Как войти в систему от имени Администратора в виндовс 7.Как получить права администратора в WindowsСкачать
Удаление домена
В случаях, когда удалить домен необходимо до срока окончания регистрации, нужно уведомить компанию, зарегистрировавшую имя ресурса. Необходимо направить письменное заявление.
Пример заявления для физического лица или ИП
Форма заявления о прекращении действия доменного имени не утверждена законодательством РФ. Компания-регистратор разрабатывает бланк и утверждает правила заполнения самостоятельно.
От Иванова Виктора Степановича 11.08.1973 г.р
ИНН (для индивидуальных предпринимателей)
Паспорт серии 75 12 № 999999, выдан 02.01.2012 г. УФМС по Советскому р-ну г. Советска.
Зарегистрирован г. Советск, ул. Ленина 8, кв. 3
Я, Иванов Виктор Степанович, прошу остановить предоставление услуг (доменное имя, хостинг, другие услуги) по договору № 123/456 от 29.02.2019 г. с 01.05.2020 г.
Подпись, расшифровка, дата.
Доменное имя удаляется только на основании оригинального письма, подписанного владельцем ресурса и заверенного нотариально. К заявлению должны прилагаться копии паспорта – стр. 2, 3, 5. Это правила для почтового отправления.
Пример формы для юридического лица
Доменное имя может быть зарегистрировано на организацию. Форма сходна с заявлением физического лица или ИП, но должно быть на фирменном бланке.
Исх. № 123 от 12.03.2020 г.
Организация ООО «Нужда» в лице генерального директора Иванова Виктора Степановича, действующего на основании _____, просит остановить предоставление услуг (доменное имя, хостинг, другие услуги) по договору № 456/123 от 28.03.2019 г.
Должность, подпись, расшифровка, печать организации.
К заявлению прилагается копия свидетельства ЕГРЮЛ.
Прекращение действия домена в международной зоне
Для досрочного прекращения действия договора по инициативе администрации ресурса предусмотрено обращение в службу поддержки компании-регистратора. Заполняется специальная форма на сайте, к ней прикладываются:
Домен не аннулируется, если идет судебное разбирательство с упоминанием наименования ресурса.
Видео:Подключение компьютеров к домену (Windows 7 8 10)Скачать
Удаление вторичного контроллера
Контроллеры домена – серверы в операционной системе Microsoft, которые выступают администраторами сетевой зоны и запускают службу Active Directory (AD). Различают основной (DC1) и вторичный (DC2) блоки, работающие в ОС Windows server 2008 r2.
Если резервный сервер неисправен, его нужно удалить из AD. Удаление вторичного контроллера домена в ОС 2008 r2 происходит автоматически с помощью консоли ADUC, затем выполняется полная очистка данных в системе.
Видео:Как настроить сеть через командную строку (cmd)? Команды командной строки для сети.Скачать
Ручное удаление резервного сервера
После удаления вторичного контроллера домена в ОС 2008 r2 необходимо вручную очистить метаданные и удалить сервер из оснасток AD.
Удаление метаданных
Очистка данных – необходимая процедура после автоматического удаления вторичного контроллера с помощью консоли ADUC. Удаление производится:
Перед очисткой метаданных необходимо убедиться, что на контроллере отключена защита от случайного удаления.
Удаление сервера из оснасток
После очистки метаданных и завершения репликации нужно вручную удалить вторичный сервер из контейнера службы AD. Этапы проведения работы:
Если сервер присутствует, его повторно удаляют.
Видео:Командная строка Windows. 7 способов запустить командную строкуСкачать
Домен с редиректом
Домен с редиректом – это сайт, осуществляющий перенаправление, выполненное автоматически с одного ресурса на другой или с одной страницы на другую. Процедура происходит без ведома посетителей.
Редирект с одного домена на другой применяется в случаях:
Видео:Запустить командную строку от имени администратораСкачать
Вывод компьютера из домена
Для корректной работы Active Directory, необходимо правильно выводить сервер из домена. От этого зависит бесперебойная работа системы и устойчивая связь с доменом. Причины, по которым компьютер выводится:
На компьютере необходимо своевременное проведение технического обслуживания и тестирование работы систем управления доменами.
Видео:Как запустить командную строку от имени администратора в Windows 10, 8 и 7Скачать
Вывод сервера без прав администратора
Если вход в Windows server 2008 r2 осуществлен доменным пользователем, ему можно присвоить права администратора. Для этого необходимо:
1. Выбрать «Управление», щелкнув правой клавишей мыши по пиктограмме «Этот компьютер».
Чтобы изменения вступили в силу, компьютер необходимо перезагрузить. После этого можно вывести сервер из домена уже с правами администратора.
Вывод через командную строку
Вывести из домена через командную строку можно через меню «Пуск», далее пункт «Выполнить». После этого необходимо:
Появляется окно с подтверждающей изменения надписью, и компьютер перегружается.
Использование утилиты Netdom
Программа входит в состав ОС Windows server 2008 r2. Запуск производится через командную строку от имени администратора:
ПК будет выведен из домена.
Выведение с сохранением данных пользователей
Вывести компьютер из домена можно с помощью программы User Profile Wizard 3.16. Заранее необходимо:
Запустить программу User Profile Wizard 3.16 от имени администратора и выбрать учетное имя для переноса – corp/comp8. Далее:
Запускается процесс копирования данных учетной записи из домена в локальную версию. После завершения переноса необходимо проверить работоспособность. Нужно зайти по локальной записи.
Видео:Подключение к домену в Windows 7Скачать
Выведение из домена в Windows 7 и 10
В Windows 7 выход осуществляется с помощью меню «Дополнительные параметры системы». В свойствах системы находится вкладка «Имя компьютера». Этот параметр необходимо изменить. Компьютер будет выведен.
В Windows 10 выйти можно с использованием программы PowerShell. Утилиту запускают в командной строке от имени администратора. В открывшейся строке вводят команду Remove–Computer –UnjoinDomaincredential. Далее указывают имя домена, из которого нужно выйти. Через знак пишут учетную запись, затем – PassThru–Verbose–Restart.
Нажимают ввод и во всплывшем окне указывают пароль пользователя. Подтверждают действие, и компьютер перезагружается. Будет осуществлен корректный выход из домена.
На нашем сайте вы можете найти домены, с помощью которых продвижение ресурсов в поисковых системах будет намного эффективнее. Но для этого рекомендуем прочитать отзывы.
Видео:Удаленный помощник без приглашения вне домена на Windows 7.Скачать
Как выйти из домена в windows 7 без администратора
Как вывести компьютер из домена, все методы
Добрый день! Уважаемые читатели и гости, одного из крупнейших IT блогов рунета Pyatilistnik.org. В прошлый раз я вам показал, все методы ввода Windows 10 в домен, сегодня я хочу показать обратную задачу, и научу вас правильно выводить компьютеры из домена, будь то клиентские версии Windows 7, 8.1 или же серверные Windows Server. Расскажу для чего, это нужно уметь и почему нельзя просто забить на такие компьютеры. Уверен, что данная информация окажется для начинающих системных администраторов полезное, ее кстати любят спрашивать на собеседованиях. Ну приступаем.
Для чего выводить компьютеры из домена?
И так если вы задались этим вопросом, то у вас как минимум есть домен Actvie Directory и вы хотели бы в нем навести порядок (Если не знаете, что такое Active Directory, то читайте об этом по ссылке слева). Наверняка многие пользователи могут спросить, зачем вообще проводить эту процедуру, на это есть ряд причин:
Методы исключения компьютера из домена
Меры предосторожности
Вывод компьютера из домена классическим методом
Данный метод подойдет абсолютно для любой версии Windows, начиная с Vista. Тут все просто вы открываете всем известное окно выполнить (Сочетанием клавиш WIN и R) и пишите в нем вот такую команду sysdm.cpl и нажмите OK.
Так же в него можно попасть и другим методом, через свойства значка «Этот компьютер». Щелкните по нему правым кликом и выберите свойства. В открывшемся окне «Система» выберите пункт «Изменить параметры»
В окне «Имя компьютера» нажмите кнопку «Изменить», далее в открывшемся окошке «Изменение имени компьютера или домена» деактивируйте поля «Является членом домена» и выставите рабочей группы.
Заполните поле имени рабочей группы и нажмите кнопку «OK», у вас появится окно:
После отсоединения от этого домена для входа на данный компьютер потребуется пароль локального администратора. Чтобы продолжить, нажмите кнопку «OK»
Вам сообщат, что вы теперь являетесь членом рабочей группы. Будет произведена перезагрузка вашей рабочей станции, в моем примере, это Windows 10.
При правильном выводе компьютера из Active Directory, вы увидите, что в оснастке ADUC, данный компьютер будет отключен в контейнере, где он располагался. Об этом будет говорить стрелка вниз на его значке. Напоминаю, что это классический метод исключения из AD, подходит абсолютно для всех систем Windows.
Исключение из домена Windows 10 и Windows Server 2016
Данный метод, будет подходить исключительно для последних версий систем Windows 10 и Windows Server 2016, на момент написания статьи. В случае с десяткой, где интерфейс кардинально меняется от версии к версии, последовательность действий будет разниться.
Метод вывода для Windows 10 версий 1503-1511
Данный метод для Windows 10 Threshold и Threshold 2. Если не знаете, какая у вас версия, то вот вам статья, как определить версию Windows. Вам необходимо открыть параметры системы, делается, это либо через кнопку «Пуск» или же сочетанием клавиш WIN и I одновременно. Находим там пункт «Система».
В самом низу находим пункт «О Системе» и видим кнопку «Отключиться от организации», нажимаем ее.
В окне «Отключение от организации» просто нажмите продолжить.
У вас просто появится окно с предложением о перезагрузке, соглашаемся.
В оснастке ADUC данный компьютер так же был отключен.
Метод вывода для Windows 10 версий 1607 и выше
Данный метод будет рассмотрен для версии Windows 10 1803, так как я писал, что концепция изменилась, функционал перенесли в другое место. Вы все так же открываете «Параметры Windows 10», но уже переходите в пункт «Учетные записи»
Далее находите пункт «Доступ к учетной записи места работы или учебного заведения» и нажимаете отключиться.
У вас выскочит окно с уведомлением:
Вы действительно хотите удалить эту четную запись? Ваш доступ к ресурсам, таким как электронная почта, приложения, сеть и всему связанному содержимому также будет удалены. Ваша организация может также удалить некоторые данные, хранящиеся на этом устройстве.
После подтверждения, у вас появится еще одно окно, в котором вас еще раз уведомят и захотят удостовериться в ваших действиях.
После отключения вы не сможете войти в систему этого компьютера с помощью учетной записи организации. Если установлен и запущен Bitlocker, обязательно сохраните копию ключа восстановления Bitlocker где-нибудь не на этом компьютере
Нажимаем кнопку «Отключить»
Открыв оснастку ADUC, я обратил внимание, что учетная запись компьютера, которого я вывел из домена, не отключилась, что очень странно, поэтому сделайте это в ручную.
Исключение из домена через PowerShell
Я вам не перестаю повторять, что PowerShell, просто обязан быть в вашем инструментарии системного администратора, он умеет если не все, то почти все. Открываем оснастку PowerShell от имени администратора и вводим команду:
У вас откроется форма с вводом пароля учетной записи,что вы указали для вывода рабочей станции из AD, указываем пароль и нажимаем «OK»
У вас спросят подтверждения на ваши действия, соглашаемся и вводим Y.
Все ваш Windows 10 с помощью PowerShell был выведен из состава домена Active Directory. В оснастке ADUC, данный компьютер был отключен, в отличии от предыдущего метода.
Исключение из домена через NETDOM.EXE
Напоминаю, что на клиентских Windows системах этой утилиты нет и ее нужно отдельно скачивать, она идет в составе Windows Server 2003 Resource Kit Tools. Сама команда вывода из домена выглядит вот так и запускается в cmd от имени администратора:
NETDOM.EXE REMOVE machinename /Domain:имя домена
На этом все, надеюсь, что вы почерпнули для себя разное поведение в оснастке ADUC для разных методов вывода операционных систем Windows из домена Active Directory, а с вами был Иван Семин, автор и создатель портала Pyatilistnik.org, всем удачи.
Как вывести из домена?
Инструкция
Как вывести из домена компьютер
Вследствие вероятности централизованного управления учетными записями пользователей, политиками безопасности и источниками сети, домен Windows крепко упрощает задачи администрирования. Впрочем сетевой вход и работа в домене допустимы только при функционирующем сервере. Следственно изредка бывает необходимо вывести компьютер из домена.
Вам понадобится
Инструкция
1. Откройте окно папки панели управления Windows. Для этого в меню, отображающемся при клике по кнопке «Пуск», которая расположена в панели задач на рабочем столе, выделите пункт «Настройка». Откроется дочернее меню. Кликните в нем на пункте «Панель управления».
2. В случае, если отображение информации в панели управления производится по категориям, произведите переключение к классическому виду, кликнув по соответствующей ссылке, расположенной в блоке «Панель управления» справа. Либо перейдите к категории «Продуктивность и обслуживание», открыв ярлык либо предпочтя пункт с данным наименованием в разделе «Переход» меню «Вид».
3. Откройте диалог «Свойства системы». Для этого обнаружьте ярлык с наименованием «Система» в панели управления и откройте его двойным щелчком мыши либо при помощи пункта «Открыть» контекстного меню.
4. Откройте диалог «Метаморфоза имени компьютера». В диалоге «Свойства системы» перейдите к вкладке «Имя компьютера». Нажмите кнопку «Изменить».
5. Выведите компьютер из домена. В группе элементов управления «Является членом» диалога «Метаморфоза имени компьютера» активируйте опцию «рабочей группы:». Расположенное ниже текстовое поле станет энергичным. Введите в него значение WORKGROUP. Нажмите кнопку OK для использования изменений. Отобразится диалог с полями, предуготовленными для ввода имени и пароля пользователя. Нажмите кнопку OK в нем, а также в 2-х окнах сообщений, которые появятся следом.
6. Перезагрузите компьютер для того, дабы метаморфозы окончательно вступили в силу, и дозволено было начать работу вне домена Windows. Нажмите кнопку «Пуск» в панели задач на рабочем столе. В отобразившемся меню выберите пункт «Отключить компьютер». Осуществите перезагрузку путем нажатия соответствующей кнопки либо выбора опции в отображенном диалоге. Дождитесь окончания процесса и войдите в систему как локальный пользователь.
Операция итога компьютера из домена является стандартной процедурой в операционной системе Microsoft Windows и может быть исполнена пользователем без привлечения добавочного программного обеспечения при условии наличия администраторского доступа.
Инструкция
1. Удостоверьтесь в том, что являетесь менеджером либо оператором выбранного домена и удостоверитесь в том, что компьютер находится в сети.
3. Выберите пункт «Имя компьютера» и укажите команду «Изменить».
4. Воспользуйтесь опцией «Является членом» и выберите пункт «Рабочей группы».
5. Введите нужные данные в соответствующие поля и нажмите кнопку OK для подтверждения выполнения команды.
6. Перезагрузите компьютер для использования выбранных изменений и нажмите кнопку «Пуск» для вызова основного меню операционной системы Microsoft Windows.
7. Введите значение cmd в тестовое поле строки поиска дя выполнения альтернативной операции итога компьютера из домена и нажмите кнопку «Обнаружить» для подтверждения выполнения операции.
8. Вызовите контекстное меню обнаруженного инструмента «Командная строка» кликом правой кнопки мыши и укажите команду «Запуск от имени менеджера».
9. Введите значение netdom.exe remove имя_компьютера /Domain: имя_домена в тестовое поле утилиты командной строки и нажмите функциональную клавишу Enter для подтверждения выполнения команды.
10. Перезагрузите компьютер для использования выбранных изменений.
11. Помните, что повторная попытка войти в домен будет выполняться компьютером с применением ветхого имени. Следственно рекомендованным действием является выполнение операции переименования компьютера. Используйте дальнейший синтаксис команды:netdom renamecomputer имя_компьютера /newname: желаемое_имя_компьютера/userd:имя_домена логин_администратора/passwordd:* /usero: локальный_администратор/passwordo:* /reboot: промежуток_времени_между_переименованием_компьютера_и_перезагрузкой.
Верный выбор домена – залог триумфа сайта. Значимо не допустить ошибок при выборе наименования источника, в отвратном случае это может нехорошо сказаться на его движении. Но бывают такие обстановки, когда имя у сайта классное, но его доводится менять.
Инструкция
1. Смена домена осуществляется по различным причинам. Допустимо, из-за смены обладателя, реорганизации, попадания сайта под фильтр поисковых систем. Обыкновенно если источник попадает под АГС (фильтр), то его дозволено вытянуть оттуда. Если по этой причине вы хотите сменить домен, подумайте, стоит ли сразу же менять наименование сайта либо же постараться поправить все ошибки, возникшие в итоге неправильной оптимизации? Продолжайте размещать на источнике уникальные добротные, грамотные статьи. Приобретайте ссылки на других сайтах. Безусловно, может пройти много времени, раньше чем вы добьетесь каких-нибудь итогов. Самое неприятное – это то, что нет ручательства снятия фильтра. Если вы не хотите тратить свое время и деньги и ожидать каких-либо изменений, читайте дальше.
3. Не позабудьте переписать домен в файле robots.txt. Для того дабы поисковые роботы стремительней проиндексировали сайт, находящий по новому адресу, добавьте его в Гугл.Вебмастер и Яндекс.Вебмастер. Это необходимо для того, дабы поисковики знали и ветхий, и новейший URL. Это дозволит сделать индексацию отсутствующих на ветхом источнике страниц стремительней.
4. На ветхом домене настройте страницу «Оплошность 404». Оповестите гостей сайта о том, что источник переехал на новейший адрес. Позже того как вы исполните все шаги, ждите того, когда поисковые роботы проиндексируют ваш сайт с новым доменом.
Видео по теме
Регистрация доменного имени приводит к тому, что у него возникает обладатель, несущий за данный источник всю полноту ответственности. В том случае если домен огромнее не надобен, обладатель может официально от него отказаться
Вам понадобится
Инструкция
1. Надобность официального отказа от домена может быть вызвана желанием заведомо исключить всякие допустимые юридические итоги. Потому что домен может применяться для размещения самых различных материалов, в том числе и таких, которые могут попасть под действие присутствующего права, отказ от доменного имени дозволит иметь полный иммунитет от каких бы то ни было жалоб со дня его осуществления. Но за все, что происходило на источнике с момента регистрации домена и до дня отказа от него, прежний обладатель продолжает нести ответственность.
2. Отказаться от домена труднее, чем его зарегистрировать, потому что отказ относится к так называемым скептическим процедурам. Это значит, что для отказа вам нужно не только написать заявление в компанию, регистрировавшую домен, но и предоставить копии документов, подтверждающие вашу фигура и, соответственно, право владения доменом. Форма для отказа от регистрации, как водится, есть на сайте регистратора доменных имен, вам нужно лишь скачать ее и заполнить.
3. Если домен принадлежит юридическому лицу, заявление об отказе от домена должно быть заверено печатью фирмы и подписью лица, уполномоченного заверять сходственные документы. Копии всех документов могут быть пересланы в электронном виде.
4. Отказ от доменного имени не принимается, если доменное имя было заблокировано, если не получается удостоверить регистрационные данные обладателя домена, если присутствуют исковые судебные требования и в том случае, если не прошло 60 дней со дня принятия прав на домен, переданных менеджеру третьим лицом.
5. Неизменно ли нужно отказываться от домена, тот, что вам теснее не надобен? Нет, регистрация будет механически прекращена в том случае, если вы не станете ее продлевать – то есть не оплатите домен на следующий год. На практике обладателю доменного имени довольно легко удалить сайт с хостинга, позже чего о нем дозволено успешно позабыть. В том случае если сайт, тот, что вам огромнее не надобен, является абсолютно удачным планом и имеет недурное число посетителей, положительнее будет попытаться его продать. Определенная цена источника зависит от яруса его популярности. Изредка дозволено продать и примитивно доменное имя, если оно имеет громкое запоминающееся наименование. Отличное доменное имя в среднем стоит от 1000 баксов и выше.
Видео по теме
Добавление и удаление компьютера в домене является обычной частой операцией. Это возможно сделать различными способами, в данном случае рассмотрено добавление и удаление компьютера в домене с помощью графического интерфейса или с помощью PowerShell.
Настройка сетевого интерфейса
1. Перед добавлением компьютера в домен, необходимо настроить сетевой интерфейс. Набираем ncpa.cpl в поле поиска.
2. Нажимаем правой клавишей на выбранный сетевой интерфейс, далее «Свойства«.
3. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем IPv6. Выделяем «IP версии 4 (TCP/IPv4)«, далее «Свойства«.
4. Если в сети нет DHCP-сервера, то в интерфейсе указываем IP-адрес, маску подсети, основной шлюз, предпочитаемый DNC-сервер. Нажимаем «ОК«.
5. Если в сети имеется DHCP-сервер, то параметры IP можно назначить автоматически. Для этого выставляем «Получить IP-адрес автоматически«, «Получить адрес DNS-сервера автоматически«, далее «ОК«.
Добавление компьютера в домен с помощью графического интерфейса
1. Для ввода компьютера в домен нажимаем правой клавишей мыши на «Этот компьютер«, далее «Свойства«.
2. В новом окне нажимаем «Изменить параметры«.
3. В следующем окне в «Описание» указываем описание компьютера (можно ничего не указывать). Затем «Изменить«.
4. В новом окне задаём «Имя компьютера«, далее «ОК«.
5. После появления предупреждения, нажимаем «ОК» и перезагружаем компьютер.
6. После перезагрузки компьютера, имя компьютера изменится. Далее снова открываем окно «Система«, затем «Изменить параметры«.
7. Далее нажимаем «Изменить«, устанавливаем чекбокс «Является членом домена:» и указываем имя домена.
8. В новом окне «Безопасность Windows» указываем имя и пароль учетной записи с правами на присоединение к домену. Далее «ОК«.
Добавление компьютера в домен с помощью PowerShell
2. В открывшемся окне PowerShell набираем команды:
3. После перезагрузки компьютера снова открываем PowerShell. Для добавления компьютера в домен с помощью PowerShell выполняем команду:
При появлении запроса, вводим учетные данные пользователя (пользователь и пароль), который имеет право выполнять добавление компьютера в домен.
4. Для того, чтобы изменения вступили в силу, необходима перезагрузка компьютера. Выполняем команду:
restart-computer
5. После перезагрузки компьютера можно использовать для входа в компьютер доменные учетные записи.
6. В окне «Система» изменится информация о компьютере в поле «Полное имя» и появится информация о домене в поле «Домен«.
Удаление компьютера из домена с помощью графического интерфейса
1. Для удаления компьютера из домена нажимаем правой клавишей мыши на «Этот компьютер«, далее «Свойства«. В открывшемся окне нажимаем «Изменить параметры«.
2. В следующем окне выбираем «Изменить«.
3. В новом окне переключаем чекбокс на «Является членом рабочей группы«, указываем имя рабочей группы, например, «WORKGROUP«. Далее нажимаем «ОК«.
4. Читаем предупреждение о том, что после отсоединения от домена для входа на данный компьютер потребуется пароль локального администратора. Нажимаем «ОК«.
5. Вводим учетные данные пользователя (пользователь и пароль), имеющего разрешение удалить компьютер из домена. Далее «ОК«.
Удаление компьютера из домена с помощью PowerShell
2. В открывшемся окне PowerShell выполняем следующие команды:
В появившемся окне вводим учетные данные (пользователь и пароль) пользователя, имеющего право удалять компьютер из домена.
2. Читаем предупреждение системы о том, что «Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального администратора. Вы хотите продолжить?» Нажимаем «y«. Для перезагрузки компьютера выполняем команду:
restart-computer
3. После перезагрузки компьютера заходим под обычным (не доменным) пользователем этого компьютера. В окне «Система» видим, что поле «Полное имя компьютера» изменилось, вместо поля «Домен«, появилось поле «Рабочая группа«.
Посмотреть видео можно здесь:
Присоединение Windows 7 к домену
Ввод компьютера в домен позволяет использовать все преимущества домена, такие как централизированное управление, групповые политики и многое, многое другое.
Предварительные требования
Перед вводом компьютера под управлением Windows 7 в домен убедитесь что следующие предварительные требования соблюдены:
Вы подключены к локальной сети— Убедитесь что вы подключены к локальной сети. Хотя Windows 7 может быть присоединена к домену Windows Server 2008 R2 в оффлайн режca, это тема для отдельной статьи.
Знайте ваше доменное имя, имя администратора и пароль
Существует два способа ввода компьютера в домен. В данной статье мы рассмотрим оба способа
1. Откройте свойства системы, нажав кнопку Start, затем правой кнопкой мыши на ярлыке «Computer», и нажмите «Properties».
2. В разделе «Computer name, domain, and workgroup settings» нажмите «Change settings».
3. Перейдите в вкладку Computer Name и нажмите «Change».
4. В разделе Member of кликните Domain.
5. Введите имя домена, к которому вы хотите подключиться и нажмите OK.
Вам будет предложено ввести имя пользователя домена и пароль.
После успешного ввода компьютера в домен вам будет предложено перегрузиться. Для завершения ввода сделайте это.
С помощью NETDOM мы можем выполнить ввод компьютера в домен из командной строки с помощью всего одной команды.
NETDOM в Windows 7 включен в операционную систему, в отличие от Windows 2000/XP/2003 где необходимо было устанавливать Support Tools.
Откройте командную строку от имени администратора :
и введите следующую команду:
Замечание: Замените DOMAIN.COM и DOMAIN на ваше имя домена и естественно укажите ваше доменные логин и пароль. Обратите внимание также на дополнительную «d» в «user» и «password», это НЕ опечатка.
Для заверешения процедуры перегрузите компьютер.
Полезные ссылки:
Если вы как и я всегда внимательно отслеживаете новости hi-tech то советую подписаться на отличный новостной сайт Informua.net. Только самые интересные новости высоких технологий и многое другое.
Еще записи по теме
Введение
Экран выбора пользователя в Windows 7 может отображаться в нескольких случаях:
Третий пункт списка подробно рассматривается в статье После периода бездействия Windows 7 запрашивает пароль для продолжения работы. А в этой статье мы рассмотрим настройку автоматического входа в систему без выбора пользователя и ввода пароля.
Об автоматическом входе в систему
Автоматический вход в систему без ввода пароля удобен в том случае, если вы являетесь единственным пользователем компьютера, либо используете конкретную учетную запись значительно чаще, чем остальные. Настраивая автоматический вход в систему, необходимо понимать, что любой человек, включивший компьютер, беспрепятственно выполнит вход в систему и получит доступ ко всем файлам и параметрам используемой учетной записи. Настройка автоматического входа различается в зависимости от того, присоединен ли компьютер к домену.
Необходимые условия
Если в системе имеется всего одна активная учетная запись без пароля, она автоматически выполняет вход, поэтому дополнительная настройка не требуется. При наличии нескольких учетных записей автоматический вход в систему требует настройки, даже если ни одна из них не имеет пароля. Дополнительные «служебные» учетные записи могут добавляться в систему при установке различного программного обеспечения.
Для настройки автоматического входа в систему требуются права администратора. Процесс настройки практически не отличается от настройки в Windows XP или Windows Vista.
Компьютеры, не входящие в домен
Для компьютеров, не входящих в домен (например, домашних), настройку автоматического входа можно выполнить в графическом интерфейсе операционной системы.
(не работает в Windows XP)
Примечание. Если учетная запись не имеет пароля, оставьте поле Пароль пустым.
Настройка автоматического входа в систему завершена.
Автоматический вход в систему можно также настроить в системном реестре. Все необходимые параметры перечислены в таблице в следующем разделе статьи.
Компьютеры, входящие в домен
Для компьютеров, входящих в домен, необходимо указать имя домена по умолчанию, в который будет выполняться автоматический вход. В графическом интерфейсе операционной системы такой возможности нет, поэтому настройка автоматического входа выполняется в системном реестре.
Параметр (имя) | Тип | Значение | Описание |
AutoAdminLogon | Строковый (REG_SZ) | 1 | Автоматический вход в систему включен. |
DefaultUserName | Строковый (REG_SZ) | Имя пользователя | Имя пользователя, для которого настраивается автоматический вход в систему. |
DefaultPassword | Строковый (REG_SZ) | Пароль | Пароль пользователя, для которого настраивается автоматический вход в систему. |
DefaultDomainName | Строковый (REG_SZ) | Имя домена | Имя домена, в который выполняется вход. |
Примечание. Первые три параметра в таблице можно использовать для настройки автоматического входа в систему на компьютерах, не входящих в домен.
Выбор пользователя при автоматическом входе
Если у Вас включен автоматический вход, но возникла необходимость войти под другой учетной записью, нажмите и удерживайте клавишу Shift при запуске Windows. Или нажмите Выйти из системы/Сменить пользователя в меню завершения работы и удерживайте клавишу Shift.
На смену пользователей при автоматическом входе также может влиять строковый параметр (REG_SZ) ForceAutoLogon в разделе реестра:
Автор: Вадим Стеркин
Включить учетную запись администратора в Windows 7 без входа в систему с паролем
Включить учетную запись администратора в Windows 7: Включить учетную запись администратора в Windows 7 с CMD Активируйте учетную запись администратора в Windows 7 с помощью инструмента
Включить учетную запись администратора в Windows 7 с CMD
Если у вас есть установочный компакт-диск Windows 7 или USB-диск, вы можете использовать его для включения встроенной учетной записи администратора в Windows 7, когда вы заблокированы из Windows 7 из-за того, что забыли пароль или по другим причинам.
Видео-инструкция по включению учетной записи администратора в Windows 7 с установочным диском:
Шаг 1. Настройте компьютер для загрузки с установочного компакт-диска или USB-диска
1.1 Вставьте компакт-диск или USB-диск в компьютер и запустите этот компьютер.
1.2 При включении повторно нажимайте клавишу загрузки BIOS F2 (DEL или другое), пока не войдете в настройки BIOS ПК (UEFI).
1.3. Перейдите в меню загрузки, выберите компакт-диск или USB-диск (при необходимости установите для него первый вариант), нажмите F10, сохраните изменения, выйдите из настроек BISO и перезагрузите компьютер.
Шаг 2. Откройте системную командную строку
2.1 После загрузки с установочного диска он перейдет к экрану настройки.
(Если не отображается экран входа в Windows, это означает, что вам не удалось загрузиться с установочного диска.)
2.2 Вам не нужно нажимать какие-либо кнопки на экране настройки, просто нажмите «Shift + F10», чтобы открыть командную строку.
2.3 Выполните следующие команды:
Советы: Команда в одной строке является командой, вам нужно запускать ее одну за другой, введите одну команду и нажмите Enter, чтобы запустить ее.Как на картинке ниже.
2.4 При загрузке экрана входа в систему нажмите кнопку «Специальные возможности», выберите параметр «Лупа» и нажмите «ОК». Это поможет вызвать системную командную строку.
Шаг 3. Включите учетную запись администратора с помощью командной строки
3.1 И теперь вы можете активировать встроенную учетную запись администратора Windows 7 с помощью следующей командной строки:
сетевой администратор пользователя / активный: есть
Активируйте учетную запись администратора в Windows 7 с помощью инструмента
Видео-инструкция по активации учетной записи администратора в Windows 7 без входа в систему:
1. Загрузите Cocosenor Windows Password Tuner Standard, установите и запустите его на доступном ПК.
2. Вставьте записываемый компакт-диск или USB.
USB очень часто используется в нашей жизни. Если у вас его нет, займите у своих товарищей или других людей. Но перед использованием этого USB-накопителя сначала удалите с него данные в безопасное место, так как он будет отформатирован для создания диска восстановления.
3. Выберите устройство и нажмите «Начать запись», чтобы создать диск восстановления пароля.
4. После создания компакт-диска или USB-диска восстановления отключите его, а затем подключите к компьютеру, на котором вам нужно будет активировать учетную запись администратора.
5. Настройте компьютер на загрузку с CD / USB-диска.
6. Если загрузка прошла успешно, появится окно Cocosenor Windows Password Tuner, вы можете выбрать систему, выбрать учетную запись «Администратор» в списке, а затем нажать «Сбросить пароль».Всплывающее сообщение о том, что пароль будет пустым, нажмите «Да», чтобы принять его и продолжить.
7. Извлеките CD / USB-диск и нажмите кнопку «Перезагрузить», чтобы снова перезагрузить компьютер.
8. При загрузке экрана входа в систему вы будете удивлены, увидев, что учетная запись администратора превысила это значение.
Если вы хотите отключить и скрыть учетную запись администратора, используйте следующую команду:
сетевой администратор пользователя / активный: нет
Статьи по теме
Как мне войти в систему как администратор?
Если вы не уверены, что ваша учетная запись на компьютере является учетной записью администратора, вы можете проверить тип учетной записи после входа в систему.Действия, которые вы должны выполнить, будут различаться в зависимости от того, находится ли ваш компьютер в домене или в рабочей группе.
Введите имя пользователя и пароль для своей учетной записи на экране приветствия.
Введите имя пользователя и пароль для своей учетной записи на экране приветствия.
Тип вашей учетной записи отображается под вашим именем пользователя.
Как войти в систему с локальной учетной записью вместо учетной записи домена
Давайте взглянем на небольшую хитрость для входа в Windows с локальной учетной записью пользователя вместо учетной записи домена. По умолчанию, когда пользователь вводит имя пользователя на экране приветствия машины, присоединенной к домену, а также существует локальная учетная запись с тем же именем, учетная запись домена будет иметь приоритет. Мы продолжаем встречать людей, которые не знают этого маленького трюка, поэтому решили, что им стоит поделиться.
Вход в локальные учетные записи в Windows
После присоединения компьютера к домену Active Directory вы можете войти в систему под учетной записью домена или локального пользователя.На экране входа в систему в Windows XP и Windows Server 2003 есть раскрывающийся список « Вход в ». Здесь вы можете выбрать, хотите ли вы войти в систему под учетной записью домена или с использованием локального пользователя (выберите « этот компьютер »).
Однако в более новых версиях Windows это раскрывающееся меню больше не существует. Вместо этого пользователь сталкивается с маленькой кнопкой Как войти в другой домен, которая появляется рядом с на экране приветствия компьютеров, присоединенных к домену. Если вы нажмете эту кнопку, появится следующая подсказка:
Введите домен namedomain имя пользователя для входа в другой домен.
Введите NY-FS01 имя локального пользователя для входа только на этот компьютер (не в домен)
Как видите, сообщение содержит имя вашего компьютера / сервера (в нашем случае NY-FS01). Если вы хотите войти в систему с локальной учетной записью, например, с правами администратора, введите NY-FS01 Administrator в поле Имя пользователя и введите пароль.Конечно, если имя вашего компьютера довольно длинное, ввод данных может стать настоящей проблемой!
К счастью, есть простой прием, который позволяет вам войти в систему под локальной учетной записью.
Вход в Windows с локальной учетной записью без ввода имени компьютера
Windows использует точку в качестве символа псевдонима для локального компьютера:
Вы также можете ввести имя компьютера, за которым следует обратная косая черта и имя пользователя, и это сделает то же самое.
Таким образом, вы можете войти в локальную учетную запись на компьютере, присоединенном к домену, во всех версиях Windows. Это относится к версиям от Windows Vista до Windows 10 / Windows Server 2016.
Как войти в Windows 10 под локальной учетной записью вместо учетной записи Microsoft?
В последних сборках Windows 10 Microsoft рекомендует использовать учетные записи Microsoft вместо локальных учетных записей Windows. В Windows 10 1909 вы даже не можете создать локальную учетную запись при установке Windows, если у вас есть доступ к Интернету. Если вы не хотите использовать учетную запись Microsoft в Windows 10, вы можете переключиться на традиционную локальную учетную запись.
После того, как вы выполните эти шаги, ваша учетная запись Windows 10 будет отключена от вашей учетной записи Microsoft. Он переключится на традиционный стиль локальной учетной записи.
Показать все локальные учетные записи на экране приветствия в Windows 10
В Windows 10 и Windows Server 2016/2019 вы можете перечислить все включенные локальные учетные записи на экране входа в систему. Чтобы показать всех локальных пользователей на экране приветствия Windows 10:
В результате вам не нужно вводить имя пользователя вручную, а просто выбрать его из списка локальных учетных записей.
Мне нравятся технологии и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом о гаджетах, администрировании ПК и продвижении веб-сайтов.
Последние сообщения Кирилла Кардашевского (посмотреть все).
Как выйти из системы всех пользователей Windows из командной строки в качестве администратора домена
В этой статье
В этой статье описывается, как заблокировать удаленное использование локальных учетных записей в Windows.
Исходная версия продукта: SQL Server 2016 Developer, SQL Server 2016 Enterprise, SQL Server 2016 Enterprise Core
Исходный номер базы знаний: 4488256
Сводка
Когда вы используете локальные учетные записи для удаленного доступа в средах Active Directory, вы можете столкнуться с одной из нескольких различных проблем.Наиболее серьезная проблема возникает, если локальная учетная запись администратора имеет одинаковое имя пользователя и пароль на нескольких устройствах. Злоумышленник, имеющий права администратора на одном устройстве в этой группе, может использовать хэш пароля учетных записей из локальной базы данных диспетчера учетных записей безопасности (SAM), чтобы получить права администратора на других устройствах в группе, которые используют методы «передачи хеша».
Дополнительная информация
В нашем последнем руководстве по безопасности эти проблемы решаются за счет использования новых функций Windows для блокировки удаленного входа в систему с помощью локальных учетных записей.Windows 8.1 и Windows Server 2012 R2 представили следующие идентификаторы безопасности (SID):
Эти идентификаторы безопасности также определены в Windows 7, Windows 8, Windows Server 2008 R2 и Windows Server 2012 после установки обновления Рекомендации по безопасности Microsoft: обновление для улучшения защиты учетных данных и управления ими: 13 мая 2014 г.
Первый SID добавляется к маркеру доступа пользователя во время входа в систему, если аутентифицируемая учетная запись пользователя является локальной. Второй SID также добавляется к токену, если локальная учетная запись является членом встроенной группы администраторов.
Эти SID могут предоставлять или запрещать доступ ко всем локальным учетным записям или всем административным локальным учетным записям. Например, вы можете использовать эти идентификаторы безопасности в назначении прав пользователей в групповой политике, чтобы «запретить доступ к этому компьютеру из сети» и «запретить вход в систему через службы удаленных рабочих столов». Это рекомендованная практика в нашем последнем руководстве по безопасности. Чтобы достичь того же эффекта до того, как были определены эти новые идентификаторы безопасности, вам нужно было явно указать каждую локальную учетную запись, которую вы хотели ограничить.
В первоначальном выпуске руководства по Windows 8.1 и Windows Server 2012 R2 мы запрещали вход в сеть и удаленный рабочий стол с локальной учетной записью (S-1-5-113) для всех конфигураций клиента и сервера Windows. Это блокирует весь удаленный доступ для всех локальных учетных записей.
Мы снова обнаружили, что отказоустойчивый кластер полагается на неадминистративную локальную учетную запись (CLIUSR) для управления узлом кластера, и что блокирование его доступа для входа в сеть приводит к сбою служб кластера. Поскольку учетная запись CLIUSR не является членом группы администраторов, замена S-1-5-113 на S-1-5-114 в параметре «Запретить доступ к этому компьютеру из сети» позволяет службам кластера работать правильно.Он делает это, по-прежнему обеспечивая защиту от атак типа «передача хэша», запрещая вход в сеть для административных локальных учетных записей.
Хотя мы могли бы оставить руководство без изменений и добавить сноску «особый случай» для сценариев отказоустойчивого кластера, вместо этого мы решили упростить развертывание и изменить базовый уровень Windows Server 2012 R2 Member Server, как указано в следующей таблице.
Путь к политике | Конфигурация компьютера Параметры Windows Локальные политики Назначение прав пользователя |
---|---|
Название политики | Запретить доступ к этому компьютеру из сети |
Исходное значение | Гости, Локальный счет * |
Новое значение | Гости, локальная учетная запись и члены группы администраторов * |
* В этом руководстве также рекомендуется добавить администраторов домена (DA) и администраторов предприятия (EA) к этим ограничениям.Исключение составляют контроллеры домена и выделенные рабочие станции администрирования. DA и EA зависят от домена и не могут быть указаны в общих базовых показателях объекта групповой политики (GPO).
Это изменение применяется только к базовому уровню рядового сервера. Ограничение на удаленный доступ к рабочему столу не меняется. Организации по-прежнему могут решить запретить сетевой доступ к локальной учетной записи для некластеризованных серверов.
Ограничения для локальных учетных записей предназначены для систем Active Directory, присоединенных к домену.Неприсоединившиеся устройства Windows рабочей группы не могут аутентифицировать учетные записи домена. Следовательно, если вы примените ограничения на удаленное использование локальных учетных записей на этих устройствах, вы сможете войти в систему только с консоли.
Подробнее об учетной записи CLIUSR
В Windows Server 2003 и более ранних версиях службы кластеров учетная запись пользователя домена использовалась для запуска службы.Эта учетная запись службы кластера (CSA) использовалась для формирования кластера, присоединения к узлу, выполнения репликации реестра и так далее. По сути, любой вид аутентификации, который выполнялся между узлами, использовал эту учетную запись пользователя в качестве общего идентификатора.
Было обнаружено несколько проблем с поддержкой, так как администраторы домена устанавливали политики групповой политики, которые лишали разрешения учетных записей пользователей домена. Администраторы не считали, что некоторые из этих учетных записей пользователей использовались для запуска служб.
Например, эта проблема возникла при использовании права «Вход в качестве службы».Если учетная запись службы кластеров не имеет этого разрешения, она не сможет запустить службу кластеров. Если бы вы использовали одну и ту же учетную запись для нескольких кластеров, вы могли бы столкнуться с простоями производства в нескольких важных системах. Вам также приходилось иметь дело со сменой пароля в Active Directory. Если вы изменили пароль учетной записи пользователя в Active Directory, вам также пришлось изменить пароли для всех кластеров и узлов, которые используют учетную запись.
В Windows Server 2008 мы переработали все в способе запуска службы, чтобы сделать службу более устойчивой, менее подверженной ошибкам и более простой в управлении.Мы начали использовать встроенную сетевую службу для запуска службы кластеров. Помните, что это не полная учетная запись, а только ограниченный набор привилегий. Сузив область действия этой учетной записи, мы нашли решение проблем с групповой политикой.
Для проверки подлинности учетная запись была переключена на использование объекта компьютера, связанного с именем кластера, известного как объект имени кластера (CNO) для общего удостоверения. Поскольку этот CNO является учетной записью компьютера в домене, он автоматически меняет пароль, как это определено для вас политикой домена.(По умолчанию это каждые 30 дней.)
Начиная с Windows Server 2008 R2, администраторы начали виртуализировать все в своих центрах обработки данных. Сюда входят контроллеры домена. Также была представлена функция Cluster Shared Volumes (CSV), которая стала стандартом для частного облачного хранилища. Некоторые администраторы приняли виртуализацию и виртуализировали каждый сервер в своем центре обработки данных. Это включает добавление контроллеров домена в качестве виртуальной машины в кластер и использование диска CSV для хранения VHD / VHDX виртуальной машины.
Это создало сценарий «уловки 22» для многих компаний. Чтобы подключить диск CSV для доступа к виртуальным машинам, вам нужно было связаться с контроллером домена для получения CNO. Однако вы не смогли запустить контроллер домена, потому что он работал в CSV.
Наличие медленного или ненадежного подключения к контроллерам домена также влияет на ввод-вывод на диски CSV. CSV осуществляет внутрикластерный обмен данными через SMB, аналогично подключению к общим файловым ресурсам. Чтобы подключиться к SMB, соединение должно пройти аутентификацию.В Windows Server 2008 R2 это включало проверку подлинности CNO с помощью удаленного контроллера домена.
Что касается Windows Server 2012, нам нужно было подумать о том, как взять лучшее из обоих миров и избежать некоторых проблем, которые мы наблюдали. Мы по-прежнему используем ограниченное право пользователя сетевой службы для запуска службы кластеров. Однако, чтобы удалить все внешние зависимости, теперь мы используем локальную (не доменную) учетную запись пользователя для аутентификации между узлами.
Эта локальная учетная запись «пользователя» не является учетной записью администратора или учетной записи домена.Эта учетная запись автоматически создается для вас на каждом узле при создании кластера или на новом узле, который добавляется к существующему кластеру. Эта учетная запись самостоятельно управляется службой кластеров. Он автоматически меняет пароль для учетной записи и синхронизирует все узлы за вас. Пароль CLIUSR меняется с той же периодичностью, что и пароль CNO, в соответствии с политикой вашего домена. (По умолчанию это каждые 30 дней.) Поскольку учетная запись является локальной, она может аутентифицировать и подключать CSV, чтобы виртуализированные контроллеры домена могли успешно запускаться.Теперь вы можете без опасений виртуализировать все контроллеры домена. Следовательно, мы повышаем отказоустойчивость и доступность кластера за счет уменьшения внешних зависимостей.
Эта учетная запись является учетной записью CLIUSR. Он идентифицируется по его описанию в оснастке «Управление компьютером».
Часто возникает вопрос, можно ли удалить учетную запись CLIUSR. С точки зрения безопасности, дополнительные локальные учетные записи (не по умолчанию) могут быть помечены во время аудита. Если сетевой администратор не уверен, для чего предназначена эта учетная запись (т. Е. Он не читал описание «Локальная идентификация отказоустойчивого кластера»), он может удалить ее, не понимая последствий.Для правильной работы отказоустойчивой кластеризации эта учетная запись необходима для аутентификации.
Присоединяющийся узел запускает службу кластеров и передает ей учетные данные CLIUSR.
Для достижения того же эффекта передаются все учетные данные, чтобы узел мог присоединиться.
Мы предусмотрели еще одну гарантию, чтобы обеспечить дальнейший успех. Если вы случайно удалите учетную запись CLIUSR, она будет автоматически создана заново, когда узел попытается присоединиться к кластеру.
В Windows Server 2016 мы пошли еще дальше, воспользовавшись сертификатами, чтобы кластеры могли работать без каких-либо внешних зависимостей. Это позволяет создавать кластеры, используя серверы, расположенные в разных доменах или за пределами всех доменов.