Подключение к удаленному компьютеру, присоединенному к Azure Active Directory
Применимо к:
С момента выпуска Windows 10 поддерживает удаленные подключения к ПК, подключенным к Active Directory. Начиная с версии 1607 Windows 10, можно также подключаться к удаленному компьютеру, присоединенному к Azure Active Directory (Azure AD). Начиная с Windows 10, версия 1809, можно использовать биометрию для проверки подлинности на удаленном сеансе рабочего стола.
Настройка
Убедитесь, что на клиентских КОМПЬЮТЕРАх, которые вы используете для подключения к удаленному компьютеру, отключается функция remote Credential GuardWindows 10 версии 1607.
На компьютере, к который необходимо подключиться:
откройте свойства системы для удаленного компьютера.
Включите функцию Разрешить удаленные подключения к этому компьютеру и выберите вариант Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности.
Если кроме пользователя, который присоединил компьютер к Azure AD, никто больше не собирается использовать удаленное подключение, дополнительные настройки не требуются. Чтобы разрешить дополнительным пользователям или группам подключаться к компьютеру, необходимо разрешить удаленные подключения для указанных пользователей или групп. Пользователи могут добавляться вручную или с помощью политик MDM:
Добавление пользователей вручную
Вы можете указать отдельные учетные записи Azure AD для удаленных подключений, запуская следующий комдлет PowerShell:
где атрибут upN-attribute-of-your-user — это имя профиля пользователя в C:\Users, который создается на основе атрибута DisplayName в Azure AD.
Эта команда работает только для пользователей устройств AADJ, уже добавленных в любую из локальных групп (администраторов). В противном случае эта команда бросает приведенную ниже ошибку. Пример:
Для устройств, Windows 10 версии 1703 или более ранних версий, пользователь должен сначала войти на удаленное устройство перед попыткой удаленного подключения.
Начиная с Windows 10 версии 1709, можно добавить других пользователей Azure **** AD в группу Администраторы на устройстве в Параметры и ограничить удаленные учетные данные администраторам. **** При возникновении проблем с удаленным подключение убедитесь, что оба устройства присоединены к Azure AD и что доверенный платформенный модуль работает правильно на обоих устройствах.
Добавление пользователей с помощью политики
Начиная с Windows 10 версии 2004 года вы можете добавлять пользователей или группы Azure AD в удаленные пользователи настольных компьютеров с помощью политик MDM, как описано в описании управления группой локальных администраторов на устройствах Azure AD.
При подключении к удаленному компьютеру введите имя учетной записи в этом формате: AzureAD\yourloginid@domain.com.
Если вы не можете подключиться с помощью удаленного подключения к рабочему столу 6.0, необходимо отключить новые функции RDP 6.0 и вернуться к RDP 5.0, внося несколько изменений в файл RDP. Подробные сведения см. в этой статье поддержки.
Поддерживаемые конфигурации
В таблице ниже перечислены поддерживаемые конфигурации для удаленного подключения к компьютеру с поддержкой Azure AD:
| Критерии | RDP с зарегистрированного устройства Azure AD | RDP из устройства Azure AD | RDP из гибридного устройства Azure AD |
|---|---|---|---|
| Клиентские операционные системы | Windows 10 версии 2004 и выше | Windows 10 версии 1607 и выше | Windows 10 версии 1607 и выше |
| Поддерживаемые учетные данные | Пароль, смарт-карта | Пароль, смарт-карта, Windows Hello доверия к бизнес-сертификатам | Пароль, смарт-карта, Windows Hello доверия к бизнес-сертификатам |
Если клиент RDP работает Windows Server 2016 или Windows Server 2019, чтобы иметь возможность подключения к компьютерам с Azure Active Directory-подключенными компьютерами, он должен разрешить запросы на проверку подлинности на основе шифрования общедоступных ключей для пользователей (PKU2U)для использования удостоверений в Интернете.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 5: Добавление компьютеров в Active Directory. Проверка и удаление из Active Directory
Оглавление
8. Групповые политики
9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы
10. Настройка траста и сайта доменов
11. Другие службы и роли Active Directory
12. Настройка Samba (Active Directory для Linux)
13. Инструменты для аудита безопасности Active Directory
С теоретической точки зрения, порядок глав должен быть немного иным: перед изучением присоединения к домену нужно изучить иерархию Active Directory, инструменты создания и управления пользователями, группами. Поверьте мне, в этом теоретическом материале можно крепко завязнуть… При том, что в практическом плане нам достаточно на сервере создать пользователя домена в графическом интерфейсе и, по сути, всё готово для подсоединения к домену! Поэтому мы чуть забежим вперёд и подсоединимся к домену, а затем окунёмся в теорию — она уже будет привязанной к некоторому практическому опыту взаимодействия с Active Directory и нам будет проще в ней разобраться.
Последствия присоединения к Домену Active Directory
В самой первой части уже описаны некоторые из последствий присоединения компьютера к Домену. Остановимся на этом чуть подробнее, чтобы вам в дальнейшем не пришлось переустанавливать ОС на рабочей станции чтобы покинуть домен и чтобы не потерять важные для вас файлы.
Рабочая станция должна использовать Контроллер домена в качестве DNS сервера. Поэтому если вы включаете рабочую станцию когда Контроллер домена недоступен (офлайн), это может привести к проблемам с сетевыми подключениями.
На рабочей станции должна иметься учётная запись локального администратора, при выходе запрашивается логин и пароль пользователя домена, имеющего полномочия на отсоединение от домена!
3. Пользовательские файлы
В зависимости от настроек пользователя, созданные пользователем домена файлы могут храниться как на локальной рабочей станции, так и на сервере.
В общем, если вы настраиваете тестовое окружение Active Directory и подсоединяете к домену свой рабочий компьютер, то прежде чем удалить тестовое окружение, выполните выход из домена, иначе впоследствии вы можете столкнуться с трудностями.
Настройка DNS сервера на рабочих станциях
Многие протоколы Active Directory сильно зависят от DNS сервера, поэтому вряд ли получится использовать сторонний DNS сервер (например, BIND). Мы уже настроили в Windows Server роль DNS, то есть фактически запустили DNS сервер. Теперь нужно сделать так, чтобы рабочие станции использовали IP адрес Windows Server в качестве DNS сервера.
Рассмотрим, как изменить настройки DNS сервера разными способами. Вам нужно выбрать один из подходящих для вас вариантов.
В моей установке Active Directory компьютер с DNS сервером (контроллер домена) имеет IP адрес 192.168.1.60. Следовательно, моя задача установить данный IP адрес в качестве первичного DNS сервера. В качестве вторичного DNS сервера вы можете выбрать любой другой.
Как настроить DNS сервер на Windows 10
Нажмите на иконку «Доступ к Интернету», затем кликните на имени вашего сетевого подключения:
Нажмите на «Настройка параметров адаптера»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «control netconnections» или «control ncpa.cpl»).
Кликните правой кнопкой по адаптеру, настройки которого вы хотите изменить, и в открывшемся контекстном меню выберите «Свойства».
Выберите «IP версии 4 (TCP/IPv4)» и нажмите кнопку «Свойства».
Выберите «Использовать следующие адреса DNS-серверов» и введите IP.
Когда всё будет готово нажмите «ОК» и закройте окна.
Как настроить DNS сервер в Windows Admin Center
Перейдите на вкладку «Сети» и выберите сетевой адаптер, настройки которого вы хотите изменить и нажмите кнопку «Параметры».
Перключите на «Используйте следующие адреса DNS-сервера», введите желаемые настройки DNS адреса и нажмите кнопку «Сохранить».
Как настроить DNS сервер в PowerShell
Если вы хотите указать один DNS сервер, то используйте команду вида:
Для указания двух DNS серверов используйте синтаксис:
Как проверить настройки DNS в Windows
Чтобы убедиться, что DNS сервер работает и что в качестве DNS используется именно контроллер домена, выполните команду:
Мы получили IP адрес этого сайта — это означает, что DNS сервер работает. Строка «Address: 192.168.1.60» содержит IP адрес DNS сервера, как мы можем убедиться, это контроллер домена.
Следующая команда выведет IP адрес Домена:
Строки с Addresses содержат в том числе и локальный IP адрес домена:
Если вы хотите обойтись исключительно средствами PowerShell и не использовать стороннюю утилиту, то проверить настройки DNS сервера, а также узнать IP адрес домена вы можете следующими командами:
Как присоединить компьютер к домену
Теперь, когда всё готово, мы присоединим рабочую станцию к домену.
Кроме уже сделанных изменений нам понадобится:
Присоединение к домену через Параметры компьютера
Для присоединения к домену, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Для присоединения к домену нажмите кнопку «Изменить».
Установите переключатель на «Является членом домена» и впишите имя домена, нажмите «ОК».
Если имя компьютера длиннее 15 символов, то вам будет показано предупреждение, что NetBIOS имя будет укорочено. Об этом нужно помнить по следующим причинам:
Введите учётные данные администратора сервера.
Если всё прошло удачно, то вы увидите приветственное сообщение.
Также вам будет сообщено, что для того, чтобы изменения вступили в силу, необходимо перезагрузить компьютер.
Присоединение к домену с помощью Мастера присоединения к домену или рабочей группе
Для присоединения к домену, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Для присоединения к домену нажмите кнопку нопку «Идентификация».
Выберите вариант «Компьютер входит в корпоративную сеть; во время работы я использую его для соединения с другими компьютерами».
Выберите «Моя организация использует сеть с доменами».
Нажимаем «Далее».
Введите имя и пароль администратора домена, а также адрес домена и нажмите «Далее».
Если компьютер впервые подключается к домену, то вы увидите следующее сообщение и запрос на ввод имени компьютера и домена.
Вновь введите логин и пароль администратора сервера, а также адрес домена.
Не совсем понятно, за что отвечает это окно.
Я не стал добавлять.
Чтобы изменения вступили в силу, перезагрузите компьютер.
Присоединение к домену в Windows Admin Center
Откройте Windows Admin Center, подключитесь к компьютеру, который должен присоединиться к домену, перейдите на вкладку Обзор.
Нажмите «Изменить идентификатор компьютера».
Переключите «Членство» на «Домен» и введите имя домена. Нажмите кнопку «Далее».
Введите учётные данные администратора домена, нажмите кнопку «Сохранить».
Чтобы изменения вступили в силу, потребуется перезагрузка компьютера.
Присоединение к домену в PowerShell
Для добавления в домен или рабочую группу применяется командлет Add-Computer. Он присутствует в PowerShell 5, но удалён из PowerShell 7 и никто не знает, чем его заменить, подробности смотрите в статье «Аналог Add-Computer в PowerShell 7».
Если вы уже установили PowerShell 7, то для переключения на PowerShell 5 выполните:
Пример команды, которая добавляет локальный компьютер к домену и перезапускает компьютер:
Эту команду нужно выполнять с правами администратора.
Вам будет предложено ввести пароль администратора контроллера домена:
Команда для добавления удалённого компьютера в домен имеет следующий вид:
Эта команда дважды предложит ввести учётные данные — сначала пароль администратора домена, затем пароль администратора рабочей станции.
В моих тестах команда для добавления удалённого компьютера в домен всегда завершалась ошибкой «The RPC server is unavailable. (Exception from HRESULT: 0x800706BA)»:
На текущий момент справиться с ошибкой не удалось.
Как выполнить вход в Домен Windows
Вход на компьютере присоединённому к домену
При загрузке компьютера нас встречает заставка.
Зажмите левую кнопку мыши и проведите вверх.
По умолчанию предлагается войти под локальным пользователем (если у вашего локального пользователя нет пароля, то для входа просто нажмите Enter).
Чтобы войти в домен, нажмите «Другой пользователь».
Введите имя пользователя домена и пароль.
Как создавать пользователей в домене Windows, будет показано в следующей части. Тем не менее, уже сейчас вы можете выполнить вход на рабочую станцию с учётной записью администратора домена. То есть вводим имя пользователя (Administrator) и пароль администратора сервера (да, хотя мы выполняем вход на рабочей станции, а не на сервере).
Обратите внимание, что если на локальном компьютере присутствует пользователь с таким же именем, как и в домене, то для входа необходимо имя указать следующим образом: «ДОМЕН\ПОЛЬЗОВАТЕЛЬ». В противном случае, вход будет выполнен как локальный пользователь.
Примечание: если перестало работать привычное вам сочетание клавиш для смены раскладки клавиатуры, то используйте Win+Пробел, это универсальное сочетание смены клавиатуры, которое всегда работает.
Проверим имя пользователя и имя компьютера:
Текущим пользователем является DS\Administrator, а имя компьютера HackWare-Win (то есть это рабочая станция, а не сервер).
Как войти под учётной записью локального пользователя
Рассмотрим, как войти под учётной записью локального пользователя на компьютере, который подключён к Домену Windows.
При включении компьютера нажмите «Другой пользователь».
Чтобы войти только на этот компьютер (а не в домен), имя пользователя нужно вводить следующим образом:
Чтобы войти на ПК локально, вы также можете использовать «.\» + «имя пользователя», так не нужно точно знать наименование ПК.
Как проверить, является ли компьютер частью домена
Как через Параметры компьютера проверить, является ли компьютер частью домена
Для получения информации о домене, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Здесь вы сможете увидеть, является ли компьютер частью домена и какое имя домена.
Как в Windows Admin Center проверить, является ли компьютер частью домена
Откройте Windows Admin Center, подключитесь к компьютеру, чей домен вы хотите посмотреть, перейдите на вкладку Обзор.
Нажмите «Изменить идентификатор компьютера».
Если переключатель «Членство» выбран на «Домен», значит компьютер присоединён к домену.
Как в PowerShell проверить, является ли компьютер частью домена
1. Получение свойств системы
Если вы хотите узнать в PowerShell, является ли данный компьютер частью домена или рабочей группы, то используйте следующий скрипт:
Вы можете скопировать его целиком и вставить в консоль PowerShell.
В данном случае имя компьютера HackWare-Win и он не прикреплён к домену (DomainJoined : False). Вместо этого компьютер входит в рабочую группу под названием WORKGROUP.
Пример вывода на другом компьютере:
Имя компьютера HackWare-Server-2022, он является частью домена (DomainJoined : True) под названием ds.hackware.ru.
2. Определение принадлежности по имени домена или рабочей группы
Следующая команда выводит имя домена/рабочей группы:
Если знать правило, что имя домена должно включать минимум две строки, разделённых точкой, то можно определить, что WORKGROUP — не может быть именем домена, следовательно, это название рабочей группы. А ds.hackware.ru это имя домена.
3. Просмотр свойств компьютера в командлете Get-ComputerInfo
Командлет Get-ComputerInfo предназначен для вывода информации о компьютере. Отфильтровав нужные сведения, можно принять решения, присоединён ли компьютер к домену или к рабочей группе.
Показать имя домена или рабочей группы:
Показать сервер входа (для компьютеров в домене это сервер, для компьютеров в рабочей группе это локальный компьютер):
Показать тип продукта, может быть, например DomainController (контроллер домена) или WorkStation (рабочая станция):
Имя пользователя (имеет вид ДОМЕН\ПОЛЬЗОВАТЕЛЬ или РАБОЧАЯ_ГРУППА\ПОЛЬЗОВАТЕЛЬ):
Имя локального компьютера:
Вывод все информации за раз:
Компьютер присоединён к домену:
Компьютер является частью рабочей группы:
4. С помощью Get-ADDomain
Чтобы в PowerShell посмотреть, присоединён ли компьютер к домену, выполните следующую команду:
Если компьютер является частью рабочей группы, а не домена, то в PowerShell 5 будет выведена следующая ошибка:
Если компьютер не присоединён к домену, то в последних версиях PowerShell будет показана ошибка:
Если же компьютер является частью домена, то будет показана информация о домене, к которому присоединена рабочая станция:
Также возможны следующие ошибки.
Данные ошибки возникают в ситуации, когда компьютер в принципе подключён к домену, но вход на рабочей станции выполнен под локальным пользователем.
Как выйти из домена
Как выйти из домена через Параметры компьютера
Чтобы отсоединить компьютер от домена, откройте приложение Параметры (Win+I) и нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
(Другой быстрый способ попасть сюда, это набрать в командной строке «SystemPropertiesComputerName»).
Для выхода из домена нажмите кнопку «Изменить».
Переключитесь на «Является членом рабочей группы», введите её название, например «WORKGROUP» и нажмите «ОК».
Нас предупреждают, что для входа на этот компьютер потребуется пароль локального администратора.
Если всё прошло хорошо, то вы увидите приглашение в рабочую группу.
Нам сообщают, что изменения вступят в силу после перезагрузки компьютера.
Как выйти из домена в Windows Admin Center
Откройте Windows Admin Center, подключитесь к компьютеру, который должен выйти из домена, перейдите на вкладку Обзор.
Нажмите «Изменить идентификатор компьютера».
Переключите «Членство» на «Рабочая группа» и введите имя рабочей группы, например «WORKGROUP». Нажмите кнопку «Далее».
Введите имя и пароль администратора домена.
Как выйти из домена в PowerShell
Выход из домена, точнее говоря, переход в рабочую группу, выполняется командой Add-Computer, то есть к выходу из домена применимы все замечания, сказанные в разделе «5.3.4 Присоединение к домену в PowerShell».
Чтобы отключить локальный компьютер от домена и добавить его в рабочую группу WORKGROUP выполните следующую команду:
Переход в рабочую группу вступит в силу после перезагрузки компьютера:
Предыдущая команда сработает, если вы выполнили вход как администратор домена, в противном случае вам нужно указать учётные данные администратора домена (или иного администратора, имеющего право на выход из домена):
Команда для добавления удалённого компьютера в рабочую группу и, следовательно, выхода из домена, имеет следующий вид:
Для перехода из одного домена в другой, используйте команду: