Подробный гайд: Как добавить компьютер/учётную запись в домен Active Directory

Пошаговый гайд по присоединению компьютера к домену Active Directory: интерфейс, PowerShell, командная строка. Настройка прав, устранение ошибок, чек-лист.

2026.05.06                

Подробный гайд: Как добавить компьютер/учётную запись в домен Active DirectoryПодробный гайд: Как добавить компьютер/учётную запись в домен Active Directory

Важно:

В данном руководстве рассматривается добавление компьютера в домен (domain join). Если вам нужно создать учётную запись пользователя в домене — это делается на контроллере домена через оснастку «Пользователи и компьютеры Active Directory» (dsa.msc) или командлет New-ADUser.

Предварительные требования

Перед присоединением компьютера к домену убедитесь, что выполнены следующие условия:

Требование Описание
Редакция Windows Поддерживаются: Pro, Enterprise, Education, Pro for Workstations. Home-редакции не поддерживают домен.
Сетевая настройка Компьютер должен иметь доступ к контроллеру домена. В настройках DNS укажите IP-адреса контроллеров домена.
Разрешение имён Проверьте: ping ваш_домен.local — домен должен резолвиться.
Синхронизация времени Разница во времени с контроллером домена не должна превышать 5 минут (требуется для Kerberos).
Имя компьютера Задайте осмысленное имя (без пробелов и спецсимволов). Можно через sysdm.cpl → «Изменить» или Rename-Computer -NewName "PC-NAME" в PowerShell.
Учётные данные Нужны права пользователя домена с правом добавления компьютеров (по умолчанию любой пользователь может добавить до 10 устройств) или учётная запись Domain Admins.

Способ 1: Через классический интерфейс (System Properties)

Универсальный метод для всех версий Windows:

  1. Нажмите Win + R, введите sysdm.cpl → Enter.
  2. Перейдите на вкладку «Имя компьютера» → нажмите «Изменить…».
  3. В разделе «Является членом» выберите «Домен».
  4. Введите имя домена (например, contoso.local) → OK.
  5. В появившемся окне введите логин и пароль учётной записи с правами на присоединение к домену.
  6. При успехе появится сообщение: «Добро пожаловать в домен …».
  7. Перезагрузите компьютер.

На Windows Server этот же диалог открывается через:

Диспетчер серверов → Локальный сервер → ссылка рядом с «Домен».

Способ 2: Через приложение «Параметры» (Windows 10/11)

Современный интерфейс для клиентских ОС:

  1. Откройте Параметры (Win + I) → Учётные записи → Доступ к работе или учебному заведению.
  2. Нажмите «Подключить».
  3. Выберите ссылку внизу: «Присоединить это устройство к локальному домену Active Directory».
  4. Введите имя домена → Далее.
  5. Укажите учётные данные домена → ОК.
  6. Пропустите шаг добавления локального администратора (можно настроить через GPO).
  7. Перезагрузите компьютер.

Быстрый переход: введите в строке «Выполнить» команду:

ms-settings:workplace

Способ 3: Через PowerShell (автоматизация)

Идеально для массового развёртывания и скриптов:

Базовая команда:

Add-Computer -DomainName "contoso.local" -Restart

Появится окно для ввода учётных данных.

С указанием конкретного подразделения (OU):

$OU = "OU=Computers,OU=Branch,DC=contoso,DC=local"
Add-Computer -DomainName "contoso.local" -OUPath $OU -Credential "contoso\Administrator" -Restart

Для удалённого компьютера (требуется WinRM):

Add-Computer -ComputerName "PC-01" -DomainName "contoso.local" `
  -Credential "contoso\Administrator" `
  -LocalCredential "PC-01\LocalAdmin" `
  -Restart -Force

Проверка после перезагрузки:

# Проверка членства в домене
Get-WmiObject Win32_NTDomain | Select DomainName, DnsForestName

# Или проще:
systeminfo | findstr /B "Домен"  # для русской ОС
systeminfo | findstr /B "Domain" # для английской

В PowerShell 7+ (pwsh.exe) командлет Add-Computer отсутствует. Используйте классический powershell.exe.

Способ 4: Через командную строку (netdom)

Требует установки RSAT на клиенте, используется реже:

netdom join %computername% /domain:contoso.local /userd:contoso\admin /passwordd:*

После выполнения — перезагрузите систему.

Предварительное создание учётной записи компьютера (Pre-staging)

Полезно для контроля размещения и применения политик:

Через графический интерфейс (dsa.msc):

  1. Откройте «Пользователи и компьютеры Active Directory».
  2. Перейдите в нужное подразделение (OU).
  3. ПКМ → Создать → Компьютер.
  4. Введите имя компьютера (должно совпадать с hostname целевого ПК).
  5. Настройте права: кто может присоединить этот компьютер.

Через PowerShell:

New-ADComputer -Name "PC-01" `
  -SamAccountName "PC-01" `
  -Path "OU=Computers,OU=Branch,DC=contoso,DC=local" `
  -Enabled $true

Если учётная запись компьютера уже существует и нужно её «сбросить»:

ПКМ по объекту в AD → Сбросить учётную запись

Или командой:

Get-ADComputer -Identity "PC-01" | ForEach-Object { dsmod computer $_.distinguishedName -reset }

Как вывести компьютер из домена

Через GUI:

В том же окне sysdm.cpl → «Изменить» → выберите «Рабочая группа», введите имя (например, WORKGROUP) → перезагрузитесь.

Через PowerShell:

Remove-Computer -UnjoinDomainCredential (Get-Credential) -Restart -Force

После выхода из домена для входа потребуется локальная учётная запись и её пароль.

Устранение неполадок

Ошибка: «Не удалось установить доверительные отношения…»

Обычно вызвана рассинхронизацией пароля компьютера в домене.

Решение через PowerShell (войдите под локальным администратором):

# Проверка канала
Test-ComputerSecureChannel

# Восстановление
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

# Или сброс пароля машины
Reset-ComputerMachinePassword -Server "DC01.contoso.local" -Credential (Get-Credential)
Restart-Computer

Ошибка: «Re-using the account was blocked by security policy»

Связана с обновлением KB5020276 (ужесточение безопасности присоединения).

Временное обходное решение (на клиенте):

Reg add HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f

Рекомендуется:

  • использовать учётную запись с правами владельца объекта компьютера или Domain Admins.

Настройка прав: кто может добавлять компьютеры в домен?

По умолчанию любой пользователь домена может присоединить до 10 устройств.

Чтобы изменить это:

  1. Откройте ADSI Edit (adsiedit.msc).
  2. Подключитесь к корню домена.
  3. ПКМ по домену → Свойства → найдите атрибут ms-DS-MachineAccountQuota.
  4. Установите значение 0, чтобы запретить обычным пользователям добавлять ПК.

Чек-лист после присоединения

  • [ ] Компьютер отображается в оснастке dsa.msc в нужном OU.
  • [ ] Применяются групповые политики: выполните gpresult /r или gpupdate /force.
  • [ ] Возможен вход под доменной учётной записью.
  • [ ] Время синхронизировано: w32tm /query /status.
  • [ ] DNS-настройки указывают на контроллеры домена.

Совет:

Для массового развёртывания используйте сценарии через PowerShell + GPO или инструменты вроде Microsoft Endpoint Configuration Manager (SCCM) / Intune для гибридных сценариев.

×

Полный размер Слайдшоу Предыдущий Следующий