Подробный гайд: Присоединение устройства к домену Active Directory

Пошаговая инструкция по присоединению Windows-устройства к домену Active Directory: через интерфейс, PowerShell и командную строку.

2026.04.18                  

Подробный гайд: Присоединение устройства к домену Active DirectoryПодробный гайд: Присоединение устройства к домену Active Directory

Важно:

  • Перед началом убедитесь, что на устройстве установлено обновление KB5020276, которое ужесточает требования к присоединению к домену и предотвращает добавление несанкционированных устройств.

Предварительные требования

Для клиентских устройств (Windows 10/11):

  • Поддерживаемые редакции: Pro, Enterprise, Education, Pro for Workstations (Home-версии не поддерживают домен)
  • Настроенный статический IP или корректная работа DHCP
  • В настройках сетевого адаптера указаны DNS-серверы контроллеров домена
  • Компьютер может разрешить имя домена: ping contoso.com
  • Время на устройстве синхронизировано с контроллером домена (±5 минут для Kerberos)
  • Учётная запись с правами на добавление компьютеров в домен (по умолчанию любой пользователь домена может добавить до 10 устройств)

Для серверов (Windows Server):

  • Учётная запись с правами локального администратора и доменного администратора (или делегированными правами)
  • Доступ к контроллеру домена по сети

Способ 1: Через классический интерфейс (sysdm.cpl)

Универсальный метод для всех версий Windows:

  1. Нажмите Win + R, введите sysdm.cpl и нажмите Enter
  2. Перейдите на вкладку «Имя компьютера» → нажмите «Изменить...»
  3. В разделе «Является членом» выберите «Домен» и введите имя домена (например, contoso.local)
  4. Нажмите OK → введите учётные данные доменного пользователя с правами на присоединение
  5. При успехе появится сообщение: «Добро пожаловать в домен contoso.local»
  6. Перезагрузите компьютер для применения изменений

В Windows Server этот же диалог доступен через: Диспетчер серверов → Локальный сервер → ссылка напротив «Домен»

Способ 2: Через приложение «Параметры» (Windows 10/11)

  1. Откройте Параметры (Win + I) → Учётные записи → Доступ к работе или учебному заведению
   - Быстрый переход: `ms-settings:workplace`

2. Нажмите «Подключить» → в открывшемся окне выберите ссылку:

   «Присоединить это устройство к локальному домену Active Directory»
  1. Введите имя домена → Далее
  2. Укажите доменные учётные данные (логин и пароль)
  3. Пропустите шаг добавления пользователя в локальные администраторы (можно настроить через GPO)
  4. Перезагрузите устройство

Способ 3: Через PowerShell (рекомендуется для автоматизации)

Базовая команда:

Add-Computer -DomainName "contoso.local" -Restart

Появится запрос учётных данных домена.

Расширенный пример с помещением в конкретный OU:

$OU = "OU=Workstations,OU=Branch1,DC=contoso,DC=local"
Add-Computer -DomainName "contoso.local" -OUPath $OU -NewName "WS-001" -Credential (Get-Credential) -Restart -Force

Проверка успешного присоединения:

# Проверка домена
Get-WmiObject Win32_NTDomain | Select-Object Domain, DnsForestName

# Альтернатива
systeminfo | findstr /B "Домен"

Важно:

  • В PowerShell 7+ командлет Add-Computer отсутствует. Используйте powershell.exe (Windows PowerShell 5.1), а не pwsh.exe.

Способ 4: Через командную строку (netdom)

Требует установки RSAT (Remote Server Administration Tools) на клиентских устройствах.

netdom join %COMPUTERNAME% /domain:contoso.local /userd:contoso\admin /passwordd:*

После выполнения — перезагрузите устройство.

Что делать, если нужно вывести из домена?

Через PowerShell:

Remove-Computer -UnjoinDomainCredential (Get-Credential) -Restart -Force

После выхода из домена для входа потребуется пароль локальной учётной записи администратора.

Через интерфейс:

  • В sysdm.cpl → «Изменить» → выберите «Рабочая группа» → введите любое имя (например, WORKGROUP) → перезагрузка.

Устранение распространённых проблем

Ошибка: «The trust relationship between this workstation and the primary domain failed»

Решение через PowerShell:

# Проверка безопасного канала
Test-ComputerSecureChannel

# Восстановление канала с учётными данными
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)

# Сброс пароля компьютера
Reset-ComputerMachinePassword -Credential (Get-Credential) -Server "DC01.contoso.local"
Restart-Computer

Ошибка: «Re-using the account was blocked by security policy»

Связана с обновлением KB5020276.

Временное решение (не рекомендуется для продакшена):

Reg add HKLM\System\CurrentControlSet\Control\Lsa /v NetJoinLegacyAccountReuse /t REG_DWORD /d 1 /f

Затем сбросьте учётную запись компьютера в AD через ADUC → ПКМ по компьютеру → Reset Account.

Ошибка: Компьютер не находит домен

  1. Проверьте настройки DNS: ipconfig /all → должен быть указан контроллер домена
  2. Проверьте доступность: nslookup contoso.local
  3. Убедитесь, что порты 88 (Kerberos), 389 (LDAP), 445 (SMB) открыты в брандмауэре

Дополнительные рекомендации

Задача Решение
Ограничить право присоединения Установите ms-DS-MachineAccountQuota = 0 в ADSI Edit, чтобы запретить обычным пользователям добавлять ПК
Автоматически помещать в нужную группу Используйте скрипт при присоединении или GPO для добавления в группы безопасности
Предварительное создание объекта Создайте компьютер в ADUC заранее: New-ADComputer -Name "WS-001" -Path "OU=..."
Массовое присоединение Используйте PowerShell с циклом по списку компьютеров + удалённое выполнение через WinRM

Чек-лист после присоединения

  • [ ] Устройство отображается в Active Directory Users and Computers в нужном OU
  • [ ] Применяются групповые политики: gpresult /r
  • [ ] Возможен вход под доменной учётной записью
  • [ ] Время синхронизировано: w32tm /query /status
  • [ ] Сетевые ресурсы домена доступны

Совет:

  • Для тестирования новых сценариев используйте изолированную лабораторную среду, чтобы избежать влияния на производственную инфраструктуру.
×

Полный размер Слайдшоу Предыдущий Следующий