Création d'un domaine Windows 7 Création et administration d'un objet ordinateur dans Active Directory.

Entrer un ordinateur dans un domaine Active Directory est une procédure assez simple. Dans cet article, je vais vous expliquer comment ajouter un ordinateur exécutant le système d'exploitation Windows 7 à un domaine AD DC (Active Directory Domain Services). Le contrôleur de domaine (DC) est un serveur sur lequel Windows Server 2008 est installé.

Nous avons donc un PC qui est dans un GROUPE DE TRAVAIL. Pour vérifier cela, vous devez entrer les propriétés du système. Pour ce faire, recherchez le raccourci « Ordinateur » sur le bureau Windows :

Faites un clic droit dessus et sélectionnez « Propriétés » dans le menu contextuel.
La fenêtre des propriétés du système d'exploitation Windows 7 s'ouvrira :

Notez la zone d'informations « Nom de l'ordinateur, nom de domaine et paramètres du groupe de travail ». La zone Groupe de travail affiche WORKGROUP, indiquant que cet ordinateur n'est pas membre d'un domaine Active Directory.

Avant d'ajouter un ordinateur à un domaine Active Directory, vous devez compléter actions préparatoires:

1. Recherchez l'icône de connexion réseau « Connexion au réseau local », faites un clic droit dessus et sélectionnez « Propriétés » :

2. Dans la fenêtre qui s'ouvre, sélectionnez « Internet Protocol Version 4 (TCP/IPv4) » et cliquez sur « Propriétés » :

3. La fenêtre « Propriétés : Protocole Internet version 4 (TCP/IPv4) » s'ouvrira :

3.1 Activez l'option « Utiliser l'adresse IP suivante », puis spécifiez les valeurs de l'adresse IP, du masque de sous-réseau et de la passerelle par défaut.
3.2 Activez la rubrique « Utiliser les adresses de serveur DNS suivantes » et dans le champ « Serveur DNS préféré », saisissez l'adresse du serveur DNS de votre réseau local.
Le résultat final devrait ressembler à ceci :

Cliquez sur OK pour enregistrer les paramètres. Les étapes préparatoires avant d'ajouter l'ordinateur au domaine Active Directory sont terminées.

Revenons maintenant aux propriétés du système et sélectionnons « Modifier les paramètres » :

Dans la fenêtre qui s'ouvre, dans l'onglet « Nom de l'ordinateur », sélectionnez « Modifier » :

La fenêtre « Modifier l'ordinateur ou le nom de domaine » s'ouvrira :

Dans le champ « Nom de l'ordinateur », saisissez le nom de votre ordinateur, qui sera affiché dans le domaine (vous pouvez laisser le nom local). Ensuite, activez l'option « Est membre d'un domaine » et précisez le domaine auquel vous souhaitez rejoindre votre ordinateur :

Cliquez ensuite sur OK.

Dans la fenêtre qui s'ouvre, vous devez saisir les détails (utilisateur et mot de passe) d'un compte de domaine ayant le droit d'ajouter de nouveaux ordinateurs à ce domaine Active Directory, puis cliquer sur OK :

Vous pouvez spécifier, par exemple, le nom et le mot de passe de l'administrateur du contrôleur de domaine.
Si tout est fait correctement, vous verrez la fenêtre « Bienvenue sur le domaine » :

Cliquez sur OK.

Une nouvelle fenêtre s'ouvrira, vous informant que vous devez redémarrer votre ordinateur pour que les modifications prennent effet :

Cliquez sur OK.

Dans la fenêtre suivante, sélectionnez « Fermer » :

Vous pouvez maintenant sélectionner « Redémarrer maintenant » ou « Redémarrer plus tard » :

La sélection de Redémarrer maintenant redémarrera automatiquement votre ordinateur. Assurez-vous de sauvegarder toutes les données importantes et de fermer les programmes ouverts.

La fenêtre de bienvenue de Windows 7 est désormais différente :

Dans mon cas, il est proposé de se connecter en tant qu'utilisateur local à l'ordinateur CLIETN1/user1 (CLIENT1 est le nom de l'ordinateur, user1 est le nom d'utilisateur). Pour vous connecter au domaine, cliquez sur le bouton « Changer d'utilisateur ».

Une nouvelle fenêtre s'ouvrira :

Pour vous connecter au domaine Active Directory, sélectionnez « Autre utilisateur ».
Dans cette fenêtre, saisissez le nom d'utilisateur et le mot de passe du compte qui existe dans le domaine :

Dans mon exemple, le domaine s'appelle « denis.local » et le nom d'utilisateur du domaine est « ivanov ». Sous le champ « Mot de passe » vous pouvez voir l'inscription « Connexion à DENIS », ce qui signifie que la connexion sera effectuée en tant qu'utilisateur de domaine dans le domaine « denis.local ». Dans le champ « Utilisateur », vous pouvez préciser « ivanov » ou le nom complet (nom de domaine\nom d'utilisateur), c'est-à-dire « denis.local\ivanov » ou « denis\ivanov ».

Nous nous sommes donc connectés depuis l'ordinateur « client1 » sous l'utilisateur de domaine « ivanov » au domaine Active Directory « denis.local ». Ouvrons à nouveau les propriétés du système :

Notez la zone d'informations « Nom de l'ordinateur, nom de domaine et paramètres du groupe de travail ». La zone « domaine » contient la valeur « denis.local », indiquant que cet ordinateur appartient à un domaine Active Directory appelé « denis.local ».

Ouvrez le menu Démarrer :

Dans cette capture d'écran, vous pouvez voir le prénom et le nom de l'utilisateur du domaine « ivanov ».

Passons maintenant au contrôleur de domaine Active Directory, ouvrons le composant logiciel enfichable « Utilisateurs et ordinateurs » et dans le conteneur « Ordinateurs » du domaine « denis.local », nous verrons le nom de l'ordinateur « CLIENT1 » ajouté au domaine. :

L'ajout de l'ordinateur au domaine Active Directory s'est terminé avec succès.

Il est souvent nécessaire d'intégrer une machine Linux dans un domaine Windows existant. Par exemple, pour créer un serveur de fichiers en utilisant Samba. C'est très simple à faire ; tout ce dont vous avez besoin est un client Kerberos, Samba et Winbind.

Avant l'installation, il est conseillé de mettre à jour :

Mise à jour Sudo aptitude Mise à niveau Sudo aptitude

Vous pouvez installer tout cela avec la commande :

Sudo aptitude installer krb5-user samba winbind

Vous devrez peut-être également installer les bibliothèques suivantes :

Sudo aptitude installer libpam-krb5 libpam-winbind libnss-winbind

Ou, si vous utilisez Ubuntu Desktop, les mêmes packages peuvent être installés via le gestionnaire de packages Synaptic.

Ensuite, vous devrez configurer tous les outils ci-dessus pour fonctionner avec votre domaine. Disons que vous souhaitez vous connecter à un domaine DOMAINE.COM, dont le contrôleur de domaine est le serveur dc.domain.com avec adresse IP 192.168.0.1 . Le même serveur est également le serveur DNS principal du domaine. De plus, disons que vous disposez d'un deuxième contrôleur de domaine, également appelé DNS - dc2.domaine.com avec IP 192.168.0.2 . Votre ordinateur sera appelé smbsrv01.

Paramètres DNS

Tout d'abord, vous devez modifier les paramètres DNS de votre ordinateur, en enregistrant le contrôleur de domaine en tant que serveur DNS et le domaine souhaité en tant que domaine de recherche.

Si vous avez une adresse IP statique, dans Ubuntu Desktop, cela peut être fait via Network Manager, dans Ubuntu Server, vous devez modifier le contenu du fichier /etc/resolv.conf en quelque chose comme ceci :

Domaine domain.com recherche domain.com serveur de noms 192.168.0.1 serveur de noms 192.168.0.2

Dans les distributions modernes, le fichier resolv.conf est créé automatiquement et il n'est pas nécessaire de le modifier manuellement. Pour obtenir le résultat souhaité, vous devez ajouter les modifications nécessaires au fichier : /etc/resolvconf/resolv.conf.d/head Les données qui y seront ajoutées seront automatiquement insérées dans le fichier /etc/resolv.conf

Si l'adresse IP est dynamique et attribuée par un serveur DHCP, alors après le redémarrage de resolv.conf, un resolv.conf "incorrect" peut être généré, par exemple, il n'y a qu'un seul serveur de noms 192.168.0.1 et le domaine et la recherche ne sont pas spécifiés. . Vous devez modifier /etc/dhcp/dhclient.conf Pour faire apparaître les entrées de domaine et de recherche, vous devez supprimer le commentaire avant la ligne de remplacement du nom de domaine et saisir votre domaine :

Remplacer le nom de domaine « domain.com » ;

Pour ajouter un autre serveur de noms, vous devez supprimer le commentaire avant d'ajouter les serveurs de noms de domaine et spécifier l'adresse IP du serveur :

Ajoutez les serveurs de noms de domaine 192.168.0.2 ;

Pour appliquer les modifications, il vous suffit de redémarrer le service :

/etc/init.d/networking restart

Assurez-vous maintenant de définir le nom d'ordinateur correct dans le fichier /etc/hostname :

Smbsrv01

De plus, vous devez modifier le fichier /etc/hosts afin qu'il contienne une entrée avec le nom de domaine complet de l'ordinateur et Nécessairement nom d'hôte court faisant référence à l'une des adresses IP internes :

# Noms de cet ordinateur 127.0.0.1 localhost 127.0.1.1 smbsrv01.domain.com smbsrv01

Nous devons immédiatement vérifier que notre contrôleur de domaine envoie un ping normalement, en utilisant son nom court et complet, afin qu'à l'avenir nous ne recevions pas d'erreurs indiquant que le contrôleur de domaine n'a pas été trouvé :

Ping DC ping DC.domaine.com

Pas nécessaire, mais si vous modifiez quelque chose, redémarrez votre ordinateur pour appliquer les modifications.

Configuration de la synchronisation de l'heure

Ensuite, vous devez configurer la synchronisation de l'heure avec le contrôleur de domaine. Si la différence est supérieure à 5 minutes, nous ne pourrons pas recevoir de feuille de Kerberos. Pour une synchronisation unique, vous pouvez utiliser la commande :

Heure nette Sudo réglée en courant continu

S'il existe un serveur d'heure exacte sur le réseau, vous pouvez l'utiliser ou n'importe quel serveur public :

Ntpdate ntp.mobatime.ru

La synchronisation automatique est configurée à l'aide de ntpd, ce démon effectuera périodiquement la synchronisation. Vous devez d'abord l'installer :

Sudo aptitude installer ntp

Modifiez maintenant le fichier /etc/ntp.conf pour inclure des informations sur votre serveur de temps :

# Vous devez parler à un ou deux serveurs NTP (ou trois). serveur dc.domain.com

Redémarrez ensuite le démon ntpd :

Sudo /etc/init.d/ntp redémarrage

Il est maintenant temps de mettre en place une interaction directe avec le domaine.

Configuration de l'autorisation via Kerberos

Default_realm = DOMAIN.COM kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = ( host = ( rcmd = host ftp = ftp ) plain = (quelque chose = autre chose ) ) fcc-mit-ticketflags = true DOMAIN.COM = ( kdc = dc kdc = dc2 admin_server = dc default_domain = DOMAIN.COM ) .domain.com = DOMAIN.COM domain.com = DOMAIN.COM krb4_convert = false krb4_get_tickets = false

Vous devrez bien sûr remplacer domain.com par votre domaine et dc et dc2 par vos contrôleurs de domaine. À propos, vous devrez peut-être écrire les noms complets des contrôleurs de domaine dc.domain.com et dc2.domain.com. Puisque j’ai un domaine de recherche enregistré dans DNS, je n’ai pas besoin de le faire.

Portez une attention particulière au cas d'écriture du nom de domaine - partout où le domaine est écrit en majuscule, il doit être écrit en majuscule. Sinon, rien ne fonctionnera comme par magie.

Ce ne sont pas toutes les options de configuration Kerberos possibles, seulement les options de base. Cependant, ils sont généralement suffisants.

Il est maintenant temps de vérifier que nous pouvons nous connecter au domaine. Pour ce faire, exécutez la commande

Kinit [email protégé]

Au lieu du nom d'utilisateur, vous devez naturellement saisir le nom d'un utilisateur de domaine existant.

Le nom de domaine doit être écrit en majuscules !

Si vous ne recevez aucune erreur, alors vous avez tout configuré correctement et le domaine vous donne un ticket Kerberos. À propos, quelques erreurs courantes sont répertoriées ci-dessous.

Vous pouvez vérifier que le ticket a été reçu en exécutant la commande

Vous pouvez supprimer tous les tickets (vous n’en avez pas du tout besoin) avec la commande

Erreurs Kinit courantes

Kinit (v5) : décalage d'horloge trop important lors de l'obtention des informations d'identification initiales

Cela signifie que l'heure de votre ordinateur n'est pas synchronisée avec celle du contrôleur de domaine (voir ci-dessus).

Kinit (v5) : échec de la pré-authentification lors de l'obtention des informations d'identification initiales

Vous avez entré un mauvais mot de passe.

Kinit (v5) : la réponse du KDC ne correspondait pas aux attentes lors de l'obtention des informations d'identification initiales

L'erreur la plus étrange. Assurez-vous que le nom de domaine dans krb5.conf, ainsi que le domaine dans la commande kinit, sont saisis en majuscules :

DOMAINE.COM = ( # ... kinit [email protégé] kinit (v5) : client introuvable dans la base de données Kerberos lors de l'obtention des informations d'identification initiales

L'utilisateur spécifié n'existe pas dans le domaine.

Configurer Samba et se connecter à un domaine

Pour vous connecter au domaine, vous devez spécifier les paramètres corrects dans le fichier /etc/samba/smb.conf. À ce stade, vous ne devriez être intéressé que par certaines options de la section. Vous trouverez ci-dessous un exemple d'une partie d'un fichier de configuration Samba avec des commentaires sur la signification des paramètres importants :

# Ces deux options doivent être écrites en majuscule, avec workgroup sans # la dernière section après le point, et realm - le nom de domaine complet workgroup = DOMAIN realm = DOMAIN.COM # Ces deux options sont responsables de l'autorisation via AD security = ADS chiffrer les mots de passe = vrai # Juste important proxy DNS = pas d'options de socket = TCP_NODELAY # Si vous ne voulez pas que Samba essaie de devenir un leader dans un domaine ou un groupe de travail, # ou même de devenir un contrôleur de domaine, alors écrivez toujours ces cinq options dans ce formulaire maître de domaine = pas de maître local = pas de maître préféré = non niveau du système d'exploitation = 0 connexions de domaine = non # Désactiver la prise en charge des imprimantes charger les imprimantes = non afficher l'assistant d'ajout d'imprimante = non nom d'impression = /dev/null désactiver spoolss = oui

Après avoir modifié smb.conf, exécutez la commande

Parc de test

Il vérifiera votre configuration pour les erreurs et en donnera un résumé :

# testparm Charger les fichiers de configuration smb depuis /etc/samba/smb.conf Fichier de services chargé OK. Rôle de serveur : ROLE_DOMAIN_MEMBER Appuyez sur Entrée pour voir un vidage de vos définitions de service.

Comme vous pouvez le constater, nous avons défini les paramètres corrects pour que notre ordinateur devienne membre du domaine. Il est maintenant temps d'essayer de vous connecter directement au domaine. Pour ce faire, entrez la commande :

Net Ads rejoint -U nom d'utilisateur -D DOMAINE

Et en cas de succès, vous verrez quelque chose de similaire à :

# net ads join -U nom d'utilisateur -D DOMAIN Entrez le mot de passe du nom d'utilisateur : Utilisation d'un nom de domaine court -- DOMAIN A rejoint "SMBSRV01" au domaine "domain.com"

Options de commande Net utilisées

U username%password : paramètre obligatoire ; au lieu du nom d'utilisateur, vous devez remplacer un nom d'utilisateur par des droits d'administrateur de domaine et spécifier un mot de passe.

D DOMAINE : DOMAINE - le domaine lui-même, vous n'êtes pas obligé de spécifier le domaine, mais il vaut mieux toujours le faire - cela ne sera pas pire.

S win_domain_controller : win_domain_controller peut être omis, mais il arrive parfois que le serveur ne trouve pas automatiquement un contrôleur de domaine.

createcomputer="OU/OU/..." : Dans AD, OU (Organizational Unit) est souvent utilisé, il y a OU = Office à la racine du domaine, dedans OU = Cabinet, vous pouvez donc l'ajouter immédiatement à celui que vous vous le souhaitez, vous pouvez le spécifier comme ceci : sudo net ads join -U username createcomputer="Office/Cabinet".

S'il n'y a plus de messages, alors tout va bien. Essayez d'envoyer une requête ping à votre ordinateur par le nom d'un autre membre du domaine pour vous assurer que tout est enregistré dans le domaine comme il se doit.

Vous pouvez également taper la commande :

Test de participation aux annonces Internet

Si tout va bien, vous pouvez voir :

#net ads testjoin Rejoindre est OK

Mais parfois, après un message concernant l'adhésion à un domaine, une erreur du type :

La mise à jour DNS a échoué !

Ce n'est pas très bon, et dans ce cas, il est recommandé de relire la section sur la configuration du DNS un peu plus haut et de comprendre ce que vous avez fait de mal. Après cela, vous devez supprimer l'ordinateur du domaine et essayer de le saisir à nouveau. Si vous êtes fermement sûr d'avoir tout configuré correctement, mais que le DNS n'est toujours pas mis à jour, vous pouvez ajouter manuellement une entrée pour votre ordinateur à votre serveur DNS et tout fonctionnera. Bien sûr, s’il n’y a pas d’autres erreurs et que vous vous êtes connecté avec succès au domaine. Cependant, il est préférable de comprendre pourquoi le DNS n'est pas mis à jour automatiquement. Cela peut être dû non seulement à votre ordinateur, mais également à des paramètres AD incorrects.

Avant de découvrir pourquoi le DNS n'est pas mis à jour, n'oubliez pas de redémarrer votre ordinateur après avoir entré le domaine ! Il est fort possible que cela résolve le problème.

Si tout s'est déroulé sans erreur, alors félicitations, vous vous êtes connecté avec succès au domaine ! Vous pouvez consulter AD et voir par vous-même. C'est également une bonne idée de vérifier que vous pouvez voir les ressources du domaine. Pour ce faire, installez smbclient :

Sudo aptitude installer smbclient

Vous pouvez désormais afficher les ressources des ordinateurs du domaine. Mais pour cela, vous devez avoir un ticket Kerberos, c'est-à-dire si nous les supprimons, nous les récupérons via kinit (voir ci-dessus). Voyons quelles ressources sont fournies au réseau par l'ordinateur du poste de travail :

Smbclient -k -L poste de travail

Vous devriez voir une liste de ressources partagées sur cet ordinateur.

Configuration de Winbind

Si vous devez travailler d'une manière ou d'une autre avec des utilisateurs de domaine, par exemple configurer des partages SMB avec contrôle d'accès, alors en plus de Samba lui-même, vous aurez également besoin de Winbind - un démon spécial qui sert à connecter le système de gestion d'utilisateurs et de groupes Linux local avec Active. Serveur d'annuaire. En termes simples, Winbind est nécessaire si vous souhaitez voir les utilisateurs de domaine sur votre ordinateur Ubuntu.

Winbind vous permet de mapper tous les utilisateurs et groupes AD sur votre système Linux en leur attribuant des ID d'une plage donnée. De cette façon, vous pouvez attribuer des utilisateurs de domaine en tant que propriétaires de dossiers et de fichiers sur votre ordinateur et effectuer toute autre opération liée aux utilisateurs et aux groupes.

Pour configurer Winbind, le même fichier /etc/samba/smb.conf est utilisé. Ajoutez les lignes suivantes à la section :

# Options pour faire correspondre les utilisateurs de domaine et les utilisateurs virtuels dans le système via Winbind.

# Plages d'ID pour les utilisateurs et groupes virtuels.

idmap uid = 10000 - 40000 idmap gid = 10000 - 40000 # Ces options ne doivent pas être désactivées.

winbind enum groups = yes winbind enum users = yes # Utiliser le domaine par défaut pour les noms d'utilisateur. Sans cette option, les noms d'utilisateurs et de groupes # seront utilisés avec le domaine, c'est-à-dire au lieu du nom d'utilisateur - DOMAINE\nom d'utilisateur.

# C'est peut-être ce que vous souhaitez, mais il est généralement plus facile d'activer cette option.

winbind use default domain = yes # Si vous souhaitez autoriser l'utilisation de la ligne de commande pour les utilisateurs du domaine, alors # ajoutez la ligne suivante, sinon /bin/false template shell = /bin/bash # Pour mettre à jour automatiquement le ticket Kerberos par le module pam_winbind. vous devez donc ajouter la ligne winbind actualiser les tickets = oui

Paramètres :

ID de la carte d'identification = 10 000 - 40 000

identifiant de la carte d'identité = 10 000 - 40 000

dans les nouvelles versions de Samba sont déjà obsolètes et lors de la vérification de la configuration de samba à l'aide de testparm, un avertissement sera émis :

AVERTISSEMENT : L'option "idmap uid" est obsolète

AVERTISSEMENT : L'option "idmap gid" est obsolète

Pour supprimer les avertissements, vous devez remplacer ces lignes par de nouvelles :

configuration idmap * : plage = 10 000-20 000

configuration idmap * : backend = tdb

Redémarrez maintenant le démon Winbind et Samba dans l'ordre suivant :

Sudo /etc/init.d/winbind stop sudo smbd restart sudo /etc/init.d/winbind start

Lançons

Parc de test Sudo

Voyons s'il y a des erreurs ou des avertissements, si ce qui suit apparaît :

"rlimit_max : rlimit_max (1024) en dessous de la limite minimale de Windows (16384)"

Vous pouvez le réparer sans redémarrer comme ceci :

Ulimite -n 16384

Pour enregistrer après le redémarrage, modifiez le fichier /etc/security/limits.conf

# Ajoutez les lignes suivantes à la fin du fichier : * - nofile 16384 root - nofile 16384

Après redémarrage, vérifiez que Winbind a établi une relation de confiance avec AD avec la commande :

# wbinfo -t la vérification du secret de confiance pour le domaine DCN via les appels RPC a réussi

Pour que votre Ubuntu fonctionne de manière transparente avec les utilisateurs du domaine, en particulier afin que vous puissiez désigner les utilisateurs du domaine comme propriétaires de dossiers et de fichiers, vous devez indiquer à Ubuntu d'utiliser Winbind comme source supplémentaire d'informations sur les utilisateurs et les groupes.

Pour ce faire, modifiez deux lignes dans le fichier /etc/nsswitch.conf :

Mot de passe : groupe compat : compat

en leur ajoutant winbind à la fin :

Mot de passe : groupe compat winbind : compat winbind

Fichiers : dns mdns4_minimal mdns4

serveur Ubuntu 14.04, le fichier /etc/nsswitch.conf ne contenait pas la ligne "files: dns mdns4_minimal mdns4" mais plutôt: "hosts: files mdns4_minimal dns wins" Que j'ai converti en: "hosts: dns mdns4_minimal mdns4 files" après où tout a fonctionné

Vérifiez maintenant qu'Ubuntu demande à Winbind des informations sur les utilisateurs et les groupes en exécutant

Groupe getent mot de passe Getent

La première commande doit renvoyer l'intégralité du contenu de votre fichier /etc/passwd, c'est-à-dire vos utilisateurs locaux, ainsi que les utilisateurs de domaine avec des ID appartenant à la plage que vous avez spécifiée dans smb.conf. Le second devrait faire de même pour les groupes.

Vous pouvez désormais prendre n'importe quel utilisateur de domaine et en faire, par exemple, le propriétaire d'un fichier.

Autorisation dans Ubuntu via les utilisateurs du domaine

Malgré le fait que tous les utilisateurs du domaine sont devenus des utilisateurs à part entière du système (ce qui peut être vérifié en exécutant les deux dernières commandes de la section précédente), il est toujours impossible de se connecter au système comme l'un d'entre eux. Pour activer la possibilité d'autoriser les utilisateurs de domaine sur un ordinateur exécutant Ubuntu, vous devez configurer PAM pour qu'il fonctionne avec Winbind.

Autorisation en ligne

Pour Ubuntu 10.04 et supérieur ajoutez une seule ligne dans le fichier /etc/pam.d/common-session, car PAM fait déjà du bon travail avec autorisation :

Session facultative pam_mkhomedir.so skel=/etc/skel/umask=0077

Pour Ubuntu 13.10 Pour que le champ de saisie de connexion manuelle apparaisse, vous devez ajouter la ligne ci-dessous à n'importe quel fichier du dossier /etc/lightdm/lightdm.conf/ :

Greeter-show-manual-login=true

Pour Ubuntu 9.10 et versions antérieures vous devrez éditer plusieurs fichiers (mais personne n'interdit d'utiliser cette méthode en 10.04 - cela fonctionne aussi) :

L’ordre des lignes dans les fichiers compte !

/etc/pam.d/common-auth

Auth requis pam_env.so auth suffisant pam_unix.so likeauth nullok try_first_pass auth suffisant pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth requis pam_deny.so

/etc/pam.d/compte-commun

Compte suffisant compte pam_winbind.so requis pam_unix.so

/etc/pam.d/common-session

Session facultative pam_mkhomedir.so skel=/etc/skel/umask=0077 session facultative pam_ck_connector.so nox11 session requise pam_limits.so session requise pam_env.so session requise pam_unix.so

/etc/pam.d/common-password

Mot de passe suffisant pam_unix.so try_first_pass use_authtok nullok sha512 mot de passe fantôme suffisant pam_winbind.so mot de passe requis pam_deny.so

Et enfin, vous devez déplacer le lancement de Winbind au démarrage du système après tous les autres services (par défaut, il démarre à l'index 20). Pour ce faire, exécutez la commande suivante dans le terminal :

Sudo bash -c "pour i dans 2 3 4 5 ; faire mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind ; terminé"

Ce qui équivaut à exécuter la commande pour chaque niveau (4 dans l'exemple) :

Mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

Dans certains cas, winbind peut avoir un niveau d'exécution différent (par exemple, S02winbind). Vérifiez donc d’abord les noms de fichiers en exécutant la commande « ls /etc/rc(2,3,4,5).d/ | grep winbind" (sans les guillemets).

Terminé, tous les réglages sont terminés. Redémarrez et essayez de vous connecter avec un compte d'utilisateur de domaine.

Autorisation hors ligne

Une situation survient souvent lorsqu'un contrôleur de domaine est indisponible pour diverses raisons : maintenance, panne de courant ou vous avez ramené votre ordinateur portable à la maison et souhaitez travailler. Dans ce cas, Winbind peut être configuré pour mettre en cache les comptes d'utilisateurs de domaine. Pour ce faire, vous devez procéder comme suit. Ajoutez les lignes suivantes à la section /etc/samba/smb.conf du fichier :

# Possibilité d'autorisation hors ligne si le contrôleur de domaine est indisponible Connexion hors ligne Winbind = oui # Période de mise en cache du compte, par défaut est de 300 secondes Temps de cache Winbind = 300 # Paramètre facultatif, mais élimine les pauses fastidieuses, spécifiez le contrôleur de domaine DC, # vous pouvez également spécifiez l'adresse IP, mais c'est un mauvais mot de passe serveur = dc

Habituellement, cela suffit. Si des erreurs surviennent, vous devez créer un fichier /etc/security/pam_winbind.conf avec le contenu suivant :

Attention! Lorsque vous utilisez les conseils ci-dessous, une erreur complètement aléatoire « Échec de l'authentification » peut se produire ! Par conséquent, tout ce que vous faites, vous le faites à vos risques et périls !

# # fichier de configuration pam_winbind # # /etc/security/pam_winbind.conf # # activer le débogage debug = no # demander une connexion en cache si possible # (nécessite "winbind offline logon = yes" dans smb.conf) cached_login = yes # authentifier en utilisant kerberos krb5_auth = yes # lors de l'utilisation de kerberos, demandez un type de cache d'informations d'identification krb5 "FILE" # (laissez vide pour simplement faire l'authentification krb5 mais ne pas avoir de ticket # par la suite) krb5_ccache_type = FILE # faire en sorte que l'authentification réussie dépende de l'appartenance à un SID # (peut aussi prendre un nom) ;require_membership_of = quiet = yes

Le fichier /etc/pam.d/gnome-screensaver prend dans ce cas la forme :

Authentification suffisante pam_unix.so nullok_secure authentification suffisante pam_winbind.so use_first_pass authentification requise pam_deny.so

Le fichier /etc/pam.d/common-auth est également modifié :

Auth facultatif pam_group.so auth suffisant pam_unix.so nullok_secure use_first_pass auth suffisant pam_winbind.so use_first_pass auth requis pam_deny.so

Vous souhaitez connecter votre ordinateur à un réseau local, mais vous ne savez pas comment le connecter à un domaine ? C'est très simple à faire et vous pouvez utiliser différentes méthodes.

La question de la connexion d'un ordinateur à un domaine se pose généralement chez les administrateurs système qui doivent créer un réseau local. Un système de domaine signifie que tous les ordinateurs du réseau utilisent les paramètres du PC principal. Essayons de comprendre comment connecter un ordinateur avec le système d'exploitation Windows 7 au domaine. Pour les autres systèmes d'exploitation, la connexion n'est pas trop différente.

Quels sont les avantages d’une structure de domaine ? Avec son aide, vous pouvez utiliser, par exemple, des politiques de groupe et une gestion centralisée. Cela permet un travail efficace.

Exigences importantes

Avant d'entrer un ordinateur Windows 7 dans le domaine, vous devez vérifier si le PC répond à un certain nombre d'exigences et si tous les paramètres ont été définis. Il en existe un certain nombre, même si la plupart devraient déjà être produits. Vérifiez les éléments suivants :

• Les versions suivantes de Windows 7 doivent être utilisées : Professionnel, Intégrale ou Entreprise. Seules ces versions peuvent être jointes à un domaine ;
• Une carte réseau doit être présente. Mais cela va sans dire ;
• Une connexion au réseau local doit être établie. Dans la plupart des cas, bien qu'il soit possible de connecter Windows 7 à Windows Server 2008 R2 hors ligne, il s'agit d'un sujet distinct ;
• L'adresse IP correcte doit être spécifiée. Il peut être configuré manuellement, obtenu à partir d'un serveur DHCP, ou il peut s'agir d'une adresse APIPA (ses valeurs commencent par 169.254.X.Z) ;
• Vous devez vous assurer que les contrôleurs (au moins un) sont disponibles pour la connexion ;
• Vérifiez également la connexion du contrôleur (par exemple, vous pouvez lui faire un ping, c'est-à-dire vérifier la qualité de la connexion) ;
• Le serveur DNS doit être configuré correctement. Ceci est important ; s'il n'est pas configuré correctement, des problèmes peuvent survenir lors de la connexion au domaine. Même si la connexion réussit, des échecs sont possibles ultérieurement ;
• Les serveurs DNS doivent être disponibles. Pour ce faire, vous devez vérifier la connexion à l'aide du programme PING ;
• Vérifiez vos autorisations locales. Vous devez disposer des droits d'administrateur de l'ordinateur local ;
• Vous devez connaître le nom de domaine, le nom d'administrateur et le mot de passe.

Connecter un PC à un domaine

Il existe deux manières d'ajouter un ordinateur à un domaine. Examinons-les plus en détail.

Première méthode

Il s'agit de la manière standard de connecter un PC à un domaine. Suivez ces étapes :

• Cliquez sur l'icône « Démarrer », faites un clic droit sur le raccourci « Ordinateur », sélectionnez « Propriétés » ;
• Dans l'élément « Nom de l'ordinateur, domaine et paramètres de travail », cliquez sur « modifier les paramètres » ;
• Ouvrez l'onglet « Nom de l'ordinateur » et cliquez sur « Modifier » ;
• Dans la section « Partie de (quelque chose) », sélectionnez « Domaine » ;
• Saisissez le nom du domaine auquel vous vous connectez, cliquez sur « OK » ;
• Entrez à nouveau votre nom et votre mot de passe.

Redémarrez ensuite votre ordinateur. Après cela, le PC sera connecté au domaine sur le réseau local.

Deuxième méthode

Vous devez utiliser l'application NETDOM. Pour connecter un domaine, vous devez saisir une seule commande sur la ligne de commande :

[[("type":"media","view_mode":"media_original","fid":"334","attributes":("alt":"","class":"media-image"" hauteur ":"123","typeof":"foaf:Image","width":"938"))]]

Dans ce cas:

• Les paramètres « DOMAIN.COM » et « DOMAIN » doivent être remplacés par le nom de domaine. Vous devez également préciser votre identifiant et votre mot de passe ;
• Le « d » supplémentaire dans « utilisateur » et « mot de passe » n'est pas une faute de frappe ;
• Sous Windows 7, NETDOM est déjà inclus dans le système d'exploitation. Dans les versions de Windows 2000, XP et 2003, vous devez installer les outils de support.

Pour terminer la connexion, redémarrez votre PC.

Que faire si le domaine a « abandonné » ?

Cela se produit une fois que le PC est connecté au domaine. L’ordinateur ne le « voit » tout simplement pas. Vous le remarquerez immédiatement, car vous ne pourrez pas vous connecter. Procédez comme suit :

• Connectez-vous en tant qu'administrateur local ;
• Allez dans les propriétés du système et dans la section « Nom de l'ordinateur », notez que le PC fait partie d'un groupe de travail ;
• Redémarrez votre ordinateur ;
• Reconnectez ensuite le PC au domaine comme décrit ci-dessus ;
• Redémarrez.

L'ordinateur devrait maintenant rejoindre le domaine.

Placer un ordinateur dans un conteneur spécifique

L'inconvénient des méthodes décrites de connexion à un domaine est que le PC est placé dans un conteneur standard, généralement dans le dossier « Ordinateur ». Et pour déménager vers un autre emplacement, un administrateur est nécessaire. Mais vous pouvez placer l'ordinateur immédiatement dans le conteneur souhaité. Il existe deux options pour cela.

Méthode numéro 1

Pour cela, créez d'abord un compte vide sur lequel se trouve l'ordinateur (vous devez avoir les droits pour créer un objet). Dans la console ADUC, un nouveau compte est créé avec le même nom qui servira à se connecter au domaine. Utilisez ensuite la méthode de connexion décrite ci-dessus. Le système verra un compte qui existe déjà dans le domaine, mais qui n'y est tout simplement pas mappé. Après correspondance, l'ordinateur s'insérera dans le conteneur souhaité.

Méthode numéro 2

Vous pouvez utiliser la commande Powershell :

• Connectez-vous avec les droits d'administrateur ;
• Dans la ligne de commande, entrez « powershell » (vous pouvez alors utiliser PoSh à la place) ;
• La commande permettant d'inclure un PC dans le domaine corp.company.ru sous le compte corp\company_admin, en créant un compte dans le conteneur corp.company.ru/ Admin /Computers, où company est le nom de l'ordinateur, ressemblera à ceci : add-computer -DomainName corp .company.ru -credential corp\ company_admin –OUPath « OU=Computers,OU=Admin,dc=corp,dc=company,DC=ru » ;
• Une nouvelle fenêtre s'ouvrira dans laquelle saisir le mot de passe de l'utilisateur company_admin ;
• Ensuite, la fenêtre « AVERTISSEMENT : les modifications prendront effet après le redémarrage de l'ordinateur pcwin8 » (pcwin8 signifie système d'exploitation) apparaîtra. Redémarrez votre ordinateur.

Le PC sera désormais situé dans le conteneur souhaité, là où le domaine fait référence.

Pour connecter correctement un PC à un domaine, il est préférable que ce soit l'administrateur qui a créé ce réseau local qui le fasse. Il connaît tous les pièges de ce domaine et peut donc rapidement se connecter. Si vous décidez de connecter vous-même votre ordinateur au domaine, en cas de problème, laissez le PC dans cet état jusqu'à ce qu'un spécialiste effectue une correction.

Vous aurez besoin

• - les droits d'administrateur ;
• - réseau local avec domaine Windows ;
• - compte utilisateur dans le domaine ;
• - nom de domaine.

Instructions

Vous pouvez joindre un ordinateur à un domaine Windows dans l'onglet « Nom de l'ordinateur » dans la fenêtre « Propriétés système ». Pour ouvrir la fenêtre Propriétés système sous Windows XP, utilisez le menu Démarrer pour ouvrir le Panneau de configuration et cliquez sur Système. Si le système d'exploitation Windows 7 ou Vista est installé sur votre ordinateur, ouvrez le Panneau de configuration et accédez à la catégorie Système et sécurité, dans laquelle cliquez sur l'élément Système. Sur la page qui s'ouvre, cliquez sur le lien « Paramètres système avancés » situé dans la colonne de gauche.

Dans la fenêtre « Propriétés système » qui s'ouvre, sélectionnez l'onglet « Nom de l'ordinateur ». Cliquez sur le bouton "Modifier" et dans la fenêtre qui s'ouvre, saisissez le nom du domaine que vous souhaitez rejoindre. Ensuite, cliquez sur le bouton OK. Dans la fenêtre qui apparaît, saisissez le nom d'utilisateur et le mot de passe de votre domaine. Après cela, cliquez sur OK et redémarrez votre ordinateur. Votre ordinateur est joint à un domaine.

En plus de l'interface graphique, vous pouvez joindre l'ordinateur au domaine à l'aide de la ligne de commande. Le système d'exploitation Windows XP inclut l'utilitaire NETDOM, qui permet d'ajouter un ordinateur à un domaine à l'aide de la commande :

netdom join nom_ordinateur /domaine:nom_domaine /userd:nom_domaine\nom_utilisateur /passwordd:user_pass.

Où nom_ordinateur, nom_domaine et nom_utilisateur doivent être respectivement remplacés par les noms de l'ordinateur, du domaine et de l'utilisateur ajoutés, et user_pass doit être remplacé par le mot de passe de l'utilisateur dans le domaine. Sous Windows 7, l'utilitaire NETDOM a été remplacé par la commande PowerShell add-computer. Pour joindre un ordinateur à un domaine depuis la console sous Windows 7, exécutez la commande suivante :

Add-computer -DomainName nom_domaine -credential nom_domaine\nom_utilisateur

Où nom_domaine et nom_utilisateur remplacent également par les noms de domaine et d'utilisateur.

Vidéo sur le sujet

Veuillez noter

Un domaine Windows n'est pas destiné à un usage domestique ; il est très pratique dans les réseaux d'entreprise avec un grand nombre d'utilisateurs avec différents niveaux d'accès aux fichiers et aux appareils. Par conséquent, les ordinateurs exécutant des systèmes d'exploitation à usage domestique, c'est-à-dire en dessous du niveau Professionnel, ne disposent pas d'outils pour rejoindre un domaine. Pour ajouter de tels ordinateurs, réinstallez d'abord le système.

Conseils utiles

Il existe un moyen plus rapide de lancer la fenêtre Propriétés système. Si vous disposez d'un système d'exploitation Windows XP, faites un clic droit sur l'icône « Poste de travail » et dans le menu qui s'ouvre, cliquez sur « Propriétés système ». Si vous disposez d'un système d'exploitation Windows 7 ou Vista, faites un clic droit sur l'icône « Ordinateur », sélectionnez « Propriétés système » et cliquez sur « Paramètres système avancés ».

Lorsque vous joignez un ordinateur à un domaine, sur le même onglet « Nom de l'ordinateur », vous pouvez définir une description de votre ordinateur, qui servira d'indice pour les utilisateurs du domaine.

Sources :

• comment connecter un domaine

Le panneau d'administration existe pour que le webmaster puisse ajouter, modifier et supprimer le contenu du site via celui-ci. Pour vous connecter domaine vous devez connaître votre identifiant et votre mot de passe.

Instructions

Pour lancer le futur site internet dans votre navigateur, tapez localhost/ dans la barre d'adresse domaine. Si vous avez créé une partie active de la ressource, elle devrait apparaître devant vous. Pour vous connecter au panneau d'administration, passez votre souris sur la barre d'adresse et ajoutez un administrateur. Confirmez l'opération en appuyant sur la touche Entrée. Vous devriez voir l'adresse suivante : localhost/site/admin/.

Voici donc le panneau d'administration. Entrez votre identifiant (nom d'utilisateur) dans un champ de texte et votre mot de passe dans l'autre. Par défaut, le nom de l'administrateur est admin. Si vous souhaitez le modifier, accédez aux paramètres du panneau et modifiez votre identifiant. Le mot de passe vous a été donné par défaut par votre hébergement. Vous pouvez également le modifier dans les paramètres généraux. Pour cela, rendez-vous dans la rubrique « Gestion des utilisateurs », cliquez sur « Administrateur », saisissez un nouveau mot de passe et confirmez-le.

Après avoir entré votre identifiant et votre mot de passe pour le panneau d'administration, cliquez sur « Connexion ». Un panneau administratif apparaîtra devant vous, où vous pourrez gérer le site. Dans celui-ci, vous pouvez modifier, ajouter ou supprimer des données. Lorsque vous vous connectez à la zone d'administration, cochez la case à côté de « Se souvenir de moi ». Cela vous permettra d’éviter de devoir saisir votre mot de passe à chaque fois que vous vous connecterez à votre panneau de contrôle.

Il existe une deuxième façon. Connectez-vous au panneau d'administration via le site lui-même. Pour cela, saisissez l'adresse de votre site internet dans la barre d'adresse ( domaine) et appuyez sur Entrée. Cliquez sur « Autorisation » ou « Connexion ». Entrez votre nom d'utilisateur et votre mot de passe. Appuyez sur Entrée. Si vous avez saisi correctement les données, le système ouvrira le panneau d'administration pour vous.

Troisième voie. Entrez dans la barre d'adresse domaine. Le site s'ouvrira. Il devrait y avoir certaines fonctions du panneau de commande en haut. Il y aura également une inscription « Panneau d'administrateur ». Cliquez dessus et saisissez vos informations d'inscription si nécessaire.

Sources :

• comment se connecter à la messagerie de votre domaine

Comptabilité enregistrement « Invité» vous permet de restreindre l'accès aux fichiers et applications de votre ordinateur s'il est utilisé par un grand nombre de personnes. Utilisateur connecté en tant que Invité, pourra visualiser des documents publics et personnels, parcourir des pages Internet, mais ne pourra pas installer de programmes ni voir les fichiers personnels des autres utilisateurs.

Instructions

Pour déterminer où votre ordinateur est connecté, cliquez avec le bouton droit sur l'icône « Poste de travail ». Dans la fenêtre qui s'ouvre, dans la section « Nom de l'ordinateur, nom de domaine et paramètres du groupe de travail », il y aura une inscription correspondante « Domaine » ou « Groupe de travail », suivie d'un nom, par exemple « Groupe de travail ».

Si votre ordinateur fait partie d'un domaine. Ouvrez les comptes d'utilisateurs en allant dans Démarrer -> Panneau de configuration. Dans la fenêtre qui s'ouvre, sélectionnez « Comptes d'utilisateurs » puis à nouveau « Comptes d'utilisateurs ». Sélectionnez "Gestion du compte utilisateur". Si un mot de passe administrateur est défini, le système vous demandera de le saisir ou de le confirmer. Entrez votre mot de passe. Après avoir confirmé le mot de passe, dans la fenêtre qui s'ouvre, allez dans l'onglet « Avancé », cliquez sur le bouton « Avancé » et sélectionnez « Invité" Dans la boîte de dialogue Propriétés du compte invité, décochez la case en regard de Désactiver le compte. enregistrement" Cliquez sur OK. Comptabilité enregistrement « Invité» est allumé.

Si votre ordinateur fait partie d'un groupe de travail. Allez dans : « Démarrer » -> « Panneau de configuration » -> « Comptes d'utilisateurs et contrôle parental » -> « Comptes d'utilisateurs ». Dans la fenêtre qui s'ouvre, sélectionnez « Gérer un autre compte » enregistrement toi". Cliquez une fois sur l'icône qui dit " Invité" Dans la fenêtre suivante, le système vous demandera d'activer votre compte enregistrement « Invité" ? Cliquez sur le bouton "Activer".

Après avoir activé le compte " Invité", lorsque vous vous connecterez, un écran de sélection de compte s'affichera. Sélectionnez un compte enregistrement vous pouvez en cliquant dessus. Si vous êtes l'utilisateur principal de l'ordinateur, veillez à définir un mot de passe administrateur pour empêcher les autres utilisateurs de voir ou de modifier vos documents, ou d'installer ou de désinstaller des programmes.

Veuillez noter

Les comptes invités ne sont pas pris en charge sur Windows 7 Starter.

Lors de l'accès aux disques, aux dossiers ou au lecteur optique de l'ordinateur de quelqu'un d'autre sur le réseau local, le système utilise les adresses de ces périphériques et objets, qui incluent le nom de réseau de l'ordinateur distant. Il en va de même pour accéder à une imprimante, une clé USB et d’autres périphériques connectés à l’ordinateur de quelqu’un d’autre. Vous pouvez modifier ce nom de réseau dans les paramètres du système d'exploitation.

Instructions

La fenêtre contenant les paramètres liés au nom du réseau de l'ordinateur est appelée via l'une des applets du Panneau de configuration Windows. Un lien vers ce panneau est placé dans le menu principal du système d'exploitation - cliquez sur le bouton "Démarrer" et sélectionnez "Panneau de configuration" dans la colonne de droite. Dans la fenêtre qui s'ouvre, cliquez sur « Système et sécurité », puis cliquez sur « Système ». Après cela, l'applet souhaitée apparaîtra à l'écran. Cependant, toutes ces actions peuvent être remplacées en appuyant sur une paire de « touches de raccourci » Win + Pause.

L'applet comporte une section distincte avec le sous-titre « Paramètres du nom de l'ordinateur, du nom de domaine et du groupe de travail », sur le bord droit de laquelle se trouve un lien « Modifier les paramètres ». Cliquez dessus pour ouvrir une fenêtre permettant de modifier certaines propriétés du système. Pour y accéder, l'utilisateur doit disposer des droits d'administrateur. Si vous n'êtes pas connecté en tant qu'administrateur, une boîte de dialogue apparaîtra à l'écran vous demandant de saisir un mot de passe.

Dans l'onglet « Nom de l'ordinateur » dans la fenêtre des propriétés du système, cliquez sur le bouton « Modifier », après quoi, enfin, une fenêtre apparaîtra avec le champ « Nom de l'ordinateur », dont vous devez modifier la valeur. Entrez un nouveau nom Internet, en suivant les règles standard pour les noms Internet. Ils autorisent l'utilisation de lettres uniquement de l'alphabet latin, ainsi que de chiffres et de certains symboles, à l'exception de ceux spéciaux. Les articles interdits comprennent, par exemple : : " * + \ | , ? =. Microsoft recommande que les noms soient courts et descriptifs, ne dépassant pas 15 caractères. De plus, ils ne doivent pas contenir uniquement des chiffres et ne peuvent pas contenir d'espaces.

Cliquez ensuite sur OK et fermez le Panneau de configuration. Si l'ordinateur fait partie d'un domaine, le système vous demandera également de saisir le mot de passe d'un utilisateur ayant le droit de modifier les noms des ordinateurs du domaine. Et si le domaine n'est pas utilisé, notez que d'autres ordinateurs du réseau local tenteront de trouver des ressources sur cet ordinateur (par exemple, un lecteur réseau) à la même adresse. Par conséquent, vous devrez modifier manuellement le nom dans l'adresse de la ressource réseau ou la déconnecter et la reconnecter.

Veuillez noter

Cet article explique comment modifier le nom de l'ordinateur sous Windows 7. Cela se fait assez simplement, en quelques étapes seulement. Le nom de l'ordinateur est généralement utilisé pour l'identifier sur le réseau et est défini lors de l'installation du système. Vous pouvez trouver ce nom dans les propriétés de l'ordinateur (qui se trouvent dans le menu Démarrer). Pour modifier le nom de l'ordinateur, procédez comme suit :

Conseils utiles

Changer le nom de l'ordinateur. Chaque ordinateur d'un réseau doit avoir son propre nom unique afin que les ordinateurs puissent s'identifier de manière unique et communiquer. La plupart des ordinateurs ont des noms par défaut, mais il est généralement possible de les modifier. Il est conseillé d'attribuer des noms courts (pas plus de quinze caractères) et compréhensibles aux ordinateurs. Nous vous recommandons d'utiliser uniquement des caractères Internet standard pour le nom de l'ordinateur.