將伺服器或用戶端裝置加入網域是實現組織網路內集中式管理和改善安全性的重要步驟。 無論您是設定新的裝置或優化網路設定,請遵循本指南,以順暢地整合到網域環境。
Important
KB5020276 是Microsoft更新,可加強網域加入程式的安全性。 此更新引進增強的驗證和驗證,有助於防止未經授權的裝置加入 Windows 網域,確保只有受信任的裝置可以新增至您的網路。 若要深入瞭解,請參閱 KB5020276 - Netjoin:網域加入安全性強化變更。
Prerequisites
伺服器需求
您的 Windows Server 裝置必須安裝 Active Directory 網域服務 角色,才能使用 Active Directory 使用者和電腦 (ADUC) 工具。 若要了解詳細資訊,請參閱安裝或解除安裝角色、角色服務或功能。
您必須是 Administrators 群組的成員,或具有本機帳戶和網域帳戶的系統管理許可權。
客戶要求
用戶帳戶必須具有本機計算機上的系統管理許可權,才能加入網域。
您的用戶端裝置必須已安裝下列其中一個版本的 Windows:
Enterprise
企業N
Pro
支持N
專業教育
專業教育 N
工作站專業版。
專業N工作站
Note
為了保持時間同步,組織通常會使用Windows Time服務或網路時間通訊協定 (NTP) 伺服器。 在網域中,計算機通常會將其時鐘與域控制器同步,這應該與可靠的時間來源一致。 此程式可確保網域中所有裝置的一致時間設定,將 Kerberos 驗證的潛在問題降到最低。
使用ADUC預配置裝置
此步驟是選擇性的,不需要將裝置加入網域。 不過,在 Active Directory 中預先配置裝置可以簡化流程,方法是將電腦帳戶預先指派給適當的組織單位(OU),並確保在該裝置加入網域之前適當的許可權已設妥。
在 伺服器管理員中,從右上角功能表中選取 [工具] 按鈕。
在下拉功能表中,選取 [Active Directory 使用者和計算機]。
在左窗格中,流覽至並選取適當的組織單位(OU)。
選取 [動作] 索引標籤,選取 [新增],然後選取 [電腦]。
輸入計算機名稱,並設定裝置應該所屬的使用者或群組。
選取 [ 確定 ] 這有助於為用戶端準備好加入網域做好準備。
將裝置加入網域
視您的喜好設定和環境需求而定,您可以使用圖形使用者介面(GUI)方法或命令行工具,將裝置加入網域。 這兩種方法可確保整合到網域中。
伺服器管理員方法
在 伺服器管理員中,選取 [本機伺服器],在 工作群組底下,選取工作群組或網域名稱超連結。
在 [電腦名稱 ] 索引標籤下,選取 [變更]。
在 [成員] 底下,選取 [網域],輸入您要電腦加入的網域名稱,然後選取 [確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [ 確定],系統會提示您重新啟動裝置。
控制面板方法
選取 [開始],輸入 [控制台],然後按 ENTER。
確保從右上角的 檢視方式 下拉式功能表中設定為 類別。
流覽至 [系統與安全性],然後選取 [系統]。
選取 [網域或工作組],在 [ 計算機名稱] 索引卷標底下,選取 [變更]。
在 [成員] 底下,選取 [網域],輸入您要電腦加入的網域名稱,然後選取 [確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [ 確定],系統會提示您重新啟動裝置。
選取 [開始],輸入 [控制台],然後按 ENTER。
確保從右上角的 檢視方式 下拉式功能表中設定為 類別。
流覽至 [系統與安全性],然後選取 [系統]。
選取 [進階系統設定],然後選取 [變更設定]。
在 [電腦名稱 ] 索引標籤下,選取 [變更]。
'
在 [成員] 底下,選取 [網域],輸入您要電腦加入的網域名稱,然後選取 [確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [ 確定],系統會提示您重新啟動裝置。
選取 [開始],輸入 [控制台],然後按 ENTER。
確保從右上角的 檢視方式 下拉式功能表中設定為 類別。
流覽至 [系統與安全性],然後選取 [系統]。
在 [計算機名稱、網域和工作組設定] 底下,選取 [變更設定]。
在 [電腦名稱 ] 索引標籤下,選取 [變更]。
'
在 [成員] 底下,選取 [網域],輸入您要電腦加入的網域名稱,然後選取 [確定]。
提供加入網域所需的認證,然後選取 [ 確定]。
裝置成功加入網域之後,通知會確認裝置的網域成員資格。 選取 [ 確定],系統會提示您重新啟動裝置。
設定應用程式方法
選取 [開始],選取 [設定],然後選取 [帳戶]。
選取 存取公司或學校,然後選取 聯機。
選取 [將此裝置加入本機 Active Directory 網域]。
輸入網域名稱,選取 [ 下一步],以及帳戶認證,然後選取 [確定]。
重新開機裝置。
命令行方法
透過命令提示字元或PowerShell可以執行將裝置新增至網域。
命令提示符
PowerShell
開啟提升權限的命令提示字元視窗。
執行下列命令,並將 YourDomainName 和 DomainUsername 分別替換為您的值:
netdom join %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
系統會提示您輸入指定網域用戶帳戶的密碼。
將您的裝置重新啟動。 登入之後,您就會加入網域。
開啟提升權限的 PowerShell 視窗。
請執行下列命令,並將 YourDomainName 替換為您的值:
Add-Computer -DomainName "YourDomainName" -Credential (Get-Credential)
Restart-Computer
系統會提示您輸入網域認證。
輸入網域認證以加入網域之後,您的裝置會重新啟動。
將脫離的裝置重新加入網域
如果客戶端或伺服器裝置脫離網域,您可以從網域移除裝置,然後重新加入它,以還原其信任關係。 此程式會重新建立裝置與網域之間的連線。 離開網域的程序類似於加入網域。
使用伺服器管理員重新加入網域
若要使用 伺服器管理員離開網域,請遵循上述步驟加入網域,直到您到達 [系統屬性] 視窗為止。
在 [成員] 底下,選取 [ 工作群組],輸入要暫時加入的工作群組名稱,然後選取 [ 確定]。
再次選擇確定,然後重新啟動您的設備。
登入本機帳戶之後,請重複步驟,將裝置加入先前脫離的網域。
使用控制面板將伺服器重新加入網域
若要使用 「控制台」離開網域,請依照先前的步驟加入網域,直到您到達 「系統屬性」 視窗為止。
在 [成員] 底下,選取 [ 工作群組],輸入要暫時加入的工作群組名稱,然後選取 [ 確定]。
再次選擇確定,然後重新啟動您的設備。
登入本機帳戶之後,請重複步驟,將裝置加入先前脫離的網域。
使用控制面板將用戶端重新加入網域
若要使用 「控制台」離開網域,請依照先前的步驟加入網域,直到您到達 「系統屬性」 視窗為止。
在 [成員] 底下,選取 [ 工作群組],輸入要暫時加入的工作群組名稱,然後選取 [ 確定]。
再次選擇確定,然後重新啟動您的設備。
登入本機帳戶之後,請重複步驟,將裝置重新加入先前脫離的網域。
使用 [設定] 重新加入網域
若要使用 [設定] 應用程式離開網域,請遵循先前的步驟加入網域,直到您到達 [ 存取公司或學校 ] 視窗為止。
在您的帳戶下,選取 [ 中斷連線],然後選取 [ 是]。
將您的裝置重新啟動。
登入本機帳戶之後,請重複步驟,將裝置重新加入先前脫離的網域。
使用命令行重新加入網域
若要使用 命令列離開網域,請遵循下列步驟:
命令提示符
PowerShell
開啟提升權限的命令提示字元視窗。
執行下列命令,並將 YourDomainName 和 DomainUsername 分別替換為您的值:
netdom remove %COMPUTERNAME% /domain:YourDomainName /userd:DomainUsername /passwordd:*
系統會提示您輸入指定網域用戶帳戶的密碼。
裝置重新啟動之後,請登入本機帳戶。
請依照 命令行方法 中提供的步驟重新加入網域。
開啟提升權限的 PowerShell 視窗。
執行下列命令:
Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Verbose -Restart
系統會提示您輸入網域認證。 輸入網域認證之後,您的裝置會重新啟動。
登入您的裝置,並遵循 命令行方法 中提供的步驟重新加入網域。
修復網域信任關係
當已加入網域的電腦與域控制器之間的安全通道中斷時,您可能會遇到下列錯誤:
The trust relationship between this workstation and the primary domain failed.
當計算機的密碼未與網域資料庫同步處理時,通常會發生此錯誤。 如果刪除或損毀網域中的計算機帳戶,也可能會發生此情況。 您可以使用命令行來解決裝置與網域之間的信任關係問題。
命令提示符
PowerShell
使用本機系統管理員帳戶登入。
開啟提升權限的命令提示字元視窗。
執行下列命令來測試安全通道,將 ComputerName 和 YourDomainName 替換為您的值:
netdom verify ComputerName /domain:YourDomainName
執行以下命令,並將 DomainControllerName 和 Domain\Username 替換為您的值,以重設機器密碼:
netdom resetpwd /server:DomainControllerName /userd:Domain\Username /passwordd:*
系統會提示您提供帳戶的密碼。
執行下列命令,將 YourDomainName 和 DomainUsername 替換成您的值,以重設安全通道。
netdom reset /domain:YourDomainName /userd:DomainUsername /passwordd:*
系統會提示您提供帳戶的密碼。
重新啟動您的裝置,變更才會生效。 請依照 命令行方法 中提供的步驟重新加入網域。
使用本機系統管理員帳戶登入。
開啟提升權限的 PowerShell 視窗。
執行下列命令來測試安全通道:
Test-ComputerSecureChannel
如果測試傳 True回 ,則安全通道會保持不變,而且問題可能位於其他位置,例如域名系統 (DNS) 或其他網路問題。 如果 False為 ,請繼續進行後續步驟。
嘗試使用下列命令直接修復安全通道,並在出現提示時提供認證:
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
執行下列命令來重設電腦帳戶密碼,並在出現提示時輸入網域認證:
$credential = Get-Credential
Reset-ComputerMachinePassword -Credential $credential
Restart-Computer -Force
裝置重新啟動之後,請依照 命令行方法 中提供的步驟重新加入網域。