Zařazování počítačů do Active Directory domény
Vlastní zařazení počítače do domény

Podmínkou pro úspěšné provedení tohoto kroku je předcházející zajištění vhodné konfigurace OS pro zařazení do domény.

Zařazení počítače do domény přes GUI, které jste mohli zahlédnout při úpravě konfigurace OS, bohužel nelze provést zcela přímočaře. Je to proto, že Windows neumožňují touto cestou určit, kde v Active Directory se má účet nově zařazovaného počítače vytvořit. (Jako kdyby toto GUI "znalo" jen prapůvodní NT domény a pro Active Directory vůbec nebylo přepracováno...) Účty počítačů zařazených touto cestou jsou vytvářeny ve výchozím kontejneru v Active Directory a takový postup nepřipadá v úvahu.

Výjimkou je zařazení počítačů, pro které již v Active Directory účet existuje. Pak se použije již existující účet (za předpokladu, že k němu máte příslušná práva). Znovuzařazení počítače s již existující registrací tedy takto provést lze. Nové počítače lze takto zařazovat až po předchozím (před)vytvoření účtu, je tedy nutná určitá příprava. I z tohoto důvodu bude dále popsán postup, který tuto přípravu nevyžaduje a lze jej provést přímo ze zařazovaného počítače. Postup popsaný v tomto odstavci je nabízen jako určitá alternativa, kterou by zkušenější správci měli být schopni zvládnout intuitivně.

Pro zařazení bez předvytváření účtu je nutné použít jiné nástroje, které umožňují kontejner, kde má být účet vytvořen, specifikovat. Lze tak např. využít:

WMI je vhodné pro implementaci vlastního skriptu v jazycích, které WMI umožňují používat. Prostřednictvím command-line utility wmic je lze využít i v jednoduchých skriptech pro cmd (dávkových souborech). WMI stejně jako využití cmdletů v PowerShellu, bude zajímavé zejména pro správce, kteří mají zájem tento proces automatizovat prostřednictvím vlastních skriptů. Nejjednodušší použití z uvedených ale nabízí utilita netdom a její použití bude dále popsáno. I tuto utilitu lze využít v jednoduchém cmd skriptu.

Command-line utilitu netdom lze stáhnout od Microsoftu, ale tento nástroj je pro různé verze Windows odlišný. Navíc se zdá, že pro všechny verze Windows jej Microsoft distribuuje jen jako součást větších balíků. Pro Windows XP a Windows 7 lze netdom proto samostatně (a možná i poněkud neoficiálně) najít ke stažení i zde.

Zařazení počítače do domény je pak s netdom otázkou 2 příkazů:

netdom join 127.0.0.1 /Domain:ad.feec.vutbr.cz /OU:<kontejner> /UserD:<uživatel> /PasswordD:*
netdom renamecomputer 127.0.0.1 /NewName:%COMPUTERNAME% /Force /UserD:<uživatel> /PasswordD:*

Zařazením do domény prakticky dochází ke změně konfigurace počítače a proto je oba příkazy nutné provádět s efektivními administrátorskými právy. (Pokud zařazujete počítač s Windows podporujícími UAC, které je povoleno, nezapomeňte na nutnost elevace, aby tato práva byla skutečně efektivní!)

Druhý z uvedených příkazů byl při testech nutný jen ve Windows 7 a jeho účelem je aktualizovat/opravit DNS jméno u účtu právě zařazeného počítače v Active Directory (principiálně jinak provádí "nulové přejmenování" – z aktuálního jména na to samé jméno). Registrace Windows XP v Active Directory byla při testech správná již po 1. příkazu, ale klidně lze oba příkazy použít i zde a používat jeden společný postup.

Oba příkazy po úspěšném provedení oznámí nutnost restartovat počítač. Při testech s Windows XP i Windows 7 nebyl problém ignorovat výzvu po prvním příkazu a konečný restart provést až po provedení obou příkazů. V případě výskytu problémů s druhým příkazem však restart mezi oběma příkazy navíc může takovýto problém vyřešit. Podle zpětné vazby od správců by se toto mohlo týkat např. Windows Vista.

Oba příkazy budou vyžadovat ověření správce zadáním hesla, ale lze si ušetřit dvojí zadávání hesla připravením skriptu, ve kterém se heslo dosadí místo hvězdiček u voleb /PasswordD.

Distingovaná jména <kontejner>ů (OU) pro jednotlivé ústavy budou ústavním správcům sdělována individuálně společně se zřízením účtů <uživatel> pro správu těchto kontejnerů. Při tomto bude zároveň po dohodě upravena prvotní struktura (pod)kontejnerů a nalinkovány dohodnuté GPO tak, aby bylo možné začít uvedené ihned využívat. Následná správa objektů v těchto kontejnerech bude tímto delegována a dále už tedy v režii jednotlivých správců správců.