blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Offline domain join или удаленный ввод в домен компьютера через Direct Access

Процедура ввода в домен компьютера находящегося за периметром вашей корпоративной среды не является сложной и стоит из двух шагов, которые необходимо выполнить на клиенте и любом сервере входящем в домен вашей организации.

1. Создание файла ответов для автономного ввода (offline domain join) ПК в домен

Подключимся к консоли сервера используя Remote Desctop Protocol и запустим командную строку, либо консоль powershell. Используйте что вам больше нравится. В примере я буду использовать командную строку. для этого запущу утилиту cmd от имени администратора. Для этого щелкнем по Командной строке правой кнопкой мыши и выберем в появившемся окне Запустить от имени администратора.

Используя интерфейс командной строки введем следующую команду:

Djoin.exe /provision /domain EXAMPLE.COM /machine ИМЯ КОМПЬЮТЕРА /rootcacerts /machineou «ou=desktops, dc=EXAMPLE, dc=COM» /policynames «Параметры клиента DirectAccess» /savefile C:\ИМЯ ФАЙЛА.txt

Справка по работе с утилитой Djoin.exe:

/PROVISION — подготавливает учетную запись компьютера в домене.
/DOMAIN — домена, к которому необходимо присоединиться.
/MACHINE — компьютера, присоединяемого к домену.
/MACHINEOU — необязательный параметр, определяющий подразделение
, в котором создается учетная запись.
/DCNAME — необязательный параметр, определяющий целевой контроллер домена , на котором будет создана учетная запись.
/REUSE — повторно использовать существующую учетную запись (пароль будет сброшен).
/SAVEFILE — сохранить данные подготовки в файл, расположенный по указанному пути.
/NOSEARCH — пропустить обнаружение конфликтов учетных записей; требуется DCNAME (более высокая производительность).
/DOWNLEVEL — обеспечивает поддержку контроллера домена Windows Server 2008 или более ранней версии.
/PRINTBLOB — возвращает большой двоичный объект метаданных в кодировке base64 для файла ответов.
/DEFPWD — использовать пароль учетной записи компьютера по умолчанию (не рекомендуется).
/ROOTCACERTS — необязательный параметр, включить корневые сертификаты центра сертификации.
/CERTTEMPLATE — необязательный параметр, шаблона сертификата компьютера. Включает корневые сертификаты центра
сертификации.
/POLICYNAMES — необязательный параметр, список имен политик, разделенных точкой с запятой. Каждое имя является отображаемым именем объекта групповой политики в AD.
/POLICYPATHS — необязательный параметр, список путей к политикам, разделенных точкой с запятой. Каждый путь указывает на расположение файла политик реестра.
/NETBIOS — необязательный параметр, Netbios-имя компьютера, присоединяемого к домену.
/PSITE — необязательный параметр, постоянного сайта, в который нужно поместить компьютер, присоединяемый к домену.
/DSITE — необязательный параметр, динамического сайта, в который первоначально помещается компьютер, присоединяемый к домену.
/PRIMARYDNS — необязательный параметр, основной DNS-домен компьютера, присоединяемого к домену.
/REQUESTODJ — требует автономного присоединения к домену при следующей загрузке.
/LOADFILE — , указанный ранее с помощью параметра /SAVEFILE.
/WINDOWSPATH — к каталогу с автономным образом Windows.
/LOCALOS — позволяет указывать в параметре /WINDOWSPATH локальную операционную систему.
Эту команду должен выполнять локальный администратор.
Для применения изменений потребуется перезагрузить компьютер.

В результате выполнения команды с приведенными выше параметрами мы получим файл ответов, который уже содержит в себе необходимые для работы Direct Access сертификаты, список политик direct access, необходимо пространство имен DNS.

2. Ввод в домен компьютера через Direct Access

Передаем полученный текстовый файл на рабочее место пользователя и запускаем его из командной строки:

djoin /requestODJ /loadfile C:\ИМЯ ФАЙЛА.txt /windowspath %SystemRoot% /localos

На этом процедура удаленного ввода компьютера в домен закончена. В окне приглашения вводим имя доменного пользователя и его пароль.

Вход в систему при недоступности контроллера домена

При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.

Чтобы избежать подобной ситуации, после успешного входа в систему учетные данные пользователя сохраняются в кэш на локальном компьютере. Это позволяет войти в систему с доменными учетными данными и получить доступ к ресурсам локального компьютера даже при отсутствии подключения к домену.

Примечание. Если быть точным, то кэшируются не сами учетные данные (логин и пароль), а результат их проверки. Еще точнее система хранит хэш пароля, модифицированный при помощи соли (salt), которая в свою очередь, генерируется на основе имени пользователя. Кэшированные данные хранятся в разделе реестра HKLM\SECURITY\Cache, доступ к которому имеет только система.

За возможность кэширования отвечает параметр реестра CashedLogonsCount, находящийся в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Этот параметр определяет количество уникальных пользователей, чьи учетные данные сохраняются локально. По умолчанию значение параметра равно 10, что означает следующее: учетные данные сохраняются для последних 10 пользователей, заходивших в систему, а при входе на компьютер одиннадцатого пользователя учетные данные первого пользователя будут перезаписаны.

Управлять значением CashedLogonsCount можно централизованно, с помощью групповых политик. Для этого необходимо создать новый GPO (или открыть существующий), перейти в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options и найти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).

По умолчанию данный параметр не определен (Not Defined), соответственно на всех компьютерах используется дефолтное значение. Для его изменения надо включить параметр и указать необходимое значение в пределах от 0 до 50. Значение, равное 0, означает запрет на кэширование учетных данных, соответственно при этом значении вход в систему при недоступности контроллера домена невозможен.

Поскольку теоретически при наличии физического доступа к компьютеру у злоумышленника есть возможность воспользоваться сохраненными учетными данными, то для повышения безопасности рекомендуется отключать локальное кэширование. Исключение могут составить пользователи мобильных устройств (ноутбуков, планшетов и т.п.), которые пользуются устройствами как на работе, так и вне ее. Для таких пользователей количество кэшированных входов можно задать в пределах 1-2. Этого вполне достаточно для работы.

И в завершение пара важных моментов:

• Для того, чтобы учетные данные были закешированы необходимо, чтобы пользователь хотя-бы раз зашел на компьютер под своей доменной учетной записью при доступном контроллере домена.
• Довольно часто параметр CashedLogonsCount трактуют как количество входов в систему при отсутствии доступа к домену. Это не так, и если учетные данные пользователя закешированы локально, то он сможет заходить в систему неограниченное количество раз.

Windows: Автоматический вход в систему (автологин)

В данной статье пойдет речь о том, как настроить автологин (автоматический вход в систему без ввода пароля) на операционных системах Windows. Это бывает полезно, когда нет необходимости в ограничении доступа к компьютеру/ноутбуку, чтобы не тратить время на ввод пароля каждый раз при его включении.

Использование control userpasswords2

Это один из самых простых способов настройки автологина в системе, с использованием стандартных средств Windows, т. е. не требующий скачивания и установки никаких сторонних программ. Воспользоваться им можно следующим образом:

1. Сперва нужно открыть окно программы «Выполнить». Сделать это можно следующим образом:
   • В старых версиях Windows достаточно нажать левой кнопкой мыши по меню Пуск, и там выбрать пункт меню «Выполнить«.
   • В Windows 8 или Windows 10 можно нажать правой кнопкой мыши на меню Пуск (или зажать поочередно клавиши Win + X ), и в появившемся меню выбрать «Выполнить».
   • Поочередно зажать клавиши Win + R .
2. В появившемся окне вводите команду control userpasswords2 , после чего нажимаете ОК.
   
3. В появившемся окне убираете галочку с «Требовать ввод имени пользователя и пароля» и нажимаете ОК.

В появившемся окне от вас потребуется ввести имя пользователя и его пароль.

После ввода можно нажать ОК. Теперь при включении компьютера у вас будет автоматически входить в систему под нужным вам пользователем.

Использование программы Autologon

Другим простым методом для настройки автоматического логина в систему является использование программы Autologon, за авторством Марка Руссиновича (Mark Russinovich) — сотрудника Microsoft. Скачать её можно с сайта Microsoft по этой ссылке.

Использование программы максимально просто — нужно запустить скачанную программу (установка не требуется, но при первом запуске придется принять условия пользования), и ввести все нужные вам данные.

В поле Username следует написать имя пользователя, если пользователь принадлежит домену Active Directory, то следует указать его имя в поле Domain. Ну и наконец в поле Password следует ввести свой пароль. После этого для включения нужно всего-лишь нажать кнопку «Enable«, и после этого автовход в систему будет настроен.

Настройка через реестр

Так же существует способ настроить автоматический вход в систему через реестр.

Для включения автологина в реестре, вам нужно открыть меню Пуск, и выбрать команду Выполнить (либо нажать комбинацию клавиш Win+R). В появившемся окне нужно набрать regedit и нажать ОК.

Далее ищем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и у следующих параметров вводим следующие значения:

AutoAdminLogon — Ставим единицу, иначе автоматический логин не будет срабатывать.
ForceAutoLogon — Если мы хотим, чтобы пользователя «насильно» логинило обратно в систему, то ставим единицу.
DefaultUserName — Имя пользователя, под которым мы хотим автоматически входить в систему.
DefaultPassword — Пароль пользователя, под которым мы хотим автоматически входить в систему. Скорее всего данный параметр будет отсутствовать, и поэтому придется создать его самому. Для этого нажимаем на пустом месте правой кнопкой мыши и выбираем пункт Создать — Строковый параметр, и присваиваем ему имя DefaultPassword.

DefaultDomainName — Домен пользователя, под которым мы хотим автоматически входить в систему. Если домен не используется — оставляем пустым.

Теперь можно закрыть редактор реестра, и попробовать перезагрузить компьютер. Если вы все сделали правильно, то сразу после загрузки операционной системы произойдет автоматический вход в систему под нужным пользователем.

AutoLogin. Автоматический вход пользователя в Windows 10

Как многим вам известно, учетные записи пользователей, а точнее безопасность их данных, очень сильно волнует microsoft. В последних редакциях Windows 10, становится все сложнее иметь учетку без пароля. На этапе установки система не дает продолжить работу пока не будет установлен пароль. А что если он мне не нужен? — Частый вопрос, который задают обычные пользователи ПК. Сегодня я решил описать вам два способа, как можно упростить себе жизнь и убрать ввод пароля. Подходит как для доменных, так и для локальных учетных записей.

Если вы используете компьютер на работе или в общественных местах, настоятельно рекомендую не убирать пароль, ваши личные файлы и данные могут быть скомпрометированы.

Автологин — Способ первый:

Данный метод подразумевает настройку через стандартную оснастку — настройки пользователя. Подходит исключительно для локальных учетных записей.

Открываем оснастку управления через команду » Выполнить » Используем сочетание клавиш » Win + R » и вводим команду netplwiz.

Перед вами откроется окно с настройками локальных пользователей. В списке необходимо выбрать вашего пользователя и снять галочку с пункта » Требовать ввод имени пользователя и пароля «

Система запросит у вас ввести логин и дважды пароль, для подтверждения процедуры.

Вводим свои учетные данные, нажимаем кнопку «Ок». Перезагружаем компьютер и сразу же попадаем в систему.

Как показала практика в современных сборках ОС Windows 10, пункт » Требовать ввод имени пользователя и пароля » — отсутствует. Не на всех версиях возможно осуществить настройку таким способом. В этом случае рекомендую использовать второй метод, о нем ниже.

Автологин — Способ второй:

Методика этого способа заключается в редактировании реестра системы. Более сложный процесс, но и более действенный. Подходит для всех видов учетных записей, ничем не ограничивается.

Входим в реестр. Используем сочетание клавиш » Win+R » — открываем окно » Выполнить » и вводим команду regedit .

В открывшемся реестре нас будет интересовать следующий путь:

Как видите в папке winlogon имеется достаточно больше количество параметров. Что и делает этот способ более гибким. Нас же интересуют только основные.

По умолчанию значение равно 0. Кликаем двойным щелчком мыши и меняем значение на 1. Эта процедура активирует автоматический вход.

По умолчанию выставляется профиль вашего пользователя. Рекомендую в этом убедиться, чтобы не возникло сложностей.

Особо внимательные читатели заметили, что такого параметра в списке нет. По умолчанию в системе он отсутствует. Его необходимо создать.

Кликаем правой кнопкой мыши по папке «winlogon» — выбираем пункт «Создать» — Строковый параметр.

Вводим имя — DefaultPassword. А в качестве значения указываем пароль от вашей учетной записи, мой в качестве примера «Qwerty12345». Повторять его не нужно, вводите свой.

Закрываем редактор реестра, перезагружаем компьютер и получаем автоматический вход в Windows без ввода пароля.

По традиции видео инструкция:

Спасибо за внимание. Надеюсь статья окажется полезной.

Ставьте лайки, пишите комментарии, подписывайтесь на блог, буду регулярно размещать интересные материалы, которые возникают в процессе работы.