AD批量建立計算機

1、建立計算機帳號
在使用AD帳號登錄以前，電腦必須加入域。計算機帳號和用戶帳號相似，也有登陸名(sAMAccountName)和密碼(這個密碼由服務器自動維護)及安全標示符(SID)。有了這些憑據，計算機能夠在AD中進行身份驗證，並建立安全關係，AD用戶才能登錄到這些計算機。若是計算機和AD之間的憑據出現問題，用戶在登陸時則會提示「此工做站與主域之間的信任關係失敗」。

1.建立計算機OU
安裝好AD後會有2個默認有2個地方能夠計算機帳號：一個爲Computer，計算機及成員服務器加入域後都會默認在該容器，可是不建議使用這個默認容易，由於這個系統默認容器沒法連接組策略。另外一個爲Domain Controller，這個OU是放全部域控制器(DC)，這個建議保持默認不變。通常建議你們至少爲計算機帳號建立至少兩個OU：一個放客戶端計算機帳號，一個放服務器帳號。方便從此組策略的連接，由於客戶端和服務器可能須要連接不一樣的GPO。
若是是使用基於站點的管理方式，而且臺式機和筆記本分開管理，建議按站點的物理位置進行劃分，具體如圖：

注：當計算機加入域時，若是AD中不存在該計算機帳號時，會默認在Computer容器中自動建立計算機對象，若是須要改變這個目錄，則可使用 redircmp這個命令進行重定向。使用語法： redircmp 「ou=xxx,dc=contoso,dc=com」

2.建立計算機帳號
在「Active Directory用戶和計算機」中建立計算機帳號，輸入計算機名稱便可。
使用dsadd建立計算機，語法示例： dsadd computer 「cn=desktop002,ou=xxx,dc=contoso,dc=com」
使用csvde批量建立計算機帳號。
將須要建立的計算機帳號信息按以下格式保存成csv格式文件


使用csvde –i –f 「d:\computerinfo.csv」-k   命令批量建立計算機帳號，若是所示成功建立。

使用powershell導入計算機帳號語法     
    New-ADComputer [-Name] <string> [-WhatIf] [-Confirm] [-AccountExpirationDate <datetime>] [-AccountNotDelegated <bool>] [-AccountPassword <securestring>] [-AllowReversiblePasswordEncryption <bool>] [-AuthType <ADAuthType> {Negotiate | Basic}] [-CannotChangePassword <bool>] [-Certificates <X509Certificate[]>] [-ChangePasswordAtLogon <bool>] [-CompoundIdentitySupported <bool>] [-Credential <pscredential>] [-Description <string>] [-DisplayName <string>] [-DNSHostName <string>] [-Enabled <bool>] [-HomePage <string>] [-Instance <ADComputer>] [-KerberosEncryptionType <ADKerberosEncryptionType> {None | DES | RC4 | AES128 | AES256}] [-Location <string>] [-ManagedBy <ADPrincipal>] [-OperatingSystem <string>] [-OperatingSystemHotfix <string>] [-OperatingSystemServicePack <string>] [-OperatingSystemVersion <string>] [-OtherAttributes <hashtable>] [-PassThru] [-PasswordNeverExpires <bool>] [-PasswordNotRequired <bool>] [-Path <string>] [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>] [-SAMAccountName <string>][-Server <string>] [-ServicePrincipalNames <string[]>] [-TrustedForDelegation <bool>] [-UserPrincipalName <string>]  [<CommonParameters>]

建立單個計算機帳號示例：
New-ADComputer –Name pc001 –SAMAccountName pc001 –Path 「ou=xxx,dc=contoso,dc=com」
批量建立計算機帳號，  將須要建立的計算機帳號信息按以下格式保存成csv格式文件：

使用命令導入csv文件中的信息
Import-Csv "d:\computerinfo2.csv" | ForEach-Object {New-ADComputer -Name $_.name -SAMAccountName $_.samaccountname -Path $_.path}


2、導出AD中計算機帳號的信息
若是咱們須要查詢AD中電腦安裝的操做系統版本、最後一次登陸時間等信息，也可使用powershell的Get-ADComputer進行導出。
示例命令：
Get-ADComputer -Filter * -Property * –Searchbase 「ou=workstation,ou=long,dc=lab,dc=com」  | Select-Object Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion,LastLogonDate | Export-CSV  -NoTypeInformation -Encoding UTF8 –Path 「d:\cmpinfo.csv」

3、將計算機加入域
加入域前，首先確保客戶端DNS設置正確，DNS指向環境中的DNS服務器。確保客戶端能ping通域。


1.在計算機屬性中更該成域模式便可，這是最經常使用的一種方法，相信你們基本都會，這裏就不作說明了。
2.使用netdom命令將計算機加入域。
示例命令：
netdom join computername /domain:contoso.com /userd:contoso\administrator /passwordd:123@#abc /reboot:5
3.默認設置下，普通用戶也是有權限將計算機加入域的，最多能夠將10臺計算機加入域。處於安全考慮，建議關閉這一設置。開始--運行—adsiedit.msc，打開ADSI編輯器。右擊「ADSI編輯器」選擇「鏈接到…」。在鏈接設置中選擇「默認命名上下文」。




右擊「DC=Lab,DC=Com」,選擇「屬性」，在屬性對話框中找到「ms-DS-MachineAccountQuota」將值修改成0。
完成上述步驟後，只有域管理員或委派權限的用戶才能夠將計算機加入域。
4、計算機的登陸和安全通道
與用戶帳號相似，計算機帳號也有登陸名(sAMAccountName)和密碼。計算機會將本身的密碼以本地安全機構(LSA)密文形式保存，並每30天聯繫AD修改密碼。這個過程不須要人爲參與。Netlogon服務將使用該憑據登陸到AD，並與DC創建安全通道。
若是安全通道失敗，則必須將其重置。能夠直接右擊計算機帳號，選擇「重置帳戶」。不建議你們經過將計算機刪除，而後新建一個同名的方式來重置。由於這種方法會致使計算機帳號及SID完全刪除，即時新建一個同名的計算機帳號SID也是不同的，若是該計算機有資源權限分配也會丟失。
總結：不少管理在AD帳號管理過程當中可能會忽略計算機帳號的管理，更多的時間花在用戶帳號及組的維護上。其實否則，計算機帳號的管理和用戶帳號同等重要，客戶端開機首先是使用計算機帳號憑據進行驗證的，若是計算機憑據出現問題，用戶也是沒法登錄。