AD批量建立计算机

1、建立计算机帐号
在使用AD帐号登录以前，电脑必须加入域。计算机帐号和用户帐号相似，也有登陆名(sAMAccountName)和密码(这个密码由服务器自动维护)及安全标示符(SID)。有了这些凭据，计算机能够在AD中进行身份验证，并建立安全关系，AD用户才能登录到这些计算机。若是计算机和AD之间的凭据出现问题，用户在登陆时则会提示“此工做站与主域之间的信任关系失败”。

1.建立计算机OU
安装好AD后会有2个默认有2个地方能够计算机帐号：一个为Computer，计算机及成员服务器加入域后都会默认在该容器，可是不建议使用这个默认容易，由于这个系统默认容器没法连接组策略。另外一个为Domain Controller，这个OU是放全部域控制器(DC)，这个建议保持默认不变。通常建议你们至少为计算机帐号建立至少两个OU：一个放客户端计算机帐号，一个放服务器帐号。方便从此组策略的连接，由于客户端和服务器可能须要连接不一样的GPO。
若是是使用基于站点的管理方式，而且台式机和笔记本分开管理，建议按站点的物理位置进行划分，具体如图：

注：当计算机加入域时，若是AD中不存在该计算机帐号时，会默认在Computer容器中自动建立计算机对象，若是须要改变这个目录，则可使用 redircmp这个命令进行重定向。使用语法： redircmp “ou=xxx,dc=contoso,dc=com”

2.建立计算机帐号
在“Active Directory用户和计算机”中建立计算机帐号，输入计算机名称便可。
使用dsadd建立计算机，语法示例： dsadd computer “cn=desktop002,ou=xxx,dc=contoso,dc=com”
使用csvde批量建立计算机帐号。
将须要建立的计算机帐号信息按以下格式保存成csv格式文件


使用csvde –i –f “d:\computerinfo.csv”-k   命令批量建立计算机帐号，若是所示成功建立。

使用powershell导入计算机帐号语法     
    New-ADComputer [-Name] <string> [-WhatIf] [-Confirm] [-AccountExpirationDate <datetime>] [-AccountNotDelegated <bool>] [-AccountPassword <securestring>] [-AllowReversiblePasswordEncryption <bool>] [-AuthType <ADAuthType> {Negotiate | Basic}] [-CannotChangePassword <bool>] [-Certificates <X509Certificate[]>] [-ChangePasswordAtLogon <bool>] [-CompoundIdentitySupported <bool>] [-Credential <pscredential>] [-Description <string>] [-DisplayName <string>] [-DNSHostName <string>] [-Enabled <bool>] [-HomePage <string>] [-Instance <ADComputer>] [-KerberosEncryptionType <ADKerberosEncryptionType> {None | DES | RC4 | AES128 | AES256}] [-Location <string>] [-ManagedBy <ADPrincipal>] [-OperatingSystem <string>] [-OperatingSystemHotfix <string>] [-OperatingSystemServicePack <string>] [-OperatingSystemVersion <string>] [-OtherAttributes <hashtable>] [-PassThru] [-PasswordNeverExpires <bool>] [-PasswordNotRequired <bool>] [-Path <string>] [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>] [-SAMAccountName <string>][-Server <string>] [-ServicePrincipalNames <string[]>] [-TrustedForDelegation <bool>] [-UserPrincipalName <string>]  [<CommonParameters>]

建立单个计算机帐号示例：
New-ADComputer –Name pc001 –SAMAccountName pc001 –Path “ou=xxx,dc=contoso,dc=com”
批量建立计算机帐号，  将须要建立的计算机帐号信息按以下格式保存成csv格式文件：

使用命令导入csv文件中的信息
Import-Csv "d:\computerinfo2.csv" | ForEach-Object {New-ADComputer -Name $_.name -SAMAccountName $_.samaccountname -Path $_.path}


2、导出AD中计算机帐号的信息
若是咱们须要查询AD中电脑安装的操做系统版本、最后一次登陆时间等信息，也可使用powershell的Get-ADComputer进行导出。
示例命令：
Get-ADComputer -Filter * -Property * –Searchbase “ou=workstation,ou=long,dc=lab,dc=com”  | Select-Object Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion,LastLogonDate | Export-CSV  -NoTypeInformation -Encoding UTF8 –Path “d:\cmpinfo.csv”

3、将计算机加入域
加入域前，首先确保客户端DNS设置正确，DNS指向环境中的DNS服务器。确保客户端能ping通域。


1.在计算机属性中更该成域模式便可，这是最经常使用的一种方法，相信你们基本都会，这里就不作说明了。
2.使用netdom命令将计算机加入域。
示例命令：
netdom join computername /domain:contoso.com /userd:contoso\administrator /passwordd:123@#abc /reboot:5
3.默认设置下，普通用户也是有权限将计算机加入域的，最多能够将10台计算机加入域。处于安全考虑，建议关闭这一设置。开始--运行—adsiedit.msc，打开ADSI编辑器。右击“ADSI编辑器”选择“链接到…”。在链接设置中选择“默认命名上下文”。




右击“DC=Lab,DC=Com”,选择“属性”，在属性对话框中找到“ms-DS-MachineAccountQuota”将值修改成0。
完成上述步骤后，只有域管理员或委派权限的用户才能够将计算机加入域。
4、计算机的登陆和安全通道
与用户帐号相似，计算机帐号也有登陆名(sAMAccountName)和密码。计算机会将本身的密码以本地安全机构(LSA)密文形式保存，并每30天联系AD修改密码。这个过程不须要人为参与。Netlogon服务将使用该凭据登陆到AD，并与DC创建安全通道。
若是安全通道失败，则必须将其重置。能够直接右击计算机帐号，选择“重置帐户”。不建议你们经过将计算机删除，而后新建一个同名的方式来重置。由于这种方法会致使计算机帐号及SID完全删除，即时新建一个同名的计算机帐号SID也是不同的，若是该计算机有资源权限分配也会丢失。
总结：不少管理在AD帐号管理过程当中可能会忽略计算机帐号的管理，更多的时间花在用户帐号及组的维护上。其实否则，计算机帐号的管理和用户帐号同等重要，客户端开机首先是使用计算机帐号凭据进行验证的，若是计算机凭据出现问题，用户也是没法登录。