W domenie raźniej: migrujemy grupę roboczą do domeny w systemie Windows

Taka decyzja wynika z chęci zwiększenia kontroli nad stacjami roboczymi albo też stoi za nią wdrożenie systemu wspomagającego zarządzanie firmą działającego na bazie Windows Servera. Utworzenie spójnego środowiska pracy poprzez zebranie komputerów w domenie jest tutaj pochodną głównego celu operacji. Jakiekolwiek byłyby jednak nasze motywacje, jedno jest pewne – administrator, planując instalację domeny Windows, niejednokrotnie staje przed koniecznością wpasowania jej w istniejącą infrastrukturę IT. A to nie jest już czasami takie łatwe.

W firmowej dżungli

Odwołanie na początku artykułu do świata zwierząt nie było przypadkowe. Podobnie jak lemingi, osoba przyłączająca komputery z Windows do domeny narażona jest na wiele niebezpieczeństw. Problemy pojawiają się tam, gdzie się ich nie spodziewamy, a niezadowolony pracownik – w końcu jego komputer jest przez pewien czas nieczynny – staje się drapieżnikiem w gąszczu firmowych korytarzy.

Jednak niniejszy tekst z założenia nie pokazuje, w jaki sposób uruchomić usługę Active Directory na serwerze. Chcieliśmy w nim omówić najczęściej pojawiające się problemy związane z przyłączaniem stacji roboczych do domeny. W szczególności takie, które dotyczą przeniesienia do domeny ustawień z komputerów pracujących do tej pory w grupie roboczej. Czytelnik znajdzie tu zestaw dokładnie omówionych sytuacji wraz z rozwiązaniami problemów, na które można się natknąć podczas migracji do domeny.

Na potrzeby naszego artykułu założyliśmy, że na serwerze zainstalowany został system operacyjny Windows Server 2003 (choć równie dobrze może to być jego wcześniejsza wersja), a domena została w podstawowy sposób skonfigurowana i uruchomiona. Przyjęliśmy też, iż użytkownikom przypisano oddzielne konta i ewentualnie powiązano je z grupami.

Zaplanuj migrację

Migrację do domeny warto przeprowadzić stopniowo, tym bardziej że komputery pracujące w grupie roboczej mogą z powodzeniem działać obok tych umiejscowionych już w domenie. Cała operacja oczywiście wymaga czasu, ale w wypadku pojedynczego peceta nie powinna sprawnemu administratorowi zająć więcej niż godzinę – pod warunkiem, że nie pojawią się problemy. Kłopoty występujące się podczas migracji najczęściej są związane z autoryzacją użytkowników do serwera lub brakiem dostępu do zasobów dyskowych. Wszystko to może skutkować pojawianiem się błędów w wykonywaniu programów (o czym dalej). Niestety, błędy te uwidaczniają się podczas dalszej eksploatacji systemu.

Całą operację migracji powinniśmy przeprowadzić w ten sposób, że na początku należy podłączyć do domeny kilka komputerów, a gdy te będą już działały – pozostałe maszyny. W firmie mającej kilkanaście czy kilkadziesiąt pecetów nie ma zresztą fizycznych możliwości, aby pojedyncza osoba – informatyk – wykonał całą operację w kilka dni. Daje nam to spory potencjał rozłożenia migracji w czasie. Przyłączanie poszczególnych komputerów możemy wówczas dokładnie zaplanować, np. wtedy, gdy jego użytkownik (pracownik) jest na urlopie.

Zaczynamy migrację

Pierwszy krok to oczywiście przyłączenie komputera do domeny. Czynność tę możemy wykonać już podczas instalacji systemu operacyjnego. Wystarczy, że na etapie konfigurowania sieci wskażemy nazwę domeny. W wypadku nowszych komputerów może to nie być jednak takie proste. Powód jest prozaiczny. Ze względu na brak sterowników instalator Windows nie zawsze jest w stanie uruchomić kartę sieciową. W takiej sytuacji pozostaje nam tymczasowe przypisanie komputera do grupy roboczej. Do domeny włączymy go już po skonfigurowaniu połączenia sieciowego. Informacja, jak to zrobić, przyda nam się także wówczas, gdy do tej pory komputer pracował w grupie roboczej.

Z Panelu sterowania uruchamiamy moduł System. Przechodzimy na kartę Nazwa komputera, gdzie klikamy Zmień. W sekcji Członkostwo zaznaczamy Domena, po czym w odpowiednim polu wprowadzamy nazwę domeny, do której chcemy się przyłączyć. Przyciskiem OK akceptujemy żądanie, po czym wprowadzamy nazwę i hasło konta uprawnionego do dołączania komputerów do domeny. Są to konta należące do grup Administratorzy (w tym konto Administrator) oraz Administratorzy domeny. Aby wprowadzone zmiany odniosły skutek, ponownie uruchamiamy komputer.

Rysunek 1: Czynności związane z przyłączaniem do domeny.

To najszybszy sposób, ale niejedyny. Aby użyć graficznego kreatora, w znanym już module System | Nazwa komputera klikamy przycisk Identyfikator sieciowy. Odpowiadając na kilka podstawowych pytań, zadanych przez kreatora, szybko podłączymy nasz komputer do sieci. W kolejnych oknach wybieramy Komputer ten jest częścią sieci firmy i używam go do łączenia się z innymi komputerami w pracy oraz Moja firma używa sieci z domenami. W kolejnych oknach wprowadzamy naszą nazwę użytkownika wraz z hasłem oraz nazwę domeny. Jeżeli dany komputer nie istnieje w domenie, zostaniemy poproszeni o dodatkowe zadeklarowanie nazwy komputera oraz domeny, w której ma on pracować.

Rysunek 2: Automatyczne przyłączanie do domeny wykonywane za pomocą kreatora.

Logowanie

Wraz z przyłączeniem komputera do domeny zmienia się sposób logowania do systemu. Po uruchomieniu komputera użytkownik musi nacisnąć kombinację [Ctrl]+[Alt]+[Del], aby rozpocząć proces logowania. Na koniec wprowadza on swoją nazwę użytkownika na serwerze (w domenie), hasło oraz zaznacza nazwę domeny. Logowanie lokalne (do zdefiniowanych w bezpośrednio systemie kont) jest także możliwe po ustaleniu w polu Domena wartości Ten komputer. Warto pamiętać, że zastosowanie mechanizmu [Ctrl]+[Alt]+[Del] zwiększa bezpieczeństwo, ograniczając możliwość działania programów łamiących hasła metodą prób i błędów. Nie powinniśmy wyłączać tej funkcji w ustawieniach systemu (opcja Konta użytkowników | Zaawansowane | Żądaj od użytkowników naciśnięcia klawiszy Ctrl+Alt+Delete). W wypadku komputerów w domenie nie ma natomiast możliwości włączenia graficznego logowania, czyli wybierania nazwy użytkownika z listy.

Rysunek 3: Ustawienie zmiany sposobu logowania do systemu.

Firmowy laptop w domu

Zastanówmy się, co się stanie, gdy w momencie logowania do systemu kontroler domeny nie będzie uruchomiony lub po prostu nie będzie dostępny. Jest to typowa sytuacja, kiedy podłączone do firmowej sieci laptopy są używane poza miejscem pracy. Czy taki użytkownik, pracując z dala od firmy, powinien logować się lokalnie? Zdecydowanie nie. Profile lokalne są różne od profili domenowych, a zatem logując się lokalnie, użytkownik utraciłby dostęp do swoich dokumentów, skrótów, Pulpitu, ustawień poczty czy Ulubionych. Do profilu domenowego logujemy się zatem nawet wówczas, gdy wiemy, że nie mamy dostępu do kontrolera domeny. Jak to jest możliwe? Zainstalowany na komputerze Windows przechowuje ostatnio znaną konfigurację (ang. cached credentials), czyli informacje o kontach wraz z hasłami i przyznanymi regułami grupy.