netdom renamecomputer i ustawienia Windows Firewall poprzez GPO

W domenie AD raz na jakiś czas spotykamy się z potrzebą zmiany nazwy komputera będącego członkiem tej domeny. Oczywiście można się do niego zalogować, we właściwościach komputera podać nową nazwę ale można zrobić to też za pomocą polecenia netdom z parametrem renamecomputer nie ruszając się od biurka (jak na admina przystało 🙂 ).
Opis narzędzia mamy tu http://support.microsoft.com/kb/298593/pl. Identyczna składnia jest też dla systemów Windows 2008, Windows 7 i Vista.

Składnia:
netdom renamecomputer stara_nazwa_komputera /newname:nowa_nazwa_komputera /userd:nazwa_domeny\admin_domeny /passwordd:*
/usero:admin_lokalny/passwordo:* /reboot: liczba sekund do automatycznego ponownego uruchomienia

Gwiazdka oznacza, że hasło będziemy musieli wpisać i ze będzie ono ukryte – nie będzie widać znaków.
Jeżeli admin_domeny jest dodany do grupy administratorów lokalnych danego komputera to polecenie może wyglądać tak:

netdom renamecomputer stara_nazwa_komputera /newname:nowa_nazwa_komputera /userd:nazwa_domeny\admin_domeny /passwordd:*
/usero:nazwa_domeny\admin_domeny /passwordo:* /reboot: liczba sekund do automatycznego ponownego uruchomienia

Aby polecenie wykonać ze swojej stacji na komputerze zdalnym, musi być spełniony jeszcze jeden warunek (oprócz posiadana praw w domenie i lokalnego administratora na stacji). Mianowicie skonfigurowane wyjątki zapory systemu Windows umożliwiające zdalne wykonie polecenie. Inaczej dostaniemy następujący błąd:

Nie można odnaleźć ścieżki sieciowej.

Wykonanie polecenia nie powiodło się.

W domenie AD odpowiednie ustawienie firewalla najlepiej zrobić za pomocą GPO. W tym celu tworzymy nową polisę (lub edytujemy istniejącą) przechodzimy do gałęzi

Konfuguracja komputera > Zasady > Ustawienie systemu Windows > Ustawienia zabezpieczeń > Zapora systemu Windows z zabezpieczeniami zaawansowanymi > Reguły przychodzące

(nie będziemy tworzyli reguły od zera tylko wykorzystamy już istniejące definicje).

1. Tworzymy nową regułę (prawy klawisz myszy > Nowa reguła)
2. na karcie Typ reguły wybieramy Uprzednio zdefiniowana i z listy wybieramy Udostępnianie plików i drukarek
(tu możemy się zastanowić i jeżeli chcemy pozwolić na przepuszczenie na stacjach lokalnych całego ruchu związanego z udostępnieniem plików i drukarek zostawiamy zaznaczone wszystkie reguły)
3. Z listy wybieramy dwie reguły:
Udostępnianie plików i drukarek (nazwa NB – ruch przychodzący) – protokół UDP port 137, profil Domena
Udostępnienie plików i drukarek (sesja NB – ruch przychodzący) – protokół TCP port 139, profil Domena
4. Na karcie Akcja zaznaczamy Zezwalaj na połączenie

Później, edytując poszczególne reguły możemy zmieniać zakres ich obowiązywania do konkretnych adresów IP lokalnych i zdalnych (czyli do jakich komputerów można będzie się połączyć oraz, z których adresów można będzie wydać polecenie ze pozytywnym skutkiem). Jako, że jest to reguła predefiniowana nie możemy zmienić jej nazwy dlatego w razie potrzeby nadania regule konkretniej wybranej przez nas nazwy musimy utworzyć identyczne reguły od początku.

W tym celu

1. Na karcie Typ reguły wybieramy Port
2. Na karcie Protokół i porty wybieramy UDP jako protokół oraz w wybranym polu Określone porty lokalne wpisujemy 137
3. Na karcie Akcja wybieramy Zezwalaj na połączenie
4. Na karcie Profil wybieramy Domena (oczywiście możemy to rozszerzyć na inne wymienione na tej karcie profile sieciowe)
5. Na karcie Nazwa podajemy swoją Nazwę i opcjonalnie Opis reguły

Drugą regułę tworzymy identycznie wpisując protokół TCP i port 139 jako parametry.

Reguły dla netdom

Pamiętajmy, ze po zmianie nazwy komputera powinniśmy go zrestartować w celu odświeżenia informacji w domenie o danym komputerze (zmiana nazwy obiektu, odświeżenie ticketu).

2 komentarze

  1. Witam,
    utworzyłem nową regułę, tylko tą pierwszą, i próbuje na PowerShell wykonać taką komendę:
    psexec \\ip_adres cms i nie może odnaleźć ścieżki sieciowej…
    Make sure that the default admin$ share is enabled on IP_adres
    Co robię źle?

    1. Taki błąd występuje (także) jak firewall blokuje zdalne wywołanie polecenia – w artykule jest to zaznaczone. Możesz testowo wyłączyć zaporę na stacji testowej i sprawdzić ponownie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *