Локальная и доменная авторизация на Windows: полное руководство с примерами

Что такое локальная авторизация Windows

Локальная авторизация — это как ключ от вашей квартиры. Он работает только на одной двери (читай: на одном компьютере). Учётные записи хранятся в базе данных SAM (Security Account Manager) прямо на локальном устройстве, и никакой сервер Active Directory здесь не замешан.

Основные характеристики локальной авторизации:

• Учётные данные хранятся только на конкретном компьютере
• Идеально для домашних ПК и изолированных рабочих станций
• Управление производится через встроенные инструменты Windows (lusrmgr.msc, netplwiz)
• Каждый компьютер — сам себе царь и бог

Когда использовать локальную авторизацию

После двух десятилетий в IT, могу сказать: локальная авторизация отлично подходит для небольших офисов (до 10 компьютеров), домашних сетей, тестовых стендов и серверов DMZ. Если у вас больше — добро пожаловать в мир доменов, где вас ждут централизованное управление и групповые политики.

Доменная авторизация: когда нужен порядок

Доменная авторизация — это как пропуск в крупную корпорацию. Один пропуск даёт доступ к множеству ресурсов: компьютерам, принтерам, серверам, общим папкам. Всё управляется централизованно через Active Directory Domain Services (AD DS).

Ключевые преимущества доменной авторизации:

• Единая точка управления всеми учётными записями
• Групповые политики (GPO) для массовой настройки компьютеров
• Централизованная аутентификация через протоколы Kerberos и NTLM
• Масштабируемость от 10 до 10000+ устройств
• Единый вход (Single Sign-On) — один раз авторизовался и работаешь везде

Основные компоненты доменной инфраструктуры

Домен Windows состоит из контроллера домена (Domain Controller), на котором крутится Active Directory, рабочих станций и серверов-членов домена. Аутентификация проходит по протоколу Kerberos (если всё хорошо) или NTLM (если что-то пошло не так, но связь ещё жива).

Практический пример №1: Создание локальной учётной записи через PowerShell

Забудьте про мышку — настоящие админы используют PowerShell. Вот как создать локального пользователя за 3 секунды:

# Создание локального пользователя
$Password = Read-Host -AsSecureString "Введите пароль"
New-LocalUser "ivanov_local" -Password $Password -FullName "Иван Иванов" -Description "Локальный пользователь отдела продаж"

# Добавление в группу администраторов (осторожно!)
Add-LocalGroupMember -Group "Administrators" -Member "ivanov_local"

# Или в обычные пользователи (безопаснее)
Add-LocalGroupMember -Group "Users" -Member "ivanov_local"

Профессиональный совет: Никогда, слышите, НИКОГДА не добавляйте рядовых сотрудников в группу администраторов. Я видел, как один такой «временный админ» за 15 минут превратил рабочую станцию в майнинг-ферму криптовалюты.

Практический пример №2: Ввод компьютера в домен через GUI и PowerShell

Классический способ — через графический интерфейс, но я покажу оба варианта.

Графический метод (для тех, кто любит кнопки)

Нажмите Win+Pause → «Изменить параметры» → «Изменить» → выберите «Является членом домена» → введите имя домена (например, company.local) → OK → введите учётные данные администратора домена → перезагрузка.

PowerShell метод (для ценителей эффективности)

# Ввод компьютера в домен
Add-Computer -DomainName "company.local" -Credential (Get-Credential) -Restart -Force

# Для переименования компьютера одновременно с вводом в домен
Add-Computer -DomainName "company.local" -NewName "WS-SALES-01" -Credential (Get-Credential) -Restart

Команда запросит учётные данные администратора домена (формат: COMPANY\admin), выполнит ввод и автоматически перезагрузит компьютер. Красота!

Практический пример №3: Проверка типа авторизации и диагностика

Частый вопрос от пользователей: «А я вообще в домене или нет?» Вот набор команд для диагностики:

# Проверка членства в домене
systeminfo | findstr /B /C:"Domain"

# Детальная информация через PowerShell
Get-ComputerInfo | Select-Object CsDomain, CsDomainRole, CsWorkgroup

# Проверка доступности контроллера домена
nltest /dsgetdc:company.local

# Проверка доверительных отношений
nltest /sc_query:company.local

# Информация о текущем пользователе
whoami /user
whoami /groups

Если видите «WORKGROUP» вместо имени домена — поздравляю, вы в локальном режиме. Если видите имя домена, но nltest выдаёт ошибки — у вас проблемы с сетью или DNS (спойлер: это всегда DNS).

Практический пример №4: Создание доменного пользователя через Active Directory

Работа с доменными учётными записями — это отдельное искусство. Покажу два способа создания пользователя в AD.

Через графическую оснастку ADUC

Откройте «Active Directory Users and Computers» (dsa.msc) → выберите нужное подразделение (OU) → правый клик → «New» → «User» → заполните поля → установите пароль → настройте параметры учётной записи.

Через PowerShell (как делают профи)

# Создание доменного пользователя
New-ADUser -Name "Petrov Ivan" `
    -GivenName "Ivan" `
    -Surname "Petrov" `
    -SamAccountName "ipetrov" `
    -UserPrincipalName "ipetrov@company.local" `
    -Path "OU=Sales,OU=Users,DC=company,DC=local" `
    -AccountPassword (ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force) `
    -Enabled $true `
    -ChangePasswordAtLogon $true

# Добавление в группу безопасности
Add-ADGroupMember -Identity "Sales Team" -Members "ipetrov"

# Массовое создание пользователей из CSV
Import-Csv "C:\users.csv" | ForEach-Object {
    New-ADUser -Name $_.Name -SamAccountName $_.Login -Path $_.OU -Enabled $true
}

CSV файл должен иметь структуру: Name, Login, OU. Однажды я создал 500 учёток за 2 минуты вместо двух дней ручной работы — вот она, магия автоматизации!

Практический пример №5: Переключение между локальной и доменной авторизацией

Иногда нужно войти локально на компьютер, который в домене (например, для восстановления системы или когда контроллер домена недоступен).

Вход с локальной учёткой на компьютере в домене

На экране входа укажите: .\имя_пользователя или имя_компьютера\имя_пользователя

Пример: .\Administrator или WS-SALES-01\admin_local

Вывод компьютера из домена обратно в рабочую группу

# PowerShell команда вывода из домена
Remove-Computer -UnjoinDomainCredential (Get-Credential) -WorkgroupName "WORKGROUP" -Restart -Force

# Альтернативный метод с явным указанием учётных данных
$credential = Get-Credential -Message "Введите учётные данные администратора домена"
Remove-Computer -Credential $credential -Workgroup "OFFICE" -Restart

После выполнения компьютер перезагрузится и окажется в рабочей группе. Все доменные профили пользователей сохранятся на диске, но доступа к доменным ресурсам больше не будет.

Сравнительная таблица: локальная vs доменная авторизация

Типичные ошибки и как их избежать

Ошибка 1: Проблемы с DNS при вводе в домен

90% проблем с авторизацией в домене связаны с DNS. Проверьте, что на сетевом адаптере прописан IP DNS-сервера (обычно это IP контроллера домена):

# Проверка настроек DNS
Get-DnsClientServerAddress

# Установка DNS сервера
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses "192.168.1.10","192.168.1.11"

# Проверка разрешения имени домена
nslookup company.local

Ошибка 2: «Trust relationship failed» после перерыва в работе

Если компьютер долго не был в сети или был клонирован, может нарушиться доверие с доменом. Решение:

# Сброс доверительных отношений (выполнять на проблемном ПК от имени локального админа)
Reset-ComputerMachinePassword -Server "dc01.company.local" -Credential (Get-Credential)

# Или через nltest
nltest /sc_reset:company.local

Ошибка 3: Блокировка учёток из-за неправильных паролей

Пользователи любят сохранять пароли везде (в Outlook, сетевых дисках, мобильных приложениях). После смены пароля все эти сохранённые учётки начинают бомбардировать AD неправильными попытками входа. Результат — блокировка. Проверка:

# Поиск заблокированных учёток
Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut

# Разблокировка пользователя
Unlock-ADAccount -Identity "ipetrov"

# Проверка политики блокировки паролей
Get-ADDefaultDomainPasswordPolicy

Бонус: гибридная авторизация и Azure AD

Мир не стоит на месте, и сейчас многие компании используют гибридную модель: локальный Active Directory синхронизируется с Azure AD (теперь называется Microsoft Entra ID). Это даёт доступ к облачным ресурсам Microsoft 365 с теми же учётными данными.

Основной инструмент — Azure AD Connect, который реплицирует учётные записи из локального AD в облако каждые 30 минут (по умолчанию).

Заключение: какую авторизацию выбрать?

После 20 лет в окопах системного администрирования могу дать простую рекомендацию:

• Локальная авторизация — для домашнего ПК, малого бизнеса (до 5 компьютеров), изолированных систем и тестовых стендов.
• Доменная авторизация — для любого бизнеса от 10 компьютеров, где важна безопасность, централизованное управление и масштабируемость.
• Гибридная модель — для компаний, использующих облачные сервисы Microsoft 365 и желающих иметь единую точку управления.

Помните главное правило сисадмина: «Работает — не трогай». Но если всё-таки нужно трогать — делайте бэкапы и документируйте каждый шаг. А ещё лучше — автоматизируйте через PowerShell, чтобы в следующий раз выполнить задачу за 30 секунд вместо 3 часов.

Удачи в настройке авторизации, и пусть ваши пароли будут сложными, а пользователи — довольными!