Podłączenie komputera z Windows 10 lub 11 do domeny Active Directory to jedna z pierwszych rzeczy, które robisz, gdy uczysz się administracji sieciami albo zdajesz egzamin INF.02. W praktyce sprowadza się to do kilku kliknięć lub jednej komendy w PowerShellu — ale tylko wtedy, gdy wcześniej poprawnie ustawisz DNS, czas i wersję systemu. Jeśli któregoś z tych elementów zabraknie, zobaczysz błąd zamiast komunikatu o powodzeniu. W tym poradniku pokażę Ci wszystkie metody dołączenia do domeny (GUI, PowerShell, netdom), wymagania wstępne oraz jak naprawić najczęstsze błędy, na które trafiają początkujący.
Co daje dołączenie komputera do domeny
Komputer w grupie roboczej (workgroup) jest samotną wyspą — ma własne konta lokalne i nikt nim centralnie nie zarządza. Po dołączeniu do domeny ten sam komputer staje się obiektem zarządzanym przez kontroler domeny (DC), na którym działa rola Active Directory Domain Services.
Konkretnie zyskujesz:
- Logowanie kontami domenowymi — użytkownik loguje się tym samym loginem i hasłem na dowolnej stacji w domenie, bez tworzenia kont lokalnych.
- Zasady grupy (GPO) — administrator wymusza ustawienia, mapuje dyski sieciowe i instaluje oprogramowanie centralnie.
- Uwierzytelnianie Kerberos — bezpieczniejsze niż lokalne NTLM, ale wrażliwe na rozjazd czasu (o tym za chwilę).
- Konto komputera w AD — każda stacja dostaje własny obiekt w kontenerze
Computerslub w wybranej jednostce organizacyjnej (OU).
Wymagania wstępne, bez których się nie uda
To sekcja, którą najczęściej się pomija — i potem przez godzinę walczy się z błędem „nie można nawiązać kontaktu z kontrolerem domeny”. Sprawdź te cztery rzeczy przed próbą dołączenia.
1. Odpowiednia edycja Windows
Do domeny dołączysz tylko z edycji Pro, Enterprise, Pro Education lub Pro for Workstations (oraz ich wariantów N). Wersja Windows 10/11 Home nie obsługuje dołączania do domeny — w ustawieniach po prostu nie zobaczysz tej opcji. Edycję sprawdzisz komendą winver albo w Ustawienia → System → Informacje.
2. DNS wskazujący na kontroler domeny
To najczęstsza przyczyna porażek. Klient musi mieć jako serwer DNS adres IP kontrolera domeny, a nie router czy 8.8.8.8. Dlaczego? Bo komputer odnajduje kontroler przez rekordy SRV w DNS-ie domeny. Jeśli pytasz publiczny DNS o lokalną domenę typu firma.local, nigdy jej nie znajdzie.
W typowym labie egzaminacyjnym wygląda to tak: serwer ma IP 192.168.10.1, a klient ustawiasz statycznie na 192.168.10.2 z preferowanym DNS 192.168.10.1. Ustawienia karty sieciowej znajdziesz w ncpa.cpl → właściwości karty → Protokół internetowy w wersji 4 (TCP/IPv4).
3. Łączność sieciowa
Zanim ruszysz dalej, zweryfikuj, że klient i serwer się widzą. Z poziomu wiersza poleceń:
ipconfig /all— sprawdź adres IP i wpisany serwer DNS.ping 192.168.10.1— odpowiedź z kontrolera oznacza, że sieć działa.nslookup firma.local— powinien zwrócić IP kontrolera, co potwierdza poprawny DNS.
Jeśli ping nie przechodzi, najczęściej winna jest zapora systemu Windows na serwerze lub kliencie — w labie tymczasowo ją wyłącz, w produkcji dodaj odpowiednie reguły zamiast wyłączać całą zaporę.
4. Zsynchronizowany czas
Kerberos odrzuca uwierzytelnianie, gdy zegary klienta i kontrolera różnią się o więcej niż 5 minut (domyślna tolerancja). Dlatego stacja po dołączeniu synchronizuje czas z kontrolerem przez usługę Czas systemu Windows (NTP). W maszynach wirtualnych ten rozjazd zdarza się notorycznie po wznowieniu snapshotu — wtedy ręcznie wyrównaj czas albo wymuś synchronizację komendą w32tm /resync.
Opcjonalnie: utworzenie konta komputera w ADUC
Możesz, ale nie musisz, wcześniej przygotować konto komputera po stronie serwera w przystawce Użytkownicy i komputery usługi Active Directory (ADUC). Robi się to, gdy chcesz z góry umieścić stację w konkretnej OU albo pozwolić zwykłemu użytkownikowi (bez uprawnień admina domeny) dołączyć ten jeden komputer.
- W Menedżerze serwera wejdź w Narzędzia → Użytkownicy i komputery usługi Active Directory.
- Kliknij prawym na kontenerze
Computerslub wybranej OU → Nowy → Komputer. - Wpisz dokładnie tę samą nazwę, jaką ma stacja kliencka, i wskaż użytkownika lub grupę uprawnioną do dołączenia.
Jeśli pominiesz ten krok, konto komputera utworzy się automatycznie w kontenerze Computers w chwili dołączenia — i to jest najczęstszy scenariusz dla początkujących.
Metoda 1: dołączenie przez GUI (Windows 10 i 11)
Najprostsza droga dla pojedynczej stacji. Potrzebujesz uprawnień administratora lokalnego na kliencie oraz poświadczeń konta, które ma prawo dołączać komputery do domeny (np. administrator domeny).
Przez aplikację Ustawienia
Najszybsza ścieżka w Windows 10 i 11:
- Otwórz Ustawienia → Konta → Uzyskaj dostęp do miejsca pracy lub nauki i kliknij Połącz.
- W oknie kreatora wybierz na dole Dołącz to urządzenie do lokalnej domeny usługi Active Directory.
- Wpisz nazwę domeny (np.
firma.local), kliknij Dalej i podaj poświadczenia konta domenowego. - Uruchom komputer ponownie.
Przez Właściwości systemu (klasyczna metoda)
Działa identycznie na każdej wersji Windows i bywa szybsza, bo trafiasz prosto w okno zmiany przynależności. Wciśnij Win + R, wpisz sysdm.cpl i naciśnij Enter — albo wpisz w wyszukiwarce „Wyświetl nazwę tego komputera”.
- W oknie Właściwości systemu, na karcie Nazwa komputera, kliknij Zmień.
- W sekcji Członek zaznacz Domena i wpisz nazwę domeny.
- Po kliknięciu OK podaj login i hasło konta uprawnionego do dołączenia.
- Pojawi się komunikat „Witamy w domenie…” — to potwierdzenie sukcesu.
- Zamknij okna i uruchom komputer ponownie.
Pierwsze logowanie domenowe
Po restarcie na ekranie logowania kliknij Inny użytkownik i zaloguj się w formacie DOMENA\uzytkownik (np. FIRMA\jkowalski) lub jako UPN [email protected]. Konto musi już istnieć w Active Directory — dołączenie komputera nie tworzy kont użytkowników.
Metoda 2: PowerShell i wiersz poleceń
Gdy musisz dołączyć wiele stacji albo zrobić to zdalnie/skryptowo, GUI odpada. Tu zaczyna się prawdziwa administracja. Uruchom PowerShell jako administrator.
PowerShell — komenda Add-Computer
Najwygodniejsza opcja. Jedna linijka dołącza do domeny i od razu pyta o poświadczenia w bezpiecznym oknie:
Add-Computer -DomainName "firma.local" -Credential (Get-Credential)Restart-Computer
Przydatne rozszerzenia tej komendy:
- Od razu wskaż docelową jednostkę organizacyjną:
Add-Computer -DomainName "firma.local" -OUPath "OU=Stacje,DC=firma,DC=local" -Credential (Get-Credential) - Zmień nazwę komputera w trakcie dołączania parametrem
-NewName "PC-KSIEGOWOSC". - Dołącz i zrestartuj jednym poleceniem, dodając
-Restart.
Wiersz poleceń — netdom
Klasyczne narzędzie netdom (dostępne, gdy zainstalowane są narzędzia RSAT) robi to samo z poziomu CMD uruchomionego jako administrator:
netdom join %COMPUTERNAME% /domain:firma.local /userd:Administrator /passwordd:*
Gwiazdka * przy /passwordd sprawia, że system bezpiecznie zapyta o hasło zamiast trzymać je jawnie w komendzie. Po wykonaniu zrestartuj stację.
Weryfikacja po dołączeniu
Po restarcie warto potwierdzić, że wszystko działa, a nie tylko założyć, że „chyba poszło”:
- Zaloguj się kontem domenowym — sam fakt udanego logowania to najlepszy test.
systeminfo | findstr /B "Domena"— pokaże nazwę domeny zamiast WORKGROUP.Test-ComputerSecureChannelw PowerShellu — wynikTrueoznacza zdrowy, bezpieczny kanał między stacją a kontrolerem.- Po stronie serwera w ADUC sprawdź, że obiekt komputera pojawił się w kontenerze
Computerslub wskazanej OU.
Najczęstsze błędy i jak je naprawić
„Nie można skontaktować się z kontrolerem domeny”
W 9 na 10 przypadków to zły DNS. Sprawdź ipconfig /all — jako serwer DNS musi figurować IP kontrolera. Druga przyczyna to brak łączności (zapora, zła brama, inny VLAN). Trzecia — literówka w nazwie domeny.
Brak opcji „Domena” w ustawieniach
Masz edycję Home. Domena działa tylko w Pro/Enterprise. Rozwiązanie: upgrade edycji (klucz Pro) — nie da się tego obejść.
„The trust relationship between this workstation and the primary domain failed”
Klasyk po przywróceniu maszyny ze snapshotu albo gdy konto komputera w AD zostało usunięte. Hasło konta maszyny rozjechało się z bazą domeny. Najszybsza naprawa bez wyłączania z domeny — w PowerShellu jako administrator lokalny:
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
Jeśli to nie pomoże, zresetuj hasło konta komputera komendą Reset-ComputerMachinePassword -Credential (Get-Credential) i zrestartuj. Stara metoda „wypnij do grupy roboczej i wepnij ponownie” też działa, ale jest wolniejsza.
Błąd uwierzytelniania mimo dobrego hasła
Najczęściej rozjechany czas. Wyrównaj zegar klienta do kontrolera (różnica poniżej 5 minut) i spróbuj ponownie. Pamiętaj też o aktualizacji KB5020276, która zaostrzyła walidację przy dołączaniu — w nowszych Windowsach nieautoryzowane urządzenia mogą zostać odrzucone, jeśli konto komputera nie zostało wcześniej przygotowane.
Jak wypiąć komputer z domeny
Czasem trzeba wrócić do grupy roboczej, np. przy wycofywaniu sprzętu. Najprościej w PowerShellu jako administrator:
Remove-Computer -UnjoinDomainCredential (Get-Credential) -PassThru -Restart
Alternatywnie tą samą drogą GUI co przy dołączaniu (sysdm.cpl → Zmień), tylko zaznaczasz Grupa robocza i wpisujesz jej nazwę, np. WORKGROUP. Po wypięciu pamiętaj, żeby usunąć osierocony obiekt komputera z Active Directory po stronie serwera.
FAQ — dołączanie Windows do domeny
Czy mogę dołączyć Windows 10/11 Home do domeny?
Nie. Edycje Home nie obsługują dołączania do domeny Active Directory. Potrzebujesz Pro, Enterprise, Pro Education lub Pro for Workstations. Edycję sprawdzisz komendą winver.
Jaki DNS ustawić na komputerze klienckim?
Adres IP kontrolera domeny — nie router ani publiczny DNS jak 8.8.8.8. Komputer odnajduje kontroler przez rekordy SRV w DNS-ie domeny, więc bez poprawnego DNS dołączenie się nie powiedzie.
Dlaczego po dołączeniu nie mogę się zalogować?
Najczęstsze przyczyny to: logowanie kontem lokalnym zamiast domenowym (użyj DOMENA\uzytkownik), rozjechany czas blokujący Kerberos (różnica ponad 5 minut) albo to, że konto użytkownika nie istnieje w Active Directory. Dołączenie komputera nie zakłada kont użytkowników.
Czy mogę dołączyć komputer do domeny zdalnie?
Tak, komendą Add-Computer z parametrem -ComputerName wskazującym zdalną stację, pod warunkiem odpowiednich uprawnień i otwartych portów. W praktyce częściej dołącza się masowo przez skrypt lub politykę, niż klikając na każdej maszynie.
Jaka komenda dołącza komputer do domeny najszybciej?
W PowerShellu: Add-Computer -DomainName "firma.local" -Credential (Get-Credential) -Restart. Jedna linijka dołącza do domeny i od razu restartuje komputer.


