Я в интернете

В Телеграм публикую анонсы на самые интересные заметки.

В Твиттер помимо ссылок на заметки пишу всякую ерунду.

По РСС и Джейсон-фид трансляции для автоматических читалок.

Если хотите, можете подписаться на рассылку или включить push-уведомления.

Обещаю не надоедать и не отправлять рекламу. 😉

Восстанавливаем доверительные отношения в домене

Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Домен хранит два пароля — текущий и предыдущий. Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение.

Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.

Не способ решения проблемы

Если данные из учётки нужны срочно-срочно, просто отсоедините Ethernet-кабель от вашей рабочей станции. Проблему в долгосрочной перспективе это, правда, не решит, но поможет в тех случаях, если доступ к компьютеру нужен прямо сейчас. Попробуйте залогиниться — в большинстве случаев это сработает.

Способ решения проблемы №1

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Способ решения проблемы №2

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера).

Для ее использования войдите на проблемном компьютере под учётной записью локального администратора и выполните команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контроллере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Способ решения проблемы №3

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

Nltest /query — проверить безопасное соединение с доменом;

Nltest /sc_reset:PODIVILOV.LOCAL — сбросить учетную запись компьютера в домене;

Nltest /sc_change_pwd:PODIVILOV.LOCAL — изменить пароль компьютера.

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере.

Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Способ решения проблемы №4

PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel. Запущенный без параметров он выдаст состояние защищенного канала — True или False.

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Test-ComputerSecureChannel -Server PODIVILOV.LOCAL -Credential PODIVILOV\Administrator -Repair, где PODIVILOV.LOCAL — контроллер домена (указывать не обязательно).

Подписаться на блог
Поделиться
Отправить
 40   3 мес  
Что почитать