Вратите поверење без поновног уласка у домен

У овом чланку ћемо се дотакнути проблема кршења поверења између радне станице и домена који спречава корисника да се пријави у систем. Размотрите узрок проблема и једноставан начин враћања поверења у сигуран канал.

Како се проблем манифестује: корисник покушава да се пријави на радну станицу или сервер на свом налогу и након уноса лозинке појави се грешка:

Однос поверења између ове радне станице и примарног домена није успео

Или такво:

Сигурносна база података на серверу нема рачунарски рачун за овај однос поверења радне станице. База података управитеља рачуна на серверу не садржи унос за регистрацију рачунара путем поверења са овом радном станицом.

Покушајмо установити шта ове грешке значе и како их исправити..

Садржај:

  • Лозинка рачунара у АД домени
  •  Нетдом Утилити
  • Ресет-ЦомпутерМацхинеПассворд Цмдлет

Лозинка рачунара у АД домени

Када се рачунар унесе у домену Ацтиве Дирецтори, за њега се ствара посебан рачунар са лозинком. На овом нивоу, поверење се обезбеђује чињеницом да ову операцију обавља администратор домене или корисник домене (сваки корисник може подразумевано да укључи 10 рачунара у домену).

Када је рачунар регистрован у домену, између њега и контролера домене успоставља се сигуран канал, преко кога се преносе акредитиве и даља интеракција одвија се у складу са безбедносним правилима која је утврдио администратор.

Задана лозинка за ваш рачунар је 30 дана, након чега се аутоматски мења. Промену лозинке иницира сам рачунар на основу смерница домена.

Савет. Максимални век лозинке може се подесити помоћу смерница. Домен члан: Максимално машина рачун лозинку старост, који се налази у одељку: Компјутер Конфигурација-> Виндовс Подешавања-> Сигурност Подешавања-> Локално Политике-> Сигурност Опције.  Лозинка за рачунар може бити од 0 до 999 (подразумевано 30 дана).

Ако је лозинка рачунара истекла, она се аутоматски мења следећи пут када се региструјете на домену. Стога, ако нисте поново покренули рачунар неколико месеци, однос поверења између рачунара и домена се чува, а лозинка рачунара ће се променити следећи пут када поново покренете рачунар..

Поверенички односи се прекидају ако рачунар покушава да потврди идентитет домена погрешном лозинком. То се обично дешава када је рачунар враћен из слике или из снимка виртуелне машине. У овом случају се лозинка машине која је локално сачувана и лозинка у домену можда не подударају.

„Класичан“ начин враћања поверења у овом случају је:

  1. Ресетујте лозинку локалног администратора
  2. Уклоните рачунар из домена и укључите га у радну групу
  3. Поново ће се покренути
  4. Коришћење АДУЦ-овог снап-ин-ресетовања рачунарског рачуноводства у домену (Ресет Аццоунт)
  5. Поново омогућите рачунар у домену
  6. Поново покрените систем

Ова метода је најједноставнија, али превише неспретна и захтева најмање два поновна покретања и 10-30 минута времена. Поред тога, можда ћете имати проблема са коришћењем старих локалних корисничких профила..

Постоји елегантнији начин враћања поверења без преласка на домен и без поновног покретања.

 Нетдом Утилити

Корисност Нетдом  укључен у Виндовс Сервер од верзије 2008, и може се инсталирати на ПЦ рачунаре корисника из РСАТ-а (Ремоте Сервер Администраторс Тоолс). Да бисте вратили поверење, потребно је да се пријавите под локалним администратором (тако што ћете на екрану за пријављивање уписати „. \ Администратор“) и покренути следећу команду:

Нетдом ресетпвд / Сервер: ДомаинЦонтроллер / УсерД: Администратор / ПассвордД: Лозинка

  • Сервер - име било којег доступног контролера домена
  • Кориснички - корисничко име са администратором домена или Права потпуне контроле на ОУ са рачунарским налогом
  • Лозинка - корисничка лозинка

Нетдом ресетпвд / Сервер: сам-дц01 / УсерД: аапетров / ПассвордД: Па @@ в0рд

Након успешног извршавања наредбе, поновно покретање није потребно, само се одјавите и пријавите под налог домене.

Ресет-ЦомпутерМацхинеПассворд Цмдлет

Цмдлет Ресет-ЦомпутерМацхинеПассворд појавио у ПоверСхелл 3.0, а за разлику од услужног програма Нетдом, већ је доступан на систему почевши од Виндовс 8 / Виндовс Сервер 2012. На Виндовс 7, Сервер 2008 и Сервер 2008 Р2 може се инсталирати ручно (хттп://ввв.мицрософт.цом /ен-ус/довнлоад/детаилс.аспк?ид=34595), такође је потребан Нет Фрамеворк 4.0 или новији.

Такође се морате пријавити под локални администраторски налог, отворити ПоверСхелл конзолу и покренути наредбу:

Ресетуј-ЦомпутерМацхинеПассворд -Сервер ДомаинЦонтроллер -Вредни домен \ Администратор

  • Сервер - име контролера домена
  • Веродостојност - корисничко име са правима администратора домена (или права на ОУ са рачунара)

Ресетуј-ЦомпутерМацхинеПассворд -Сервер сам-дц01 -Предељени корпус \ аапетров

У сигурносном прозору који се отвори морате да наведете корисничку лозинку.

Савет. Исту операцију можете извести користећи други Поверсхелл цмдлет. Тест-ЦомпутерСецуреЦханнел:

Тест-ЦомпутерСецуреЦханнел -Репаир -Кредитни корпус \ аапетров

Да бисте проверили да ли постоји безбедан канал између ПЦ-ја и ДЦ-а, користите наредбу:

нлтест /сц_верифи:цорп.адатум.цом

Следеће линије потврђују да је поверење успешно враћено:

Статус поузданог једносмерног повезивања = 0 0к0 НЕРР_Успех

Статус верификације поверења = 0 0к0 НЕРР_Суццесс

Као што видите, враћање поверења у домен је прилично једноставно.