Повторное присоединение компьютера к домену

Эта хитрость происходит через мою учебную группу Active Directory. Я предлагаю всем присоединиться к группе пользователей и/или учебной группе. Дело не в том, что мы не знаем AD, а в том, что мы забываем или пропускаем новые возможности. Курс переподготовки тоже веселый.

Иногда компьютер “выпадает” из домена. Симптомами могут быть то, что компьютер не может войти в систему при подключении к сети, сообщение об истечении срока действия учетной записи компьютера, недействительный сертификат домена и т.д. Все это связано с одной и той же проблемой, а именно с тем, что защищенный канал между компьютером и доменом защищен. (Это технический термин. Улыбка )

Классическим способом исправления этой проблемы является отсоединение и повторное присоединение к домену. Сделать это довольно болезненно, поскольку это требует пары перезагрузок, а пользовательский профиль не всегда подключается заново. Ив. Далее, если бы у вас был этот компьютер в какой-либо группе или вы назначили ему определенные разрешения, они бы исчезли, поскольку теперь у вашего компьютера есть новый SID, поэтому AD больше не видит его как ту же самую машину. Вам придется воссоздать все это из отличной документации, которую вы хранили. Хм, да, из вашей отличной документации. Двойная овца.

Вместо этого мы можем просто сбросить защищенный канал. Есть пара способов сделать это:

1. В AD щелкните правой кнопкой мыши компьютер и выберите Сбросить учетную запись.
   Затем снова подключитесь без разблокирования компьютера к домену.
   Требуется перезагрузка.
2. В верхнем типе интерпретатора команд: dsmod computer "ComputerDN" -reset Затем снова подключиться без необходимости отсоединения компьютера от домена.
   Требуется перезагрузка.
   
3. В командной строке повышенного уровня: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password Учетная запись, мандаты которой вы предоставили, должна быть членом группы локальных администраторов.
   Перезагрузка не требуется. Никакой перезагрузки.
4. В интерпретаторе команд верхнего уровня: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController Без перезагрузки. Нет перезагрузки.

Прекратите бороться с этой проблемой со стороны клиента. Если вы не можете войти в домен, вам придется либо войти с включенной локальной учетной записью, либо использовать загрузочный CD для включения.

Попробуйте удалить машину из Active Directory Users and Computers (Пользователи и компьютеры Active Directory). Это должно быть в инструментах администрирования на вашем сервере. Откройте OU (организационную единицу), которая содержит компьютер. Найдите компьютер, щелкните на нем правой кнопкой мыши и нажмите удалить.

Это может не повредить терпению и просто позволить репликации сделать свое дело, в зависимости от того, сколько у вас контроллеров домена. Если ваш домен довольно прост (никаких сайтов и только два DC), вы можете использовать repadmin /replicate для принудительной репликации. Дайте прочитать перед этим.

Теперь снова добавьте ПК с помощью AD UC и либо дождитесь репликации, либо принудительно ее выполните.

Если он все еще ноет на вас, дайте netdom /remove попробовать страница man здесь ) и посмотрите, не выведет ли он его из вашего домена. Если у вас возникли проблемы с этим, взгляните на этот вопрос . Это другой сценарий, но по сути та же самая концепция: попытка удалить компьютер из домена, когда он не может связаться с контроллером домена.

Начиная с сервера 2008 R2, задача очень проста. Теперь мы можем использовать команду Test-ComputerSecureChannel.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Добавить параметр -Repair для выполнения действительного восстановления; использовать учетные данные учетной записи, которая авторизована на подключение компьютеров к домену.

Ссылка: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDIT–

Если для этого нет учетных записей локального администратора, вы можете создать одну из них (или включить отключенную встроенную учетную запись администратора) с помощью известных Sticky Keys hack.

Чтобы сбросить забытый пароль администратора, выполните следующие шаги: ^

1. Загрузитесь из Windows PE или Windows RE и откройте командную строку.
2. Найдите букву диска раздела, на котором установлена Windows. В Vista и Windows XP обычно это C:, в Windows 7 - D:, в большинстве случаев потому, что первый раздел содержит Startup Repair. Чтобы найти букву диска, введите C: (или D: соответственно) и выполните поиск папки Windows. Обратите внимание, что Windows PE (RE) обычно располагается на X:. Для целей этой демонстрации мы предположим, что Windows установлена на диске C: 0x2 и 3. Введите следующую команду: copy C:\Windows\System32\sethc.exe C:Начиная с сервера 2008 R2, задача очень проста. Теперь мы можем использовать командуTest-ComputerSecureChannel`.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

0x4&

Добавить параметр -Repair для выполнения действительного восстановления; использовать учетные данные учетной записи, которая авторизована на подключение компьютеров к домену.

Ссылка: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDIT–

Если для этого нет учетных записей локального администратора, вы можете создать одну из них (или включить отключенную встроенную учетную запись администратора) с помощью известных [ Sticky Keys ]0x3& hack.

Чтобы сбросить забытый пароль администратора, выполните следующие шаги: ^

1. Загрузитесь из Windows PE или Windows RE и откройте командную строку.
2. Найдите букву диска раздела, на котором установлена Windows. В Vista и Windows XP обычно это C:, в Windows 7 - D:, в большинстве случаев потому, что первый раздел содержит Startup Repair. Чтобы найти букву диска, введите C: (или D: соответственно) и выполните поиск папки Windows. Обратите внимание, что Windows PE (RE) обычно располагается на X:. Для целей этой демонстрации мы предположим, что Windows установлена на диске C: 0x2 и 3. Введите следующую команду: Это создает копию sethc.exe для последующего восстановления.
3. Введите эту команду, чтобы заменить sethc.exe на cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Перезагрузите компьютер и запустите экземпляр Windows, для которого у вас нет пароля администратора.
4. После того, как вы увидите экран входа в систему, нажмите клавишу SHIFT пять раз.
5. Вы должны увидеть командную строку, в которой вы можете ввести следующую команду для сброса пароля Windows:net user [username] [password]Если вы не знаете своего имени пользователя, просто введите net user, чтобы перечислить доступные имена пользователей.
6. Теперь вы можете войти в систему с новым паролем.

Если вы хотите включить отключенную по умолчанию встроенную учетную запись администратора вместо сброса пароля на существующую учетную запись, команда:

1. net user administrator /active:yes.

Если вы хотите создать новую учетную запись и добавить ее в группу локальных администраторов, командой [ последовательность команд ]0x3& будет:

1. net user /add [username] [password]
2. net localgroup administrators [username] /add

Возможно, вам придется войти в систему, используя учетные данные, которые являются локальными для этой машины. Когда ОС была впервые установлена, есть локальная учетная запись, которая настроена.

Войдите под этой учетной записью, используя Имя компьютера в качестве домена (например, MYCOMP\JSmith). Обычно учетная запись администратора локальной машины присутствует, но по умолчанию отключена.

После того, как вы вошли в систему в качестве локального пользователя, вы должны иметь возможность выйти и снова войти в домен.

Добавить ПК можно только при наличии прав администратора на ПК и права на смену DC.

Поэтому необходимо сбросить пароль администратора на ПК. Одним из способов выполнения этой задачи является использование установочного DVD и консоли восстановления. Это позволит вам восстановить полный контроль.

Единственное решение, если у вас есть проблема с доверием ПК/сервера (после сброса, воссоздания на DC и т.д.), чтобы решить ее без восстановления!

Отключите все NICS, поэтому он не сможет проверить доверительные отношения с DC входа в систему. Затем войдите с учетной записью домена уровня администратора (должна находиться в группе локальных администраторов ПК), которая была ранее зарегистрирована, т.е. для использования кэшированных учетных данных. Моя проблема заключалась в том, что я переместил W7 VM из prod в тестовую лабораторию, и ожидал, что доверие будет нарушено, однако я не смог войти с учетными записями локальных администраторов/пользователей, или даже со “старыми доменами” кэшированными учетными записями.

Отключение сетевых карт и кэшированных мандатов работает, после чего вы можете снова войти в домен с netdom join.

Если у вас закончились кэшированные учетные данные в КЭШе (зависит от политик локальной ОС / GPO - до 50), выполните восстановление системы в предыдущие дни, это тоже сработает.

Сначала попробуйте войти в систему с помощью администратора (Computer name\Administrator), затем отключите домен от WorkGroup и перезагрузитесь. Теперь ваш компьютер находится в WorkGrup в качестве локальной учетной записи. Теперь снова попробуйте присоединиться к домену (щелкните правой кнопкой мыши на My computer->Property->Change->Doamin->Ex Fu-com.com -> Затем он будет в качестве пароля администратора для сервера, затем введите имя пользователя в качестве администратора, а затем пароль. затем перезагрузите компьютер. Теперь ваш компьютер находится в домене, попробуйте войти с ID пользователя и паролем.

1. Отключите сетевой кабель и войдите на рабочую станцию, на которую он воздействует (кэшированные учетные данные позволят это сделать). После этого снова подключите сетевой кабель.

2. Скачайте пакет Remote Server Administration Tools (RSAT) от Microsoft здесь: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (выберите подходящую 32-битную или 64-битную версию в соответствии с операционной системой рабочей станции, а не сервера).

3. Установить загруженный пакет. У нас были проблемы до тех пор, пока мы не использовали режим чистой загрузки, поэтому вам, возможно, придется перезагрузить рабочую станцию после настройки на чистую загрузку, которая может быть отменена после этого процесса.

4. Установка RSAT не делает его автоматически доступным для использования. Перейдите в Панель управления -> Программы -> Добавление/удаление функций Windows и найдите Инструменты администратора удаленного сервера. Расширьте эту информацию и перейдите к AD/AS / Командная строка и включите ее.

5. Откройте командное окно в качестве администратора и введите эту команду:

NETDOM.EXE resetpwd /s:(server) /s:(server) /ud:(username) /pd:*

Где (server) - Netbios имя сервера домена и (username) - учетная запись входа на рабочую станцию в формате DOMAIN\Username

Вот и все. После этого все вернулось на рабочую станцию в нормальное состояние.

У меня это случилось, и мне удалось войти в учетную запись администратора и снова добавить ее в рабочую группу, а затем снова добавить ее в домен.

Если у вас установлено антивирусное программное обеспечение, сделайте следующее…

Start ==> запустите ==> ncpa.cpl ==> нажмите кнопку Alt + N ==> Advanced Settings ==> вкладка Provider Order ==> нажмите кнопку вверх, чтобы получить Microsoft Windows Network в верхней части.

Сделайте это на клиенте и контроллере домена (DC).