Riunire un computer al dominio

Questo trucco viene dal mio gruppo di studio di Active Directory. Suggerisco a tutti di unirsi a un gruppo di utenti e/o a un gruppo di studio. Non è che non conosciamo AD, è che ci dimentichiamo o ci mancano nuove funzionalità. Un corso di aggiornamento è anche divertente.

Occasionalmente un computer viene “disgiunto” dal dominio. I sintomi possono essere che il computer non può accedere quando è connesso alla rete, il messaggio che l'account del computer è scaduto, il certificato del dominio non è valido, ecc. Questi sintomi derivano tutti dallo stesso problema e cioè che il canale sicuro tra il computer e il dominio è bloccato. (questo è un termine tecnico. Sorridi)

Il modo classico per risolvere questo problema è quello di unire e riunire il dominio. Farlo è un po’ una rottura perché richiede un paio di riavvii e il profilo utente non è sempre ricollegato. Ewe. Inoltre, se avevi quel computer in qualche gruppo o gli avevi assegnato permessi specifici, questi sono spariti perché ora il tuo computer ha un nuovo SID, quindi AD non lo vede più come la stessa macchina. Dovrete ricreare tutta quella roba dall'eccellente documentazione che avete conservato. Uh, huh, la vostra eccellente documentazione. Doppio Ewe.

Invece di fare questo possiamo semplicemente resettare il canale sicuro. Ci sono un paio di modi per farlo:

1. In AD cliccate con il tasto destro del mouse sul computer e selezionate Reset Account.
   Poi reinseritevi senza disinserire il computer nel dominio.
   Riavvio richiesto.
2. In un prompt dei comandi elevato digitare: dsmod computer "ComputerDN" -reset Poi ricongiungiti senza disgiungere il computer al dominio.
   Riavvio richiesto.
   
3. In un prompt dei comandi elevato digitate: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password L'account di cui hai fornito le credenziali deve essere un membro del gruppo degli amministratori locali.
   Nessuna ricongiunzione. Nessun riavvio.
4. In un prompt dei comandi elevato digitare: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController Nessuna ricongiunzione. Nessun riavvio.

Smettete di combattere con questo problema dal lato client. Se non potete accedere al dominio, dovrete accedere con un account locale abilitato, o usare un CD di avvio per abilitarne uno.

Prova a rimuovere la macchina da Active Directory Users and Computers. Dovrebbe essere in Administrative Tools sul tuo server. Apri la OU (unità organizzativa) che contiene il computer. Trova il computer, fai clic destro su di esso e premi “delete”.

Potrebbe non far male essere pazienti e lasciare che la replica faccia il suo lavoro, a seconda di quanti DC hai. Se il tuo dominio è abbastanza semplice (nessun sito e solo due DC) potresti usare repadmin /replicate per forzare la replica. Dai una letta a questo prima di farlo.

Ora aggiungi di nuovo il PC usando AD UC e aspetta la replica o forzala.

Se si lamenta ancora, prova netdom /remove man page here ) e vedi se questo lo toglie dal tuo dominio. Se hai problemi con questo, dai un'occhiata a questa domanda . È uno scenario diverso ma essenzialmente lo stesso concetto: cercare di rimuovere un computer da un dominio quando non può contattare il DC.

A partire da Server 2008 R2, il compito è molto semplice. Ora possiamo usare il cmdlet Test-ComputerSecureChannel.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Aggiungi il parametro -Repair per eseguire la riparazione vera e propria; usa le credenziali di un account autorizzato ad unire i computer al dominio.

Riferimento: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDIT–

Se non ci sono account di amministratore locale che puoi usare per questo, puoi crearne uno (o abilitare l'account amministratore integrato disabilitato) con il ben noto hack Sticky Keys .

Per resettare una password di amministratore dimenticata, seguite questi passi: ^

1. Avviare da Windows PE o Windows RE e accedere al prompt dei comandi.
2. Trova la lettera dell'unità della partizione in cui è installato Windows. In Vista e Windows XP, di solito è C:, in Windows 7, è D: nella maggior parte dei casi perché la prima partizione contiene Startup Repair. Per trovare la lettera dell'unità, digitate C: (o D:, rispettivamente) e cercate la cartella Windows. Notate che Windows PE (RE) di solito risiede su X:. Per gli scopi di questa dimostrazione, assumeremo che Windows sia installato sull'unità C:
3. Digita il seguente comando: copy C:\Windows\System32\sethc.exe C:A partire da Server 2008 R2, il compito è molto semplice. Ora possiamo usare il cmdletTest-ComputerSecureChannel`.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

0x4&

Aggiungi il parametro -Repair per eseguire la riparazione vera e propria; usa le credenziali di un account autorizzato ad unire i computer al dominio.

Riferimento: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDIT–

Se non ci sono account di amministratore locale che puoi usare per questo, puoi crearne uno (o abilitare l'account amministratore integrato disabilitato) con il ben noto hack [ Sticky Keys ]0x3&.

Per resettare una password di amministratore dimenticata, seguite questi passi: ^

1. Avviare da Windows PE o Windows RE e accedere al prompt dei comandi.
2. Trova la lettera dell'unità della partizione in cui è installato Windows. In Vista e Windows XP, di solito è C:, in Windows 7, è D: nella maggior parte dei casi perché la prima partizione contiene Startup Repair. Per trovare la lettera dell'unità, digitate C: (o D:, rispettivamente) e cercate la cartella Windows. Notate che Windows PE (RE) di solito risiede su X:. Per gli scopi di questa dimostrazione, assumeremo che Windows sia installato sull'unità C:
3. Digita il seguente comando: Questo crea una copia di sethc.exe da ripristinare in seguito.
4. Digitate questo comando per sostituire sethc.exe con cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Riavviate il computer ed eseguite l'istanza di Windows di cui non avete la password di amministratore.
5. Dopo aver visto la schermata di accesso, premete il tasto SHIFT cinque volte.
6. Dovreste vedere un prompt dei comandi dove potete inserire il seguente comando per resettare la password di Windows:net user [username] [password]Se non conoscete il vostro nome utente, digitate semplicemente net user per elencare i nomi utente disponibili.
7. Ora puoi accedere con la nuova password.

Se vuoi abilitare l'account di amministratore integrato disabilitato per default invece di reimpostare la password su un account esistente, il comando è:

1. net user administrator /active:yes.

Se vuoi creare un nuovo account e aggiungerlo al gruppo locale Administrators, la [ sequenza di comandi ]0x3& è:

1. net user /add [username] [password]
2. net localgroup administrators [username] /add

Potrebbe essere necessario accedere utilizzando le credenziali che sono locali a quella macchina. Quando il sistema operativo è stato installato per la prima volta, c'è un account locale impostato.

Accedi con quell'account usando il nome del computer come dominio (es. MYCOMP\JSmith). Di solito l'account di amministratore della macchina locale è presente ma disabilitato per impostazione predefinita.

Una volta che hai fatto il login come utente locale, dovresti essere in grado di uscire e rientrare nel dominio.

È possibile aggiungere il PC solo quando si hanno i diritti di amministratore del PC e il diritto di cambiare il DC.

Pertanto è necessario reimpostare la password degli amministratori sul PC. Un modo per eseguire questo compito è l'uso del DVD di installazione e utilizzare la console di riparazione. Questo permette di riacquistare il pieno controllo.

L'unica soluzione, se avete un problema di fiducia tra PC e Server, (dopo il reset, la ricreazione su DC, ecc.) per risolverlo senza alcun ripristino!

Disabilita tutti i NICS, così non può verificare la relazione di fiducia con il DC di accesso. Quindi effettuare il login con un account di dominio di livello amministratore precedentemente loggato (deve risiedere nei gruppi di amministratori del PC locale) che era precedentemente loggato cioè per sfruttare le credenziali memorizzate nella cache. Il mio problema era che ho spostato una VM W7 da prod a un laboratorio di prova, e ho previsto che un trust fosse rotto, tuttavia non che non sono stato in grado di accedere con gli account di amministratore locale / utente, o anche con i “vecchi domini” credenziali memorizzate nella cache.

Disabilita le NIC e le credenziali memorizzate nella cache funzionano, poi puoi ricongiungerti al dominio con netdom join.

Se si esauriscono i tentativi di credenziali nella cache (dipende dalle politiche del sistema operativo locale / GPO - fino a 50), fare un ripristino del sistema a un giorno precedente, anche questo funzionerà.

All'inizio prova ad accedere con Administrator (nome del computer), poi disaccoppia il dominio da WorkGroup e riavvia il computer, ora è in WorkGrup come account locale. Ora prova a unirti di nuovo al dominio (clicca con il tasto destro del mouse su My computer - >Property - >Change - >Doamin - >Ex Fu-com.com - > Poi ti chiederà la password di amministratore per il server, quindi inserisci il nome utente come amministratore e la password. poi riavvia il tuo computer. Ora il tuo computer è nel dominio, prova ad accedere con il tuo ID utente e la tua password.

1. Scollegare il cavo di rete e accedere alla stazione di lavoro interessata (le credenziali memorizzate nella cache lo permetteranno.) Dopo aver fatto questo, ricollegare il cavo di rete.

2. Scaricare il pacchetto RSAT (Remote Server Administration Tools) da Microsoft qui: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (selezionare la versione corretta a 32-bit o 64-bit secondo il sistema operativo della workstation, non del server).

3. Installare il pacchetto scaricato. Abbiamo avuto problemi con questo finché non abbiamo usato la modalità di avvio pulito, quindi potrebbe essere necessario riavviare la workstation dopo la configurazione per l'avvio pulito, che può essere annullata dopo questo processo.

4. L'installazione di RSAT non lo rende automaticamente disponibile all'uso. Vai al Pannello di controllo -> Programmi -> Aggiungi/Rimuovi funzionalità di Windows e cerca Remote Server Administrator Tools. Espandilo e cerca AD/AS / Linea di comando e abilitalo.

5. Apri una finestra di comando come amministratore e inserisci questo comando:

NETDOM.EXE resetpwd /s:(server) /ud:(username) /pd:*

Dove (server) è il nome Netbios del server di dominio e (username) è l'account di login della workstation interessata nel formato DOMAIN\Username

Questo è tutto. Dopo aver fatto questo, tutto è tornato normale sulla stazione di lavoro.

Ho avuto questo problema e ciò che ha funzionato per me è accedere all'account di amministratore e aggiungere nuovamente al gruppo di lavoro, poi aggiungere nuovamente al dominio.

Se avete installato un software antivirus, fate come segue…

Start ==> esegui ==> ncpa.cpl ==> premi il tasto Alt + N ==> Impostazioni avanzate ==> scheda Provider Order ==> premi il tasto su per portare Microsoft Windows Network in cima.

Fate questo sul client e sul domain controller (DC).