A domainbe vetett bizalom helyreállítása
A felhasználói fiókokhoz hasonlóan a domain számítógépes fiókjai saját jelszóval rendelkeznek. Ez a jelszó szükséges az úgynevezett "bizalmi kapcsolat" létrehozásához a munkaállomás és a tartomány között. Automatikusan generálják a jelszavakat a számítógépekhez, és automatikusan cserélik egymást 30 naponként.
A domain az aktuális számítógépes jelszót és az előzőt tárolja, csak abban az esetben, ha 🙂. Ha a jelszó kétszer megváltozik, akkor a régi jelszóval rendelkező számítógép nem tud hitelesíteni a tartományban és létrehozni egy biztonságos kapcsolatot. A Rassindronizatsiya jelszavak különböző okokból előfordulhatnak, például a számítógépet visszaállította a biztonsági mentésből, újratelepítette az operációs rendszert vagy egyszerűen hosszú ideig kikapcsolta. Ennek eredményeképpen, amikor megpróbálja belépni a tartományba, egy üzenetet kap arról, hogy nem hozhat létre bizalmi kapcsolatot a tartománygal.
A bizalom helyreállítása számos módon lehetséges. Vigyázzon rájuk minden rendben.
Nyissa meg az "Active Directory felhasználók és számítógépek" beépülő modult, és keresse meg a szükséges számítógépet. Kattintson rá a jobb egérgombbal, és válassza a "Reset Account" lehetőséget a helyi menüben. Ezután megyünk a számítógéphez a helyi fiók alatt, és újra beilleszik a domainbe.
Megjegyzés. Néhány, ahol vannak olyan ajánlások, amelyek eltávolítják a számítógépet a tartományból és újra létrehozzák. Ez ugyanúgy működik, de ugyanakkor a számítógép új SID-t kap, és elveszíti a csoporttagságot, ami kiszámíthatatlan következményekhez vezethet.
Ez a módszer meglehetősen nehézkes és lassú; újraindítást igényel, de az idő 100% -át teszi ki.
Elindulunk a számítógépre, amelyiknek vissza kell állítania a jelszót, megnyitnia kell a parancskonzert szükségszerűen a rendszergazda nevében, és be kell írnia a parancsot:
Netdom Resetpwd / Server: SRV1 / UserD: Rendszergazda / PasswordD: *
A megnyíló ablakban adja meg a felhasználói hitelesítő adatokat, majd kattintson az OK gombra. A jelszó alaphelyzetbe áll, és a tartományi fiók alatt bejelentkezhet a számítógépre. Újraindítás nem szükséges.
Érdekes módon a használati útmutató és a súgó megjegyzése szerint a Netdom Resetpwd parancs csak a tartományvezérlőn lévő jelszó visszaállítására használható, más alkalmazások nem támogatottak. Ez azonban nem így van, és a parancs sikeresen visszaállítja a jelszót a hétköznapi kiszolgálókon és munkaállomásokon.
A Netdom használatával ellenőrizheti, hogy van-e biztonságos kapcsolat a domainre:
Netdom Verify WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *
Vagy állítsa vissza a számítógép fiókját:
Netdom Reset WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *
ahol a WKS1 a munkaállomás, amelyre elszámoljuk a könyvelést.
A módszer gyors és hatékony, de van egy dolog: alapértelmezés szerint a Netdom segédprogram csak olyan kiszolgálókon érhető el, amelyeken telepítve van az Active Directory tartományi szolgáltatások (AD DS) szerepkör. Ügyfélgépeken a Távfelügyeleti felügyeleti eszközök (RSAT) részeként érhető el.
Egy másik parancssori segédprogram Nltest. A bizalmat elvesztett számítógépen hajtsa végre a következő parancsokat:
Nltest / query - ellenőrizze a biztonságos kapcsolatot a tartományhoz;
Nltest /sc_reset:Contoso.com - állítsa vissza a számítógép fiókját a tartományban;
Nltest /sc_change_pwd:Contoso.com - változtassa meg a számítógép jelszavát.
A leggyorsabb és legkedvezőbb áron, mert az Nltest segédprogram alapértelmezett bármely munkaállomáson vagy szerveren. Azonban, a Netdom-tól eltérően, amely a hitelesítő adatok bevitelét biztosítja, az Nltest a felhasználó indításakor működik. Ennek megfelelően a helyi számlán lévő számítógép elérése és a parancs végrehajtása érdekében hozzáférési hibát kapunk.
A PowerShell is tudja, hogyan állíthatja vissza a számítógép jelszavát és visszaállíthatja a biztonságos kapcsolatot a tartományhoz. Ehhez a Test-ComputerSecureChannel cmdlet létezik. Paraméter nélkül fut, megjeleníti a védett csatorna állapotát - Igaz vagy hamis.
Számítógép-fiók és biztonságos csatorna alaphelyzetbe állításához ezt a parancsot használhatja:
Test-ComputerSecureChannel -Server SRV1 -Credential Contoso \ Administrator -Repair
ahol az SRV1 a tartományvezérlő (nem kötelező).
A jelszó visszaállításához ezt a parancsot is használhatja:
Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso \ Adminisztrátor
Amint láthatja, több mint elegendő mód van a bizalom helyreállítására. Ha azonban a probléma állandóvá válik, könnyebben megközelíthető a másik oldalról.
A számítógép jelszóváltási beállításainak módosítása
A domainben a jelszóváltozás a következő:
A munkaállomás 30 naponta kérést küld a legközelebbi tartományvezérlőnek, hogy megváltoztassa a számítógépfiók jelszavát. A vezérlő elfogadja a kérést, megváltoztatja a jelszót, majd a változásokat a következő replikációval továbbítja a tartomány minden vezérlőjéhez.
A jelszó megváltoztatásához néhány paraméter megváltoztatható. Például megváltoztathatja az időintervallumot, vagy teljesen letilthatja a jelszó módosítását. Ezt mind az egyes számítógépek, mind a csoportok esetében megteheti.
Ha a beállításokat egy számítógépcsoportra kívánja alkalmazni, akkor a csoportházirend legegyszerűbb módja. A jelszavak módosításáért felelős beállítások megtalálhatók a Számítógép konfigurációja - Irányelvek - Windows beállítások - Biztonsági beállítások - Helyi házirendek - Biztonsági beállítások részben. A következő paraméterek érdekelnek:
Letiltja a gépi fiók jelszavas módosítását - letiltja a jelszóváltási kérelmet a helyi gépen;
Maximális gépi fiók jelszó kora - meghatározza a számítógép jelszó maximális időtartamát. Ez a paraméter határozza meg azt a gyakoriságot, amellyel a domain tag megpróbálja megváltoztatni a jelszót. Az alapértelmezett időtartam 30 nap, a maximum 999 nap;
Megszüntetni a gépi fiókkal kapcsolatos jelszóváltásokat - tiltja a jelszó megváltoztatását a tartományvezérlőkön. Ha ez az opció engedélyezve van, a felügyelők elutasítják a számítógépekre vonatkozó kéréseket a jelszó módosításához.
Egyetlen gép esetén a rendszerleíró adatbázis beállításait használhatja. Ehhez két paraméter van a HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters szakaszban:
DisablePasswordChange - ha 1-re van állítva, a számítógép jelszó-frissítési kérelme le van tiltva, 0 engedélyezve van.
MaximumPasswordAge - megadja a számítógép jelszó maximális időtartamát napokban. Kívánság szerint több mint 1 millió napot adhat meg.
És a HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Paraméterek részben. csak a tartományvezérlők esetében, a paraméter:
RefusePasswordChange - ha 1-re van állítva, megtiltja, hogy a tartományvezérlő elfogadja a jelszóváltási kérelmet. Ezt a paramétert be kell állítani a tartomány összes vezérlőjéhez.
Ez a bizalmi kapcsolatokról szól. Amint láthatja, a domainbe vetett bizalom finom dolog, ezért ne próbálja elveszíteni.