Restabilirea încrederii în domeniu - ps523

Ca conturi de utilizator, conturi de calculator în domeniu au propria lor parola.
Această măsură este necesară o parolă pentru a stabili așa-numitele „relațiile de încredere“ între stația de lucru și domeniu.
Parolele pentru calculatoare sunt generate automat și schimbate automat la fiecare 30 de zile.

Domeniul stochează parola curentă pentru calculator, precum și cea anterioară, doar în cazul în. Dacă parola este schimbat de două ori, calculatorul,
folosind parola veche nu va fi în măsură să autentifice la domeniul și de a stabili o conexiune securizată.
parole Dissynchronization pot apărea din diverse motive, cum ar fi un calculator a fost restaurat dintr-o copie de rezervă,
sa făcut reinstalarea sistemului de operare sau a fost doar o lungă perioadă de timp liber. Ca urmare a vă conecta la domeniu pentru a ne
veți primi un mesaj care nu se poate stabili o relație de încredere cu domeniul.

Restabilirea încrederii în domeniu - ps523

Există mai multe modalități de a restabili relații de încredere. Să le ia în considerare în ordine.

Deschideți utilitarul de completare snap «Active Directory Users and Computers» și pentru a găsi în ea calculatorul dorit.
Faceți clic pe butonul mouse-ului dreapta și-l din meniul contextual, selectați elementul «Reset Cont».
Apoi vom merge la calculator folosind un cont local și reintroduceți-l în domeniu.

Restabilirea încrederii în domeniu - ps523

În unele locuri, există recomandări pentru a elimina computerul din domeniu și re-start. Acesta funcționează prea, dar computerul devine un nou SID și pierde calitatea de membru în grupurile, ceea ce poate duce la consecințe imprevizibile.

Această metodă este destul de greoaie și nu este rapid, deoarece necesită o repornire, cu toate acestea, funcționează în 100% din cazuri.

Du-te la computerul pe care doriți să resetați parola, deschideți consola de comandă în mod necesar ca administrator și introduceți comanda:

Netdom Resetpwd / Server: SRV1 / UserD: Administrator / PasswordD: *

În fereastra care se deschide, introduceți acreditările utilizatorului și faceți clic pe OK. de resetare a parolei și acum vă puteți merge la un calculator în contul de domeniu. Repornirea nu este necesară.

Restabilirea încrederii în domeniu - ps523

Ceea ce este interesant, în recomandările privind utilizarea și Help spune că komanduNetdom Resetpwd poate fi utilizat numai pentru a reseta parola pe un controler de domeniu, alte utilizări nu sunt acceptate. Cu toate acestea, nu este, iar echipa, de asemenea, resetat parola pe servere membre și stații de lucru.

Chiar și utilizarea Netdom poate verifica o conexiune sigură la un domeniu:

Netdom Verificați WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *

Sau resetați contul computerului:

Netdom Reset WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *

in care WKS1 - stație de lucru, care uchetku resetează.

Restabilirea încrederii în domeniu - ps523

Metoda este destul de rapid și eficient, dar există un lucru: implicit utilitatea Netdom este disponibil numai pe serverele care au rolul de servicii de domeniu Active Directory (AD DS). Pe mașinile client este disponibil ca parte a Remote Administration Kit Administration Tools Remote Server (RSAT).

Un alt instrument de linie de comandă - Nltest. Pe un computer care și-a pierdut încrederea, executați următoarele comenzi:

Nltest / interogare - pentru a verifica dacă o conexiune securizată la un domeniu;

Nltest /sc_reset:Contoso.com - reseta contul computerului în domeniu;

Nltest /sc_change_pwd:Contoso.com - schimba parola pentru calculator.

Restabilirea încrederii în domeniu - ps523

Cel mai rapid și cel mai accesibil mod, deoarece umolcheniyu Nltest applet au pe orice stație de lucru sau server. Cu toate acestea, spre deosebire de Netdom, care oferă acreditări, Nltest funcționează în contextul utilizatorului începe să-l. În consecință, prin conectarea la computer utilizând un cont local și încercarea de a executa o comandă poate accesa o eroare.

PowerShell este, de asemenea, posibilitatea de a reseta parola și pentru a recupera kopyutera de exemplu prin conectarea la un domeniu securizat. În acest scop, există test-ComputerSecureChannel cmdlet. A început fără parametri va da statului un canal sigur - Adevărat sau fals.

Pentru a reseta computerul și contul de canal securizat poate utiliza această comandă:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso \ Administrator -repararea

în cazul în care SRV1 - Domain Controller (nu este necesar).

Restabilirea încrederii în domeniu - ps523

Pentru a reseta parola și puteți utiliza, de asemenea, următoarea comandă:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso \ Administrator

După cum puteți vedea, modalități de a restabili relația de încredere este mai mult decât suficient. Cu toate acestea, în cazul în care problema este de natură permanentă, este mai ușor să vină la decizia pe de altă parte.

Schimbarea computerului pentru a schimba setările de parolă

Schimbarea parolei în domeniu este după cum urmează:

La fiecare 30 de zile, stația de lucru trimite cel mai apropiat controler de domeniu o cerere pentru a schimba parola contului de calculator. Controlerul primește cererea, parola este schimbat, atunci modificările sunt transmise către toate controlerele de domeniu în replicarea următoare.

Unele modifica setările parola pot fi modificate. De exemplu, puteți schimba perioada de timp sau schimbările de parolă dezactivați complet. Acest lucru se poate face pentru computere individuale, și grupuri.

În cazul în care setările vor fi aplicate unui grup de calculatoare, cel mai simplu mod este de a utiliza politica de grup. Setările care sunt responsabile pentru schimbarea parolelor, se află sub Computer Configuration - Politici - Ferestre - Setări de securitate - Politici locale - Opțiuni de securitate. Suntem interesați în următorii parametri:

Contul mașină Dezactivați schimbarea parolei - dezactivează aparatul local pentru a reseta parola;

vârstă parola contului mașină maximă - determină perioada maximă de valabilitate a parolei calculatorului. Acest parametru determină frecvența la care membrul de domeniu va încerca să schimbe parola. Perioada standard este de 30 de zile, puteți specifica maxim 999 de zile;

Refuză cont mașină modificările parola - previne schimbarea parolei pe controlerele de domeniu. Dacă această opțiune este activată, inspectorii vor respinge cererile de schimbare a parolei de calculator.

Restabilirea încrederii în domeniu - ps523

Puteți utiliza setările de registry pentru o singură mașină. Pentru a face acest lucru, razdeleHKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters Există doi parametri:

DisablePasswordChange - În cazul în care este 1, cererea de a actualiza parola computerului este dezactivat, 0 - activat.

MaximumPasswordAge - perioada maximă a unei parole de calculator expira in zile. mai mult de 1 milion de zile, puteți specifica dacă doriți

Restabilirea încrederii în domeniu - ps523

Și sub HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters. numai controlere de domeniu, parametru:

RefusePasswordChange - Dacă este 1, controlerul împiedică domeniului primi o cerere pentru a schimba parola. Această opțiune ar trebui să fie stabilite pe toate controlerele din domeniu.

Restabilirea încrederii în domeniu - ps523

Asta e tot despre încredere. După cum puteți vedea, încrederea în domeniu - un lucru bun, așa că încercați să nu-l piardă.