Er ya da geç, ancak Microsoft ürünlerine dayalı bir etki alanı ağının yöneticileri iki benzer hatayla uğraşmak zorundadır: "Bunun arasında bir güven ilişkisi kurulamadı iş istasyonu ve ana etki alanı ve "Sunucudaki Hesap Yöneticisi veritabanı, bilgisayarı bu iş istasyonuyla bir güven ilişkisi aracılığıyla kaydetmek için bir giriş içermiyor". Bu mesajlara ek olarak, etki alanı hesapları altında bilgisayara giriş yapamama durumu da söz konusudur.
Hataların nedenlerini ve tedavi yöntemlerini analiz edeceğiz.
etki alanında Windows ağları tüm bilgisayarlara ve kullanıcı hesaplarına kendi güvenlik tanımlayıcıları (SID'ler) atanır. Özünde, etki alanındaki her bilgisayarın kendi bilgisayar hesabı da olduğunu söyleyebiliriz. Bir kullanıcı hesabına benzer şekilde, böyle bir hesabın da bir şifresi olacaktır. Verilen şifre bilgisayar tarafından otomatik olarak oluşturulur ve etki alanı denetleyicisine sunulur. Böylece, iş istasyonları ve etki alanı denetleyicisi arasında, hataların metninde belirtilen bu güven ilişkileri oluşturulur.
Her 30 günde bir veya uzun bir süre işlem yapılmadığında ilk kez açtığınızda, bilgisayar parolasını otomatik olarak değiştirir. Teoride, her şey güzel ve makine bir hata yapamıyor ve yanlış şifreyi “giremiyor” gibi görünüyor. Ancak, bazen bu birkaç nedenden dolayı olur.
Bu iş istasyonu ile birincil etki alanı arasında bir güven ilişkisi kurulamadı En yaygın neden, Windows işletim sisteminin önceki bir duruma geri alınmasıdır. Doğal olarak, geri yükleme noktası ne kadar erken oluşturulursa, hata olasılığı o kadar artar. Bu durumda, kurtarma işleminden sonra bilgisayar, etki alanı denetleyicisine eski parolayı göstermeye başlar ve denetleyici zaten yeni bir parola içerir.
Etki alanında aynı ada sahip iki istasyon varsa da bir hata oluşabilir. Bu durum, örneğin, yeni bir bilgisayara hizmet dışı bırakılan bir makinenin adını verirseniz ve ardından tekrar açarsanız ortaya çıkabilir. eski bilgisayar yeniden adlandırmayı unuttum.
İTİBAREN Olası nedenler anladım. Şimdi sorunu çözme hakkında. Birkaç yol vardır, ancak hepsi bir şekilde bilgisayar hesabını yeniden yüklemekten veya şifresini sıfırlamaktan ibarettir.
İlk yol hesabı yeniden yüklemektir.
Bundan sonra, altındaki bilgisayara gitmeniz gerekir. yerel yönetici ve iş istasyonunu etki alanından kaldırmak için çalışma Grubu(bilgisayar → özellikler → Ekstra seçenekler sistem → bilgisayar adı → değiştir).
ikinci yol aracılığıyla parolayı sıfırlamaktır. Ancak, PowerShell sürüm 3.0 ve daha yüksek bir sürüme ihtiyacımız olduğuna dair bir rezervasyon yapalım. Ayrıca bilgisayara yerel yönetici olarak gidiyoruz ve aşağıdaki cmdlet'i giriyoruz:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin
Bu durumda, -Server, etki alanı denetleyici adıdır ve -Credential, etki alanı yöneticisi hesabıdır.
Başarıyla tamamlanırsa cmdlet herhangi bir ileti görüntülemez. Bu methodçekici, çünkü yeniden başlatma gerekli değildir - sadece kullanıcıyı değiştirin ve bir etki alanı hesabı altında makinede oturum açın.
Üçüncü yol bilgisayar şifresini sıfırlamak yardımcı programı kullanmaktır ağ, o zamandan beri Microsoft sunucu işletim sisteminde ortaya çıkan Windows Server 2008. İstemci işletim sistemlerinde RSAT paketi kullanılarak eklenebilir (Araçlar uzaktan yönetim sunucu).
Önceki yöntemlerde olduğu gibi, bu da yerel yönetici altında gerçekleştirilir. Yazın Komut satırı:
Netdom resetpwd /Sunucu:DomainController /UserD:Admin /PasswordD:Password /SecurePasswordPromptİlke, PowerShell örneğinde gördüğümüze benzer. /Server, etki alanı denetleyicisidir, /UserD, etki alanı yöneticisi hesabıdır, /PasswordD, etki alanı yöneticisi hesabının parolasıdır. Parolayı yıldızların arkasına gizlemek için /SecurePasswordPrompt seçeneğini de kullanabilirsiniz. Yeniden başlatma da gerekli değildir.
Yöntem dört ve makalemizdeki sonuncusu yardımcı programı kullanmaktır. En iyi, herhangi bir iş istasyonunda varsayılan olarak kullanılabilir.
Yardımcı programı komut satırında çalıştıralım ve önce etki alanına güvenli bir bağlantı olup olmadığını kontrol edelim:
En son /sorguO zaman sıfırlayalım hesap etki alanındaki bilgisayar:
Nltest /sc_reset:Etki AlanıVe son olarak, bilgisayar şifresini sıfırlayın:
nltest /sc_change_pwd:Etki alanıNe yazık ki, böyle büyük fayda dezavantajları vardır. Her şeyden önce, yardımcı program, etki alanı yöneticisinin oturum açma/şifresini istemez ve buna göre, onu başlatan kullanıcının altında yürütülür ve bu da erişim hatasına yol açabilir.
Bu makalenin başında yer alan, bir etki alanındaki güven ilişkileriyle ilgili başka bir hata daha var. Şuna benziyor:
Bu durumda, yardımcı program bize tekrar yardımcı olacaktır. En iyi. Etki alanına güvenli bağlantı tekrar kontrol ediliyor:
En son /sorguBir hata mesajı belirirse, hatayı düzeltmek için bu yamayı yüklemeniz yeterlidir. Bağlantı durumu ise NERR_Başarı, ardından aşağıdakileri yapın:
netdom sıfırlama /d:Etki Alanı BilgisayarAdı netdom reset /d:Etki Alanı BilgisayarAdı /sunucu:Etki AlanıDenetleyicisi /uo:Yönetici /po:Parolaİkinci durumda, güven ilişkisi kurmak istediğimiz etki alanı denetleyicisini açıkça belirtiriz.
Yardımcı program, güvenli kanalın sıfırlandığını ve yeni bir bağlantı kurulduğunu belirten bir mesajla bizi memnun edecektir.
Bu nedenle, bir etki alanındaki güveni geri kazanmanın bazı yolları şunlardır. Umarım onları mümkün olduğunca az kullanmak zorunda kalırsınız. 🙂
Bu konu, kullanıcının edgi, iki orman arasında geçişli bir ilişki oluşturma hakkında bir soru sordu ve forumdan başka bir bağlantı sağladı http://sysadmins.ru/topic178164.html kullanıcıların, geçişi sağlamak için sözde üçüncü bir ormana ihtiyaç duyulduğundan, iki orman arasında bir güven ilişkisi kurmanın imkansız olduğu gerçeği hakkında tartıştıkları yer vb. ....Hemen belirtmek isterim ki, geçişli güven ilişkilerinden haberdar olabilmek için, güven geçişli ilişkileri sağlayacak üçüncü bir kişiye ille de ihtiyacımız yoktur.
Ancak ormanlar arasında güven ilişkileri kurma sürecine bakalım.
Not: Unutmayın ki ilk oluşturulan domain ve kök etki alanı ve Odun ve orman. Yani, ağımızda varsayılan olarak oluşturulan ilk etki alanı hem kök etki alanı hem de orman olarak ve bir ağaç olarak düşünülmelidir (bir bardakta üç ... pardon şişe)
Basit olması için, bu kök etki alanlarını aynı ağa yerleştireceğiz, çünkü bunlar farklı ağlarda yer alsaydı, bu etki alanlarının (veya daha doğrusu, bu etki alanlarının DNS'lerinin ve dolayısıyla, doğal olarak, etki alanı denetleyicileri ) bir şekilde birbirlerini gördüler. DNS sunucuları farklı ağlarda bulunuyorsa, bu ağların bir şekilde birbirini görmesini sağlamanız gerekir (bunun nasıl yapılacağı ayrı bir konuşmadır ve şimdilik burada ele almayacağız).
Bu etki alanlarının DNS servislerinin birbirini görmesi neden bu kadar önemli? Ancak Windows Server'ın kalbinde, etki alanı denetleyicilerini bulma (tanıma) DNS hizmeti kullanılarak gerçekleşir. Yani, herhangi bir etki alanındaki DNS hizmeti yanlış yapılandırılmışsa, bu etki alanı denetleyicisini veya etki alanı denetleyicilerini (çok varsa) bulmak imkansız olacaktır. Yani, basitçe söylerseniz - etki alanı denetleyicileri, DNS hizmetini kullanarak birbirlerini görür . Sanırım daha sonra etki alanı denetleyicilerini bulma sürecini ayrı bir makalede anlatacağım, ancak şimdilik, etki alanı denetleyicilerinin düzgün yapılandırılmış bir DNS hizmeti olmadan "kör" olduğunu (ağda hiçbir şey görmediğini) unutmayın.
Daha önce de belirtildiği gibi, güven ilişkileri ormanlar, ağaçlar ve alanlar arasında bir bağlantı görevi görür. Ek bileşen, güven ilişkilerini yönetmek için kullanılır. Aktif Dizin- etki alanları ve güven, bkz. şekil 1.
Resim 1.
Ama güvene dayalı bir ilişki kurmadan önce elimizdekileri anlatalım. Yani iki kök etki alanımız var ve buna göre ormanlar ve ağaçlar, yani rk.com ve xu.com, bunların aynı şirkete ait olduğunu ve aynı ağda bulunduğunu varsayalım. Active Directory ile yüklenen tümleşik DNS hizmetine sahip ilk etki alanı denetleyicisinin IP adresi (ne olduğunu hatırlamayan, buraya bakın) 192.168.0.1 (rk.com) ve ikinci orman kök etki alanı 192.168.0.5 ( xu.com). Diğer bir deyişle, DNS hizmeti hem birinci hem de ikinci etki alanı denetleyicilerine yüklenir. (DNS nasıl kurulur ve yapılandırılır, sitede diğer makalelerde bulunabilir)
Güven ilişkileri oluşturmaya başlamadan önce emin olmamız gereken ilk şey, her iki ormandaki kök etki alanlarının DNS aracılığıyla birbirini görebilmesidir. Bunu yapmak için, rk.com orman kök etki alanından iyi bilinen nslookup yardımcı programını kullanacağız ve bize ne verdiğini göreceğiz. Şekil 2'ye bakın.
Şekil 2.
Şekil 2'de (kahretsin... muhtemelen resim değil rakam yazmanız gerekiyor ama beni cömertçe bağışlayın...) xu.com (komşu orman) ile komut satırına nslookup komutunu yazdığımızı görebilirsiniz. ) parametresini bize verdi ve prensip olarak DNS servisinin çalıştığını ve DNS servislerinin birbirini gördüğünü gösterir. Aynısı xu.com kök etki alanından da yapılabilir, bkz. Şekil 3.
Figür 3
Yönlendirmeyi kurmak için bilgisayarda bulunan etki alanı denetleyicisinin DNS ek bileşenine server1 adı altında giriyoruz, üzerinde oluyoruz, sağ tık fareler açık bağlam menüsü, bağlam menüsünde özellikleri seçin ve üzerine tıklayın. Şekil 4'te gösterilen pencere açılır ve "Yönlendirme" sekmesini seçin.
Şekil 4
Bu sekmede "Oluştur" butonuna tıklayın ve yönlendirmek istediğimiz alan adını yazın. Bizim durumumuzda bu, xu.com orman kök etki alanıdır. Tam orada, sekmede, "Seçilen alan için IP ileticilerin listesi" alanının hemen altında - IP adresini ekleyin. Örneğimizde, bu 192.168.0.5'tir.
Aynısı xu.com etki alanı denetleyici sunucusunda da yapılabilir... süreç kesinlikle aynıdır, yalnızca farklı bir etki alanı ve farklı bir adres yazmanız gerekir. Bizim durumumuzda, bu rk.com etki alanıdır ve IP'si 192.168.0.1'dir.
Böylece, DNS sunucularını bulduktan ve birbirlerini gördüklerinden emin olduktan sonra, güven ilişkileri oluşturmaya geçiyoruz ve Şekil 1'de gösterilen "Etki alanları ve güven" ek bileşenine gidiyoruz.
Ayrıca, bu iki ormanın (rk.com ve xu.com) geçişli güven ilişkileri yoluyla birbirine bağlanmasını istiyorsak, o zaman orman işleyiş modunu "Windows Server 2003" düzeyine (orman ve etki alanı için) ayarlamamız gerekir. çalışma modları buraya bakın). Bu nedenle, "Etki Alanları ve Güvenler" ek bileşeninde, "Active Directory - Etki Alanları ve Güvenler" üzerinde duruyoruz ve sağ düğme ile bağlam menüsünü açıyoruz, bkz. Şekil 5.
Şekil 5
Bağlam menüsünde " Orman İşlem Modunun Değiştirilmesi..." ve üzerine tıklayın. Olası orman çalışma modlarına sahip bir pencere açılacaktır. "Windows Server 2003" çalışma modunu seçin. Bu çalışma modundan daha düşük orman çalışma modlarına transfer mümkün değildir, bkz. Şekil 6. Yani, seçim yaparken bir orman operasyonu modu, dikkatlice düşünün, çünkü başka bir orman operasyonu moduna geçmek imkansızdır....
Şekil 6
Ormanın çalışma modunu mümkün olan en yüksek seviyeye çıkardıktan sonra, yani"Windows Server 2003", eğitim amaçlı olarak, etki alanı çalışma modunu da seviyeye çıkaracağız.Windows Server 2003. Bunu yapmak için kök etki alanı oluyoruz ve bağlam menüsünü açıyoruz, bkz. Şekil 7.
Şekil 7
Aynı işlemler, yani xu.com kök etki alanı denetleyicisinde orman ve etki alanının seviyesini yükseltiyoruz.
Ormanlarımızın (rk.com ve xu.com) ve etki alanlarımızın işlevsel modda çalıştığından emin olduğumuzda"Windows Server 2003", geçişli orman güvenleri oluşturmaya başlayalım.
Dikkat! Etki alanı ormanlarından en az biri işlevsel düzeydeyse"Windows 2000", ardından etki alanı ormanlarına yalnızca dış güvenler katılabilir.
"Etki Alanları ve Güvenler" ek bileşeninde, kök etki alanının adı oluyoruz, bizim durumumuzda rk.com ve sağ fare tuşuyla bağlam menüsünü açıyoruz. Şekil 8'de gösterilen pencere açılacaktır, "Güven" sekmesine gidin.
Şekil 8
Bu sekmede, "Güven Oluştur" düğmesini tıklayın. Bu tuşa tıkladıktan sonra "Güven ilişkileri oluşturma sihirbazı" açılır, bkz. Şekil 9.
Şekil 9
Şekil 10.
"Ad" alanına güven ilişkisi oluşturmak istediğimiz etki alanının adını yazıyoruz, örneğimizde bu xu.com ormanının kök etki alanıdır .... Klavyeye basıyoruz değil - İleri ....
Güven türünü seçmek için öneriler içeren bir pencere açılır, bkz. Şekil 11.
Merhaba Sevgili Habrahabr okuyucuları! İnternette, her birimiz bir etki alanı denetleyicisi aracılığıyla bilgisayar kimlik doğrulamasının başarısızlığı hakkında birçok bireysel makale bulabiliriz, daha kesin olmak gerekirse, bir etki alanına bağlı bir bilgisayar onunla bağlantısını kaybeder.
Öyleyse, bu problemi incelemeye başlayalım.
Büyük ve küçük şirketlerde çalışan birçok BT mühendisinin bilgisayarları vardır. işletim sistemi Windows7, 8.1 vb. ve bu bilgisayarların tümü bir etki alanı ağına (DC) bağlıdır.
Bu sorun, Kerberos ağ protokolünün bir etki alanına katılmış bir bilgisayarla (Bu iş istasyonu ve birincil etki alanı arasındaki güven ilişkisi başarısız oldu) eşitleyememesi ve kimlik doğrulaması yapamaması nedeniyle oluşur. Sonra böyle bir hata görebiliriz (aşağıdaki fotoğrafa bakın).
Bundan sonra arıyoruz üçüncü taraf programı, indir, oluştur önyüklenebilir flash sürücü ve yerel yönetici, sonra onun üzerinden oturum açıp etki alanından çıkıyoruz, bilgisayarı Çalışma Grubuna ekliyoruz ve ardından bu bilgisayarı etki alanına yeniden bağlarız.
Windows Batch komut dosyası kullanarak bir yarasa dosyası oluşturmak ve yerel bir yönetici oluşturma ve ekleme işlemini otomatikleştirmek istiyorum. İhtiyacımız olan tek şey oluşturduktan sonra verilen dosyaçalıştırın.
bizimkileri açıyoruz Metin düzeltici, aşağıda gösterilen komutu girin.
Net user admin Ww123456 /add /active:yes WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE net localgroup Administrators admin /net localgroup ekle Kullanıcılar admin /delete netsh advfirewall tüm profillerin durumunu kapat
Belirsiz noktaları ortadan kaldırmak için tüm komutları nokta nokta inceleyelim.
Net user admin (admin kelimesi yerine size uygun olan herhangi bir ismi ekleyebilirsiniz, varsayılan yönetici, benim durumumda admin).
Sonra oraya koyduğum şifreyi görüyoruz Ww123456 (hatırladığınız herhangi bir şifreyi koyabilirsiniz).
/add /active:yes gördükten sonra - ekleyin ve etkinleştirin: EVET
WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE - bu komut, eklenen yöneticinin kalıcı şifre son kullanma tarihi yok (aşağıdaki resme bakın).
Üçüncü ve dördüncü noktalar, varsayılan olarak, bir yerel yönetici oluşturulduğunda, Üye Öğesinin Kullanıcılar olduğu gerçeğiyle birbirine bağlıdır (fotoğrafa bakın). Buna ihtiyacımız yok (Kullanıcılar), çünkü işletim sistemimiz için tam bir yönetici oluşturuyoruz. Bu nedenle, dördüncü komut - net localgroup Users admin /delete - Kullanıcıları siler ve önceki komut - net localgroup Administrators admin /add - bir yönetici ekler (resme bakın).
Son komut olan netsh advfirewall allprofiles durumunu kapatır, Windows güvenlik duvarını devre dışı bırakır.
Bazen, Windows-e'de herhangi bir program yüklemek veya herhangi bir komut vermek için güvenlik duvarını kapatmanız gerekir (Scripti çalıştırdıktan sonra şu komutu girebilirsiniz - netsh advfirewall set allprofiles state on ve tekrar açın. üçüncü taraf bir güvenlik duvarı kullandığım için varsayılan olarak kapalı. Şu an her bireyin takdirine bağlı olarak).
Sonra, defterimize gidin, Dosya'yı tıklayın, farklı kaydet ... (farklı kaydet ...) betiğimizin adını girin (benim durumumda: localadmin) Ardından bir nokta (.) koyun ve yarasanın biçimini yazın senaryo. Nereye kaydedileceğini seçin bu giriş ve kaydet'i tıklayın. Resimde daha detaylı gösterilmiştir.
Görünüşe göre böyle bir komut dosyası (fotoğrafa bakın).
Bu komut dosyası, başlangıçta yönetici olarak açılmalıdır:
Sağ fare düğmesine basın ve Yönetici olarak çalıştırın (resme bakın).
Komut dosyasını çalıştırdıktan sonra böyle bir pencere görmelisiniz (fotoğrafa bakın).
Herhangi bir nedenle bir hata meydana gelirse, bu tür vakaların% 90'ında bunun nedeni, Windows'u kurduğunuz görüntünün lisanssız olması, bir tür yeniden paketleme vb. Lisanslı ve kanıtlanmış yazılımı indirin ve kullanın.
Yerel yöneticiyi başarıyla ekledikten sonra, bu komut dosyasını ofisinizde Windows'un yüklü olduğu tüm iş istasyonlarında çalıştırabilirsiniz.
Bu hatayı alırsanız: Bu iş istasyonu ile birincil etki alanı arasındaki güven ilişkisi başarısız oldu - Yalnızca bir kullanıcı geçişi yapmanız ve oturum açmanın nerede olduğunu yazmanız gerekir.\admin (unutmayın! Başa eğik çizgiden önce bir nokta konur. !), daha aşağıya, betiğinize eklediğiniz şifreyi girin (benim durumumda: Ww123456). Bundan sonra, çalışan işletim sistemine gidersiniz.
Bilgisayarımızı etki alanından çıkarmak ve Çalışma Grubuna eklemek için kalır. Çalışma Grubu yerine herhangi bir harf girin (resme bakın).
Ardından domain yönetici şifresi girilir ve bilgisayar bizden yeniden başlatmamızı ister.
Yeniden başlatmanın ardından tekrar yerel yöneticimizin altına giriyoruz ve ardından bilgisayarı etki alanımıza ekliyoruz. Sistem bir kez daha yeniden başlatma gerektiriyor ve Voila! Kullanıcımız tekrar domaine sorunsuz bir şekilde bağlanabilir!
not Bu sistem Windows sunucu kısmı için de çalışır, ancak güvenlik duvarını devre dışı bıraktıktan sonra sunucular için böyle bir komut dosyası yazarsanız, yeniden etkinleştirmeniz gerekir (önce - netsh advfirewall allprofiles durumunu devre dışı bırakır, netsh advfirewall allprofiles durumunu açtıktan sonra).
İlginiz için teşekkür ederim!
Herkes zaman zaman "Bu iş istasyonu ve ana etki alanı arasında bir güven ilişkisi kurulamadı" hatasıyla uğraşmak zorunda. sistem yöneticisi. Ancak herkes, oluşumuna yol açan süreçlerin nedenlerini ve mekanizmalarını anlamıyor. Çünkü süregelen olayların anlamını anlamadan, anlamlı yönetim imkansızdır ve bunun yerini, talimatların düşüncesizce yerine getirilmesi alır.
Kullanıcı hesapları gibi bilgisayar hesapları da bir etki alanının güvenliğinin üyeleridir. Her güvenlik sorumlusuna, etki alanı kaynaklarına erişildiği düzeyde otomatik olarak bir güvenlik tanımlayıcısı (SID) atanır.
Bir alana bir hesaba erişim izni vermeden önce, orijinalliğini doğrulamanız gerekir. Her güvenlik sorumlusunun kendi hesabı ve parolası olmalıdır ve bilgisayar hesabı da bir istisna değildir. Bir bilgisayar Active Directory'ye katıldığında, onun için "Bilgisayar" türünde bir bilgisayar hesabı oluşturulur ve bir parola belirlenir. Bu düzeydeki güven, bu işlemin bir etki alanı yöneticisi veya bunu yapmak için açık yetkisi olan başka bir kullanıcı tarafından gerçekleştirilmesiyle sağlanır.
Ardından, bilgisayar etki alanında her oturum açtığında, etki alanı denetleyicisi ile güvenli bir kanal kurar ve ona kimlik bilgilerini söyler. Böylece bilgisayar ve etki alanı arasında bir güven ilişkisi kurulur ve yönetici tarafından belirlenen güvenlik politikaları ve erişim haklarına göre daha fazla etkileşim gerçekleşir.
Bilgisayar hesabı parolası 30 gün boyunca geçerlidir ve daha sonra otomatik olarak değiştirilir. Parola değişikliğinin bilgisayar tarafından başlatıldığını anlamak önemlidir. Bu, bir kullanıcının parolasını değiştirme işlemine benzer. Bunu keşfettikten Mevcut Şifre süresi dolduğunda, bilgisayar etki alanına bir sonraki katıldığında onu değiştirir. Bu nedenle, bilgisayarınızı birkaç ay açmamış olsanız bile, etki alanındaki güven ilişkisi devam edecek ve uzun bir aradan sonra ilk girişte şifre değişecektir.
Bir bilgisayar, geçersiz bir parolayla bir etki alanında kimlik doğrulaması yapmaya çalışırsa, güven ilişkisi bozulur. Bu nasıl olabilir? En kolay yol, örneğin standart bir sistem geri yükleme yardımcı programı ile bilgisayarın durumunu geri almaktır. Aynı etki, bir görüntüden, anlık görüntüden geri yüklenirken de elde edilebilir (için Sanal makineler) vb.
Başka bir seçenek de hesabı aynı ada sahip başka bir bilgisayarla değiştirmektir. Durum oldukça nadirdir, ancak bazen, örneğin, bir çalışanın bilgisayarı adı korurken değiştirildiğinde, eskisini etki alanından çıkardığında ve ardından yeniden adlandırmayı unutarak etki alanına yeniden girdiğinde olur. Bu durumda, eski PC, etki alanına yeniden girerken, bilgisayar hesabı şifresini değiştirecek ve yeni PC, bir güven ilişkisi kuramayacağı için artık giriş yapamayacak.
Bu hata ile karşılaşıldığında ne gibi önlemler alınmalıdır? Her şeyden önce, güven ihlalinin nedenini belirleyin. Geri alma ise, kim tarafından, ne zaman ve nasıl yapıldıysa, şifre başka bir bilgisayar tarafından değiştirildiyse, bunun ne zaman ve hangi koşullar altında olduğunu tekrar bulmamız gerekiyor.
Basit bir örnek: eski bir bilgisayar yeniden adlandırıldı ve başka bir departmana verildi, ardından çöktü ve otomatik olarak en son haline geri döndürüldü. kontrol noktası. Bundan sonra, bu bilgisayar eski ad altında etki alanında kimlik doğrulaması yapmaya çalışacak ve doğal olarak güven ilişkileri kurarken bir hata alacaktır. Bu durumda yapılacak doğru işlem, bilgisayarı çağrılması gerektiği gibi yeniden adlandırmak, yeni bir kontrol noktası oluşturmak ve eskilerini silmek olacaktır.
Ve ancak güven ihlalinin nesnel olarak gerekli eylemlerden kaynaklandığından emin olduktan sonra ve bu bilgisayar için güveni geri yüklemeye başlayabilirsiniz. Bu birkaç yolla yapılabilir.
aktif Dizin kulanıcıları ve bilgisayarları
Bu en kolay yoldur, ancak en hızlı ve en uygun yol değildir. Herhangi bir etki alanı denetleyicisinde ek bileşeni açın aktif Dizin kulanıcıları ve bilgisayarları, gerekli bilgisayar hesabını bulun ve sağ tıklayarak Hesabı yeniden yükle.
Daha sonra güvenini kaybeden bilgisayarda oturum açıyoruz. yerel yönetici ve makineyi etki alanından kaldırın.
Sonra tekrar giriyoruz, bu iki eylem arasında yeniden başlatmayı atlayabilirsiniz. Domaine tekrar giriş yaptıktan sonra restart edip domain hesabının altından giriş yapıyoruz. Bilgisayar etki alanına yeniden katıldığında bilgisayar parolası değiştirilir.
Bu yöntemin dezavantajı, iki (bir) yeniden başlatma ihtiyacının yanı sıra, makinenin etki alanından kaldırılması gerektiğidir.
ağ yardımcı programı
Bu yardımcı program, 2008 sürümünden bu yana Windows Server'a dahildir, RSAT (Uzak Sunucu Yönetim Araçları) paketinden kullanıcı bilgisayarlarına kurulabilir. Kullanmak için hedef sistemde oturum açın yerel yönetici ve şu komutu çalıştırın:
Netdom resetpwd /Sunucu:Etki AlanıDenetleyicisi /KullanıcıD:Yönetici /ŞifreD:Şifre
Komut seçeneklerine bakalım:
- sunucu- herhangi bir etki alanı denetleyicisinin adı
- KullanıcıD- etki alanı yöneticisi hesap adı
- ŞifreD- etki alanı yöneticisi şifresi
Komutun başarılı bir şekilde yürütülmesinden sonra, yeniden başlatma gerekli değildir, sadece yerel hesaptan çıkış yapın ve etki alanı hesabında oturum açın.
PowerShell 3.0 cmdlet'i
Netdom yardımcı programından farklı olarak PowerShell 3.0, Windows 8 / Server 2012'den beri dahil edilmiştir, daha eski sistemler için manuel olarak kurulabilir, Windows 7, Server 2008 ve Server 2008 R2 desteklenir. Bağımlılık olarak gerekli ağ çerçevesi 4.0'dan düşük değil.
Aynı şekilde, güveni geri yüklemek istediğiniz sistemde yerel yönetici olarak oturum açın, PowerShell konsolunu başlatın ve şu komutu çalıştırın:
Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin
- sunucu- herhangi bir etki alanı denetleyicisinin adı
- Kimlik- alan adı / alan yöneticisi hesabı
Bu komut yürütüldüğünde, belirttiğiniz etki alanı yöneticisi hesabı için parolayı girmeniz gereken bir yetkilendirme penceresi görünecektir.
Cmdlet başarılı olduğunda herhangi bir mesaj yazdırmaz, bu nedenle hesabınızı değiştirmeniz yeterlidir, yeniden başlatma gerekmez.
Gördüğünüz gibi, bir etki alanındaki güveni geri yüklemek oldukça basittir, asıl şey bu sorunun nedenini doğru bir şekilde belirlemektir, çünkü farklı durumlarda farklı yöntemler gerekli olacaktır. Bu nedenle, tekrar etmekten bıkmıyoruz: herhangi bir sorun ortaya çıkarsa, ağda bulunan ilk talimatı dikkatsizce tekrarlamak yerine, önce nedenini belirlemeli ve ancak o zaman düzeltmek için önlemler almalısınız.