Ca și conturi de utilizator, conturile de computer din domeniu au propria lor parolă. Această parolă este necesară pentru a stabili așa-numita "relație de încredere" între stația de lucru și domeniul. Parolele pentru calculatoare sunt generate automat și, de asemenea, se schimbă automat la fiecare 30 de zile.
Domeniul stochează parola de computer curentă, precum și cea anterioară, doar în cazul în care 🙂. Dacă se modifică parola de două ori, calculatorul care utilizează parola veche nu va putea să se autentifice în domeniu și să stabilească o conexiune securizată. Rassinchronizarea parolelor poate apărea din diverse motive, de exemplu, computerul a fost restaurat dintr-o copie de rezervă, a fost reinstalat sistemul de operare sau a fost dezactivat pentru o perioadă lungă de timp. Ca rezultat, atunci când încercați să intrați în domeniu, veți primi un mesaj care să ateste că nu puteți stabili o relație de încredere cu domeniul.
Există câteva modalități de restabilire a încrederii. Luati-le in ordine.
Deschideți modulul snap-in "Utilizatori și computere Active Directory" și găsiți computerul necesar în el. Faceți clic pe acesta cu butonul din dreapta al mouse-ului și selectați "Resetați contul" din meniul contextual. Apoi mergem la computerul de sub contul local și îl reintroducem în domeniu.
Notă. Unele în cazul în care există recomandări pentru a elimina computerul din domeniu și pentru a crea din nou. Acest lucru funcționează, dar în același timp, computerul primește un nou IDS și pierde calitatea de membru în grupuri, ceea ce poate duce la consecințe imprevizibile.
Această metodă este destul de greoaie și lentă; necesită o repornire, dar funcționează 100% din timp.
Mergem la computerul care trebuie să resetați parola, deschideți consola de comandă în mod necesar în numele administratorului și introduceți comanda:
Netdom Resetpwd / Server: SRV1 / UserD: Administrator / ParolaD: *
În fereastra care se deschide, introduceți acreditările utilizatorului și faceți clic pe OK. Parola este resetată și acum vă puteți conecta la computer sub contul de domeniu. Reportarea nu este necesară.
Interesant este că în ghidul de utilizare și în ajutor este scris că comanda Netdom Resetpwd poate fi utilizată numai pentru a reseta parola pe controlerul de domeniu, alte utilizări nu sunt acceptate. Cu toate acestea, acest lucru nu este cazul, iar comanda reinițializează cu succes parola pe servere obișnuite și stații de lucru.
Folosind Netdom, puteți verifica dacă există o conexiune securizată la domeniu:
Netdom Verificați WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *
Sau resetați contul computerului:
Netdom Resetați WKS1 /Domain:Contoso.com / UserO: Administrator / PasswordO: *
unde WKS1 este stația de lucru la care renunțăm la contabilitate.
Metoda este rapidă și eficientă, dar există un singur lucru: în mod prestabilit, utilitarul Netdom este disponibil numai pe serverele care au rolul Rolă a serviciilor Active Directory Domain (AD DS). Pe mașinile client, acesta este disponibil ca parte a Instrumentelor de administrare administrativă la distanță (RSAT).
Un alt utilitar de linie de comandă este Nltest. Pe un computer care a pierdut încrederea, executați următoarele comenzi:
Nltest / query - verificați conexiunea securizată la domeniu;
Nltest /sc_reset:Contoso.com - resetați contul computerului în domeniu;
Nltest /sc_change_pwd:Contoso.com - modificați parola computerului.
Cea mai rapidă și mai accesibilă metodă, deoarece utilitarul Nltest este implicit pe orice stație de lucru sau server. Cu toate acestea, spre deosebire de Netdom, care oferă introducerea acreditărilor, Nltest funcționează în contextul utilizatorului care la lansat. În consecință, accesând computerul sub contul local și încercând să executăm comanda, putem primi o eroare de acces.
PowerShell știe și cum să resetați parola calculatorului și să restaurați o conexiune securizată către domeniu. Pentru aceasta, există cmdlet Test-ComputerSecureChannel. Rularea fără parametri va afișa starea canalului protejat - True sau False.
Pentru a reseta un cont de computer și un canal securizat, puteți utiliza această comandă:
Test-ComputerSecureCanal -Server SRV1 -Credential Contoso \ Administrator -Repair
unde SRV1 este controlerul de domeniu (nu este necesar).
Pentru a reseta parola, puteți utiliza și această comandă:
Resetați-ComputerMachineChannel -Server SRV1 -Credențial Contoso \ Administrator
După cum puteți vedea, există mai multe modalități suficiente pentru a restabili încrederea. Cu toate acestea, dacă problema devine permanentă, este mai ușor să o abordați din cealaltă parte.
Modificarea setărilor de modificare a parolei pentru un computer
Schimbarea parolei în domeniu este după cum urmează:
La fiecare 30 de zile stația de lucru trimite o solicitare celui mai apropiat controler de domeniu pentru a schimba parola contului computerului. Controlorul acceptă cererea, parola este schimbată și apoi modificările sunt transmise tuturor controlorilor din domeniul cu următoarea replicare.
Anumiți parametri pentru modificarea parolei pot fi modificați. De exemplu, puteți modifica intervalul de timp sau puteți dezactiva complet modificarea parolei. Puteți face acest lucru atât pentru computerele individuale, cât și pentru grupuri.
Dacă doriți să aplicați setări unui grup de computere, atunci este mai ușor să utilizați Politica de grup. Setările care sunt responsabile pentru schimbarea parolelor se află în secțiunea Configurare computer - Politici - Setări Windows - Setări de securitate - Politici locale - Opțiuni securitate. Suntem interesați de următorii parametri:
Dezactivați modificarea parolei contului de mașină - dezactivează solicitarea de modificare a parolei pe mașina locală;
Numărul maxim de parole pentru contul mașinii - specifică perioada maximă a parolei computerului. Acest parametru specifică frecvența cu care membrul domeniului va încerca să schimbe parola. Perioada prestabilită este de 30 de zile, maximul poate fi setat la 999 de zile;
Modificările parolei contului mașinii de refuzare - interzice modificarea parolei de la controlerele de domeniu. Dacă această opțiune este activată, supraveghetorii vor respinge cererile de calculatoare pentru a schimba parola.
Pentru o singură mașină, puteți utiliza setările de registry. Pentru aceasta, există doi parametri în secțiunea HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters:
DisablePasswordChange - dacă este setată la 1, cererea de actualizare a parolei pentru computer este dezactivată, 0 este activată.
MaximumPasswordAge - specifică perioada maximă a parolei calculatorului în zile. Dacă doriți, puteți specifica mai mult de 1 milion de zile.
Și în secțiunea HKLM \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters. numai pentru controlorii de domeniu, parametrul:
RefusePasswordChange - dacă este setată la 1, interzice controlorului de domeniu să accepte o solicitare de modificare a parolei. Acest parametru trebuie să fie setat pe toți controlorii din domeniu.
E un fel de încredere în relații. După cum puteți vedea, încrederea în domeniu este un lucru subtil, deci încercați să nu-l pierdeți.
Trimiteți-le prietenilor: