Переустановите учетную запись компьютера в домене

Обновлено: 21.11.2024

Как вы уже знаете, когда вы присоединяете компьютер или сервер к домену Active Directory, в присоединенном домене Active Directory автоматически создается учетная запись компьютера.
Во время этого соединения между компьютером или присоединенным сервером и вашими контроллерами домена создаются доверительные отношения.

Чтобы обеспечить безопасность этих доверительных отношений и вашей инфраструктуры Active Directory, пароли, используемые для защиты этих доверительных отношений, регулярно и автоматически меняются прозрачным образом.
Проблема в том, что если клиентский компьютер выходит из строя и вам нужно восстановить его в предыдущее состояние, чтобы быстро исправить это, доверительные отношения могут быть нарушены. Это связано с тем, что пароли между клиентским ПК и вашими контроллерами домена больше не будут идентичными.

Чтобы восстановить эти доверительные отношения, необходимо сначала сбросить учетную запись соответствующего компьютера.
Для этого откройте, например, консоль «Пользователи и компьютеры Active Directory» и щелкните правой кнопкой мыши «Сбросить учетную запись» на нужной учетной записи компьютера.

Подтвердите сброс учетной записи компьютера.

Учетная запись нужного компьютера была сброшена.

Затем на клиентском ПК войдите в систему с учетной записью локального администратора (поскольку соединение с Active Directory на данный момент больше не работает с этого клиентского ПК).

Обратите внимание, что для входа с локальной учетной записью вы можете указать имя клиентского ПК в качестве префикса или просто ".\" (в этом случае отображается имя клиентского ПК).

После входа в систему с локальной учетной записью на клиентском ПК откройте свойства системы Windows и нажмите : Изменить настройки.

Укажите имя нужной рабочей группы.
Это имя не имеет значения, оно просто временно покидает домен Active Directory.

Подтвердите, что вы хотите покинуть домен, нажав OK.

Предоставьте учетные данные администратора домена, чтобы покинуть домен.

Появится сообщение "Добро пожаловать в рабочую группу [название рабочей группы]".

Как указано в этом сообщении, потребуется перезагрузка.

Нажмите : Перезагрузить сейчас.

Теперь вы находитесь в рабочей группе.
В свойствах системы нажмите : Изменить настройки.

Введите имя домена, в котором ранее находился этот компьютер.

Укажите учетные данные учетной записи, авторизованной для присоединения компьютеров к домену Active Directory.

Появится сообщение "Добро пожаловать в домен [имя вашего домена]".

Как видите, учетная запись компьютера по-прежнему присутствует в вашей Active Directory.
Преимущество сброса учетной записи компьютера вместо ее удаления заключается в том, что вы не потеряете местоположение, в котором находилась эта учетная запись компьютера, разрешения, установленные для этого объекта Active Directory, .

Теперь вы сможете снова войти на этот клиентский ПК с пользователем вашей инфраструктуры Active Directory.

Как и ожидалось, вход на клиентском ПК с учетной записью Active Directory проходит без проблем.

Для каждой рабочей станции или сервера Windows 2000 или Windows XP, являющихся членами домена, существует отдельный канал связи, известный как канал безопасности, с контроллером домена.

Пароль канала безопасности хранится вместе с учетной записью компьютера на всех контроллерах домена. Для Windows 2000 или Windows XP период изменения пароля учетной записи компьютера по умолчанию составляет каждые 30 дней. Если по какой-либо причине пароль учетной записи компьютера и секрет LSA не синхронизированы, служба входа в сеть регистрирует одно или оба следующих сообщения об ошибке:

Событие NETLOGON с кодом 5723:
При настройке сеанса с компьютера DOMAINMEMBER не удалось выполнить аутентификацию. Имя учетной записи, на которую ссылается база данных безопасности, — DOMAINMEMBER$.
Произошла следующая ошибка:
Отказано в доступе.

Идентификатор события NETLOGON 3210:
Не удалось выполнить аутентификацию с помощью \\DOMAINDC, контроллера домена Windows NT для домена DOMAIN.

Служба Netlogon на контроллере домена регистрирует следующее сообщение об ошибке, если пароль не синхронизирован:

Идентификатор события NETLOGON 5722:
Не удалось выполнить аутентификацию установки сеанса с компьютера ComputerName. Имя учетной записи, на которую ссылается база данных безопасности, — AccountName$.
Произошла следующая ошибка:
Отказано в доступе.

В этой статье описываются четыре способа сброса учетных записей компьютеров в Windows 2000 или Windows XP. Эти методы следующие:

Использование инструмента командной строки Netdom.exe

Использование инструмента командной строки Nltest.exe

Примечание. Средства Netdom.exe и Nltest.exe находятся на компакт-диске Windows Server в папке Support\Tools. Чтобы установить эти инструменты, запустите Setup.exe или извлеките файлы из файла Support.cab.

Использование консоли управления Microsoft "Пользователи и компьютеры Active Directory" (MMC)

Использование скрипта Microsoft Visual Basic

Эти инструменты позволяют осуществлять удаленное и неудаленное администрирование. Netdom.exe и Nltest.exe — это инструменты командной строки, которые сбрасывают успешно установленный канал безопасности. Вы не можете использовать эти инструменты, когда канал безопасности нарушен и связь работает неправильно.

Дополнительная информация

Netdom.exe

Для каждого члена существует отдельный канал связи (канал безопасности) с контроллером домена. Канал безопасности используется службой Netlogon на члене и на контроллере домена для связи. Netdom позволяет сбросить канал безопасности участника. Вы можете сбросить канал безопасности участника с помощью следующей команды:

netdom reset 'machinename' /domain:'domainname
где 'machinename' = имя локального компьютера, а 'domainname' = домен, в котором хранится учетная запись компьютера/машины.

Предположим, у вас есть член домена с именем DOMAINMEMBER в домене с именем MYDOMAIN. Вы можете сбросить канал безопасности участника с помощью следующей команды:

netdom reset domainmember /domain:mydomain
Эту команду можно выполнить на члене DOMAINMEMBER или на любом другом члене или контроллере домена домена, при условии, что вы вошли в систему с учетной записью, имеющей права администратора на DOMAINMEMBER. .

Nltest.exe

Nltest.exe можно использовать для проверки доверительных отношений между компьютером под управлением Windows 2000 или Windows XP, который является членом домена, и контроллером домена, на котором находится его учетная запись.

Использование: nltest [/OPTIONS]

/SC_QUERY:DomainName — канал безопасности запроса для домена на ServerName

/СЕРВЕР:имя_сервера

/SC_VERIFY:DomainName — проверяет канал безопасности в указанном домене для локальной или удаленной рабочей станции, сервера или контроллера домена.

Пользователи и компьютеры Active Directory (DSA)

В Windows 2000 или Windows XP вы также можете сбросить учетную запись компьютера из графического пользовательского интерфейса (GUI). В MMC «Пользователи и компьютеры Active Directory» (DSA) можно щелкнуть правой кнопкой мыши объект-компьютер в разделе «Компьютеры» или в соответствующем контейнере, а затем выбрать «Сбросить учетную запись». Это сбрасывает учетную запись машины. Сброс пароля для контроллеров домена с помощью этого метода не допускается. Сброс учетной записи компьютера прерывает подключение этого компьютера к домену и требует повторного присоединения к домену.

Примечание. Это предотвратит подключение установленного компьютера к домену и должно использоваться только для компьютера, который был только что восстановлен.

Сценарий Microsoft Visual Basic

Для сброса учетной записи компьютера можно использовать сценарий. Вам необходимо подключиться к учетной записи компьютера с помощью интерфейса IADsUser. Затем вы можете использовать метод SetPassword, чтобы установить начальное значение пароля. Начальный пароль компьютера всегда "имя_компьютера$".

Следующие примеры сценариев могут работать не во всех средах, и их следует протестировать перед внедрением. Первый пример предназначен для учетных записей компьютеров Windows NT 4.0, а второй — для учетных записей компьютеров Windows 2000 или Windows XP.

Пример 1

Пример 2

Для получения дополнительных сведений о том, как определить, совпадают ли дата и время события 5722 с расшифрованными датой и временем, щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

175024 Сброс безопасного канала члена домена

810977 Событие с кодом 5722 зарегистрировано на контроллере домена под управлением Windows 2000 Server

Обычно учетные записи компьютеров в домене самообслуживаются. Компьютеры автоматически аутентифицируются в домене при запуске и периодически меняют свои доменные пароли без вашего вмешательства. Однако возможны проблемы с учетной записью домена компьютера, что может потребовать сброса учетной записи.

Сброс учетной записи домена компьютера приведет к разрыву связи между компьютером и доменом. Компьютер нужно будет присоединить к рабочей группе (тем самым удалив его из домена), а затем повторно присоединить к домену.

Сброс аккаунта

Вы можете сбросить учетную запись компьютера с помощью оснастки Active Directory Users and Computers консоли управления Microsoft (MMC) или утилиты командной строки. Чтобы использовать пользователей и компьютеры Active Directory, откройте «Пользователи и компьютеры Active Directory» и найдите учетную запись компьютера. По умолчанию Active Directory помещает учетные записи компьютеров в контейнер «Компьютеры». Однако ваша организация может разместить учетные записи компьютеров в другом организационном подразделении (OU). Щелкните правой кнопкой мыши учетную запись компьютера и выберите "Сброс" в контекстном меню.

Эту процедуру нельзя выполнить с контроллером домена. Как правило, в этом нет необходимости, так как компьютер всегда может связаться с самим собой, чтобы сбросить свой пароль. Однако если учетная запись Active Directory контроллера домена перестанет синхронизироваться, вам придется использовать DCPromo для удаления и переустановки Active Directory.

Чтобы использовать утилиту командной строки, запустите

компьютер dsmod имя_компьютера – сброс

заменив computername на имя компьютера, который вы хотите сбросить.

Для выполнения этих задач вы должны быть администратором домена, администратором предприятия или иметь соответствующие делегированные разрешения.

Воссоединение с доменом

После сброса учетной записи компьютер не сможет пройти аутентификацию в домене. По сути, вы изменили пароль компьютера и не можете сообщить ему новый пароль. Единственное решение — удалить компьютер из домена, а затем снова присоединить его к домену.

Побочным эффектом того, что компьютер не может пройти аутентификацию в домене, является то, что ни один пользователь не сможет войти на компьютер, используя учетные данные домена.

Чтобы повторно присоединиться к домену на компьютере с Windows XP Professional (процесс для Windows 2000 — Win2K — аналогичен), щелкните правой кнопкой мыши Мой компьютер и выберите пункт Свойства в контекстном меню. На вкладке Имя компьютера нажмите Изменить. Выберите «Рабочая группа» и нажмите «ОК», чтобы закрыть все диалоговые окна. Вам потребуется перезагрузить компьютер. Вернитесь на вкладку «Имя компьютера» после перезагрузки и снова нажмите «Изменить». Выберите «Домен», укажите соответствующее доменное имя и нажмите «ОК». Вам нужно будет предоставить соответствующие учетные данные пользователя, чтобы снова добавить компьютер в домен. После выполнения этих шагов компьютер должен пройти аутентификацию в домене. Перезагрузите компьютер и убедитесь, что проблема с входом в домен решена.

Я использую Windows Server 2012, а на одном из клиентских компьютеров установлена ​​Windows 10.

Случилось так, что я тестировал какую-то групповую политику и случайно удалил учетную запись клиентского компьютера в AD. Поэтому я хочу попробовать выйти из домена на этом компьютере и снова присоединиться к домену, чтобы он автоматически воссоздал учетную запись компьютера в AD.

Однако, когда я попытался выйти из домена, введя учетные данные администратора домена, он говорит: «База данных безопасности на сервере не имеет учетной записи компьютера для отношений доверия этой рабочей станции». Есть идеи, как решить эту проблему?

Популярные темы в Windows Server

Тоби Уэллс

Нужно сначала включить корзину AD, чтобы предотвратить это в будущем

Затем используйте учетные данные локальной учетной записи администратора ПК, чтобы выйти из домена и снова присоединиться

15 ответов

Тоби Уэллс

Нужно сначала включить корзину AD, чтобы предотвратить это в будущем

Затем используйте учетные данные локальной учетной записи администратора ПК, чтобы выйти из домена и снова присоединиться

Андерсоп

По моему мнению, вы можете (повторно) создать учетную запись компьютера (объект) непосредственно в AD (убедитесь, что это правильное имя), а затем (повторно) установить доверительные отношения, как показано ниже.

Для этого я открывал командную строку PowerShell с повышенными привилегиями и запускал следующие команды:

Обычно я считаю, что для правильной работы команде Test-ComputerSecureChannel требуется несколько попыток. Вы ищете результат "Истина".

Не пробовал вышеописанное, но я определенно начал бы с него, если бы оказался в такой же ситуации. Вы можете получить выгоду только от части PowerShell, но без объекта для работы я не уверен, что произойдет.

О, и обязательно включите корзину AD.

Не нужно сложных способов. Войдите на рабочую станцию ​​с помощью локальной учетной записи (имя компьютера \localadminuser) и сделайте ее рабочей станцией, а затем снова подключитесь.

В качестве альтернативы вы можете отключить кабель для передачи данных и попытаться удалить его из домена, а затем снова подключиться после подключения сетевого кабеля.

дбито

Попробуйте восстановление AD от Sysinternals

адриан_йч

  • отметить 59 лучших ответов
  • thumb_up – 330 благодарностей

Вы не можете снова подключить компьютер, который уже находится в домене (с удаленной учетной записью), к тому же домену. все, что вам нужно сделать, это присоединить машину к рабочей группе, перезагрузить компьютер, а затем снова присоединиться к домену.

Рупеш (Лепид)

Представитель бренда Lepide

Ознакомьтесь со следующими ресурсами:

Многочисленные причины для "База данных безопасности на сервере не имеет учетной записи компьютера для отношений доверия этой рабочей станции". проблема.

Обычно проблемы со временем. Если время на сервере и рабочей станции отличается более чем на несколько минут, это может произойти.

Кроме того, это может произойти, если машина выключена в течение очень длительного периода времени.

Ричард5747

Просто присоединитесь к нему. Как говорили другие. Войдите в систему как локальный администратор, присоединитесь к рабочей группе, перезапустите, затем снова войдите в систему как локальный администратор и присоединитесь к домену. Легко.

Твердотельная прогулка

Мне удалось войти в Центр администрирования Active Directory -> мой домен -> Удаленные объекты -> ошибочно удаленный компьютер -> Восстановить.

Однако для этого у вас должна быть включена корзина AD.

Ле-Ман-Ветт

Я бы просто изменил его с Spiceworks.local на Spiceworks и использовал учетные данные администратора домена для авторизации. Он перезапишет что-либо в базе данных, если возникнет конфликт из-за имени. Не нужно удалять из домена и заново присоединяться. У меня были учетные записи пользователей, делавшие это много лет назад, и мне приходилось переносить все файлы в новый профиль и настраивать все обратно.

Я использую тот же метод в случае разрыва доверительных отношений между доменом и рабочей станцией по тем же причинам. Супер просто, супер быстро и требует всего одну перезагрузку.

Я сам делал это много раз, или случайно назначал неправильный статический IP-адрес или дублировал имя. При повторном присоединении к рабочей группе убедитесь, что учетная запись администратора активирована, и она должна обналичиваться до тех пор, пока компьютером пользуются не более 4 человек. Просто создайте другую учетную запись с правами администратора. Войдите снова в компьютер под рабочей группой WORKGROUP. перезапустите, затем снова войдите в домен. легкий гороховый лимонный сок!

Майкханикатт

Я согласен с отключением от сети, помещением его в рабочую группу, перезагрузкой, подключением кабеля и повторным подключением к домену. Прежде чем отсоединиться, убедитесь, что вы знаете действующую локальную учетную запись пользователя для входа в систему.

Большой Грег

Выберите свой домен и контроллер домена

Нажмите "Перечислить надгробия"

На нижней панели найдите удаленную учетную запись, нажмите "Восстановить объект".

Фабиан2990

Самый простой способ — зайти в настройки ПК, изменить доменное имя с полного доменного имени на доменное имя Netbios и добавить

одна перезагрузка и все работает как есть

не забудьте после этого перейти в правильное подразделение

Ле-Ман-Ветт

Я бы просто изменил его с Spiceworks.local на Spiceworks и использовал учетные данные администратора домена для авторизации. Он перезапишет что-либо в базе данных, если возникнет конфликт из-за имени. Не нужно удалять из домена и заново присоединяться. У меня были учетные записи пользователей, делавшие это много лет назад, и мне приходилось переносить все файлы в новый профиль и настраивать все обратно.

Я использую тот же метод в случае разрыва доверительных отношений между доменом и рабочей станцией по тем же причинам. Супер просто, супер быстро и требует всего одну перезагрузку.

Войдите или зарегистрируйтесь, чтобы ответить в этой теме.

Не нашли то, что искали? Поищите похожие вопросы на форумах или посетите форум Windows Server.

Щелкни! Lapsus$, Excel RAT, Honda Hackers, Lunar Landers, Windows Easter Egg

Ваша ежедневная доза технических новостей. Вы должны это услышать. Подозреваемые Lapsus$ арестованы за взломы Microsoft, Nvidia, Okta. Больше информации о группе Lapsus$, ответственной за ряд недавних кибератак. Несколько из группы».

Искра! Серия Pro — 25 марта 2022 г.

Friday Из бесплатной энциклопедии Википедии. Другие значения см. в Friday (значения). Пятница — день недели между четвергом и субботой. В странах, принимающих обычай "понедельник-первый".

Очень необычный спам. Ответить на темы + ссылка OneDrive + файл PWD

В последнее время я заметил резкое увеличение количества входящего спама и заметил очень необычный новый спам. У него есть несколько очень специфических характеристик, которые отличают его от обычных спам-сообщений: 1 – он содержит настоящие цепочки ответов по электронной почте2 – он содержит настоящие имена.

Есть ли недостатки безопасности при использовании VPN?

Недавно я начал использовать VPN на некоторых своих устройствах как один из способов внедрения более эффективных методов работы с персональными компьютерами. Но кажется, что некоторые учетные записи, в которые я вхожу, используются для входа с одного из 2 или 3 IP-адресов. - поэтому, когда я пытаюсь войти в систему, пока вы.

Давайте поздравим SpiceRex с днем ​​рождения, поскольку ему исполняется 12 лет!

Хотите верьте, хотите нет, но 27 марта 2022 года SpiceRex исполняется 12 лет! Те из вас, кто был в сообществе Spiceworks какое-то время, вероятно, уже знают, кто такой большой оранжевый тираннозавр рекс. Но некоторые из наших участников могут этого не делать, так что давайте немного истории.

Являясь основной службой проверки подлинности в большинстве организаций по всему миру, работоспособность и операционная целостность Active Directory напрямую влияют на общую безопасность вашей организации. Возможность отката и восстановления после изменений в вашей инфраструктуре Active Directory, будь то случайных или злонамеренных, является важным и часто упускаемым из виду аспектом вашей способности поддерживать безопасность и производительность вашей сети

Когда объекты Active Directory удаляются, они помещаются в контейнер "Удаленные объекты", также известный как корзина AD. По умолчанию этот контейнер не отображается администратору, и его необходимо включить вручную либо с помощью скрипта, либо с помощью утилиты LDP.exe. После включения корзины активного каталога существует несколько собственных методов восстановления удаленных учетных записей на сервере Windows, таких как утилита LDP.exe, запросы PowerShell и центр администрирования. Самый простой способ восстановить удаленных пользователей — использовать функцию Центра администрирования. Пожалуйста, ознакомьтесь с приведенными ниже инструкциями по поиску удаленных пользователей в Active Directory и восстановлению удаленных пользователей.

Восстановление объекта пользователя с помощью Центра администрирования AD

Шаг 1. Запустите Центр администрирования Active Directory (или запустите dsac.exe)

Шаг 2. На левой панели выберите домен, в котором находился удаленный объект.

Шаг 3. В центральной панели выберите удаленные объекты

Шаг 4. Найдите пользователя и нажмите «Восстановить».

Шаг 5. При желании вы можете выбрать восстановление в определенный контейнер

Как использовать StealthRECOVER для отката и восстановления

StealthRECOVER обеспечивает откат и восстановление объектов Active Directory, атрибутов, встроенной DNS и т. д. на определенный момент времени, позволяя организациям восстанавливать объекты целиком или только необходимую детальную информацию об атрибутах. Ознакомьтесь с нашим пошаговым руководством ниже, чтобы восстановить пользователей в AD с помощью StealthRECOVER.

Шаг 1. Перейдите и найдите пользовательский объект, который вы хотите восстановить, или воспользуйтесь нашей панелью быстрого поиска объектов, расположенной в левой части консоли.

Шаг 2. Выберите атрибуты, которые вы хотите откатить

Шаг 3. Дополнительно StealthRECOVER позволяет администратору ввести комментарий/примечание о выполненном откате и параметрах пароля, чтобы принудительно сменить пароль, назначить новый пароль и/или активировать учетную запись пользователя.

Читайте также: