Сен 11

Дано: Ошибка «Не удалось восстановить доверительные отношения между рабочей станцией и доменом» или «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией». Необходимо восстановить доверительные отношения между рабочей станцией и контроллером домена без повторного ввода ПК в домен.

Решение 1: Мы уже рассматривали 2 варианта решения данной проблемы при помощи утилиты netdom и патча Fix306348 в этой статье: https://saradmin.ru/?p=1130.

Решение 2: «В лоб»

  • «Сбросить» пароль локального администратора
  • «Выгнать» ПК из домена и включить его в рабочую группу
  • С помощью оснастки Active Directory Users and Computers «сбросить» учётную запись компьютера в домене
  • Повторно «вогнать» ПК в домен

Как видите, это долго, нудно и требуется несколько ребутов.

Решение 3: С использованием утилиты NotDom
В PowerShell
Netdom resetpwd /Server:DС-01 /UserD:Admin /PasswordD:*
где DC-01— имя контроллера домена, Admin — реквизиты учетной записи пользователя с правами администратора домена. Пароль в данном случае вводится после ввода команды непечатаемыми символами. Если хотите ввести пароль сразу в командную строку (вот только зачем?), впишите его вместо *.

Решение 4: С использованием PowerShell
Заходим на проблемный комп под учеткой локального администратора («выгонять» комп из домена не нужно), открываем консоль PowerShell и пишем там:
Reset-ComputerMachinePassword -Server DC-01 -Credential Domain\Admin
где DC-01— имя контроллера домена, Domain\Admin — реквизиты учетной записи пользователя с правами администратора домена.
В открывшемся окне указываем пароль этой учетной записи.

И не забывайте, что PowerShell нужно запускать с правами администратора.

Автор: Johnny Тэги: , , , , , , , , , , , ,


Июл 17

Чтобы на терминальном сервере Windows Server 2012 отправить сообщение всем активным пользователям, запускаем cmd с правами администратора и пишем:

msg.exe * /server:servername «Текст вашего сообщения»

Где servername — имя терминального сервера.

Автор: Johnny Тэги: , , , , ,


Окт 11

Итак, если не получается зайти на компьютер, находящийся в домене под управлением windows server 2008 r2 (у меня это терминальный сервер) с ошибкой «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией», для восстановления доверительных отношений с контроллером можно поступить несколькими способами.

База данных диспетчера учетных записей...

Способ 1. Для начала проверяем, выполняется ли запрос безопасного канала доступа. Открываем командную строку и пишем:
nltest/SC_QUERY:имя_домена
Если утилита сообщает об ошибке, ставим этот патч и радуемся жизни работе в домене. Если же утилита сообшает о том, что статус NERR_Success, переходим к водным процедурам следующему способу.

Способ 2. Заново вводим ПК в домен. Минус тут один: профили тех пользователей, которые раньше уже входили на этот ПК, придется переносить вручную.

Способ 3. Если мы хотим, чтобы профили ранее входивших на этот комп пользователей сохранились, в командной строке пишем:

netdom reset /d:имя_домена имя_ПК

или явно указываем имя контроллера домена, с которым будем устанавливать доверительные отношения и логин/пароль пользователя:

netdom reset /d:имя_домена имя_ПК /server:имя_контроллера_домена /uo:имя_пользователя /po:пароль
Чтобы не вводить пароль в открытом виде, а ввести его по запросу, вместо пароля после параметра po пишем звёздочку (*)

Автор: Johnny Тэги: , , , , , , , , , , , ,


Сен 20

Ну что же, вот мы и столкнулись с ситуацией, когда случайно была удалена учетная запись сотрудника в Active Directory. Сотрудник возмущается, не может работать, грозит всякими карами, но поддаваться вместе с ним панике мы не станем, а просто восстановим эту учётку.

На самом деле, при удалении из AD объекты не удаляются, а помечаются на удаление — у них появляется параметр isDeleted со значением True и к параметру distinguishedName после имени объекта добавляется флаг ADEL, поэтому наша задача удалить первый параметр и исправить второй.

Для этого нам нужна утилита LDP.exe. Позволяет работать с LDAP, может быть установлена через установку компонент в Windows 2008 в составе Active Directory Application Mode (ADAM) или вместе с Support Tools для Windows 2003 .

Продолжение »

Автор: Johnny Тэги: , , , , , , , , , , , ,


Мар 27

Потребовалось тут настроить автовход в систему на Windows 7, без ввода логина и пароля. Если для компьютера не в домене (в рабочей группе или вообще без сети) настроить автоматический вход в систему проще простого, то для компьютера в домене это требует некоторого шаманства с реестром Windows.

Итак, для начала нужно открыть редактор реестра regedit («Пуск» -> «Выполнить» -> regedit).

Затем открываем ветку реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и находим там параметр «DefaultUserName». Если нет, создаем его (тип: «Строковый параметр»). В качестве значения этого параметра указываем имя пользователя, под которым нужен заход в систему.

Там же ищем параметр «DefaultPassword». Если он есть, правим его, если отсутствует, создаем (тип по-прежнему «Строковый параметр») и в качестве значения указываем пароль пользователя, под которым будет осуществляться вход в систему.

Продолжаем поиски параметров. Теперь ищем «DefaultDomainName» (тип так же «Строковый параметр») и в качестве значения пишем имя домена для входа.

Закончив вносить пользовательские данные, разрешим сам автовход, изменив значение параметра «AutoAdminLogon» на 1.

Если в списке параметров есть «AutoLogonCount», просто удалите его.

Теперь перезагружаем компьютер и радуемся автовходу.

Для компьютеров, не входящих в домен, все намного проще.

Запускаем графическую утилиту, в которой и будем всё настраивать: («Пуск» -> «Выполнить» -> control userpasswords2).

В открывшемся окне с заголовком «Учетные записи пользователей» выделяем мышью того пользователя, под которым должен осуществляться автоматический вход в систему, снимаем «галку» с пункта «Требовать ввод имени пользователя или пароля» и после нажатия на кнопку «ОК» вводим пароль этого пользователя. После перезагрузки вход под этим пользователем произойдет автоматически.

Автор: Johnny Тэги: , , , , , ,


Дек 27

К захвату ролей FSMO (seize role) прибегают в том случае, когда текущий исполнитель роли становится недоступным по той или иной причине, в результате чего выполнение специализированных операций станет невозможным. Операция захвата роли выполняется при помощи утилиты командной строки NtdsUtil.exe.

Ниже приводится пример использования утилиты NtdsUtil для захвата всех специализированных ролей контроллером домена domain.local (полужирным курсивом выделены команды, вводимые администратором):

C:\ntdsutil

ntdsutil: roles

fsmo maintenance: connection

Привязка к dc01.domain.local ...

Подключен к dc01.domain.local с помощью учетных данных локального пользователя.

server connection: quit

fsmo maintenance: seize schema master

fsmo maintenance: seize domain naming master

fsmo maintenance: seize PDC

fsmo maintenance: seize RID master

fsmo maintenance: seize infrastructure master

fsmo maintenance: quit

ntdsutil: quit

Отключение от dc01.domain.local ...

Если принудительно захватываются роли владельца схемы, владельца доменных имен и владельца идентификаторов, после захвата запрещается возвращение в сеть прежнего исполнителя роли.

Автор: Johnny Тэги: , , , , , , ,


При использовании материалов сайта на других ресурсах прошу оставлять прямую ссылку на оригинал статьи.