我的一台Windows 7 PC曾是域的成员,我遇到了一个问题。当我试图用域凭证登录这台电脑时,我得到一条类似于
The trust relationship between this workstation and the primary domain could not be established.
的消息,现在我需要重新建立该电脑在域中的成员资格。但由于我无法登录,所以既不能更改计算机名称,也不能更改域成员资格。
-我如何重新信任电脑和域?
编辑 。
机器上没有我可以用来登录的活动本地账户。
这一招是通过我的Active Directory学习组来实现的。我建议大家加入一个用户组和/或学习组。不是我们不懂AD,而是我们忘记或错过了新功能。复习课程也很有趣。
偶尔会有电脑与域 “脱节"。症状可能是电脑连上网络后无法登录,消息说电脑账号已过期,域证书无效等。这些都源于同一个问题,那就是电脑和域之间的安全通道被封闭了。(这是一个技术名词。微笑)
解决这个问题的经典方法是取消加入并重新加入域。这样做是一种痛苦,因为它需要几次重启,而且用户配置文件并不总是重新连接。Ewe。此外,如果你在任何组中有那台电脑,或者给它分配了特定的权限,这些都没有了,因为现在你的电脑有了一个新的SID,所以AD不再把它看作是同一台机器了。你必须从你一直保存的优秀文档中重新创建所有的东西。呃,呵呵,你的优秀文档。双牛
与其这样,我们还不如重设安全通道。有几个方法可以做到这一点。
1:
1,在AD中右击电脑,选择重置账户。
然后重新加入,不解除计算机与域的连接。
需要重新启动。
2. 在高位命令提示符中键入。dsmod computer "ComputerDN" -reset
然后重新加入,而不解除计算机与域的连接。
需要重新启动。
3. 在高阶命令提示符中键入:netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
帐户需要重启。nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
你提供的账户必须是本地管理员组的成员。
没有重新加入。不重启。
4. 在 elevate 命令提示符中键入:0x6&
没有重启。0x6&
不重新加入。不重启。
不要再从客户端与这个问题作斗争了。如果你不能登录到域,你将不得不用启用的本地账户登录,或者使用启动光盘启用一个账户。
尝试从活动目录用户和计算机中删除机器。它应该在服务器的管理工具中。打开包含计算机的OU(组织单元)。找到计算机,右击它,然后点击删除。
耐心点,让复制做它的事情,这可能不会有什么坏处,这取决于你有多少个DC。如果你的域很简单(没有站点,只有两个DC),你可以使用repadmin /replicate来强制复制。 在这样做之前,先读一读。
现在再次使用AD UC添加PC,要么等待复制,要么强制复制。
如果它仍然对你发牢骚,给netdom /remove一个尝试 这里的man page ),看看是否会让它离开你的域。如果你有麻烦,看看 这个问题 。这是一个不同的场景,但本质上是相同的概念:当一台计算机无法与DC联系时,试图从域中删除它。
从Server 2008 R2开始,这个任务就非常简单了。我们现在可以使用Test-ComputerSecureChannel cmdlet。
Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
添加-Repair参数来执行实际的修复;使用被授权将计算机加入域的账户的凭证。
参考。 https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined
– 编辑–
如果没有任何本地管理员账户可以使用,你可以使用著名的 Sticky Keys hack 创建一个(或启用已禁用的内置管理员账户)。
要重置忘记的管理员密码,请按照以下步骤进行。^
1.从Windows PE或Windows RE启动并进入命令提示符。
2. 找到安装 Windows 的分区的驱动器字母。在Vista和Windows XP中,通常是C:,在Windows 7中,大多数情况下是D:,因为第一个分区包含启动修复。要找到驱动器字母,请键入C:(或D:,分别)并搜索Windows文件夹。请注意,Windows PE (RE)通常驻留在X:上。在本演示中,我们将假设Windows安装在驱动器C:
3上。输入以下命令。copy C:\Windows\System32\sethc.exe C:从Server 2008 R2开始,这个任务就非常简单了。我们现在可以使用Test-ComputerSecureChannel` cmdlet。
Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
0x4&
添加-Repair参数来执行实际的修复;使用被授权将计算机加入域的账户的凭证。
参考。 https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&
– 编辑–
如果没有任何本地管理员账户可以使用,你可以使用著名的 [ Sticky Keys ]0x3& hack 创建一个(或启用已禁用的内置管理员账户)。
要重置忘记的管理员密码,请按照以下步骤进行。^
1.从Windows PE或Windows RE启动并进入命令提示符。
2. 找到安装 Windows 的分区的驱动器字母。在Vista和Windows XP中,通常是C:,在Windows 7中,大多数情况下是D:,因为第一个分区包含启动修复。要找到驱动器字母,请键入C:(或D:,分别)并搜索Windows文件夹。请注意,Windows PE (RE)通常驻留在X:上。在本演示中,我们将假设Windows安装在驱动器C:
3上。输入以下命令。 这将创建一个sethc.exe的副本,以便以后还原。
4. 输入此命令以 cmd.exe 替换 sethc.exe:copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe 重新启动计算机并运行你没有管理员密码的 Windows 实例。
5. 看到登录屏幕后,按五次SHIFT键。
6. 你应该看到一个命令提示符,在那里你可以输入以下命令来重置Windows密码:net user [username] [password]如果你不知道你的用户名,只需键入net user来列出可用的用户名。
7. 现在你可以用新密码登录了。
如果你想启用默认禁用的内置管理员账户,而不是在现有账户上重置密码,命令是:
net user administrator /active:yes. 如果您希望创建一个新帐户并将其添加到本地管理员组,[ 命令序列 ]0x3& 是:
net user /add [username] [password] net localgroup administrators [username] /add唯一的解决方法,如果你的PC/服务器信任问题,(重置后,在DC上重新创建等)不需要任何还原就能解决!
禁用所有NICS,这样就无法验证与登录DC的信任关系。然后用之前登录过的管理员级别的域账号(必须驻留在本地PC管理员组)登录,即利用缓存的凭证。我的问题是我把一个W7虚拟机从prod移到了测试实验室,并预期信任会被打破,但并不是说我不能用本地管理员/用户账户登录,甚至用 “旧域 "缓存的凭证登录。
禁用网卡和缓存凭证,然后你可以用netdom join重新加入域。
如果你用完了缓存的凭证尝试 (取决于本地操作系统的策略/ GPO - 最多 50), 做一个系统恢复到以前的日子, 这也将工作, 。
首先尝试用管理员(电脑名/管理员)登录,然后取消加入域到WorkGroup,然后重启,现在你的电脑是以本地账户加入WorkGrup的。右键点击我的电脑->属性->更改->Doamin->Ex Fu-com.com->然后就会以管理员密码登录服务器,然后输入管理员用户名和密码,然后重启电脑。现在你的电脑已经在域内了,试着用你的用户名和密码登录。
断开网线并登录到受影响的工作站(缓存的凭证将允许这样做。)之后,重新连接网线。
从此处下载 Microsoft 的远程服务器管理工具 (RSAT) 包。 http://www.microsoft.com/en-us/download/details.aspx?id=7887 (根据工作站的操作系统,而不是服务器的操作系统,选择合适的 32 位或 64 位版本)。
安装下载的软件包。在使用清洁启动模式之前,我们在这方面遇到了麻烦,所以在配置为清洁启动之后,你可能必须重新启动工作站,在这个过程之后可以撤销。
安装RSAT并不会自动使其可以使用。进入控制面板–>程序–>添加/删除Windows功能,寻找远程服务器管理员工具。展开这个,然后钻到AD/AS /命令行并启用。
以管理员身份打开一个命令窗口,输入这个命令。
NETDOM.EXE resetpwd /s:(server) /ud:(username) /pd:*
其中(server)是域服务器的Netbios名称,(username)是受影响工作站的登录账号,格式为DOMAIN\Username
就这样。这样做后,工作站上的一切都恢复了正常。
如果您安装了杀毒软件,请执行以下操作… …
开始 ===> 运行 ===> ncpa.cpl ===> 按Alt + N按钮 ===> 高级设置 ===> 选项卡供应商订单 ===> 按向上的按钮将Microsoft Windows网络调到顶部。
在客户端和域控制器 (DC)上做这个操作。