Разное

Восстановление доверия в домене: Восстановление леса AD — сброс пароля доверия

28.02.1982

Содержание

Восстановление леса AD — сброс пароля доверия

  • Чтение занимает 2 мин

В этой статье

применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 и 2012 r2, Windows Server 2008 и 2008 r2

Если восстановление леса связано с нарушением безопасности, используйте следующую процедуру, чтобы сбросить пароль доверия с одной стороны доверия. Сюда входят неявные отношения доверия между дочерними и родительскими доменами, а также явные отношения доверия между этим доменом (доверяющим доменом) и другим доменом (доверенный домен).

Сбросьте пароль только на стороне доверенного домена доверия, также известной как входящее доверие (сторона, к которой принадлежит этот домен).

Затем используйте тот же пароль на стороне доверенного домена доверия, который также называется исходящим доверием. Сбросьте пароль исходящего доверия при восстановлении первого контроллера домена в каждом из других (доверенных) доменов.

Сброс пароля доверия гарантирует, что контроллер домена не будет реплицироваться с потенциально неисправными контроллерами домена, находящимися за пределами доменов. Устанавливая тот же пароль доверия при восстановлении первого контроллера домена в каждом из доменов, вы гарантируете, что этот контроллер реплицируется с каждым из восстановленных контроллеров домена. Последующие контроллеры домена в домене, которые восстанавливаются при установке AD DS, будут автоматически реплицировать эти новые пароли в процессе установки.

Сброс пароля доверия с одной стороны доверия

  1. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    netdom experthelp trust
    
  2. Используйте синтаксис, который эта команда предоставляет для использования средства NetDom для сброса пароля доверия. Например, если в лесу есть два домена — родительский и дочерний — и эта команда выполняется на восстановленном КОНТРОЛЛЕРе домена в родительском домене, используйте следующий синтаксис команды:

    netdom trust parent domain name /domain:child domain name /resetOneSide /passwordT:password /userO:administrator /passwordO:*
    

    При выполнении этой команды в дочернем домене используйте следующий синтаксис команды:

    netdom trust child domain name /domain:parent domain name /resetOneSide /passwordT:password /userO:administrator /passwordO:*
    

    Примечание

    пароль должен иметь одинаковое значение на обеих сторонах доверия. Выполните эту команду только один раз (в отличие от команды netdom ресетпвд ), так как она автоматически сбрасывает пароль дважды.

Next Steps

Восстанавливаем доверие в домене | ИТ Заметки

Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом.  Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай 🙂 . Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

Способ первый

Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.

Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Что интересно, в рекомендациях  по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

Или сбросить учетную запись компьютера:

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью  Active Directory Domain Services (AD DS).  На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Способ третий

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

Nltest /query — проверить безопасное соединение с доменом;

Nltest /sc_reset:Contoso.com — сбросить учетную запись компьютера в домене;

Nltest /sc_change_pwd:Contoso.com — изменить пароль компьютера.

Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

Способ четвертый

PowerShell тоже умеет сбрасывать пароль копьютера и восстанавливать безопасное соеднение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

где SRV1 — контролер домена (указывать не обязательно).

Для сброса пароля также можно также воспользоваться такой командой:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился  в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа. Получается что данный метод можно использовать только на  Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3. 0 пока недоступен.

Как видите, способов восстановления доверительных отношений более чем достаточно. Однако если проблема приобретает постоянный характер, то проще подойти к ее решению с другой стороны.

Изменение параметров смены пароля компьютера

Смена пароля в домене происходит следующим образом:

Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учетной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.

Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.

Если настройки необходимо применить к группе компьютеров, то проще всего использовать групповую политику. Настройки, отвечающие за смену паролей, находятся в разделе Computer Configuration — Policies — Windows Settings — Security Settings — Local Policies — Security Options. Нас интересуют следующие параметры:

Disable machine account password change — отключает на локальной машине запрос на изменение пароля;

Maximum machine account password age — определяет максимальный срок действия пароля компьютера. Этот параметр определяет частоту, с которой член домена будет пытаться изменить пароль. По умолчанию срок составляет 30 дней, максимально можно задать 999 дней;

Refuse machine account password changes — запрещает изменение пароля на контролерах домена. Если этот параметр активировать, то контролеры будут отвергать запросы компьютеров на изменение пароля.

Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters есть два параметра :

 DisablePasswordChange — если равен 1, то запрос на обновление пароля компьютера отключен, 0 — включен.

MaximumPasswordAge — определяет максимальный срок действия пароля компьютера в днях. При желании можно задать более 1 миллиона дней !!!

И в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, только у контролеров домена, параметр:

RefusePasswordChange — если равен 1, то запрещает контролеру домена принимать запрос на изменение пароля. Этот параметр надо задать на всех контролерах в домене.

Вот вроде и все про доверительные отношения. Как видите, доверие в домене — штука тонкая, так что старайтесь его не терять.

https:\\zametkiiit.ru

Восстановление доверительных отношений без повторного ввода в домен. Восстанавливаем доверительные отношения в домене

Рано или поздно, но администраторам доменной сети на базе продуктов Microsoft приходится сталкиваться с двумя похожими ошибками: «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» и «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией» . Помимо данных сообщений также наблюдается невозможность зайти в компьютер под доменными учетными записями.

Разберем причины появления ошибок и методы их лечения.

В доменных сетях Windows всем компьютерам и учетным записям пользователей присваиваются свои идентификаторы безопасности (SID). В сущности, можно сказать, что каждый компьютер в домене также обладает своей учетной записью типа «компьютер». По аналогии с учетной записью пользователя, такая учетная запись тоже будет иметь пароль. Данный пароль создается и предъявляется компьютером контроллеру домена автоматически. Таким образом между рабочими станциями и контроллером домена и формируются те доверительные отношения, о которых упоминается в тексте ошибок.

Каждые 30 дней или при первом включении после длительного перерыва компьютер автоматически изменяет свой пароль. В теории всё красиво, и машина вроде бы не может ошибиться и «ввести» неправильный пароль. Однако иногда такое происходит по нескольким причинам.


Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Самой распространенной причиной является откат операционной системы Windows на более ранее состояние. Естественно, чем раньше была создана точка восстановления, тем больше вероятность появления ошибки. В данном случае после восстановления компьютер примется предъявлять контроллеру домена устаревший пароль, а контроллер уже содержит новый.

Ошибка может возникнуть и в случае нахождения в домене двух станций с одинаковыми именами. Такая ситуация может возникнуть, например, если дать новому компьютеру имя выведенной из эксплуатации машины, а затем снова включить старый компьютер, забыв его переименовать.

С возможными причинами разобрались. Теперь о решении проблемы. Способов несколько, но все они так или иначе заключаются в переустановке учетной записи компьютера или сбросе его пароля.

Первый способ заключается в переустановке учетной записи в .

После этого необходимо зайти на компьютер под локальным администратором и вывести рабочую станцию из домена в рабочую группу (компьютер → свойства → дополнительные параметры системы → имя компьютера → изменить).

Вторым способом является сброс пароля через . Оговоримся однако, что нам потребуется PowerShell версии 3.0 и выше. Также заходим на компьютер локальным администратором и вводим следующий командлет:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

В данном случае -Server это имя контроллера домена, а -Credential это учетная запись администратора домена.

Командлет не выведет никаких сообщений в случае своего успешного завершения. Данный способ привлекателен тем, что перезагрузка не требуется — достаточно сменить пользователя и войти в машину под доменной учетной записью.

Третий способ сброса пароля компьютера заключается в использовании утилиты

Netdom , которая появилась в серверных ОС Microsoft начиная с Windows Server 2008. В клиентских операционных системах её можно добавить с помощью пакета RSAT (Средства удаленного администрирования сервера).

Как и в предыдущих способах, этот тоже выполняется из-под локального администратора. Введите в командной строке:

Netdom resetpwd /Server:DomainController /UserD:Admin /PasswordD:Password /SecurePasswordPrompt

Принцип схож с тем, что мы видели в примере с PowerShell. /Server это контроллер домена, /UserD — учетная запись администратора домена, /PasswordD — пароль от учетной записи администратора домена. Вы также можете использовать параметр /SecurePasswordPrompt , чтобы скрыть пароль за звездочками. Перезагрузка также не требуется.

Способ четвертый и последний в нашей статье заключается в использовании утилиты Nltest , которая по умолчанию есть на любой рабочей станции.

Запустим утилиту в командной строке и для начала проверим безопасное соединение с доменом:

Nltest /query

Затем сбросим учетную запись компьютера в домене:

Nltest /sc_reset:Domain

И, наконец, сбросим пароль компьютера:

Nltest /sc_change_pwd:Domain

К сожалению, у такой прекрасной утилиты есть свои минусы. В первую очередь, утилита не спрашивает логин/пароль администратора домена и, соответственно, исполняется из-под запустившего его пользователя, что может привести к ошибке доступа.

Есть и еще одна ошибка, связанная с доверительными отношениями внутри домена и вынесенная в начало этой статьи. Выглядит она следующим образом:

В данном случае нам опять же поможет утилита Nltest . Снова проверяем безопасное соединение с доменом:

Nltest /query

Если появится сообщение об ошибке, то для исправления ошибки достаточно установить этот патч . Если же статус подключения будет NERR_Success

, то выполняем следующие действия:

netdom reset /d:Domain ComputerName netdom reset /d:Domain ComputerName /server:DomainController /uo:Admin /po:Password

Во втором случае мы явно указываем контроллер домена, с которым хотим установить доверительные отношения.

Утилита порадует нас сообщением о том, что безопасный канал был сброшен и новое соединение установлено.

Итак, вот несколько способов восстановить доверительные отношения в домене. Надеюсь, что применять их вам придется как можно реже. 🙂

Одной из периодических ошибок, с которыми приходится сталкиваться системному администратору это ошибка «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом».

Данная ошибка появляется, когда пользователь пытается выполнить вход в систему, вводит логин и пароль, а в итоге получает это сообщение. В большинстве случаев это связано с откатом системы до более раннего состояния.

В чем же причина подобного поведения? Дело в том, что учетной записи компьютера подключенного к домену присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к домену, а так же пароль, который автоматически меняется каждые 30 дней без участия пользователя.

Так вот, в момент восстановления контрольной точки, система может быть восстановлена на момент, когда действовал еще старый пароль и при подключении к домену, пароль на рабочей станции и контроллере домена будут различные, что и вызовет ошибку «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом». В данной ситуации, необходимо сделать так, чтобы эти пароли совпадали!

Не смотря на это, доступ к рабочей станции все же можно получить, для этого нужно отключить сетевой кабель от компьютера и вновь ввести пароль. В результате чего, данные для проверки просто некуда будет отправлять, и система вас впустит, так как пароль от учетной записи вы ввели правильно. После чего, подключаем кабель и работаем. Но, это не решение проблемы, так как каждый раз потребуется выполнять данные манипуляции, а так же определенные функции не будут работать.

Есть несколько методов, которые позволяют это сделать, на самый простой, это вывести рабочую станцию из домена, а потом вновь её прописать. Для этого сначала выведем компьютер из домена, путем подключения к произвольной рабочей группе (Мой компьютер \ ПКМ \ Свойства \ Имя компьютера, имя домена и параметры рабочей группы \ Изменить параметры \ Изменить \ Является членом рабочей группы \ 123 \ ОК ), а потом подключим обратно введя имя домена и перезагрузиться.

Данные действия следует выполнять под локальным администратором, так как под учеткой администратора домена вас может просто не пустить! В данной ситуации, если вы не знаете пароль от локального администратора, придется этот пароль сбросить. Об этом я уже рассказывал в уроке Сброс пароля учетной записи Windows XP Vista 7 2003 2008 и Сброс пароля администратора windows 7

Хотя, некоторые рекомендуют, для решения возникновения ошибки «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» в будущем, вообще отключить службу восстановления при загрузке, чтобы откат не выполнялся в автоматическом режиме. Но, здесь бы я отнесся с осторожностью и выполнял данное отключение в крайнем случае, дабы не уменьшить себе количество средств для восстановления работоспособности при возможных сбоях в работе. В любом случае, если откат выполняется периодически, тут лучше не службу отключать, а разобраться в сути проблемы!

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory , находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись .

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную , поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

крепыш 14 января 2013 в 17:27

В сети с парком в 150 машин после обновление операционной системы до MS Windows 7 стала постоянно наблюдаться проблема со входом пользователя в систему. В один прекрасный день пользователь включив компьютер обнаруживал, что войти в систему он не может, при этом видит ошеломляющее по своей информативности сообщение:
«Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

Решение тут одно. Вывести машину из домена и ввести обратно. Когда в день эта ситуация стала повторятся больше одного раза, да и просто надоело, задумался о профилактике. И вот тут интернет промолчал. После некоторого времени уныния, а уныние, как известно — грех, было решено копать. В результате пыток раскопок, была получена причина 99% случаев (и я подозреваю что оставшийся 1% просто не признался в той же самой причине). Причина — это служба восстановления при загрузке, которая включается при некорректном завершении работы. На первом же экране диалога служба спрашивает пользователя восстанавливать систему или нет. В случае положительного ответа система откатывается до более раннего состояния и, возможно, бьется sid машины. Как бы то ни было, домен пускать к себе пользователей с такой машину после такой операции не станет. Надеяться на пользователя в таком вопросе бесполезно. Можно просить его отказываться, в случае возникновения такой ситуации, но пользователь с очень большой вероятностью нажмет кнопку «восстановить» а потом разведет руками, мол бес попутал. В общем надо пакетно отключить службу восстановления при загрузке на n-машинах.

Локально решение выглядит, как консольная команда:

Reagentc.exe /disable

Для сети потребуется утилита PsExec из пакета Microsoft Sysinternals PsTools, описание утилиты и сам пакет лежат

Psexec.exe кладем в одну папку с нашим командным файлом (назовем его broff.cmd)
внутри broff.cmd пишем:

::Получаем список компьютеров в сети, чистим от мусора и кладем в net.lst net.exe view /domain:megafon >>net.tmp for /f «tokens=1,2 delims= » %%i in (net.tmp) do (Echo %%i>>net1.tmp) for /f «tokens=1,2 delims=\» %%i in (net1.tmp) do (Echo %%i>>net.lst) DEL *.TMP::Проходимся по списку и отключаем boot recovery for /f «tokens=1,2 delims= » %%F in (net.lst) do (start psexec \\%%F reagentc.exe /disable)

Вот и все. Пользователь больше нам не враг.

Теги: Доверительные отношения, DC, ИТ, администрирование сетей, сети, развертывание

Бывает такая ситуация, что компьютер не может пройти проверку подлинности в домене. Вот несколько примеров:

  • После переустановки ОС на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки ОС генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
  • Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
  • Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. Т.е. компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.

Основные признаки возможных неполадок учетной записи компьютера:

  • Сообщения при входе в домен указывают, что компьютеру не удалось установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом.
  • Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 в журнале событий компьютера.
  • Учетная запись компьютера в Active Directory отсутствует.

Как лечить?

Необходимо переустановить учетную запись компьютера. В сети есть рекомендации по такой переустановки: удалить компьютер из домена, чтобы потом повторно присоединить его. Да, это работает, но данный вариант не рекомендуется делать по причине того, что теряется SID-идентификатор и членство компьютера в рабочей группе.

Поэтому необходимо сделать так :

Открыть оснастку Active Directory, выбрать «Пользователи и компьютеры», щелкнуть объект компьютера правой кнопкой мыши и применить команду «Переустановить учетную запись». После этого компьютер следует заново присоединить к домену и перезагрузиться.

C помощью учетной записи, относящейся к локальной группе «Администраторы»:

netdom reset Имя_машины /domain Имя_домена /Usero Имя_пользователя /Passwordo {Пароль | *}

На компьютере, где утрачены доверительные отношения:

nltest /server:Имя_сервера /sc_reset:ДОМЕН\Контроллер_домена

Как установить доверительные отношения между компьютером и основным доменом

Здравствуйте Уважаемые читатели Хабрахабра! В просторах интернета каждый из нас может найти много отдельных статей о не прохождении аутентификации компьютера через домен-контроллер, если точнее сказать, компьютер подключенный к домену теряет связь с ним.

Итак, приступим к изучению этой проблемы.

У многих IT – инженеров, которые работают в больших и малых компаниях, имеются компьютеры с операционной системой Windows 7, 8.1 и т.п. и все эти компьютеры подключены к доменной сети (DC).

Данная проблема происходит из-за того, что сетевой протокол Kerberos не может синхронизироваться и пройти аутентификацию с компьютером (The trust relationship between this workstation and the primary domain failed), который подключен к домену. Тогда мы можем увидеть такую ошибку (см. фото ниже).

После чего мы ищем стороннюю программу, скачиваем ее, создаем загрузочную флешку и локального админа, далее логируемся через него и выходим с домена, добавляем компьютер в Workgroup-у и потом обратно подключаем этот компьютер к домену.

Используя Windows Batch scripting, я хочу создать bat file и автоматизировать процесс создания и добавления локального админа. Единственное, что нам будет необходимо, так это после создания данного файла запустить его.

Открываем наш текстовой редактор, вписываем команду, которая показана внизу.

net user admin Ww123456 /add /active:yes
	
WMIC USERACCOUNT WHERE "Name='admin'" SET PasswordExpires=FALSE
	
net localgroup Administrators admin /add 

net localgroup Users admin /delete 

netsh advfirewall set allprofiles state off

Пройдем все команды по пунктам для устранения неясных моментов.

• net user admin (вместо слова админ Вы можете добавить любое имя, которое Вас устраивает, по умолчанию ставится administrator, в моем случае это admin).
Далее мы видем пароль, который я там поставил Ww123456(Вы можете поставить любой запоминающийся для Вас пароль).

После мы видем /add /active:yes –добавить и активировать: ДА

• WMIC USERACCOUNT WHERE «Name=’admin’» SET PasswordExpires=FALSE – данная команда означает, что админ, который добавляется, имел постоянный пароль без срока действия (см. картинку ниже).

• Третий и четвертый пункт связаны между собой тем, что по умолчанию, когда создается локальный админ в пункте Member Of стоит Users (см. фото). Нам он не нужен (Users), потому что мы создаем полноправного администратора для нашей ОС. Поэтому четвертая команда — net localgroup Users admin /delete – удаляет Users, а предыдущая команда — net localgroup Administrators admin /add, добавляет администратора (см. фото).

• Последняя команда- netsh advfirewall set allprofiles state off, отключает брандмаузер Windows-a.
Иногда, чтобы установить какую-либо программу или дать какую-либо команду в Windows-e необходимо отключить firewall (После запуска скрипта Вы можете ввести команду- netsh advfirewall set allprofiles state on и включить его заново. У меня по умолчанию стоит off, так как я использую сторонний брандмаузер. Данный момент на усмотрение каждого лично).

Далее идем к нашему блокноту, нажимаем File, save as… (сохранить как…) вводим имя нашего скрипта( в моем случае: localadmin).Затем ставим точку (.) и пишем формат скрипта bat. Выбираем место, где сохранить данную запись и нажимаем save. Более детально показано на картинке.

Получается вот такой скрипт (см. фото).

Данный скрипт при запуске необходимо открывать от имени администратора:

• Нажимаем правую кнопку мыши и Run as administrator (см. фото).

После запуска скрипта у Вас должно появиться вот такое окошко (см. фото).

Если по каким-либо причинам выйдет ошибка, то в 90% таких случаев это связано с тем, что у Вас образ с которого Вы установили Windows, имеет нелицензионный характер, какие-либо repack или т.п. Скачивайте и используйте лицензионный и проверенный софт.

После удачного добавления локального админа, Вы можете этот скрипт запустить на всех рабочих машинах в Вашем офисе, в которых установлена ОС Windows.

Если у Вас когда-нибудь появится такая ошибка: The trust relationship between this workstation and the primary domain failed- Вам нужно будет только сделать switch user и где логин написать.\admin (запомните! В начале до слеша ставится точка!), далее внизу вводите пароль, который Вы добавили в Ваш скрипт (в моем случае: Ww123456). После этого Вы заходите на рабочую ОС.

Осталось снять наш компьютер с домена и добавить в Workgroup-у. Вместо Workgroup-а вписываем любую букву (см. фото).

Далее вводится пароль администратора домена и компьютер просит нас о перезагрузке.
После перезагрузки ещё раз заходим под нашим локальным админом и дальше уже добавляем компьютер к нашему домену. Система в очередной раз требует перезагрузиться и Вуаля! Наш User опять может подключиться к домену без всяких проблем!

P.S – Данная система работает также для серверной части Windows, однако если Вы будете писать такой скрипт для серверов после отключения брандмаузера необходимо будет включить его еще раз (до — netsh advfirewall set allprofiles state off, после netsh advfirewall set allprofiles state on).

Благодарю за внимание!

Восстанавливаем доверительные отношения в домене

. Windows XP

1 . Запустим редактор реестра, (Пуск — Выполнить regedit Enter)


Как очистить следы от удаленных программ в реестре Вы можете узнать
2. Дальше находим раздел реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon


3. После этого удаляем весь раздел WgaLogon (сомневающиеся могут предварительно сделать копию этого раздела)
4. Делаем перезагрузку системы
После перезагрузки сообщение о проверке подлинности исчезнет

. Windows 7

Что касается по Windows 7 , убираем с помощью программы RemoveWAT21
1. Скачайте данную программу с Deposit или Letitbit
2. Убираете старую активацию
3. Активируете заново
4. И убираете навсегда проверку на подлинность
Подробная инструкция описана в самой программе, вся операция происходит буквально в три клика.

Как избавиться от сообщения о нелицензионном Windows

Обновление (KB971033 ) проверяет подлинность для компонентов активации и проверки, входящих в состав технологий активации Windows для системы Windows 7 .
Правой кнопкой мыши нажимаем на значок: Компьютер — Свойства .
Выбираем Центр обновления Windows — Установленные обновления .
Находим, среди установленных обновлений (Обновление для Microsoft Windows KB971033 ), выделяем и удаляем его.
Чтобы, Windows больше не слетела с активации делаем обновление (KB971033) скрытым . Правой кнопкой мыши нажимаем на значок: Компьютер — Свойства . Выбираем Центр обновления Windows — Важные обновления . Находим (KB971033) и делаем его скрытым, нажав на него правой кнопкой мышки. Больше оно не будет приходить от Microsoft.

Поэтому не устанавливайте эти обновления..
Например, если у Вас пиратская версия то: KB905474 , KB2882822, KB2859537, KB2862330, KB2864058, KB2872339,
Если установите KB971033 — он найдет кряк и будет выдавать сообщение, что «Вы стали жертвой поддельного ПО».
KB2859537 — в Windows XP может заблокировать запуск всех exe — файлов , кроме тех, что
лежат в папке Windows . Удаление обновления исправляет проблему.
Как получать обновления для Windows XP, читайте
Как из Windows XP Home Edition сделать Windows XP Professional Edition , читайте
Вот коротко,о том как убрать это окно.

Чёрный властелин 14 января 2013 в 17:27

В сети с парком в 150 машин после обновление операционной системы до MS Windows 7 стала постоянно наблюдаться проблема со входом пользователя в систему. В один прекрасный день пользователь включив компьютер обнаруживал, что войти в систему он не может, при этом видит ошеломляющее по своей информативности сообщение:
«Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»

Решение тут одно. Вывести машину из домена и ввести обратно. Когда в день эта ситуация стала повторятся больше одного раза, да и просто надоело, задумался о профилактике. И вот тут интернет промолчал. После некоторого времени уныния, а уныние, как известно — грех, было решено копать. В результате пыток раскопок, была получена причина 99% случаев (и я подозреваю что оставшийся 1% просто не признался в той же самой причине). Причина — это служба восстановления при загрузке, которая включается при некорректном завершении работы. На первом же экране диалога служба спрашивает пользователя восстанавливать систему или нет. В случае положительного ответа система откатывается до более раннего состояния и, возможно, бьется sid машины. Как бы то ни было, домен пускать к себе пользователей с такой машину после такой операции не станет. Надеяться на пользователя в таком вопросе бесполезно. Можно просить его отказываться, в случае возникновения такой ситуации, но пользователь с очень большой вероятностью нажмет кнопку «восстановить» а потом разведет руками, мол бес попутал. В общем надо пакетно отключить службу восстановления при загрузке на n-машинах.

Локально решение выглядит, как консольная команда:

Reagentc.exe /disable

Для сети потребуется утилита PsExec из пакета Microsoft Sysinternals PsTools, описание утилиты и сам пакет лежат

Psexec. exe кладем в одну папку с нашим командным файлом (назовем его broff.cmd)
внутри broff.cmd пишем:

::Получаем список компьютеров в сети, чистим от мусора и кладем в net.lst net.exe view /domain:megafon >>net.tmp for /f «tokens=1,2 delims= » %%i in (net.tmp) do (Echo %%i>>net1.tmp) for /f «tokens=1,2 delims=\» %%i in (net1.tmp) do (Echo %%i>>net.lst) DEL *.TMP::Проходимся по списку и отключаем boot recovery for /f «tokens=1,2 delims= » %%F in (net.lst) do (start psexec \\%%F reagentc.exe /disable)

Вот и все. Пользователь больше нам не враг.

Теги: Доверительные отношения, DC, ИТ, администрирование сетей, сети, развертывание

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory , находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись .

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную , поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Чем популярнее становятся устройства компании Apple, тем больше появляется подделок и очень важно понимать,как убедиться, что приобретаемый Айфон подлинный (оригинальный). Помимо этого, необходимо уметь проверять, не является ли устройство украденным и сохранена ли возможность гарантийного обслуживания в официальных магазинах iStore.

Ещё не так давно оригинальный и поддельный Айфон можно было различить с закрытыми глазами. Это было два абсолютно разных устройства, которые отличались не только ПО, но и качеством всех используемых деталей. А сейчас ситуация изменилась кардинальным образом и теперь очень трудно найти различия между настоящим и неоригинальным гаджетом.

В сегодняшнем материале, Вы научитесь подтверждать оригинальность Айфона перед тем, как его приобрести.

Что необходимо знать о iPhone?

Чтобы избежать сотрудничества с мошенниками, лучше всего приобретать Айфон лишь в салоне официального дилера.

К таким местам может относиться надёжный интернет-магазин или супермаркет электроники, который давно реализует продукцию компании Apple, у которого положительные отзывы в интернет-сети и который может предоставить клиентам сервисное обслуживание смартфона.

Помните, что официальные дилеры завышают цену на 20-30% от стоимости, которая определяется компанией Apple. По этой причине, потребители часто решают заказать гаджет из Соединенных Штатов Америки, при помощи множества распространителей. Другой способ купить Айфон дешевле – это найти объявление о продаже б/у устройства, которое нормально работает. У каждого из представленных способов меньше потратить на покупку, есть свои «подводные камни».

Выписать Айфон из США – дешевле, да и выбор цветовых решений там намного больше. Но если просто купить смартфон там, то он не будет работать в какой-либо другой стране, он будет функционировать лишь в США. Значит необходимо будет отключиться от сети мобильного оператора (анлок).

Также в интернете встречаются объявления о продаже смартфонов, которые не требуют анлока – это восстановленные гаджеты, которые кем-то были куплены, а затем из-за каких-то технических проблем, сданы обратно в магазин. Такие устройства отправляют в сервисный центр, где проводятся ремонтные работы, а затем продаются за границами США, где к ним относятся не очень хорошо.

Чтобы не купить китайскую подделку iPhone, необходимо разбираться в следующих вещах:

  1. Что входит в полную комплектацию оригинального смартфона?
  2. Проверка устройства по его внешним параметрам;
  3. Нюансы работы программного обеспечения.

Как выбрать продавца?

Если Вы хотите приобрести оригинальный телефон и хотите быть в этом уверены на 100%, при чём не особо обращая внимания на стоимость устройства, то сразу направляйтесь в популярные торговые сети.

А если у Вас не хватает средств или Вы привыкли экономить на покупках качественных вещей, то запоминайте следующие советы по выбору надёжного продавца Айфонов:

  • Всегда проверяйте отзывы о продавце и его рейтинг. Возможно придётся поискать дополнительную информацию о нём в поисковой системе, при помощи имени или номера телефона. Если это злоумышленник, о нём скорее всего говорят на каких-то сайтах, в группах соцсетей или же форумах.
  • Просите, как можно больше фотографий с гаджетом, комплектацией устройства, коробкой и серийным номером. Возможно придётся даже созвониться с помощью видео звонка.
  • Не стоит скупиться на вопросы, которые помогают узнать историю телефона. В каком магазине и как давно его приобрели? Сколько им пользовались? Ремонтировали ли его? Роняли ли его? Только владелец даст ответы на поставленные вопросы, а мошенник растеряется.
  • Проверьте состояние гарантии и не является ли Айфон залоченным. Не обязательно наличие гарантии, но хорошим бонусом этот нюанс точно будет!

Параметры, отличающие оригинальный смартфон от поддельного

В компании Apple уделяется большое внимание вопросу безопасности и оригинальности собственных гаджетов. Именно поэтому, предусмотрены параметры, позволяющие пользователям выявлять и подтверждать уникальность своего устройства.

Для проверки необходимо осуществить внешний осмотр гаджета, а также выяснить серийный номер и исследовать работу ПО. Следуйте нашим советам:

  1. Проверьте состояние корпуса, в том числе все особенности выбираемой модели Айфона;
  2. Проверьте технические характеристики гаджета, они не должны отличаться от заявленных;
  3. Проверьте серийный номер и код IMEI;
  4. Проверьте Apple ID.

Этап №1. Проверяем IMEI, серийный номер и параметры iOS

Не рекомендуется приобретать Айфон без коробки, так как она является один из инструментов, который помогает выяснить оригинально или нет устройство. На коробке написан IMEI и его нужно сравнить с тем, который отображён в информации о iOS, в самом iPhone.

Если номера не совпали – это значит, что смартфон либо не оригинальный, либо ворованный.

Узнать IMEI на любом телефоне можно, набрав комбинацию: *#06#

Этап №2. Проверяем с помощью официального сайта Apple

Для того чтобы проверить подлинность устройства, можно воспользоваться интернет-сайтом компании Apple. Это очень точный и надёжный способ. А на проверку у Вас уйдёт несколько минут:

  • Переходим на страницу Apple: https://checkcoverage.apple.com/ru/ru/;
  • Вводим серийный номер устройства;
  • Вводим информацию нужную информацию и нажимаем на «Продолжить».

Важно понимать, что этот способ определяет наличие возможности воспользоваться сервисным обслуживанием. Также с помощью сайта imei.info можно узнать:

  • Модель гаджета;
  • Его серийный номер;
  • Дату первоначального приобретения;
  • И наличие возможности обслуживания по гарантии.

Всё о Activation Lock

Activation Lock – это инструмент, позволяющий заблокировать Айфон, который был украден. Никто не сможет снять блокировку, кроме того, кто владел им до этого момента. Активация Activation Lock происходит с помощью сервиса FindMyPhone .

На сайте сервиса можно узнать тип гаджета, его местоположение, а также информацию о том, в каком статусе находится устройство.

Привязка iPhone к Apple ID

Apple ID – online-сервис, к которому должен быть привязан абсолютно каждый Айфон. Этот сайт идентифицирует пользователей. Создав аккаунт на сайте, данные аккаунт будут вводиться на каждом устройстве.

Всё привязывается к одному месту и может использоваться на нескольких устройствах одновременно.
Перед покупкой, важно проверять привязку устройства. Не следует покупать те устройства, к которому привязан какой-то посторонний аккаунт. Если продавец придумывает причины не выходить из аккаунта, значит покупать не стоит. Если нет возможности выйти из ID, значит устройство ворованное.

Для выхода следует осуществить следующие действия:

  1. Зайти в настройки;
  2. Включить «Основные» настройки;
  3. Зайти в Apple ID;
  4. Нажимаем на «Безопасность и пароль»;
  5. Далее нажать «Выход»;
  6. Потом подтверждаем процесс отвязки;

Как правильно проверять iPhone перед покупкой?

Неважно, какой Айфон Вы решили приобрести: из Америки, разлоченный, восстановленный или б/у, главное проверить его состояние на месте покупки. Для этого обращайте внимание на разные элементы, о которых мы расскажем далее.

Корпус

Нужно проверить в каком состоянии находится задняя крышка и экран. Хорошо, если дефекты отсутствуют или их количество сводится к минимальному числу. Вмятины, сколы и потёртости – признаки не очень качественного смартфона.

Нажатия на экран должны сопровождаться моментальной реакцией. Задержка – это признак того, что дисплейный модуль работает плохо.

Кнопки

Очень в Айфонах ломаются именно кнопки, поэтому стоит уделить особое внимание данным элементам управления.

Устройство должно без проблем запускаться и выключаться, TouchID, а также «качели» громкости должны реагировать без «тормозов».

Динамики

Необходимо проверить динами: разговорный и слуховой. При звонке Ваш собеседник должен отлично Вас слышать, а при проигрывании музыки Вы не должны слышать лишних шумов и помех.

Рядом с гнездом зарядки, находятся сеточки для динамика разговорного. Если они отсутствуют, это значит, что смартфон разбирали. Также следует проверить состояние двух винтов, удерживающих заднюю крышку.

Аппаратный анлок

Некоторые мошенники продают залоченые смартфоны, создавая эффект временной аппаратной разблокировки. Это достигается за счёт небольшой накладке в районе сим-карты.

Перед тем, как купить, нужно извлечь сим-карту и убедиться, что ничего лишнего там нет.

Модули связи

Нужно проверить как работают все модули связи: Wi-Fi, Bluetooth, GPS и 3G. Если что-то из этого не работает, значит повреждена антенна для связи.

3.9 (77.78%) 9 votes

Создание доверительных отношений между доменом Win2003 и доменом Win2008, восемнадцатым из серии Active Directory

СоздайтеWin2003Домен иWin2008Доверительные отношения между доменами

         В предыдущей статье мы создали доверительные отношения домена. Это доверительные отношения возникают в двухWin2003Между доменами, и оба домена используют один и тот жеDNSсервер. Сегодня мы меняем экспериментальную сцену, топология показана на рисунке ниже. одинWin2003Домен, а другой -Win2008площадь. Оба домена используют свои собственные контроллеры домена для обеспеченияDNSРешить, иWin2008Функциональный уровень доменаWin2003, Мы покажем вам, как создать доверительные отношения между этими двумя доменами.

Ключ к этому эксперименту -DNS! Разница в операционной системе не важна,Win2008Домен может иWin2003Домен и дажеWin2000Домен создает доверительные отношения. На что следует обратить внимание, так этоDNSНастройки, каждый контроллер домена должен гарантировать, что он используетDNSСервер может не только разрешить доменSRVЗаписи, вы также можете разрешить домены, которые связаны с вами доверительными отношениямиSRVЗапись, то естьDNSСервер должен бытьSRVЗаписи можно анализировать. Как сделать каждыйDNSСервер может разрешить оба доменаSRVЗапись? У нас есть выбор из множества технологий, таких как дополнительная зона, заглушка, частный корень или повторитель. В этом эксперименте мы используем вспомогательные области для решения этой проблемы.DNSСоздайте на сервере дополнительную зону противоположного домена, чтобыDNSСервер может анализировать два домена.

         Мы покажем вам, как создаватьitet.comВспомогательная зона. Сначала мы должныServer1Ответственныйitet.comУстановите в зоне, позволяющейServer2Создайтеitet.comВспомогательная зона. вServer1Открыть наDNSДиспетчер, как показано ниже, щелкните правой кнопкой мышиitet.comОбласть, выберите «Свойства».

 

 

Перейдите на вкладку «Передача зоны» в свойствах зоны, как показано на рисунке ниже, установите флажок «Разрешить передачу зоны», выберите «Разрешить только следующие серверы» и нажмите кнопку «Изменить».

 

 

После нажатия кнопки редактирования, как показано на рисунке ниже, мы добавилиServer2адрес192.168.1.102И жмем ОК.

 

Как показано на рисунке ниже, мы установили разрешение192.168.1.102копироватьitet.comДанные по площади фактически разрешены192.168.1.102сталиitet.comВспомогательныйDNSсервер.

 

 

Itet.comТеперь, когда площадь разрешенаServer2Станьте вторичным сервером, тогда мы начнем сServer2Создайте на нем вспомогательную область. вServer2Открыть наDNSМенеджер, как показано на рисунке ниже, выбираем «Новая область».

 

 

 

 

Название области установлено наitet.com。

 

 

Далее вам нужно установитьitet.comГлавный сервер, очевидно,itet.comГлавный серверserver1, Который192. 168.1.101。

 

 

Как показано на рисунке ниже, нажмите кнопку «Готово», чтобы завершитьitet.comСоздание ареала.

 

 

мы вServer2изDNSВы можете увидеть в менеджере,itet.comЗаписи зоны скопированы вServer2на,Server2Успешно сталServer1Вторичный сервер.

 

 

Далее мы должны сделать то же самое, вServer2РазрешеноServer1сталиcontoso.comВторичный сервер, затем вServer1Создано наcontoso.comВспомогательная площадка, положитеcontoso.comСкопируйте данные области вServer1на. Как показано на рисунке ниже, мы видимServer1Также успешно поставилcontoso.comДанные области были скопированы.

 

 

DNSПосле соответствующей подготовки мы можем установить доверительные отношения домена. Мы собираемсяitet.comс участиемcontoso.comУстановите двусторонние доверительные отношения, как показано на рисунке ниже, мыServer1Открыть «Active DirectoryДомен и доверительные отношения «, щелкните правой кнопкой мышиitet.com, Выберите «Свойства».

 

 

вitet. comПерейдите на вкладку «Доверие» в свойствах домена и нажмите «Новое доверие».

 

 

Появится мастер новых доверительных отношений, нажмите «Далее», чтобы продолжить.

 

 

Волшебник спросилserver1Чтобы установить доверительные отношения с каким доменом, мы вводимcontoso.comДоменное имя.

 

 

Затем мы должны выбрать, устанавливать ли нетранзитивное внешнее доверие между двумя доменами или транзитивное доверие леса.Мы выбираем установление внешнего доверия.

 

 

Как показано на рисунке ниже, мы решили установить двусторонние доверительные отношения.

 

 

Затем мастер спрашивает, следует ли выполнять настройку на контроллерах домена двух доменов по отдельности или в одно и то же время. Мы выбираем «Этот домен и указанный домен», чтобы подготовиться к одновременной установке доверительных отношений на контроллерах домена двух доменов. .

 

 

Затем мастер запрашивает вводcontoso. comПароль администратора домена дляcontoso.comНастройте доверительные отношения на контроллере домена.

 

 

Мы выбираем «глобальную аутентификацию», чтобы позволить пользователям доверенного домена использовать все ресурсы в доверенном домене.

 

 

Как показано на рисунке ниже, создание доверительных отношений готово, нажмите «Далее», чтобы продолжить.

 

 

Как показано на рисунке ниже, доверительные отношения между двумя доменами были успешно созданы.

 

 

Конечно вitet.comДомен загружает доверительные отношения.

 

 

Далее вitet.comОпределите входящие доверительные отношения в домене.

 

 

Как показано на рисунке ниже, вся работа завершена, нажмите «Готово», чтобы завершить создание доменных доверительных отношений «люблю тебя».

 

 

Как видно из рисунка ниже, между двумя доменами действительно были созданы нетранзитивные двусторонние доверительные отношения между двумя доменами, и наша экспериментальная цель была достигнута. Этот эксперимент на самом деле имеет более широкую адаптацию и может использоваться дляWin2000противWin2003,Win2000противWin2008Подождите, пока установятся доверительные отношения. Каждый может учиться по аналогии и медленно переживать.

Тип области установлен на вспомогательную область.

 

Эта статья перенесена из блога yuelei51CTO, исходная ссылка: http://blog.51cto.com/yuelei/186968, если вам нужно перепечатать, пожалуйста, свяжитесь с исходным автором самостоятельно

Как установить доверительные отношения — Active Directory — Каталог статей

Данная тема возникло в связи с тем что пользователь edgi задал вопрос по поводу создания транзитивных отношений между двумя лесами и привел еще ссылку с форума http://sysadmins.ru/topic178164.html  где пользователи спорят насчет того что нельзя устанавливать доверительные отношения между двумя лесами так как якобы нужен третий лес что бы обеспечить транзитивность ну и так далее.. ..

Сразу хочу сказать что для того что бы сознать транзитивные доверительные отношения нам не нужен обязательно третий участник что бы обеспечить доверительные транзитивные отношения.

Но давайте рассмотрим процесс установки доверительных отношений между лесами.

Итак пусть у нас есть корневой домен леса rk.com и другой корневой домен леса xu.com. Пусть к примеру данные леса принадлежат одной фирме и они хотят создать транзитивные доверительные отношения между этими лесами (смотрите рисунок 2 здесь).

Примечание: Не забывайте что первый созданный домен есть и корневой домен и дерево и лес. То есть первый созданный домен в нашей сети по умолчанию нужно рассматривать и как корневой домен, и как лес и как дерево (три в одном стакане…простите флаконе)

Мы для простоты расположим данные корневые домены в одну и ту же сеть, так как если бы они располагались в разных сетях нам нужно было (и так и делается если необходимо) что бы эти домены (вернее DNS этих доменов, и отсюда естественно и контроллеры доменов) каким либо образом друг друга виделись.  Если DNS сервера расположены в разных сетях нужно позаботится о том что бы каким либо образом сделать так что бы эти сети видели друг друга (как это сделать это отдельный разговор и пока мы здесь его не будем рассматривать). 

Почему так важно что бы DNS службы этих доменов видели друг друга? А потому что в основе Windows Server нахождение (распознавание) контролеров домена происходит с помощью DNS службы. То есть если служба DNS в каком либо домене настроена неверно, то и нахождение данного контролера домена или контроллеров доменов (если их много) будет невозможно. То есть если сказать просто — контроллеры домена видят друг друга с помощью службы DNS.  Думаю позже я опишу в отдельной статье процесс нахождения контролеров домена, а пока просто запомните что контроллеры домена «слепы» (ничего не видят в сети) без правильно настроенной службы DNS.

Итак…. приступим к процессу создания доверительных отношений, и перед тем как приступить непосредственно к данному процессу ознакомитесь с теоретической стороной данного процесса здесь.   

Как говорилось уже  — доверительные отношения выступают в качестве связывающего звена между лесами, деревьями, доменами. Для администрирования доверительными отношениями используется оснастка Active Directory — домены и доверие, смотрите рисунок 1.


Рисунок 1.

Но перед тем как создать доверительные отношения опишем что мы имеем. Итак у нас два корневых домена и соответственно и леса и дерева, а именно rk.com и xu.com предположим что они принадлежат одной фирме и расположены в одной сети. IP адрес первого контролера домена с установленной интегрированной службой DNS с Active Directory (кто не помнит что это смотрите здесь) будет 192.168.0.1 (rk.com), а второго корневого домена леса 192.168.0.5 (xu.com).  То есть служба DNS установлена и на первом и на втором контролере домена. (Как установить и настроить DNS найдете на сайте в других статьях)

Первое в чем мы должны убедится перед тем как приступить к созданию доверительных отношений это в том что корневые домены в обеих лесах видят друг друга через DNS. Для этого мы воспользуемся известной утилитой nslookup из корневого домена леса rk.com и посмотрим что она нам выдаст. Смотрите рисунок 2.


Рисунок 2.

На рисунке 2 (блин… наверно нужно писать не рисунок а фигуре, но простите великодушно…) видно что мы в командной строке набрали команду nslookup с параметром xu.com (соседнего леса) и она нам его выдала, что в принципе говорит о том что служба DNS работает и службы DNS видят друг друга. То же самое можно проделать и из корневого домена xu.com смотрите рисунок 3.


Рисунок 3.

В том случае если DNS службы не видят друг друга следует добавить условную пересылку. Что это такое читайте здесь и здесь. 

Для того что бы настроить пересылку мы заходим в оснастку DNS контроллера домена что расположен на компе под именем server1, становимся на него, правой кнопкой мыши открываем контекстное меню, в контекстном меню выбираем свойства и кликаем на нем. Открывается окно показанное на рисунке 4 и выбираем вкладку «Пересылка».


Рисунок 4.

На этой вкладке нажимаем кнопку «Создать» и пишем имя домена куда мы хотим сделать пересылку. В нашем случае это корневой домен леса xu.com. Тут же на вкладке, чуть ниже в поле «Список IP — серверов пересылки для выбранного домена» — добавляем его IP адрес. В нашем примере это 192.168.0.5. 

Ту же самое можно проделать на сервере контроллера домена xu.com…процесс абсолютно аналогичен только нужно писать другой домен и другой адрес. В нашем случае это домен rk.com и его IP — 192.168.0.1.

Итак после того как разобрались с DNS серверами и убедились что они видят друг друга переходим к созданию доверительных отношений и переходим к оснастке «Домены и доверие» показанное на рисунке1.

Далее если мы хотим что бы эти два леса (rk.com и xu.com) были соединены с друг другом посредством транзитивных доверительных отношений то нам необходимо установить режим функционирования леса на уровень «Windows Server 2003» (о режимах функционирования леса и домена смотри здесь). Поэтому мы в оснастке «Домены и доверие» становимся на верхнюю надпись «Active Directory — домены и доверие» и открываем правой кнопкой контекстное меню, смотрите рисунок 5.


Рисунок 5.

В контекстном меню выбираем пункт «Изменение режима работы леса…» и щелкаем по нему. Откроется окно с возможными режимами работы леса. Выберите режим работы «Windows Server 2003». Я не могу показать это окно с выбором режима работы так как у мена уже лес переведен в режим работы «Windows Server 2003», а перевод с этого режима функционирования на более низкие режимы функционирования леса невозможно, смотрите рисунок 6. То есть при выборе режима функционирования леса хорошо подумайте, так как перевести в другой режим работы леса просто невозможно….


Рисунок 6.

После того как повысили режим работы леса до максимально возможного а именно до  «Windows Server 2003», в познавательных целях повысим и режим работы домена до уровня «Windows Server 2003». Для этого становимся на корневой домен и открываем контекстное меню, смотрите рисунок 7.


Рисунок 7.

Те же самые операции, то есть повышаем уровень леса и домена и на контроллере корневого домена xu.com.

Когда мы убедились что у нас леса (rk.com and xu.com)и домены работают в функциональном режиме  «Windows Server 2003», приступаем к созданию транзитивных доверительных отношений между лесами.

Внимание! Если бы хоть один из лесов доменов находится на функциональном уровне «Windows 2000», то леса доменов могут быть соединены только внешними доверительными отношениями. 

В оснастке «Домены и доверие» становимся на имени корневого домена, в нашем случае это rk.com и открываем контекстное меню правой клавишей мыши. Откроется окно показанное не рисунке 8. переходим на вкладку «Доверия».


Рисунок 8.

На данной вкладке нажимаем клавишу «Создать доверие». После того как нажали на данную клавишу открывается «Мастер создания отношений доверия», смотрите рисунок 9.


Рисунок 9.

Нажимаем далее… Открывается окно показанное на рисунке 10.


Рисунок 10.

В поле «Имя», пишем имя домена с которым мы хотим создать доверительные отношения, в нашем примере это корневой домен леса xu.com….Давим клаву не  — Далее….

Открывается окно с предложениями о выборе типа доверия, смотрите рисунок 11.


Рисунок 11.

Так как мы изначально поставили себе задачу создать транзитивные доверительные отношения между лесами то в этом окне выбираем пункт «Доверие леса» и жмем Далее…

Открывается следующее окно с предложениями о выборе направления доверия, смотрите рисунок 12.


Рисунок 12.

Читаем внимательно что написано в данном окне, думаю что понятно….и выбираем…. к примеру — двухстороннее направление доверия…..жмем Далее…

Открывается окно показанное на рисунке 13.


Рисунок 13.

Читаем все внимательно. Для нашего случая я выбрал к примеру второй пункт, который позволяет создать две односторонние доверительные связи, с помощью которых реализуется двустороннее отношение доверия (при условии, что в соседнем лесу администратор также обладает соответствующими привилегиями). …Жмем далее….

Открывается окно в котором проверяет нас на наличие прав в другом домене, смотрите рисунок 14. 


Рисунок 14.

Так как оба леса принадлежат нашей конторе, как мы договорились в начале, и оба леса были созданы нами, то естественно у нас есть права в другом лесе….пишем имя пользователя и пАроЛ в данном окне. Жмем Далее…

Открывается окно показное на рисунке 15.


Рисунок 15.

Здесь что бы упростить себе жизнь как допустим сетевому администратору данных лесов я выбрал пункт «Проверка подлинности в лесу», так как в этом случае пользователи одного леса могут получать доступ к любым ресурсам в другом лесе…И как написано в самом окне под этим пунктом, данная проверка используется когда оба леса принадлежат одной конторе….

При выборе пункта «Выборочная проверка подлинности», администратор в ручную, «ручками» указывает какие ресурсы в другом домене будут доступны. Это делается как правило тогда когда леса принадлежат разным конторам, которые не хотят предоставить доступ на все ресурсы.

В этом окне мы определяем уровень проверки подлинности для пользователей из леса xu.com. 

Давим …Далее…открывается окно показанное на рисунке  16. Окно вроде бы похожее с окном на рисунке 15, однако в этом окне мы определяем уровень доверия из домена который мы прописываем эти доверительные отношения, а в нашем случае мы начали прописывать эти отношения их леса rk.com.


Рисунок 16.

Жмем Далее…

Открывается окно показанное на рисунке 17, в котором описываются все «проделки», что были нами сделаны и что из этого получилось.


Рисунок 17.

Читая что там написано, мы с поставленной вначале задачей справились. если что либо не так у нас есть возможность вернутся, нажав кнопку «назаТ». Жмем далее….

Открывается еще одно окно показанное на рисунке 18.


Рисунок 18.

Комментировать рисунок 18 я не буду ….давим Далее…

Открывается окно показанное на рисунке 19, для подтверждения или не подтверждения исходящего доверия. Читаем что там написано. если что непонятно спрашивайте на форуме.


Рисунок 19.

Жмем далее…Открывается окно показанное на рисунке 20, аналогичное рисунку 19, только связанное с входящим доверием.


Рисунок 20.

Жмем далее…Открывается окно завершения мастера создания отношений доверия, рисунок 21.


Рисунок 21.

Жмем наконец — то «Готово». 

И у нас получится такая картина маслом показанная на рисунке 22.


Рисунок 22.

Если мы сейчас откроем оснастку «Домены и доверие» в корневом домене леса xu.com, то увидим на вкладке доверия что там прописалось доверие к лесу rk.com, смотрите рисунок 23.


Рисунок 23.

Тут не затронут все вопросы по администрированию доверительных отношений, но в принципе основные понятия даны. К вопросу о «механизме маршрутизации суффикса имен» думаю еще вернемся позже, в другой статье. 

Восстановление леса AD — Сброс доверенного пароля

  • 2 минуты на чтение

В этой статье

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 и 2012 R2, Windows Server 2008 и 2008 R2

Если восстановление леса связано с нарушением безопасности, используйте следующую процедуру для сброса пароля доверия на одной стороне доверия.Сюда входят неявные доверительные отношения между дочерним и родительским доменами, а также явные доверительные отношения между этим доменом (доверяющий домен) и другим доменом (доверенный домен).

Сбросить пароль только на стороне доверяющего домена доверия, также известной как входящее доверие (сторона, которой принадлежит этот домен). Затем используйте тот же пароль на стороне доверенного домена доверия, также известной как исходящее доверие. Сбросьте пароль исходящего доверия при восстановлении первого контроллера домена в каждом из других (доверенных) доменов.

Сброс доверительного пароля гарантирует, что контроллер домена не будет реплицироваться с потенциально неисправными контроллерами домена за пределами своего домена. Устанавливая один и тот же пароль доверия при восстановлении первого контроллера домена в каждом из доменов, вы гарантируете, что этот контроллер домена будет реплицироваться с каждым из восстановленных контроллеров домена. Последующие контроллеры домена в домене, восстановленные путем установки AD DS, будут автоматически реплицировать эти новые пароли в процессе установки.

Для сброса пароля доверия на одной стороне доверия

  1. В командной строке введите следующую команду и нажмите клавишу ВВОД:

      netdom experthelp trust
      
  2. Используйте синтаксис этой команды для использования инструмента NetDom для сброса пароля доверия.Например, если в лесу два домена — родительский и дочерний — и вы выполняете эту команду на восстановленном контроллере домена в родительском домене, используйте следующий синтаксис команды:

      netdom trust имя родительского домена / домен: имя дочернего домена / resetOneSide / passwordT: пароль / userO: administrator / passwordO: *
      

    При запуске этой команды в дочернем домене используйте следующий синтаксис команды:

      netdom trust имя дочернего домена / домен: имя родительского домена / resetOneSide / passwordT: пароль / userO: administrator / passwordO: *
      

    Примечание

    passwordT должно иметь одинаковое значение на обеих сторонах доверия. Выполните эту команду только один раз (в отличие от команды netdom resetpwd ), потому что она автоматически сбрасывает пароль дважды.

Следующие шаги

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом

Если вы погуглите «сбой доверительных отношений между этой рабочей станцией и основным доменом», вы получите много информации из блогов поддержки и статей Microsoft; однако большинство из них просят вас повторно присоединить вашу машину к домену.Это не всегда возможно.

## TL; DR Вы получили эту ошибку, и вы не можете просто отсоединиться и снова присоединиться, потому что машина является центром сертификации. Запустите эту команду из PowerShell:

  Reset-ComputerMachinePassword [-Credential] [-Server]
  

## В чем проблема и как я сюда попал?

Основная проблема, когда вы видите эту ошибку, заключается в том, что компьютер, к которому вы пытаетесь получить доступ, больше не может безопасно взаимодействовать с доменом Active Directory, к которому он присоединен. Для личного секрета машины не задано то же хранилище значений в контроллере домена. Вы можете думать об этом секрете как о пароле, но на самом деле это некоторые биты криптографических данных, которые называются keytab Kerberos, которые хранятся в местном органе безопасности. Когда вы пытаетесь получить доступ к этому компьютеру с помощью учетной записи домена, ему не удается проверить билет Kerberos, полученный от Active Directory, на соответствие секретному секрету, который он хранит локально. Я думаю, вы также можете столкнуться с этой ошибкой, если по какой-то причине системное время на машине не синхронизируется с системным временем на контроллере домена.Это решение также устраняет эту проблему.

## Стандартное исправление Эта проблема может быть вызвана различными обстоятельствами, но чаще всего я сталкиваюсь с ней, когда сбрасываю виртуальную машину на системный снимок, сделанный за несколько месяцев или даже лет до этого. Когда компьютер перезагружается, на нем отсутствуют все автоматические изменения паролей, которые он выполнял для контроллера домена в течение промежуточных месяцев. Смена пароля необходима для поддержания целостности безопасности домена.

Блоги поддержки и Microsoft обычно советуют вам повторно присоединиться к домену, чтобы восстановить доверительные отношения.Другой вариант, который они предложат, — удалить компьютерный объект и воссоздать его без пароля, а затем снова присоединиться.

Статья службы поддержки Microsoft по этой теме: http://support.microsoft.com/kb/162797

Мне не нравятся эти варианты. Это кажется деспотичным, а иногда даже невозможно.

Недавно, когда я столкнулся с этой проблемой, перезагруженная виртуальная машина была центром сертификации предприятия, присоединенным к моему тестовому домену. Что ж, угадайте, Microsoft не позволит вам переименовать или отсоединить компьютер, который является центром сертификации — кнопка на странице свойств компьютера неактивна.Может быть и другой способ выйти из группы, но я не собирался тратить на него время, когда в этом даже нет необходимости.

## ОБНОВЛЕНИЕ: еще лучшее исправление (ИМО) Просто измените пароль своего компьютера с помощью командлета Reset-ComputerMachinePassword из Powershell v3!

  Reset-ComputerMachinePassword [-Credential ] [-Server ]
  

Я давно не обращал внимания на эту проблему, но кажется, что она возникает очень часто, и было много положительных отзывов. Я хотел указать на улучшение (более современный метод), которое пришло от Lord_Arokh. Powershell v3 поставляется с командлетом для сброса паролей компьютеров. Для тех, кто владеет навыками Powershell, это гораздо лучший вариант. Powershell v3 поставляется с последней версией Windows и может быть загружен с сайта Microsoft:

http://www.microsoft.com/en-us/download/details.aspx?id=34595

Я заметил, что при установке Windows 8 я получил только частичную помощь, когда я выполнил команду Get-Help Reset-ComputerMachinePassword.Вы можете исправить это, открыв Powershell с правами администратора и запустив Update-Help.

Командлет Get-Credential можно использовать для безопасного создания PSCredential, который можно сохранить в переменной и использовать в сценарии. Вам нужно будет создать учетные данные для пользователя Active Directory с достаточными правами для изменения пароля компьютера. Параметр Server — это контроллер домена, который следует использовать при установке пароля учетной записи компьютера.

Удачи! Спасибо за обновление Lord_Arokh.

## Лучшее исправление

Просто измените пароль компьютера с помощью netdom.exe!

  netdom.exe resetpwd / s: <сервер> / ud: <пользователь> / pd: *

 = контроллер домена в присоединенном домене

 = DOMAIN \ Пользовательский формат с правами на изменение пароля компьютера
  

Вот полные шаги:

  1. Вы должны иметь возможность сесть в машину. Обычно я просто вхожу в систему с учетной записью локального администратора, набирая «.\ Администратор »в окне входа в систему. Надеюсь, вы помните пароль. Если вы изобретательны и находчивы, вы можете взломать свой путь без пароля. Другой вариант — отключить машину от сети и войти в систему под пользователем домена. Вы сможете выполнить аутентификацию без подключения к сети, но в случае перезагрузки машины помните, что вам, возможно, придется использовать старый пароль. Кэшированные учетные данные пользователя вашего домена имеют ту же проблему, что и личный секрет машины.
  2. Убедитесь, что у вас есть netdom.исполняемый. Где взять netdom.exe, зависит от того, какая версия Windows у вас установлена. Windows Server 2008 и Windows Server 2008 R2 поставляются с netdom.exe, вам просто нужно включить роль доменных служб Active Directory. В Windows Vista и Windows 7 вы можете получить его из средств удаленного администрирования сервера (RSAT). Google может помочь вам их получить. Для других платформ см. Эту ссылку: http://technet.microsoft.com/en-us/library/ee649281(WS.10).aspx
  3. Дополнительные шаги, если машина является контроллером домена.Если сломанный компьютер является контроллером домена, это немного сложнее, но все же можно решить проблему. Я давно этим не занимался, но думаю, что это работает:
    1. Отключите службу центра распространения ключей Kerberos. Вы можете сделать это в оснастке Services MMC. Установите тип запуска «Вручную». Перезагрузить.
    2. Удалите кэш билетов Kerberos. Это сделает за вас перезагрузка, или вы можете удалить их с помощью KerbTray. exe. Вы можете получить этот инструмент здесь: http: // www.microsoft.com/download/en/details.aspx?displaylang=en&id=17657
    3. Шаги после изменения. Делайте это вместе с 5 ниже:
      • Включите службу центра распространения ключей Kerberos перед перезагрузкой.
      • Необходимо перезагрузить контроллер домена, а затем принудительно выполнить репликацию в оснастке MMC «Сайты и службы Active Directory».
  4. Запустите netdom.exe, чтобы изменить пароль. Откройте административную командную строку.На платформах Windows с включенным UAC вам нужно будет щелкнуть правой кнопкой мыши cmd.exe и выбрать «Запуск от имени администратора». Введите следующую команду: netdom.exe resetpwd / s: / ud: / pd: *
  5. Перезагрузите машину.

Дополнительная информация о netdom.exe: http://support.microsoft.com/kb/325850

Надеюсь, это поможет. Эта проблема возникает у меня каждые несколько месяцев, поэтому я хотел задокументировать ее для собственного использования. Это сложно найти, если вы просто ищете ошибку, которую вы получаете в окне входа в систему.

Исправление: сбой доверительных отношений между этой рабочей станцией и основным доменом

Существует два способа управления клиентскими и серверными машинами в домашней или бизнес-среде, включая инфраструктуру рабочих групп и домена. Рабочая группа — это децентрализованная сетевая инфраструктура, используемая для домашних сетей и сетей малого бизнеса до 10 машин. Рабочей группе не требуется выделенный сервер для управления машинами, каждая машина имеет свою учетную запись пользователя. С другой стороны, доменная инфраструктура — это централизованная сетевая инфраструктура, которая поддерживает тысячи машин.Для реализации доменной инфраструктуры вам потребуется приобрести как минимум один сервер, который будет действовать как доменные службы Active Directory и службы доменных имен. После внедрения AD DS и DNS вам нужно будет присоединить все машины в сети к вашему домену и создать учетные записи пользователей домена для каждого пользователя. В следующий раз пользователь войдет в систему, используя учетную запись пользователя домена, а не учетную запись локального пользователя. Использование доменной инфраструктуры дает множество преимуществ, включая централизованное и упрощенное управление, отказоустойчивость, одну учетную запись пользователя для множества служб и другие.Некоторые пользователи приветствовали проблему при входе в домен, в том числе ошибку: Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом.

Эта проблема возникает в клиентских и серверных операционных системах, от Windows XP до Windows 10 и от Windows Server 2003 до Windows Server 2016. Эта проблема возникает по разным причинам, включая проблему с учетной записью пользователя, проблему с отношениями между клиентом и сервером домена и другими.Для этой статьи я создал инфраструктуру домена appuals.com на Windows Server 2008 R2 и Windows Server 2016.

Существует семь методов, которые помогут вам решить эту проблему.

Метод 1. Проверьте конфигурацию DHCP

Вы добавили новый сервер DHCP или перенастроили текущий пул DHCP? Если нет, прочтите следующий метод. Если да, продолжайте читать этот метод. Существует два способа назначения IP-адресов хостам в компьютерной сети, включая статическую и динамическую адресацию.Статическая адресация — это ручное присвоение IP-адресов вашим машинам, что отнимает гораздо больше времени и снижает производительность ИТ-администратора. Мы рекомендуем вам использовать динамическую адресацию с использованием протокола DHCP (Dynamic Host Computer Protocol). Лучшая практика будет включать статическую адресацию для серверов, хранилищ и сетевых принтеров, а также динамическую адресацию к другим хостам в сети. Немногие пользователи поощряли проблему после того, как добавили еще один DHCP-сервер в текущую сеть. Проблема заключалась в неправильном пуле DHCP для хостов в сети.Исходя из этого, мы рекомендуем вам проверить, правильно ли работает DHCP и правильно ли вы используете сетевую подсеть. Мы покажем вам, как проверить DHCP на Windows Server 2016 и маршрутизаторе TP-Link TL-ER6120. Представьте, правая сеть работает в классе C, 192.168.1.0/24. Итак, начнем.

  1. Удерживайте логотип Windows и нажмите R
  2. Введите dhcpmgmt.msc и нажмите Введите , чтобы открыть Управление DHCP инструмент
  3. Расширьте свой сервер, как следующие приложения.com \ IPv4 \ Scope. Как видите, этот DHCP настроен неправильно. Наша сеть — 192.168.1.0/24, а настроенная сеть — 192.168.100.1/24. В этом случае вам нужно будет изменить конфигурацию DHCP.
  4. Закройте Device Management

Во втором примере мы покажем вам, как проверить конфигурацию DHCP на маршрутизаторе TP-Link. Если вы не знаете, как получить доступ к маршрутизатору, прочтите техническую документацию на него.

  1. Откройте интернет-браузер (Google Chrome, Mozilla Firefox, Edge или другой)
  2. Введите IP-адрес маршрутизатора для доступа к маршрутизатору
  3. На вкладке Сеть выберите LAN , а затем DHCP , чтобы проверить свой Конфигурация DHCP. В нашем примере DHCP включен и настроен следующим образом: 192.168.1.100 — 192.168.1.200, и это нормально.
  4. Закрыть Edge

Способ 2. Повторное присоединение компьютера к домену

В этом методе вам нужно будет повторно присоединиться к клиентскому компьютеру из домена. Для этого действия вам необходимо использовать учетную запись администратора домена, у которой есть разрешение на внесение изменений, таких как присоединение или повторное присоединение к машине из домена. Мы покажем вам, как вернуться к Windows 10 Pro из Windows Server 2016 Standard.Та же процедура совместима с другими клиентскими и серверными операционными системами, включая клиентскую операционную систему от Windows XP до Windows 8 и серверную операционную систему от Windows Server 2003 до Windows Server 2012 R2.

  1. Войдите в Windows 10, используя локальную учетную запись администратора
  2. Удерживайте логотип Windows и нажмите E , чтобы открыть File Explorer
  3. Справа File Explorer щелкните правой кнопкой мыши Этот компьютер и выберите Properties
  4. Щелкните Advanced System Settings
  5. Выберите Computer Имя вкладка
  6. Щелкните Изменить на добавить машину в рабочую группу
  7. Выберите Workgroup и введите Workgroup В нашем примере имя Workgroup WORKGROUP . Вы можете вводить все, что хотите.
  8. Нажмите ОК
  9. Введите учетную запись администратора домена и пароль , а затем нажмите ОК
  10. Нажмите ОК , а затем ОК
  11. Закройте Свойства системы
  12. Перезагрузите компьютер с Windows
  13. Войдите в Windows 10, используя локальную учетную запись администратора
  14. Удерживая логотип Windows и нажмите E , чтобы открыть File Explorer
  15. В правой части File Explorer щелкните правой кнопкой мыши This PC и выберите Properties
  16. Щелкните Advanced System Settings
  17. Выберите Computer N вкладка ame
  18. Щелкните Изменить на добавить компьютер в домен
  19. Выберите домен и введите домен В нашем примере это приложение. com.
  20. Нажмите OK
  21. Введите учетную запись администратора домена и пароль , а затем нажмите OK
  22. Нажмите OK , а затем OK
  23. Закройте Свойства системы
  24. Перезапустите вашу Windows машина
  25. Вход в систему n Windows 10 с использованием учетной записи пользователя домена
  26. Наслаждайтесь работой на вашем компьютере

Метод 3: Восстановить доверие через PowerShell

С помощью этого метода мы восстановим доверие между доменами контроллер и клиент с помощью PowerShell.Вам нужно будет войти в систему, используя учетную запись локального администратора.

  1. Войдите в Windows 10, используя локальную учетную запись администратора
  2. Щелкните меню Пуск и введите PowerShell
  3. Щелкните правой кнопкой мыши на PowerShell и выберите Запуск от имени администратора
  4. Нажмите Да для подтверждения работы от имени администратора
  5. Введите $ credential = Get-Credential и нажмите Введите
  6. Введите учетную запись администратора домена и пароль, а затем нажмите OK
  7. Введите Reset-ComputerMachinePassword -Credential $ credential и нажмите Введите
  8. Закройте PowerShell
  9. Перезагрузите свой компьютер с Windows
  10. Войдите в Windows 10, используя учетную запись пользователя домена

Метод 4: Добавить контроллер домена в Credential Manager

В этом методе , вы будете использовать Credential Manager, где y ou добавит учетную запись контроллеров домена в учетные данные Windows. Мы покажем вам, как это сделать в Windows 10.

  1. Войдите в Windows 10 с помощью локального администратора учетной записи
  2. Удерживайте логотип Windows и нажмите R
  3. Введите control.exe / name Microsoft.CredentialManager и нажмите Введите , чтобы открыть диспетчер учетных данных
  4. Выберите Учетные данные Windows
  5. Введите адрес веб-сайта или сетевого расположения и ваши учетные данные
  6. Нажмите OK
  7. Закрыть Учетные данные Диспетчер
  8. Перезагрузите свой компьютер с Windows
  9. Войдите в Windows 10, используя учетную запись пользователя домена

Метод 5: Используйте Netdom.exe для сброса пароля учетной записи компьютера

Этот метод совместим с Windows Server 2003 и Windows Server 2008 R2. Если вы используете более новую версию серверных операционных систем, прочтите следующий метод. Мы покажем вам, как сбросить пароль учетной записи компьютера в Windows Server 2008 R2.

  1. Войдите в систему Windows Server с использованием учетной записи администратора домена
  2. Удерживайте логотип Windows и нажмите R
  3. Введите cmd и нажмите Введите , чтобы открыть командную строку
  4. Введите netdom resetpwd / s: server / ud: domain \ User / pd: * и нажмите Enter, , где s — имя сервера домена, domain — имя домена и User — учетная запись пользователя, к которой невозможно подключиться. контроллер домена
  5. Закройте командную строку
  6. Переместите на клиентский компьютер Windows
  7. Перезагрузите компьютер Windows
  8. Войдите на компьютер Windows, используя пользователя домена учетную запись
  9. Наслаждайтесь работой на вашем компьютере

Метод 6. Сброс учетной записи компьютера

В этом методе вам потребуется сбросить учетную запись компьютера. с помощью инструмента «Пользователи и компьютеры Active Directory», который интегрирован в серверы с ролью доменных служб Active Directory.Процедура проста и совместима с серверными операционными системами от Windows Server 2003 до Windows Server 2016.

  1. Удерживайте логотип Windows и нажмите R
  2. Введите dsa.msc и нажмите Введите , чтобы открыть пользователя Active Directory и Компьютеры
  3. Разверните доменное имя . В нашем примере это appuals.com
  4. Выберите Компьютер
  5. Перейдите к учетной записи компьютера, который не может подключиться к домену.В нашем примере это компьютер Jasmin
  6. Щелкните правой кнопкой мыши на компьютере (Jasmin) и выберите Сбросить учетную запись
  7. Щелкните Да , чтобы подтвердить сброс учетной записи компьютера
  8. Щелкните OK
  9. Закрыть Пользователь Active Directory и компьютеры
  10. Перезагрузите компьютер Windows 10
  11. Войдите в в свой домен учетную запись пользователя
  12. Наслаждайтесь работой на компьютере с Windows

Метод 7: Выполните восстановление системы

Мы так много говорили о восстановлении системы, потому что оно много раз помогало нам в устранении неполадок с системой или приложением. Кроме того, восстановление системы может помочь вам решить проблему с возвратом вашей системы в предыдущее состояние, когда все работало правильно. Обратите внимание, что вы не можете восстановить ваш компьютер с Windows до предыдущего состояния, если восстановление системы отключено. Прочтите, как выполнить восстановление системы.

Transitive Trust — обзор

SQL-аутентификация и Windows-аутентификация

Microsoft SQL Server уже много лет, вернувшись к 6.0, если не далее, предоставил два разных метода аутентификации при подключении к SQL Server Engine.Эти методы проверки подлинности — это проверка подлинности SQL и проверка подлинности Windows.

Аутентификация SQL Server происходит, когда имя пользователя и пароль учетной записи хранятся в ядре базы данных. Эти учетные записи не имеют никакого отношения к какой-либо учетной записи локального или доменного пользователя и могут использоваться любым количеством людей для подключения к ядру базы данных.

Аутентификация Windows основана на учетной записи, создаваемой и управляемой либо в операционной системе, которая работает под SQL Server, либо в домене Windows Active Directory, членом которого является сервер, на котором запущен SQL Server, или к которому он имеет доступ через домен. трасты.

Аутентификация Windows более безопасна, чем аутентификация SQL, поскольку при аутентификации Windows имя пользователя и пароль не пересылаются между клиентским приложением и SQL Server. Вместо этого билет создается на контроллере домена и передается клиенту, который затем передает его экземпляру SQL Server для проверки подлинности. Затем этот билет проверяется на контроллере домена, чтобы убедиться, что он действителен и был передан на SQL Server с правильного компьютера.

FAQ

Доверие домена?

Доверительные отношения между доменами используются для обеспечения доступа нескольких доменов Windows друг к другу. Между доменами можно создать несколько различных типов доверительных отношений, более сложные из которых выходят за рамки этой книги. Ключевой момент, который следует помнить о доверии доменов, заключается в том, что любые домены в одном дереве доменов (например, contoso.local и newyork.contoso.local) имеют автоматическое двустороннее транзитивное доверие, что означает, что пользователи в любом домене могут получить доступ к ресурсам. в другом домене.Транзитивная часть означает, что если у домена newyork.contoso.local был дочерний домен, такой как queens.newyork.contoso.local, тогда, поскольку этот домен имеет двустороннее транзитивное доверие к своему родительскому, доверие подразумевается полностью и вниз по дереву. Таким образом, пользователи в queens.newyork.contoso.com и contoso.com могут получить доступ к ресурсам в другом домене, поскольку аутентификация будет передана в другой домен через домен newyork.consoso.local, как показано на диаграмме Active Directory на рисунке. 4.1.

Рисунок 4.1. Отображение дерева доменов Windows с тремя уровнями, между которыми установлены двусторонние транзитивные доверительные отношения

То же самое относится к доменам, которые находятся в одном лесу Active Directory, но не являются членами одного дерева Active Directory. Если у вас есть лес с двумя деревьями, contoso.local и adventureworks.local, корневые домены этих деревьев будут иметь двустороннее транзитивное доверие между ними, автоматически позволяя любому пользователю в любом домене или любом поддомене получить доступ. ресурсы в любом домене или поддомене другого дерева, как показано на диаграмме Active Directory на рисунке 4.2.

Рисунок 4.2. Отображение дерева леса Windows с двумя деревьями доменов, между которыми установлены двусторонние транзитивные доверительные отношения

Системные администраторы также могут создавать внешние доверительные отношения между доменами или лесами с другими доменами или лесами, что позволяет партнерским компаниям использовать проверку подлинности Windows для внутренних ресурсов. Эти доверительные отношения могут быть односторонними или двусторонними, а также могут быть транзитивными или непереходными (доверие не используется совместно с другими доменами в лесу).

Сейчас с технической точки зрения двусторонних трастов нет.Когда создается двустороннее доверие (транзитивное или непереходное), между двумя доменами создаются два односторонних доверительных отношения. Невозможно преобразовать двустороннее доверие в одностороннее доверие. Для этого необходимо удалить двустороннее доверие и создать новое одностороннее доверие.

При установке SQL Server по умолчанию создается несколько учетных записей. Что касается учетных записей SQL, всегда создавалась только одна учетная запись, которая является учетной записью системного администратора (SA). В более новых версиях SQL Server, начиная с SQL Server 2005, будут созданы две дополнительные учетные записи: «## MS_PolicyEventProcessingLogin ##» и «## MS_PolicyTsqlExecutionLogin ##».Эти учетные записи, среди прочих, которые могут быть созданы, в зависимости от того, какие функции установлены в экземпляре, предназначены для внутреннего использования ядром базы данных и должны быть оставлены отключенными. Их не следует удалять, так как части ядра базы данных, которым они необходимы, без них не будут работать правильно. Эти специальные учетные записи, начинающиеся с ##, являются именами для входа в систему с сертификатом, поэтому каждый из них привязан к определенному сертификату, и этот сертификат требуется для входа в экземпляр с использованием этого имени входа.

Примечание

Дополнительная информация о процессе проверки подлинности Windows

Процесс проверки подлинности Windows является довольно длительным, если вы включаете различные локальные и доменные группы, которые возможны, а также обработку для проверки подлинности Kerberos и NTLM.Этот процесс полностью задокументирован в главе 3 этой книги для справки, если вы хотите подробнее ознакомиться с внутренними процессами, которые происходят между нажатием кнопки подключения и фактическим подключением.

По умолчанию в экземпляре базы данных создается несколько учетных записей Windows. SQL Server 2005 и более ранние версии создают учетную запись для BUILTIN⧹Administrators, которая позволяет любому, кто является членом группы администраторов в ОС Windows, входить в SQL Server. По умолчанию эта группа является членом фиксированной серверной роли системного администратора, что означает, что любой член локальной группы администраторов является членом фиксированной серверной роли системного администратора. Когда устанавливаются SQL Server 2008 и новее, они не создают этот логин Windows, поскольку этот логин считается нарушением безопасности, поскольку он предоставляет людям, не являющимся системным администратором DBA (SA), права на экземпляр базы данных, а также позволяет людям, не являющимся администраторами баз данных, предоставлять другим людям права SA на сервере базы данных, помещая их в локальную группу администраторов. Для экземпляров базы данных, имеющих логин BUILTIN⧹Administrators, рекомендуется после предоставления прав SA администраторам баз данных удалить BUILTIN⧹Administrators из роли фиксированного сервера sysadmin, а также удалить логин из экземпляра.Некоторые службы, такие как полнотекстовая служба, ожидают, что логин BUILTIN⧹Administrators будет существовать в более старых версиях. Если права для входа в систему BUILTIN⧹Administrators удалены или учетная запись BUILTIN⧹Administrators удалена, необходимо добавить имя входа «NT AUTHORITY⧹SYSTEM», чтобы эти службы продолжали работать правильно.

Хотя добавление «NT AUTHORITY⧹SYSTEM» приведет к возобновлению работы таких служб, как полнотекстовая служба, следует понимать, каковы риски при добавлении этого имени входа в SQL Server.Добавляя этот логин к SQL Server, вы даете любому приложению, работающему под локальной системной учетной записью, возможность войти в экземпляр базы данных SQL Server. Если локальная системная учетная запись имеет права системного администратора, следует проявлять большую осторожность, чтобы убедиться, что на сервере не установлены другие приложения, которые работают под локальной системной учетной записью.

Версии Microsoft SQL Server, начиная с версии SQL 2008, по умолчанию также создают другие учетные записи Windows. Хотя эти логины не следует удалять, их следует понимать.Эти логины:

NT AUTHORITY⧹SYSTEM,

NT SERVICE⧹MSSQLSERVER,

NT SERVICE⧹SQLSERVERAGENT.

Служба NT AUTHORITY⧹SYSTEM позволяет приложениям, работающим под учетной записью локальной системы, получать доступ к экземпляру базы данных. Это используется для таких служб, как служба полнотекстового индексирования, работающая под локальной системной учетной записью. Имя входа «NT AUTHORITY⧹SYSTEM» является членом фиксированной серверной роли sysadmin, что может представлять угрозу безопасности, поскольку любое приложение, работающее под локальной системной учетной записью, будет иметь права SA на экземпляр базы данных.К сожалению, полнотекстовая служба не может быть запущена под учетной записью, отличной от локальной системной учетной записи, поскольку работа под другой учетной записью, кроме локальной системной учетной записи, является неподдерживаемой конфигурацией.

Логины Windows «NT SERVICE⧹MSSQLSERVER» и «NT SERVICE⧹SQLSERVERAGENT» — это имена входа для конкретных служб, которые используются для запуска службы SQL и агента SQL Server, когда службы настроены для работы под локальной системной учетной записью. Когда службы настроены для работы под доменом или локальной учетной записью, эти учетные записи не будут существовать; вместо этого учетные записи Windows будут существовать для учетных записей, на которых запущены службы.

При установке SQL Server 2008 или более поздней версии программа установки попросит вас указать учетные записи Windows, учетные записи или группы, которые должны быть членами фиксированной серверной роли sysadmin. Установщик добавит эти учетные записи Windows в качестве учетных записей по завершении процесса установки, чтобы эти учетные записи Windows были членами фиксированной серверной роли sysadmin.

С учетными записями SQL есть больше поводов для беспокойства, чем просто защита от атак грубой силы. В зависимости от того, какой доступ кто-то может получить к серверу базы данных, существуют другие способы проникновения в систему.Некоторые примеры включают выключение экземпляра и редактирование файла master.mdf непосредственно с помощью шестнадцатеричного редактора, а также изменение пароля на зашифрованное значение для известного пароля. Другой метод, который можно использовать, — это присоединить отладчик к процессу SQL Engine и перехватить пароль, когда он поступает в механизм и обрабатывается.

В случае удаления всех учетных записей из экземпляра SQL Server 2008 или более поздней версии, SQL Server не нужно переустанавливать, чтобы восстановить права системного администратора на SQL Server.SQL Server можно перезапустить из командной строки в однопользовательском режиме. Это позволит любому члену локальной группы администраторов войти в экземпляр базы данных члена фиксированной серверной роли sysadmin, чтобы разрешения sysadmin могли быть предоставлены другим логинам, которым требуются права, позволяющие восстановить контроль над экземпляром.

Редактирование файла mastermdf

Редактирование файла mastermdf для изменения пароля — наименее хитрый метод, поскольку для завершения требуется отключение экземпляра базы данных, но это самый простой способ.Чтобы взломать SQL Server с помощью этой техники, просто создайте резервную копию файла базы данных master и восстановите ее на другом компьютере как базу данных пользователя (называемую master_old или что-то подобное). Запросить у другого экземпляра SQL Server хэш пароля учетной записи с известным паролем. Пароль можно запросить в представлении каталога syslogins в базе данных master. В базе данных, которая была восстановлена, обновите пароль для учетной записи SA в базе данных master_old, чтобы обновить значение до пароля для учетной записи SA (или другой учетной записи, которую необходимо изменить).После изменения пароля отсоедините базу данных master_old. Остановите экземпляр, в который хотите попасть, и замените master.mdf файлом master_old.mdf. При запуске экземпляра попытайтесь войти в экземпляр SQL Server, используя только что измененный пароль.

Использование отладчика для перехвата паролей

Поскольку SQL Server Engine — это просто компьютерный процесс (хотя и очень сложный), вы можете присоединить отладчик к экземпляру и получить доступ к некоторым данным, которые экземпляр передает. внутри двигателя.Это можно сделать, подключив отладчик к экземпляру и дождавшись, пока кто-нибудь войдет в экземпляр с помощью входа в систему SQL. Когда это произойдет, SQL Server будет иметь пароль в виде обычного текста в переменной, которую можно просмотреть через отладчик и использовать для входа в SQL Server.

Вы можете использовать отладчик памяти, такой как Olly Debugger, для захвата страниц памяти, принадлежащих процессу SQL Server. На этих страницах памяти вы можете просто найти имя входа, для которого вы хотите найти пароль.

FAQ

Дополнительная информация

Сбор паролей с помощью отладчика — довольно сложный процесс, который плохо объяснить на бумаге. К счастью, Шон и Джен МакКаун опубликовали на веб-сайте MidnightDBA.com видео, в котором Шон проведет вас через процесс ввода пароля пользователя, который поступает по сети от клиента. Видео можно просмотреть или загрузить с http://bit.ly/RecoverSQLPasswords. Действительно интересная часть видео длится около 6 минут, когда Шон находит пароль в дампе памяти.

Этот трюк не будет работать вечно, когда дело доходит до получения паролей из ядра базы данных. Microsoft знает об этой проблеме в течение некоторого времени и активно работает над ее решением. Хотя это было исправлено в Microsoft SQL Server 2012, нельзя ожидать, что исправление для этого будет перенесено обратно в более старые версии Microsoft SQL Server.

Приобретенные продукты

По-настоящему ленивому хакеру нужна копия master.mdf, полученная либо с самого сервера базы данных, либо с сервера резервного копирования, а также копия такой программы, как Advanced SQL Password Recovery от Elcomsoft, которая позволяет вам для просмотра или сброса паролей в SQL Server 2000, 2005 или 2008.Как только хакеры получат пароль SA, теперь просто войти на ваши серверы и экспортировать и / или уничтожить данные, которые сервер защищает.

доверительные отношения между двумя лесами / доменами

Презентация

Доверительные отношения между двумя детализированными битами / доменами Active Directory — это надежная ссылка, которая позволяет аутентифицированным пользователям получать доступ к ресурсам в другом домене.

Отношения утверждения могут быть следующими:

  • Однонаправленный: доступ к ресурсам доступен только в одном направлении (A) -> (B).
  • Двунаправленный: доступ к ресурсам доступен в обоих направлениях (A) <-> (B).
  • Transitive: Если (A) и (B) имеют транзитивные доверительные отношения, если (B) одобряет домен (C), он будет одобрен в (A).

В этом случае требуется отношение утверждения:

  • Настройка дочернего домена.
  • Приобретение / слияние бизнеса для обеспечения доступа к ресурсам.
  • SI сегментация (география / сервис /…).

В этом руководстве мы увидим, как установить доверительные отношения между двумя лесами, как если бы мы только что приобрели компанию.

Предварительные требования

Чтобы иметь возможность правильно обсуждать упражнения между ними, необходимо настроить сервер условной пересылки на каждом DNS-сервере.

Настроить доверительные отношения

Манипуляции производились на контроллере домена на lab. intra.

Откройте консоль Active Directory Domain and Trust, щелкните правой кнопкой мыши домен 1 и выберите Свойства 2.

Перейдите на вкладку «Утверждения» 1 и нажмите «Новое утверждение 2», чтобы запустить мастер.

При запуске мастера нажмите Далее 1.

Укажите домен 1, с которым установлены доверительные отношения, и нажмите Далее 2.

Выберите Тип утверждения: Утверждение леса 1 и нажмите Далее 2.

Настройте направление утверждения. В этом примере мы выберем Двунаправленное направление 1 и нажмем «Далее 2» для подтверждения.

Выберите вариант Этот домен и указанный домен 1, это позволяет напрямую создать утверждение для другого домена.Щелкните Далее 1.

Введите идентификаторы 1 учетной записи администратора в указанном домене и нажмите Далее 2.

Выберите параметр «Проверка подлинности» для всех ресурсов леса 1 и нажмите «Далее» 2.

Аутентификация для всех лесных ресурсов позволит пользователям из обоих доменов входить во все доступные позиции. Если вы хотите настроить выборочную аутентификацию, я приглашаю вас прочитать эту статью.

Также выберите Проверка подлинности для всех ресурсов леса 1 для пользователей из локального леса в другой лес и нажмите Далее 2.

Отображается сводная информация о доверительных отношениях, щелкните Далее 1, чтобы создать отношение.

Доверительные отношения созданы, щелкните Далее 1.

Подтвердите исходящее и следующее утверждение, выбрав Да 1 и нажав Далее 2.

Нажмите Готово 1, чтобы закрыть мастер.

Мы видим, что доверительные отношения созданы.

На контроллере в другом лесу также убедитесь, что связь создана.

Проверка доверительных отношений

Для подтверждения утверждения мы проведем 2 теста:

  • На пост участника лаборатории.intra домен, мы откроем сеанс с пользователем, который является членом домена old.lan
  • Мы сделаем членом домена lab.intra из группы домена old.lan

Войдите в систему разместить в другом домене

На компьютере в домене lan. intra измените пользователя и введите учетные данные пользователя из домена old.lan, указав его домен в идентификаторе.

После открытия сеанса запустите командную строку и введите SET. На снимке экрана ниже мы видим, что компьютер находится в лаборатории домена.intra 1 и что пользователь является членом старого домена. лан.

Присоединиться к группе в доверенном домене

Перейдите в свойства пользователя в домене lab.intra, чтобы добавить его в группу. В окне выбора группы щелкните Расположение 1.

Выберите утвержденный домен 1 и нажмите ОК 2.

Выберите группу 1 и нажмите OK 2, чтобы добавить ее в нее.

Пользователь теперь является частью группы в доверенном домене.

Исправление PowerShell Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом | vGeek

Это проблема, с которой я всегда сталкивался с администратором Windows Server.Они часто сталкиваются с проблемами в своей повседневной деятельности при входе в систему со своей учетной записью домена. Когда они вошли в систему с локальной учетной записью, это было успешно. Причина этой проблемы проста: всякий раз, когда компьютер присоединяется к домену, в Active Directory создается учетная запись компьютера. Этот компьютер (устройства) имеет пароль, который изменяется и синхронизируется с перспективными машинами каждые 30 дней, если каким-то образом компьютерный компьютер не может связаться с активным каталогом (выключение или проблема с сетью в течение более 30 дней или восстановление или сброс пароля компьютера вручную в Ad) вы видите эту проблему.

Другой способ: Устранена проблема с PowerShell — доверительные отношения Повторное присоединение компьютеров к домену без перезапуска

Чтобы решить эту проблему, простое исправление состоит в том, чтобы удалить компьютер из домена, отсоединить и снова присоединить компьютер к домену Active Directory. Это может быть препятствием для некоторых администраторов из-за требования перезагрузки. Это большая головная боль для ИТ-администраторов, особенно с критически важными серверами. Здесь PowerShell помогает решить эту проблему без перезагрузки.

Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом 

Powershell поможет в этом отношении и поможет восстановить нарушенные доверительные отношения (просроченный несинхронизированный пароль в Active Directory) без перезапуска серверного компьютера. Чтобы решить эту проблему, войдите в систему с учетной записью локального администратора в системе и запустите Powershell с правами администратора. Существуют отдельные учетные данные AD (разрешения на присоединение компьютера с учетной записью компьютера к домену), необходимые для тестирования компьютера с отключенной учетной записью.Этот не требует перезагрузки .

После выполнения команды на выходе должно быть Истина. означает успешное выполнение. Выйдите из локальной учетной записи и попробуйте войти в свою учетную запись Active Directory.

Тест-ComputerSecureChannel -Repair -Credential (Get-Credential) 

Вы можете смоделировать и разорвать доверительные отношения с помощью сброса пароля учетной записи компьютера в AD.

Это дополнительная команда, если вы не хотите использовать Powershell и обычную команду командной строки. netdom также можно использовать для локального сброса пароля учетной записи компьютера.Вы получаете сообщение: Пароль учетной записи для локального компьютера был успешно сброшен .

netdom resetpwd / сервер: сервер домена / userd: домен \ имя пользователя / парольD: * 

Полезные статьи
PowerShell HPE ILO4 Rest API Примеры автоматизации
Powershell Настройка ILO5 с использованием Restful API
Настройка Dell iDrac9 Rest API с Powershell
Powershell Dell iDrac redfish Rest API с базовой аутентификацией

Powershell Преобразование диапазона чисел в другой список чисел с сохранением соотношения
Массив срезов PowerShell в группы меньших массивов
Таблица извлечения извлечения веб-извлечения Powershell из HTML

Powershell добавляет начальные нули в строку или int
PowerShell преобразует строку в значение base64
PowerShell Кодирует или декодирует WebURL
Создание интерактивного отчета HTML с данными PowerShell

[ИСПРАВЛЕНО] Сбой доверительного отношения между этой рабочей станцией и основным доменом

Ошибка Доверительные отношения между этой рабочей станцией и ошибочными окнами основного домена — это ошибка, которая возникает из-за проблем в Active Directory. Обычно при попытке авторизации выдается ошибка. Причина обычно возникает при использовании ASP.net и других сторонних приложений, которые используются вне домена. Кроме того, ошибка также возникает из-за недавно измененных атрибутов, ограничения доступа или обновления сервера SharePoint. Теперь, если мы говорим о возможных причинах проблем, это может быть ваш брандмауэр, обновление системы или поврежденные кеши конфигурации. Но не волнуйтесь, у нас есть несколько методов, которые можно использовать для решения проблемы.

Причины доверительных отношений между этой рабочей станцией и ошибкой основного домена: Ошибка

Доверительные отношения между этой рабочей станцией и основным доменом. Неудачные окна — это, по сути, ошибка активного каталога. Доверительные отношения не работают, если система пытается проверить домен с недопустимыми учетными данными. В основном ошибка возникает после переустановки Windows, когда состояние системы восстанавливается из резервной копии. Кроме того, если вы недавно внесли изменения в роли, атрибуты, пользователя NAV или сервер, может появиться ошибка.

  • Недавнее обновление Windows
  • Последние изменения в активном каталоге
  • Изменения ролей, атрибутов, пользователя или сервера NAV
  • Неверные учетные данные
Подобные типы доверительных отношений между этой рабочей станцией и основным доменом Ошибка:
  • Нет местного администратора
  • Сервер 2012
  • Сервер 2016
  • AWS
  • Доверительные отношения между основным доменом и доверенным доменом не удалось активный каталог
  • Удаленный рабочий стол
  • Windows 10
  • Доверительные отношения между этой рабочей станцией и доменом не удалось windows 10

Как исправить отношения доверия между этой рабочей станцией и основным доменом Ошибка сбоя Ошибка

Отношения доверия между этой рабочей станцией и основным доменом Ошибка Windows может быть устранена с помощью следующих методов. В первом способе мы попытаемся решить проблему путем повторного присоединения системы к домену. Второй метод будет посвящен восстановлению доверия с помощью PowerShell. В третьем методе мы вручную добавим контроллер домена в диспетчер учетных данных. В четвертом способе мы устраним ошибку с помощью netdom. Наконец, если какой-либо из методов не работает, то в пятом методе мы расскажем вам о восстановлении системы.

1. Повторное присоединение системы к домену вручную —

В этом методе Windows 10 «Доверительные отношения между этой рабочей станцией и основным доменом» мы повторно подключим систему к домену вручную.Для этого нам нужно будет использовать учетную запись администратора домена. Чтобы мы могли внести желаемые изменения. Внимательно следуйте инструкциям.

  • ШАГ 1. Первое, что вам нужно сделать, это Войти в систему , используя учетную запись администратора
  • ШАГ 2. Теперь откройте Мой компьютер
  • ШАГ 3. В правом верхнем углу щелкните правой кнопкой мыши Этот компьютер и перейдите к Свойства
  • ШАГ 4. Теперь вы находитесь в свойствах системы, слева нажмите Расширенные настройки системы

  • ШАГ 5. В окне «Свойства системы» перейдите к Компьютер Имя вкладка
  • ШАГ 6. Ниже нажмите кнопку Изменить

  • ШАГ 7. Теперь к добавьте машину в Workgroup, выберите Workgroup option
  • ШАГ 8. Теперь установите желаемое имя рабочей группы, затем нажмите ОК

  • ШАГ 9. Вам будет предложено ввести учетные данные администратора домена
  • ШАГ 10 После ввода учетных данных Закройте Свойства системы
  • ШАГ 11. Теперь перезапустите свою систему
  • ШАГ 12. Снова войдите в систему, используя учетную запись администратора
  • ШАГ 13. Вернитесь к расширенным настройкам системы, как в ШАГЕ 4
  • ШАГ 14. На вкладке Имя компьютера нажмите кнопку Изменить
  • ШАГ 15. На этот раз выберите домен и введите домен имя, нажмите ОК

  • ШАГ 16. Снова вам будет предложено ввести учетные данные администратора , введите его и нажмите ОК
  • ШАГ 17. Сохраните все внесенные вами изменения
  • ШАГ 18. Сейчас Закрыть Свойства системы
  • ШАГ 19.Перезагрузите вашу систему, Войдите в , используя учетную запись пользователя домена без ошибок

2. Установление доверия с помощью PowerShell —

В этом методе «Доверительные отношения между этой рабочей станцией и основным доменом. Неудачный удаленный рабочий стол» мы будем использовать PowerShell, чтобы вручную восстановить доверие между контроллером домена и клиентом. Убедитесь, что вы вошли в систему под учетной записью администратора. Следуйте инструкциям, чтобы увидеть, как это делается.

  • ШАГ 1. Сначала войдите в систему , используя локальную учетную запись администратора
  • ШАГ 2. В меню «Пуск» введите PowerShell
  • ШАГ 3. Теперь щелкните правой кнопкой мыши на PowerShell и выберите Запуск от имени администратора
  • ШАГ 4. Вам будет предложено ввести права администратора, нажмите Да
  • ШАГ 5. В окне PowerShell введите следующую команду
  $ учетные данные = Get-Credential  

  • ШАГ 6. После ввода команды нажмите Введите
  • ШАГ 7. Теперь появится окно любезно. Введите учетные данные администратора домена , затем нажмите ОК
  • ШАГ 8. Теперь введите следующую команду
  Reset-ComputerMachinePassword -Credential $ учетные данные  

  • ШАГ 9. После ввода команды нажмите Введите
  • ШАГ 10. Сейчас Закройте окно PowerShell
  • ШАГ 11. Перезагрузите вашу СИСТЕМУ
  • ШАГ 12. Теперь вы можете получить доступ к домену без ошибок

3. Добавление контроллера домена в диспетчер учетных данных —

В этом методе мы добавим DC к диспетчеру учетных данных. Иногда ошибка возникает из-за отсутствия записи DC в диспетчере учетных данных. Следуйте инструкциям по устранению проблемы «Доверительные отношения между этой рабочей станцией и основным доменом» в Windows 7.

  • ШАГ 1. Удерживайте Windows + R ключ, чтобы открыть окно «Выполнить»
  • ШАГ 2. В процессе выполнения введите Панель управления и нажмите Enter
  • .
  • ШАГ 3. Теперь измените вид на маленький, найдите и щелкните Credential Manager

  • ШАГ 4. Выберите Учетные данные Windows

  • ШАГ 5.Теперь нажмите Добавить учетные данные Windows
  • .

  • ШАГ 6. Заполните данные и нажмите OK
  • ШАГ 7. Закройте окно диспетчера учетных данных и Перезапустите вашу систему

4. Использование командной строки —

В этом методе «Отношения доверия между этой рабочей станцией и отказавшим сервером основного домена 2012» мы будем использовать служебную программу Netdom, доступ к которой можно получить из командной строки. Будьте внимательны при наборе команды. Приступим.

  • ШАГ 1. Откройте окно «Выполнить», удерживая Windows + R ключ на сервере
  • ШАГ 2. В поле запуска введите cmd и нажмите Введите
  • ШАГ 3. В окне командной строки введите следующую команду
  netdom resetpwd / s: server / ud: domain \ User / pd: *  

  ** ПРИМЕЧАНИЕ:  В приведенной выше команде  сервер  - это имя сервера домена,  домен  - доменное имя и  Пользователь  - учетная запись пользователя, которая не может подключиться к контроллеру домена 
  • ШАГ 4. После ввода команды нажмите Enter
  • ШАГ 5. Теперь вы можете получить доступ к домену без ошибок

5. Выполните восстановление системы —

Если все вышеперечисленные методы не работают. Единственный способ восстановления — выполнить восстановление системы. В некоторых случаях не удалось установить доверительные отношения между этой рабочей станцией и основным доменом, ошибка локального администратора не исчезнет. Восстановление вашей системы до состояния, в котором все работало, — единственный способ избавиться от ошибки.

Заключение:

На этом статья об ошибке Сбой доверительного отношения между этой рабочей станцией и основным доменом Ошибка Windows. Можно сказать, что, следуя описанным выше методам, вы можете избавиться от этой ошибки. Если у вас есть другие вопросы, сообщите нам в комментариях.

Следуйте за нами для получения дополнительных руководств по устранению неполадок. Благодарю вас!

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *