У покупателя ноутбук W10. Ноутбук является членом MyDomain. К ноутбуку пользователя подключено 20 сетевых дисков. Сервер - контроллер домена W2016.
Пользователь входит в систему на своем ноутбуке, используя свою ЛОКАЛЬНУЮ учетную запись. Когда он приходит утром в офис, все его сетевые диски не подключаются заново.
Он получает сообщение об ошибке: «Не удалось повторно подключить диски, поскольку учетная запись пользователя заблокирована».
Действительно, в журналах безопасности W2016 зафиксировано 5 неудачных попыток входа в систему. После этого учетная запись блокируется на 30 минут. Когда через 30 минут пользователь щелкает подключенный сетевой диск (с красным крестом), подключенный диск повторно подключается без проблем.
Учетные данные пользователя для подключения к сетевому диску: локальный компьютер\ имя пользователя. это не MyDomain\ имя пользователя. Я проверил это в PowerShell с помощью команды gwmi.
Последнее удивительно. Я даже не знал, что можно использовать локальные учетные данные для подключения к общему ресурсу домена. Но другие тесты в тестовой области подтвердили это. Только имя пользователя должно быть известно в домене.
Я не понимаю, почему первая попытка подключения сетевых дисков дает сбой аутентификации. И позже аутентификация проходит успешно. Я не знаю сколько позже поскольку учетная запись остается заблокированной в течение 30 минут.
Не следует откладывать повторное подключение до тех пор, пока сеть не будет работать. Это работает, потому что сервер показывает сбои аутентификации.
Мой следующий подход - изменить учетные данные для подключения диска к MyDomain\ user вместо локальный компьютер\ пользователь.
Это самое элегантное решение. Если это не поможет, я сделаю соединения непостоянными и создам командный файл, который будет выполняться вручную. Но это не так элегантно.
Я не хочу, чтобы пользователь входил в домен. Во-первых, он может некоторое время находиться вне офиса и должен полагаться на кешированную аутентификацию. Во-вторых, его текущий профиль пользователя составляет 50 ГБ, и при входе в домен создается другой профиль. Это лаваш, чтобы передать это.
Есть идеи, почему первые попытки аутентификации терпят неудачу? Зная, что им это удастся позже?
Я не думаю, что он использует локальные учетные данные для подключения к удаленному серверу, но, возможно, он отправляет учетные данные на удаленный сервер. Windows сначала попытается ввести имя пользователя и пароль, которые в настоящее время вошли в систему, на удаленном сервере.
Поэтому я полагаю, что имя пользователя и пароль одинаковы на локальном компьютере и в домене.
Что касается заблокированной учетной записи, это, вероятно, связано с каким-то кешированным старым, уже недействительным паролем. Вы можете очистить это на ноутбуке с помощью net use * /d. Обратите внимание, что он удалит все соединения ...
Вы можете подтвердить, откуда взялась блокировка, проверив журналы событий безопасности на контроллере домена. В LockedOutStatus инструмент особенно полезен здесь, чтобы узнать, на каком контроллере домена произошла блокировка и в какое время (я знаю, что у меня в журналах более 50 событий безопасности в секунду, поэтому необходимо знать точную секунду блокировки) .