У меня есть несколько виртуальных машин, к которым были применены снимки с помощью сценария PowerShell. Иногда виртуальные машины теряют «доверительные отношения» с доменом. Это нарушает работу сценария, поскольку я больше не могу использовать удаленное взаимодействие PowerShell для доступа к машинам и их настройки.
Как я могу удаленно сбросить доверительные отношения этих виртуальных машин? Возможно, есть возможности для повторного присоединения к домену, не связанные с удаленным взаимодействием?
Любые альтернативные решения для ручного повторного присоединения к домену требуют входа в систему на компьютере и делать это локально. Я не нашел ничего, что могло бы сделать это иначе.
До сих пор я пытался собрать сценарий, который просто удаляется в ящик как локальный администратор:
$password = ConvertTo-SecureString "password" -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password)
$sesh = new-pssession -computername "theMachine" -credential $cred
На этом этапе я надеялся использовать PowerShell для сброса пароля или что-то подобное для сброса доверительных отношений домена. Однако это приводит к ошибке в последней строке: Access is Denied
.
Я не думаю, что вы можете использовать учетную запись локального администратора с удаленным взаимодействием PowerShell. Есть ли другой способ удаленно заставить виртуальную машину, потерявшую доверительные отношения домена, снова присоединиться к домену?
Это происходит потому, что компьютеры, присоединенных к домену, автоматически меняют пароли своих учетных записей каждые 30 дней. Клиент инициирует собственную смену пароля и сохраняет его в Active Directory. При возврате к моментальному снимку, сделанному до последнего изменения пароля учетной записи компьютера, пароль, хранящийся в AD, больше не совпадает с паролем, который компьютер пытается использовать для входа в домен.
Чтобы отключить изменение пароля учетной записи компьютера на клиентском компьютере:
1. Start Registry Editor.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. In the right pane, click the DisablePasswordChange entry.
4. On the Edit menu, click Modify.
5. In the Value data box, type a value of 1, and then click OK.
Также,
Я не думаю, что вы можете использовать учетную запись локального администратора с удаленным взаимодействием PowerShell.
Да, ты можешь. Вы просто не можете использовать Kerberos. А поскольку без Kerberos нет взаимной аутентификации, вам необходимо добавить удаленный компьютер в список доверенных хостов, чтобы иметь возможность использовать Powershell Remoting для доступа к нему.