Назад | Перейти на главную страницу

Как повторно присоединиться к домену, когда доверительные отношения потеряны

У меня есть несколько виртуальных машин, к которым были применены снимки с помощью сценария PowerShell. Иногда виртуальные машины теряют «доверительные отношения» с доменом. Это нарушает работу сценария, поскольку я больше не могу использовать удаленное взаимодействие PowerShell для доступа к машинам и их настройки.

Как я могу удаленно сбросить доверительные отношения этих виртуальных машин? Возможно, есть возможности для повторного присоединения к домену, не связанные с удаленным взаимодействием?

Любые альтернативные решения для ручного повторного присоединения к домену требуют входа в систему на компьютере и делать это локально. Я не нашел ничего, что могло бы сделать это иначе.

До сих пор я пытался собрать сценарий, который просто удаляется в ящик как локальный администратор:

$password = ConvertTo-SecureString "password" -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password)
$sesh = new-pssession -computername "theMachine" -credential $cred

На этом этапе я надеялся использовать PowerShell для сброса пароля или что-то подобное для сброса доверительных отношений домена. Однако это приводит к ошибке в последней строке: Access is Denied.

Я не думаю, что вы можете использовать учетную запись локального администратора с удаленным взаимодействием PowerShell. Есть ли другой способ удаленно заставить виртуальную машину, потерявшую доверительные отношения домена, снова присоединиться к домену?

Это происходит потому, что компьютеры, присоединенных к домену, автоматически меняют пароли своих учетных записей каждые 30 дней. Клиент инициирует собственную смену пароля и сохраняет его в Active Directory. При возврате к моментальному снимку, сделанному до последнего изменения пароля учетной записи компьютера, пароль, хранящийся в AD, больше не совпадает с паролем, который компьютер пытается использовать для входа в домен.

Чтобы отключить изменение пароля учетной записи компьютера на клиентском компьютере:

1. Start Registry Editor.
2. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. In the right pane, click the DisablePasswordChange entry.
4. On the Edit menu, click Modify.
5. In the Value data box, type a value of 1, and then click OK.

Также,

Я не думаю, что вы можете использовать учетную запись локального администратора с удаленным взаимодействием PowerShell.

Да, ты можешь. Вы просто не можете использовать Kerberos. А поскольку без Kerberos нет взаимной аутентификации, вам необходимо добавить удаленный компьютер в список доверенных хостов, чтобы иметь возможность использовать Powershell Remoting для доступа к нему.