Назад | Перейти на главную страницу

Программное / удаленное удаление ненадежных, но «связанных» Windows из Active Directory

Из-за некоторых ошибок у меня есть много машин, которые, кажется, привязаны к Active Directory (AD) со своей стороны, но не со стороны AD. Машины думают, что они все еще находятся в AD, но AD с этим не согласен.

Это приводит к хорошо известной ошибке «Сбой доверительных отношений между этой рабочей станцией и основным доменом» при попытке входа в систему.

Я хотел бы либо удаленно / программно сбросить ComputerMachinePassword, либо удаленно / программно вывести их из AD, а затем снова присоединить их к AD. Но я даже не могу заставить их покинуть AD ни по какой команде. Я пробовал много подходов, от PowerShell через WMIC до netdom, обычно всегда получая ошибку «доступ запрещен». Я пробовал как с администратором домена, так и с локальным администратором (и их комбинациями) удаленно и на самом компьютере.

Однако я могу удалить машину через графический интерфейс. Я бы предпочел не делать этого примерно со 100 компьютерами;)

Проблема, по-видимому, в том, что машина сама хочет видеть разрешения администратора AD для ее удаления, чего я не могу получить (поскольку AD этого не дает (больше)).

Есть ли способ удалить машины из AD (или сделать так, чтобы они больше не были привязаны к AD) с помощью командной строки, когда они находятся в этом состоянии?

Вы пробовали Reset-ComputerMachinePassword Командлет PowerShell? Я думаю, вам нужно будет запустить эту команду как учетную запись локального администратора и использовать параметр -Credential, чтобы предоставить ей учетную запись домена с соответствующими правами на объекты учетной записи компьютера.