Из-за некоторых ошибок у меня есть много машин, которые, кажется, привязаны к Active Directory (AD) со своей стороны, но не со стороны AD. Машины думают, что они все еще находятся в AD, но AD с этим не согласен.
Это приводит к хорошо известной ошибке «Сбой доверительных отношений между этой рабочей станцией и основным доменом» при попытке входа в систему.
Я хотел бы либо удаленно / программно сбросить ComputerMachinePassword, либо удаленно / программно вывести их из AD, а затем снова присоединить их к AD. Но я даже не могу заставить их покинуть AD ни по какой команде. Я пробовал много подходов, от PowerShell через WMIC до netdom, обычно всегда получая ошибку «доступ запрещен». Я пробовал как с администратором домена, так и с локальным администратором (и их комбинациями) удаленно и на самом компьютере.
Однако я могу удалить машину через графический интерфейс. Я бы предпочел не делать этого примерно со 100 компьютерами;)
Проблема, по-видимому, в том, что машина сама хочет видеть разрешения администратора AD для ее удаления, чего я не могу получить (поскольку AD этого не дает (больше)).
Есть ли способ удалить машины из AD (или сделать так, чтобы они больше не были привязаны к AD) с помощью командной строки, когда они находятся в этом состоянии?
Вы пробовали Reset-ComputerMachinePassword
Командлет PowerShell? Я думаю, вам нужно будет запустить эту команду как учетную запись локального администратора и использовать параметр -Credential, чтобы предоставить ей учетную запись домена с соответствующими правами на объекты учетной записи компьютера.