Обновить компьютер в домене
Обновлено: 04.07.2024
Теперь мне нужно восстановить членство ПК в домене. Но так как я не могу войти в систему, я не могу изменить ни имя компьютера, ни членство в домене.
- Как я могу доверять ПК и домену?
- Могу ли я добавить или обновить членство с консоли контроллеров домена?
Редактировать :
На компьютере нет активных локальных учетных записей, которые я мог бы использовать для входа в систему.
Доступ к чему? Я предполагаю: AD = активный каталог UC = ?? Но: да, у меня есть административные права на домен.Этот трюк приходит через мою исследовательскую группу Active Directory. Я предлагаю всем присоединиться к группе пользователей и / или учебной группе. Дело не в том, что мы не знаем AD, а в том, что мы забываем или пропускаем новые функции. Курс повышения квалификации тоже весело.
Классический способ решить эту проблему - присоединиться к домену. Это довольно болезненно, потому что для этого требуется несколько перезагрузок, а профиль пользователя не всегда повторно подключается. Эве. Кроме того, если у вас был этот компьютер в каких-либо группах или ему были назначены определенные разрешения, они пропали, потому что теперь у вашего компьютера новый SID, поэтому AD больше не видит его как ту же машину. Вы должны будете воссоздать все эти вещи из отличной документации, которую вы держали. У тебя отличная документация. Двойная овца
Вместо этого мы можем просто сбросить безопасный канал. Есть несколько способов сделать это:
- В AD щелкните правой кнопкой мыши компьютер и выберите «Сбросить учетную запись».
Затем повторно присоединитесь, не отсоединяя компьютер от домена.
Требуется перезагрузка. - В командной строке с повышенными правами введите: dsmod computer "ComputerDN" -reset
Затем повторно присоедините компьютер, не присоединяя его к домену.
Требуется перезагрузка. - В командной строке с повышенными привилегиями введите: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
Учетная запись, учетные данные которой вы указали, должна входить в группу локальных администраторов.
Не возвращайся. Нет перезагрузки. - В командной строке поднятия введите: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
Нет присоединиться. Нет перезагрузки.
Перестаньте бороться с этой проблемой со стороны клиента. Если вы не можете войти в домен, вам нужно будет либо войти с включенной локальной учетной записью, либо использовать загрузочный компакт-диск, чтобы включить его.
Попробуйте удалить компьютер из Active Directory - пользователи и компьютеры. Это должно быть в Администрировании на вашем сервере. Откройте подразделение (подразделение), в котором находится компьютер. Найдите компьютер, щелкните по нему правой кнопкой мыши и нажмите «Удалить».
Возможно, не повредит быть терпеливым и просто позволить репликации делать свое дело, в зависимости от того, сколько у вас контроллеров домена. Если ваш домен довольно прост (без сайтов и только два DC), вы можете использовать repadmin /replicate для принудительной репликации. Дайте это прочитать, прежде чем сделать это.
Теперь снова добавьте ПК с помощью AD UC и либо дождитесь репликации, либо форсируйте его.
Если он все еще скулит на вас, netdom /remove попробуйте ( man-страница здесь ) и посмотрите, получится ли это с вашего домена. Если у вас есть проблемы с этим, взгляните на этот вопрос . Это другой сценарий, но по сути та же концепция: пытаться удалить компьютер из домена, когда он не может связаться с DC.
Это удалит компьютер из домена, не так ли? Как использовать аутентификацию домена для входа на ПК, когда он больше не является членом домена? Я не могу добавить это с ADUC?Возможно, вам придется войти, используя учетные данные, которые являются локальными для этого компьютера. Когда ОС была впервые установлена, была настроена локальная учетная запись.
Войдите в систему с этой учетной записью, используя имя компьютера в качестве домена (например, MYCOMP \ JSmith). Обычно учетная запись администратора локального компьютера присутствует, но по умолчанию отключена.
После того как вы вошли в систему как локальный пользователь, вы сможете выйти и снова присоединиться к домену.
Выход и повторный вход в домен является предпочтительным решением этой проблемы. Однако иногда это просто не работает, и вам также необходимо изменить имя компьютера, если Active Directory по каким-либо причинам не понимает это изменение.Начиная с Server 2008 R2, задача очень проста. Теперь мы можем использовать Test-ComputerSecureChannel командлет.
Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose
Добавьте -Repair параметр для выполнения фактического ремонта; используйте учетные данные для учетной записи, которая авторизована для подключения компьютеров к домену.
-- РЕДАКТИРОВАТЬ--
Если для этого нет учетных записей локальных администраторов, вы можете создать их (или включить отключенную встроенную учетную запись администратора) с помощью известного хакера Sticky Keys .
Чтобы сбросить забытый пароль администратора, выполните следующие действия: ^
- Загрузитесь с Windows PE или Windows RE и получите доступ к командной строке.
- Найдите букву диска раздела, где установлена Windows. В Vista и Windows XP обычно это C :, в Windows 7 это D: в большинстве случаев, потому что первый раздел содержит Восстановление запуска. Чтобы найти букву диска, введите C: (или D: соответственно) и найдите папку Windows. Обратите внимание, что Windows PE (RE) обычно находится в X :. В целях этой демонстрации мы будем предполагать, что Windows установлена на диске C:
- Введите следующую команду: copy C:\Windows\System32\sethc.exe C:\ Это создаст копию sethc.exe для восстановления позже.
- Введите эту команду, чтобы заменить sethc.exe на cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe перезагрузите компьютер и запустите экземпляр Windows, для которого у вас нет пароля администратора.
- После того, как вы увидите экран входа в систему, нажмите клавишу SHIFT пять раз.
- Вы должны увидеть командную строку, в которой вы можете ввести следующую команду для сброса пароля Windows: net user [username] [password] Если вы не знаете свое имя пользователя, просто введите net user список доступных имен пользователей.
- Теперь вы можете войти с новым паролем.
Если вы хотите включить отключенную по умолчанию встроенную учетную запись администратора вместо сброса пароля для существующей учетной записи, введите следующую команду:
Если вы хотите создать новую учетную запись и добавить ее в локальную группу администраторов, последовательность команд :
- net user /add [username] [password]
- net localgroup administrators [username] /add
Добавлять ПК можно только тогда, когда у вас есть права администратора на ПК и право менять контроллер домена.
Поэтому необходимо сбросить пароль администратора на ПК. Одним из способов выполнения этой задачи является использование установочного DVD и использование консоли восстановления. Это позволяет вам восстановить полный контроль.
Единственное решение, если у вас есть проблема PC / Server Trust (после сброса, воссоздать на DC и т. Д.), Чтобы решить ее без какого-либо восстановления!
Отключите работу сетевых карт и кэшированных учетных данных, после чего вы сможете снова присоединиться к домену netdom join .
Если у вас закончились попытки кэширования учетных данных (зависит от локальной политики ОС / объекта групповой политики - до 50), выполните восстановление системы за предыдущие дни, это тоже будет работать.
Пожалуйста, прочитайте перед публикацией. Последнее предложение (после редактирования ) показывает, что я не могу использовать локальные учетные записи.Отключите сетевой кабель и войдите на соответствующую рабочую станцию (кэшированные учетные данные позволят это сделать). После этого снова подключите сетевой кабель.
Установите скачанный пакет. У нас были проблемы с этим, пока мы не использовали режим чистой загрузки, поэтому вам, возможно, придется перезагрузить рабочую станцию после настройки чистой загрузки, которую можно отменить после этого процесса.
Установка RSAT автоматически не делает его доступным для использования. Перейдите в Панель управления -> Программы -> Добавить / Удалить компоненты Windows и найдите Инструменты администратора удаленного сервера. Разверните это и перейдите к AD / AS / Command line и включите это.
Откройте командное окно от имени администратора и введите эту команду:
NETDOM.EXE resetpwd / s: (сервер) / ud: (имя пользователя) / pd: *
Где (сервер) - это имя Netbios сервера домена, а (имя пользователя) - учетная запись уязвимой рабочей станции в формате ДОМЕН \ Имя пользователя.
Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.
Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.
Способ первый
Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.
Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.
Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.
Способ второй
Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:
Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*
В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.
Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.
Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:
Или сбросить учетную запись компьютера:
Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).
Способ третий
Самый быстрый и доступный способ, ведь утилита Nltest по умолчению есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.
Способ четвертый
Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:
Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair
Для сброса пароля также можно также воспользоваться такой командой:
Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator
Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа. Получается что данный метод можно использовать только на Windows 8 и Server 2012, ведь для остальных ОС PowerShell 3.0 пока недоступен.
Как видите, способов восстановления доверительных отношений более чем достаточно. Однако если проблема приобретает постоянный характер, то проще подойти к ее решению с другой стороны.
Изменение параметров смены пароля компьютера
Смена пароля в домене происходит следующим образом:
Каждые 30 дней рабочая станция отправляет ближайшему контролеру домена запрос на изменение пароля учетной записи компьютера. Контролер принимает запрос, пароль изменяется, а затем изменения передаются на все контролеры в домене при следующей репликации.
Некоторые параметры смены пароля можно изменять. Например, можно изменить временной интервал или совсем отключить смену паролей. Сделать это можно как для отдельных компьютеров, так и для групп.
Для одиночной машины можно воспользоваться настройками реестра. Для этого в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters есть два параметра :
И в разделе HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, только у контролеров домена, параметр:
Всё о PowerShell в Windows и на Linux. Системное администрирование Windows
В этой статье мы покажем, как актуализировать параметры групповой политики (GPO) на компьютерах Windows в домене Active Directory: как автоматически обновлять (актуализировать) групповые политики, как использовать команду GPUpdate, как обновлять их удалённо с помощью Group Policy Management Console, GPMC.msc (консоль Управления групповой политикой) или командлет PowerShell Invoke-GPUpdate.
Как изменить интервал актуализации групповой политики?
Прежде чем новые параметры, заданные вами в локальной или доменной групповой политике (GPO), будут применены к клиентам Windows, служба клиента групповой политики должна прочитать политики и внести изменения в настройки Windows. Этот процесс называется Group Policy Update (актуализация групповой политики). Параметры GPO обновляются при загрузке компьютера, входе пользователя в систему и автоматически обновляются в фоновом режиме каждые 90 минут + случайное смещение времени 0–30 минут (это означает, что параметры политики обязательно будут применены к клиентам через 90–120 минут после обновления файлов GPO на контроллере домена).
По умолчанию контроллеры домена обновляют настройки GPO чаще: каждые 5 минут.
Вы можете изменить интервал обновления GPO, используя параметр Set Group Policy refresh interval for computers («Установить интервал обновления групповой политики для компьютеров»). В редакторе управления групповыми политиками эта настройка находится поо пути Computer Configuration → Administrative Templates → System → Group Policy (в русскоязычной версии «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Групповая политика»).
Включите политику и установите время (в минутах) для следующих параметров:
- Первое значение позволяет настроить частоту применения групповой политики к компьютерам (от 0 до 44640 минут), как часто клиент должен обновлять параметры GPO в фоновом режиме. Если вы установите здесь 0, то политики будут обновляться каждые 7 секунд (делать этого не стоит);
- Второе значение — это случайная величина, добавляемая к интервалу времени обновления, во избежание одновременных запросов групповой политики всеми клиентами (от 0 до 1440 минут). Это максимальное значение случайного временного интервала, добавляемого в качестве смещения к предыдущему параметру (используется для уменьшения количество одновременных обращений клиентов к DC для загрузки файлов GPO).
Обратите внимание, что частое обновление GPO приводит к увеличению трафика на контроллеры домена и приводит к увеличению нагрузки на сеть.
Использование команды GPUpdate.exe для принудительного обновления настроек GPO
Все администраторы знают команду gpupdate.exe, которая позволяет обновлять параметры групповой политики на компьютере:
Эта команда заставляет ваш компьютер читать все объекты групповой политики с контроллера домена и повторно применять все настройки. Это означает, что когда используется ключ /force, клиент подключается к контроллеру домена, чтобы получить файлы для ВСЕХ политик, нацеленных на него. Это может привести к увеличению нагрузки на вашу сеть и контроллер домена.
Команда gpudate без каких-либо параметров применяет только новые и изменённые настройки GPO.
В русифицированной версии:
Если некоторые политики или параметры не были применены, используйте команду GPResult для диагностики проблемы и следуйте инструкциям в статье «Устранение неполадок: групповая политика (GPO) не применяется».
Вы можете обновить только настройки GPO пользователя:
или только параметры политики компьютера:
Если некоторые политики не могут быть обновлены в фоновом режиме, gpupdate может завершить сеанс текущего пользователя:
Или перезагрузить компьютер (если изменения GPO можно применить только при загрузке Windows):
Как принудительно обновить удалённый объект групповой политики из консоли управления групповой политикой (GPMC)?
В Windows Server 2012 и новее вы можете обновлять параметры групповой политики на компьютерах домена удалённо, используя GPMC.msc (консоль управления групповой политикой).
В Windows 10 вам нужно будет установить RSAT, чтобы использовать консоль GPMC:
Затем после изменения каких-либо параметров или создания и сопряжения нового объекта групповой политики достаточно щёлкнуть правой кнопкой мыши нужное организационное подразделение (OU) в консоли управления групповыми политиками и выбрать в контекстном меню пункт Group Policy Update («Обновление групповой политики»). В новом окне вы увидите количество компьютеров, на которых будет обновлён GPO. Подтвердите принудительное обновление политик, нажав Yes («Да»).
Затем GPO будет удалённо обновляться на каждом компьютере в OU один за другим, и вы получите результат со статусом обновления групповой политики на компьютерах Succeeded/Failed («Успешно / Не удалось»).
Эта функция создаёт задачу в Планировщике задач с помощью команды «GPUpdate.exe /force» для каждого вошедшего в систему пользователя на удалённом компьютере. Задача запускается в произвольный период времени (до 10 минут), чтобы снизить нагрузку на сеть.
Чтобы функция обновления удалённого объекта групповой политики GPMC работала на клиенте, должны быть выполнены следующие условия:
- TCP-порт 135 должен быть открыт в правилах брандмауэра Защитника Windows;
- Должны быть включены службы Windows Management Instrumentation and Task Scheduler («Инструментария управления Windows и планировщика задач»).
Фактически, эта функция работает так же, как если бы вы обновили настройки GPO вручную с помощью команды «GPUpdate /force» на каждом компьютере.
Invoke-GPUpdate: принудительное обновление удалённой групповой политики через PowerShell
Вы также можете вызвать удалённое обновление GPO на компьютерах с помощью командлета PowerShell Invoke-GPUpdate (являющегося частью RSAT). Например, чтобы удалённо обновить параметры политики пользователя на определённом компьютере, вы можете использовать следующую команду:
Если вы запустите командлет Invoke-GPUpdate без каких-либо параметров, он обновит настройки GPO на текущем компьютере (как и gpudate.exe).
Вместе с командлетом Get-ADComputer вы можете обновить объект групповой политики на всех компьютерах в определённом подразделении:
или на всех компьютерах, отвечающих определенным требованиям (например, на всех хостах Windows Server в домене):
Вы можете установить случайное смещение для обновления GPO с помощью -RandomDelayInMinutes. Благодаря этой опции вы можете снизить нагрузку на сеть, если обновляете параметр групповой политики одновременно на нескольких компьютерах. Для немедленного применения параметров групповой политики на всех компьютерах используется параметр -RandomDelayInMinutes 0.
Команда Invoke-GPUpdate возвращает следующую ошибку для недоступных компьютеров:
Если вы запустите командлет Invoke-GPUpdate удаленно или обновите объект групповой политики из консоли управления групповыми политиками, на рабочем столе пользователя на короткое время может появиться окно консоли с запущенной командой gpupdate.
На работе комп (win 10 corp/pro) введен в домен. Доменные настройки и обновления винды есть только для XP и win7. Соответственно win10 тоже настроился на локальный wsus, на котором для него ничего нет. Как можно (через реестр или как) указать системе обычные сервера обновлений через инет, а не локальные, не выводя из домена?
Переделать доменные настройки не предлагать :)
p.s. почему то просьба НЕ предлагать переделать настройки домена никого не волнует. я НЕ администратор данного домена, он находиться в другом городе и администрируется другими людьми (я лишь нахожусь в небольшом филиале и не имею к нему ни малейшего доступа). у нас официально не используется win 10 в работе и поэтому у нас и НЕ БУДЕТ в ближайшее время изменений в wsus. это не моя прихоть! я лишь сам интересуюсь десяткой и работаю на ней, так как сам по себе домен и большинство настроек он нормально принимает как и win 7
- Вопрос задан более трёх лет назад
- 12452 просмотра
Сообщите об этом администратору WSUS. Необходимо включить соответствующую категорию обновлений для синхронизации.
Или скачивать их Каталог Центра обновления Майкрософт. Поскольку для Windows 10 выпускается одно кумулятивное обновление в месяц (редко, обновление безопасности, отдельно — но входящее в следующее кумулятивное) это не доставит больших хлопот.
Журнал обновлений Windows 10
А ведь сразу даже в голову не пришло:
указать системе обычные сервера обновлений через инет, а не локальныекак вариант, качать вручную. лучше чем ничего, спасибо.
p.s. к сожалению админам wsus нет ни малейшего дела до моего интереса к новым системам :) включать обновления десятки они не будут. в работе существенного влияния от перехода на десятку не вижу, поэтому сижу сам
Параметр: UseWUServer
Значение: установите значение 1, чтобы указать службе Автоматического обновления использовать сервер, на котором запущены службы SUS, вместо веб-узла Windows Update.
Тип: Reg_DWORD
Читайте также: