Reentrada de um computador no domínio

Este truque vem a ser feito através do meu grupo de estudo Active Directory. Sugiro que todos se juntem a um grupo de usergroupo e/ou a um grupo de estudo. Não é que não saibamos AD, mas sim que nos esquecemos ou perdemos novas funcionalidades. Um curso de reciclagem também é divertido.

Ocasionalmente, um computador virá “desvinculado” do domínio. Os sintomas podem ser que o computador não consegue iniciar sessão quando ligado à rede, mensagem de que a conta do computador expirou, o certificado de domínio é inválido, etc. Todos estes sintomas decorrem do mesmo problema e é que o canal seguro entre o computador e o domínio está hostilizado. (este é um termo técnico. Sorriso )

A forma clássica de resolver este problema é desvincular-se e voltar a entrar no domínio. Fazê-lo é uma espécie de dor porque requer um par de reinícios e o perfil do utilizador nem sempre é reconectado. Ewe. Além disso, se tivesse esse computador em qualquer grupo ou se lhe fossem atribuídas permissões específicas, estas desapareceriam porque agora o seu computador tem um novo SID, pelo que o AD já não o vê como a mesma máquina. Terá de recriar todas essas coisas a partir da excelente documentação que tem mantido. A sua excelente documentação. Ovelha dupla.

Em vez de o fazermos, podemos simplesmente reiniciar o canal seguro. Há algumas formas de o fazer:

1. em AD clique com o botão direito do rato no computador e seleccione Reset Account.
   Depois voltar a entrar sem desacoplar o computador para o domínio.
   É necessário reiniciar.
2. Num tipo de prompt de comando elevado: dsmod computer "ComputerDN" -reset Em seguida, voltar a entrar sem desacoplar o computador ao domínio.
   É necessário reiniciar.
   
3. Num tipo de prompt de comando elevado: netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password A conta cujas credenciais forneceu deve ser um membro do grupo de Administradores Locais.
   Não é necessário voltar a entrar. Não reiniciar.
4. Num prompt de comando do tipo “Elevar”: nltest.exe /Server:ServerName /SC_Reset:DomainDomainController Não reingressar. Sem reinicialização.

Parar de lutar com este problema do lado do cliente. Se não conseguir entrar no domínio, terá de entrar com uma conta local activada, ou usar um CD de arranque para o activar.

Tente remover a máquina do Active Directory Users and Computers. Deve estar nas Ferramentas Administrativas do seu servidor. Abra a OU (unidade organizacional) que contém o computador. Encontre o computador, clique com o botão direito do rato sobre ele, e carregue em apagar.

Pode não fazer mal ser paciente e simplesmente deixar a replicação fazer o seu trabalho, dependendo de quantos CD tem. Se o seu domínio for bastante simples (sem sites e apenas dois CDs), poderá usar repadmin /replicate para forçar a replicação. Dê uma leitura antes de o fazer.

Agora adicione novamente o PC usando AD UC e ou aguarde pela replicação ou force-a.

Se ainda choramingar consigo, dê netdom /remove uma tentativa man page here ) e veja se isso o tirará do seu domínio. Se tiver problemas com isso, dê uma olhadela esta pergunta . É um cenário diferente mas essencialmente o mesmo conceito: tentar remover um computador de um domínio quando este não consegue contactar o CD.

A partir do Server 2008 R2, a tarefa é muito simples. Podemos agora utilizar o Test-ComputerSecureChannel cmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Adicionar o parâmetro -Repair para efectuar a reparação efectiva; utilizar as credenciais para uma conta autorizada a aderir a computadores ao domínio.

Referência: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDIT–

Se não houver nenhuma conta de administrador local que possa usar para isto, pode criar uma (ou activar a conta de Administrador incorporado desactivado) com a conhecida Sticky Keys hack.

Para redefinir uma senha de administrador esquecida, siga estes passos: ^

1. inicialize a partir do Windows PE ou Windows RE e aceda ao prompt de comando.
2. Encontrar a letra da drive da partição onde o Windows está instalado. No Vista e Windows XP, é geralmente C:, no Windows 7, é D: na maioria dos casos porque a primeira partição contém Startup Repair. Para encontrar a letra da unidade, digite C: (ou D:, respectivamente) e procure a pasta do Windows. Note que o Windows PE (RE) reside normalmente em X:. Para efeitos desta demonstração, vamos assumir que o Windows está instalado na drive C:
3. Digite o seguinte comando: copy C:\Windows\System32\sethc.exe C:A partir do Server 2008 R2, a tarefa é muito simples. Podemos agora utilizar oTest-ComputerSecureChannel` cmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Adicionar o parâmetro -Repair para efectuar a reparação efectiva; utilizar as credenciais para uma conta autorizada a aderir a computadores ao domínio.

Referência: https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDIT–

Se não houver nenhuma conta de administrador local que possa usar para isto, pode criar uma (ou activar a conta de Administrador incorporado desactivado) com a conhecida [ Sticky Keys ]0x3& hack.

Para redefinir uma senha de administrador esquecida, siga estes passos: ^

1. inicialize a partir do Windows PE ou Windows RE e aceda ao prompt de comando.
2. Encontrar a letra da drive da partição onde o Windows está instalado. No Vista e Windows XP, é geralmente C:, no Windows 7, é D: na maioria dos casos porque a primeira partição contém Startup Repair. Para encontrar a letra da unidade, digite C: (ou D:, respectivamente) e procure a pasta do Windows. Note que o Windows PE (RE) reside normalmente em X:. Para efeitos desta demonstração, vamos assumir que o Windows está instalado na drive C:
3. Digite o seguinte comando: Isto cria uma cópia de sethc.exe para restaurar mais tarde.
4. Digite este comando para substituir sethc.exe por cmd.exe: copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Reinicie o seu computador e execute o exemplo do Windows para o qual não tem a palavra-passe de administrador.
5. Depois de ver o ecrã de acesso, prima a tecla SHIFT cinco vezes.
6. Deve ver um prompt de comando onde pode introduzir o seguinte comando para reiniciar a palavra-passe do Windows:net user [username] [password] Se não souber o seu nome de utilizador, basta escrever net user para listar os nomes de utilizador disponíveis.
7. Pode agora iniciar sessão com a nova palavra-passe.

Se desejar activar a conta do Administrador incorporado por defeito em vez de redefinir a palavra-passe numa conta existente, o comando é:

1. net user administrator /active:yes.

Se desejar criar uma nova conta e adicioná-la ao grupo de Administradores locais, o comando [ sequência de comandos ]0x3& é:

1. net user /add [username] [password]
2. net localgroup administrators [username] /add

Poderá ter de iniciar sessão usando credenciais que são locais para aquela máquina. Quando o SO foi instalado pela primeira vez, existe uma conta local que é configurada.

Entrar com essa conta utilizando o Nome do Computador como domínio (ex. MYCOMP\JSmith). Normalmente, a conta do administrador da máquina local está presente, mas está desactivada por defeito.

Uma vez que esteja ligado como utilizador local, deverá poder sair e voltar a entrar no domínio.

Só é possível adicionar o PC quando se tem os direitos de administrador no PC e o direito de mudar o CD.

Por conseguinte, é necessário redefinir a palavra-passe dos administradores no PC. Uma forma de executar esta tarefa é a utilização do DVD de instalação e a utilização da consola de reparação. Isto permite recuperar o controlo total.

A única solução, se tiver um problema de PC / Server Trust, (após reiniciar, recriar em CD, etc.) para o resolver sem qualquer restauração!

Desactivar todos os NICS, pelo que não pode verificar a relação de confiança com a CD de acesso. Depois iniciar sessão com uma conta de domínio de nível de administrador previamente registada (deve residir em Grupos de Administradores de PC locais) que foi previamente registada, ou seja, para aproveitar as credenciais em cache. O meu problema foi que mudei uma VM W7 de prod para um laboratório de testes, e antecipei uma confiança a ser quebrada, contudo não que eu não fosse capaz de iniciar sessão com contas de administrador/utilizador local, ou mesmo com as credenciais em cache dos “domínios antigos”.

Desactivar as DNI’s e as credenciais em cache funcionam, depois pode voltar a entrar no domínio com netdom join.

Se ficar sem as credenciais em cache (depende das políticas locais de SO / GPO - até 50), faça um sistema restaurar a um dia anterior, isto também funcionará.

No início tente entrar com Administrador (Nome do computador\Administrador), depois desunir domínio ao WorkGroup e depois reiniciar.Agora o seu PC está no WorkGrup como conta local. Agora tente aderir novamente ao domínio.(Clique com o botão direito do rato no Meu computador->Propriedade->Mudança->Doamin->Ex Fu-com.com -> Depois introduzirá como senha de administrador para Servidor, depois introduzirá o nome de utilizador como administrador e depois a senha. depois reinicie o seu computador. Agora o seu computador está no domínio tente iniciar sessão com o seu ID de utilizador e palavra-passe.

1. Desligue o cabo de rede e inicie sessão na estação de trabalho afectada (as credenciais em cache permitirão isto.) Depois de o fazer, volte a ligar o cabo de rede.

2. Descarregue aqui o pacote Ferramentas de Administração do Servidor Remoto (RSAT) da Microsoft: http://www.microsoft.com/en-us/download/details.aspx?id=7887 (seleccione a versão adequada de 32-bit ou 64-bit de acordo com o sistema operativo da estação de trabalho, não o do servidor).

3. Instalar o pacote descarregado. Tivemos problemas com isto até utilizarmos o modo de arranque limpo, pelo que poderá ter de reiniciar a estação de trabalho após a configuração para arranque limpo, que pode ser desfeita após este processo.

4. A instalação do RSAT não o torna automaticamente disponível para utilização. Ir para Painel de Controlo -> Programas -> Adicionar/Remover Características do Windows e procurar Ferramentas do Administrador do Servidor Remoto. Expanda isto e faça drill down para AD/AS / Linha de Comando e active isso.

5. Abra uma janela de comando como Administrador e introduza este comando:

NETDOM.EXE resetpwd /s:(server) /ud:(username) /pd:*

Onde (server) é o nome Netbios do servidor de domínio e (username) é a conta de login da estação de trabalho afectada no formato DOMAIN\Username

É isso mesmo. Depois de fazer isto, tudo regressou ao normal na estação de trabalho.

Isto aconteceu e o que funcionou para mim foi fazer o login na conta administrativa e adicionar novamente ao grupo de trabalho, e depois adicionar novamente ao domínio depois disso.

Se tiver instalado software antivírus, faça o seguinte…

Start ===> run ==> ncpa.cpl ==> pressione Alt + botão N ==> Advanced Settings ===> tab Provider Order ====> pressione o botão para cima para obter Microsoft Windows Network para o topo.

Faça isto no cliente e controlador de domínio (DC).