将计算机重新加入域

tag-icon tag-icon windows domain active-directory
将计算机重新加入域

我的 Windows 7 PC 曾是域成员,现在遇到了问题。当我尝试使用域凭据登录这台 PC 时,我收到类似以下消息:

The trust relationship between this workstation and the primary domain could not be established.

现在我需要重新建立该 PC 在域中的成员身份。但由于我无法登录,因此无法更改计算机名称和域成员身份。

  • 我如何重新信任 PC 和域?
  • 我可以从域控制器控制台添加或更新成员资格吗?

编辑

机器上没有我可以用来登录的活动本地帐户。

答案1

从 Server 2008 R2 开始,这个任务就变得非常简单了。我们现在可以使用 cmdlet Test-ComputerSecureChannel

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

截屏

添加-Repair参数以执行实际修复;使用有权将计算机加入域的帐户的凭据。

参考:

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- 编辑 -

如果没有可用于此目的的本地管理员帐户,则可以使用众所周知的粘滞键黑客。

要重置忘记的管理员密码,请按照以下步骤操作:^

  1. 从 Windows PE 或 Windows RE 启动并访问命令提示符。
  2. 找到安装 Windows 的分区的驱动器号。在 Vista 和 Windows XP 中,它通常是 C:,在 Windows 7 中,大多数情况下它是 D:,因为第一个分区包含启动修复。要查找驱动器号,请分别键入 C:(或 D:)并搜索 Windows 文件夹。请注意,Windows PE (RE) 通常位于 X:。为了进行演示,我们假设 Windows 安装在驱动器 C: 上
  3. 键入以下命令:copy C:\Windows\System32\sethc.exe C:\这将创建 sethc.exe 的副本,以便稍后恢复。
  4. 键入此命令将 sethc.exe 替换为 cmd.exe:copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe重新启动计算机并运行您没有管理员密码的 Windows 实例。
  5. 看到登录屏幕后,按 SHIFT 键五次。
  6. 您应该会看到一个命令提示符,您可以在其中输入以下命令来重置 Windows 密码: net user [username] [password] 如果您不知道您的用户名,只需键入net user即可列出可用的用户名。
  7. 您现在可以使用新密码登录。

如果您希望启用默认禁用的内置管理员帐户而不是重置现有帐户的密码,则命令为:

  1. net user administrator /active:yes

如果您希望创建新帐户并将其添加到本地管理员组,则命令序列是:

  1. net user /add [username] [password]
  2. net localgroup administrators [username] /add

答案2

这个技巧来自我的 Active Directory 学习小组。我建议每个人都加入用户组和/或学习小组。这并不是说我们不知道 AD,而是我们忘记或错过了新功能。进修课程也很有趣。

有时,计算机会“脱离”域。症状可能是计算机在连接​​到网络时无法登录、计算机帐户已过期的消息、域证书无效等。这些都是由同一个问题引起的,即计算机和域之间的安全通道被堵塞了。(这是个技术术语。微笑)

解决此问题的传统方法是退出并重新加入域。这样做有点麻烦,因为它需要重新启动几次,并且用户配置文件并不总是重新连接。哎呀。此外,如果您将该计算机归入任何组或为其分配了特定权限,那么这些权限将消失,因为现在您的计算机有了新的 SID,因此 AD 不再将其视为同一台计算机。您必须从您一直保留的优秀文档中重新创建所有这些内容。嗯,嗯,您的优秀文档。哎呀。

我们可以重置安全通道,而不是这样做。有几种方法可以做到这一点:

  1. 在 AD 中右键单击计算机并选择重置帐户。
    然后重新加入而不取消将计算机加入域。
    需要重新启动。
  2. 在提升的命令提示符中输入:dsmod computer "ComputerDN" -reset
    然后重新加入而不取消将计算机加入域。
    需要重新启动。
  3. 在提升的命令提示符中输入:netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
    您提供其凭据的帐户必须是本地管理员组的成员。
    无需重新加入。无需重启。
  4. 在提升的命令提示符中输入:nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
    不重新加入。不重启。

答案3

不要再从客户端来解决这个问题了。如果您无法登录域,您要么必须使用已启用的本地帐户登录,要么使用启动 CD 来启用本地帐户。

尝试从 Active Directory 用户和计算机中删除该计算机。它应该位于服务器上的管理工具中。打开包含该计算机的 OU(组织单位)。找到该计算机,右键单击它,然后单击删除。

在此处输入图片描述

耐心等待并让复制自行完成也许不会有什么坏处,具体取决于您有多少个 DC。如果您的域非常简单(没有站点且只有两个 DC),您可以使用repadmin /replicate强制复制。阅读此文在这样做之前。

现在使用 AD UC 再次添加 PC 并等待复制或强制复制。

如果它仍然向你抱怨,请netdom /remove尝试一下(手册页在这里),看看是否能将其从您的域中移除。如果您遇到问题,请查看这个问题。这是一个不同的场景,但本质上是相同的概念:当计算机无法联系 DC 时尝试将其从域中删除。

答案4

只有当您拥有 PC 的管理员权限和更改 DC 的权限时,才有可能添加 PC。

因此,有必要在 PC 上重置管理员密码。执行此任务的一种方法是使用安装 DVD 并使用修复控制台。这允许您重新获得完全控制权。

相关内容