我上周应用了 22H2 Windows 11 更新,导致我的笔记本电脑上的整个域用户配置文件被破坏。我尝试将我的域从我的工作域名更改为本地域名WORKGROUP,然后将其改回,这使我无法访问我的用户帐户。从那时起,我解决了这个问题并重新获得了对我的用户帐户的访问权限,但我的机器再也找不到该域了。
我对我的计算机设置进行了一些研究并注意到以下情况:
- 在 regedit (
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList) 中我的域用户配置文件存在。 - 在
User Accounts我的用户名和域名中正确列出 - 在
Computer Management -> Local Users and Groups -> Users我的个人资料中才不是存在。
我已经进行了一些谷歌搜索,并尝试更新组策略,gpupdate /force但是返回以下内容:
Updating policy...
Computer policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not resolve the computer name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).
User Policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not resolve the user name. This could be caused by one of more of the following:
a) Name Resolution failure on the current domain controller.
b) Active Directory Replication Latency (an account created on another domain controller has not replicated to the current domain controller).
然后我尝试运行:GPRESULT /H GPReport.html返回结果为:
INFO: The user does not have RSoP data.
然后我尝试生成 RSoP 数据,其中Console Root -> Resultant Set of Policy不显示我的域用户,而是显示我的本地帐户。
现在,为了登录我的域名帐户,我必须断开互联网连接,输入密码,然后才能成功登录。
此时我真的不知道该怎么做,而且我也不是一个调试 Windows AD 问题的专业人士。
另外,说到 AD - 我访问了我们的 AD 并尝试重命名我的计算机,分配不同的 IP 以及禁用并重新启用我的用户帐户,但并没有解决任何问题。
User Accounts当我说我的域用户存在于但不在时,我所指的屏幕截图Local Users and Groups。
绿色 = 域帐户
红色 = 本地帐户
答案1
我的域用户配置文件未在本地用户和组中列出
是的,这很正常。域用户实际上不是本地用户。
您唯一能在“本地用户和组”中看到域帐户的情况是在小组成员列表(在绿色屏幕截图中,您是本地管理员组的成员),但它是绝不整体导入到本地SAM数据库。
组策略处理失败。Windows 无法解析计算机名称。这可能是由以下一个或多个原因造成的:
这声音比如计算机的 DNS 条目缺失。通常 Windows 会将它们注册到 AD 管理的 DNS 区域中(通过ipconfig /registerdns),但这仅在您的域名搜索后缀与 AD 后缀匹配。如果通过 DHCP 部署了不同的后缀,则没有问题,但全系统域后缀(在 sysdm.cpl 中配置)仍应与 AD 域匹配。使用nslookup %ComputerName%(附加域和不附加域)进行测试。
它可以也可能是机器无法登录到其 AD“计算机”帐户。运行klist tickets -li 0x3e7并确保系统帐户成功获取票证(krbtgt、ldap、cifs),因为这是从 AD 检索 GPO 信息所需的。
(也可以尝试nltest /sc_verify或Test-ComputerSecureChannel测试旧版 Netlogon“安全通道”,它也是基于计算机帐户密码的。)
具有足够的 AD 权限,Reset-ComputerMachinePassword -Credential (Get-Credential)可以在机器上设置新的计算机帐户密码,而无需完全取消加入/重新加入。
最后,如果您在家工作,则某些必要的 AD DC 端口可能会被防火墙隔离,或者 AD DNS 区域无法从外部使用(两种情况下都需要 VPN)。