标题基本概括了所有内容...
该域位于来宾虚拟机 (Essentials 2012 R2) 上,我已将 Hyper-V 2012 R2 主机加入其中。由于不适合在此讨论的原因,最近我短暂地切换回了工作站模式。但是,现在我重新加入域后,我发现无法使用域管理员的凭据(服务 MMC、磁盘管理等)远程访问基本服务。在我离开期间(仅一个小时左右),我没有更改任何防火墙规则。
事实上我甚至无法导航到它的 UNC 路径或任何共享(例如 \\SERVER1)。我收到这个著名的错误:
我可以使用域管理员凭据顺利地通过 RDP 进入它。我已使用该net localgroup administrators命令验证域管理员确实在本地管理员组中。
我怎样才能回到离开域之前的状态?一切都很顺利——我正在管理磁盘分区、本地用户和组、虚拟机设置……你能想到的都有。我是否必须删除并重新创建主机上的域管理员配置文件?其中是否有东西在寻找“旧”帐户(实际上是同一个帐户)?
编辑 提供额外的故障排除信息
(随着我对问题本质的理解不断加深,我稍微调整了标签以更好地反映主题。)
根据 Mark 的建议,我删除并重新创建了 \\SERVER1 上的域管理员配置文件,如他链接的文章中所述。为了安全起见,我又做了一次离开/重新加入 — 这次小心地删除了 \\SERVER1 的旧 AD 对象(我第一次忘记删除它)。
还是没运气。我可以从所有工作站使用 \\SERVER1 上的所有功能,但不能从 PDC 使用。
考虑到我可能遇到了某种 SID 缓存问题,我转向获取SID函数。似乎一个域成员有两个 SID:1)其计算机 SID 和 2)其域 SID(参考这里)。这是我在 \\SERVER1 上运行它时得到的结果:
不太清楚该如何处理...
但无论如何——我正在缩小范围。显然,PDC 认为 \\SERVER1 上的域管理员帐户已被禁用。
当在 PDC 上使用文件资源管理器导航时:
尝试连接 MMC 的事件查看器时出现以下情况:
所以这里有一个共同点。我只是不知道如何弄清楚它是什么或如何修复它。
更新:
我对第二个 SID 的 PsGetSID 使用了错误的语法(您应该排除前导反斜杠,只使用计算机名称,后跟 $)。我现在可以看到域 SID 与 AD 中显示的域 SID 相同。所以至少那可能性已经消除。
答案1
就像您说的那样,我首先要删除已删除并重新添加到域的本地主机上的域管理员配置文件(只要不需要任何操作,否则请重命名)。这应该有助于完成此操作: https://itworkedbeforeyoubrokeit.wordpress.com/2013/07/11/how-to-recreate-a-corrupt-profile-on-windows-7/
实际上,您只想使用具有管理员权限的另一个帐户登录。删除 C:\users\%domainadminusername% 中域管理员帐户的本地配置文件,然后进入该注册表位置并重命名或删除与该用户名匹配的 SID。
重新启动,然后再次使用 domainadmin 用户名登录。