不幸的是,Active Directory 域和信任MMC Snap-in (domain.msc) 允许您创建对域控制器的传出信任(换句话说:将域控制器的名称指定为要信任的域的名称)。更不幸的是,您无法通过 GUI 恢复此更改。如果您尝试删除此信任,您将收到一个警告弹出窗口,其中包含以下消息:
出现内部错误。
尝试通过以下方式删除它netdom
:
netdom trust my.domain.local /domain:dc1 /oneside:trusting /remove /force
也失败并显示相同的消息:
出现内部错误。
那么我怎样才能删除这样的信任对象呢?
答案1
信任的创建会在域分区中创建至少两个对象:
- 在里面系统容器中,将会有一个类型
Trusted Domain
(classtrustedDomain
) 的对象,其具有受信任域的名称。 - 在里面用户容器中,将有一个类型为
User
(类user
) 且名称为的对象<NetBIOS name of the domain>$
。此隐藏的用户帐户(只能通过 ADSI 编辑器或类似的“原始”工具查看)将包含在创建信任对象期间提供的信任密码。
当提供域控制器的名称作为要信任的域的名称时,无法创建第二个对象,因为该名称已经存在于域控制器的计算机帐户中,从而导致信任对象损坏。
要删除此损坏的信任对象,请转到系统容器并手动删除。您必须是该Enterprise Admins
组的成员或具有相应的委派访问权限才能执行此删除。您可以访问系统容器由Active Directory 用户和计算机启用 MMC 管理单元 (dsa.msc)高级功能在里面看法菜单或通过使用 ADSI 编辑器并访问域分区。