Comment rejoindre le domaine lors de la relation de confiance est perdue
J'ai un certain nombre de machines virtuelles qui ont des instantanés appliqué à l'aide d'un script PowerShell. Parfois, les machines virtuelles de perdre leur "relation de confiance" avec le domaine. Cela rompt avec le script que je ne peux plus utiliser PowerShell remoting pour obtenir dans les machines et de les configurer.
Comment puis-je à distance réinitialiser la relation de confiance de ces machines virtuelles? Peut-être il y a des possibilités pour rejoindre le domaine qui n'impliquent pas de remoting?
Toutes les solutions de remplacement manuellement en rejoignant le domaine besoin de se connecter à l'ordinateur et le faire localement. Je n'ai rien trouvé qui puisse le faire autrement.
Jusqu'à présent, j'ai tenté de mettre un script qui simplement les télécommandes dans la boîte en tant qu'administrateur local:
$password = ConvertTo-SecureString "password" -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password)
$sesh = new-pssession -computername "theMachine" -credential $cred
À ce point, j'espérais utiliser PowerShell pour réinitialiser le mot de passe ou quelque chose comme ça pour réinitialiser le domaine de relation de confiance. Toutefois, cela entraîne une erreur sur la dernière ligne: Access is Denied
.
Je ne pense pas que vous pouvez utiliser le compte d'administrateur local avec PowerShell remoting. Est-il un autre moyen que je peux obtenir à distance une machine virtuelle qui a perdu sa relation d'approbation de domaine pour rejoindre le domaine?
Bon point. Je vais poster sur le Serveur Faute. Je vais ajouter une tentative de codage de la solution maintenant.
Je vois. Dans ce cas, +1.
Je crois que cette applet de commande Powershell va résoudre un système d'approbation de domaine: technet.microsoft.com/library/hh849751.aspx Aussi, vous pouvez définir une clé de registre avant de créer des instantanés de DisablePasswordChange sur le compte d'ordinateur pour empêcher cela de se produire (voir rhyous.wordpress.com/2010/10/22/... )
OriginalL'auteur tnw | 2013-09-23
Vous devez vous connecter pour publier un commentaire.
Intéressant un problème. Serait une combinaison de
PSExec
etnetdom
travail? Je n'ai pas de machine virtuelle avec rompu les relations de confiance, donc je ne peux pas tester l'idée.De toute façon,
PSExec
a des paramètres-u
et-p
pour le nom d'utilisateur et mot de passe. Assurez-vous de connaître un compte d'administrateur local. Passant ses informations d'identification àPSExec
devrait fournir un shell à distance en même brisé une relation de confiance.Netdom.exe
ou un script Powershell peut être utilisé pour re-joindre l'ordinateur au domaine.Une autre option serait la modification de la politique pour les comptes d'ordinateur. Un objet de stratégie de groupe qui définit "Configuration de l'Ordinateur\Paramètres Windows\Paramètres de Sécurité\Stratégies Locales\Options de Sécurité\membre de Domaine: Maximum de la machine de passe du compte de l'âge" à 0 serait mis de l'ordinateur mot de passe de compte de ne jamais expirer. Cela peut augmenter certains des problèmes de sécurité.
Modifier
Utiliser psexec pour ouvrir une session shell. Comme si,
psexec -u computer\administrator -p password \\computer cmd
Après vous avez obtenu le shell, essayer et expérimenter avec netdom commandes. Retirez l'ordinateur dans le domaine et l'ajouter au domaine. Netdom rejoindre et netdom supprimer support d'informations d'identification en passant, de sorte que l'approvisionnement de domaine valide d'identification de compte. Une fois que vous savez exactement de la syntaxe de commande, enregistrer les valeurs dans un fichier de script et le lancer avec psexec comme,
psexec -u computer\administrator -p password \\computer c:\myScript.cmd
psexec -u "Administrator" -p "<password" \\theMachine netdom join theMachine /Domain:mydomain.local
. Il en résulte une erreur:The trust relationship between this workstation and the primary domain failed
. Il est encore en train d'essayer d'utiliser le compte de domaine, je suppose? Quel est le problème avec cette ligne?Je vois votre modifier. J'ai essayé cette ligne aussi bien avec le même résultat.
Que diriez -
-u computername\administrator
?Ouais, je l'avais essayé avant... même chose.
OriginalL'auteur vonPryz