Como voltar a dominar quando a relação de confiança é perdida

Question

Como voltar a dominar quando a relação de confiança é perdida

#1 resposta do (10 votos)

7

Eu tenho um número de máquinas virtuais que possuem instantâneos aplicados usando um script do PowerShell. Ocasionalmente, as máquinas virtuais perdem sua "relação de confiança" com o domínio. Isso quebra o script, pois não posso mais usar o controle remoto do PowerShell para acessar as máquinas e configurá-las.

Como posso remotamente redefinir a relação de confiança dessas máquinas virtuais? Talvez existam possibilidades de reunir o domínio que não envolve remoting?

Quaisquer soluções alternativas para retornar ao domínio manualmente exigem que você faça login no computador e faça isso localmente. Eu não encontrei nada que possa fazer isso de outra forma.

Até agora, tentei criar um script que simplesmente remotos para a caixa como o administrador local:

$password = ConvertTo-SecureString "password" -AsPlainText -Force
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password)
$sesh = new-pssession -computername "theMachine" -credential $cred

Neste ponto, eu esperava usar o PowerShell para redefinir a senha ou algo assim para redefinir a relação de confiança do domínio. No entanto, isso resulta em um erro na última linha: Access is Denied .

Não acredito que você possa usar a conta de administrador local com o controle remoto do PowerShell. Existe alguma outra maneira que eu possa remotamente obter uma máquina virtual que perdeu sua relação de confiança de domínio para reingressar no domínio?

remote-access powershell

por tnw 23.09.2013 / 18:44

1 resposta

Tags remote-access powershell

Como apontar o registro MX para o meu VPS Montando um sistema de arquivos pela internet

score 10 · Accepted Answer

Isso acontece porque os computadores associados ao domínio alteram automaticamente as senhas da conta da máquina a cada 30 dias. O cliente inicia sua própria alteração de senha e a armazena no Active Directory. Quando você reverte para um instantâneo de um tempo antes da alteração da senha da última conta do computador, a senha armazenada no AD não corresponde mais à senha que o computador está tentando usar para fazer logon no domínio.

Para desabilitar as alterações de senha da conta da máquina no computador cliente:

1. Start Registry Editor.
2. Locate and then click the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

3. In the right pane, click the DisablePasswordChange entry.
4. On the Edit menu, click Modify.
5. In the Value data box, type a value of 1, and then click OK.

Além disso,

I don't think you can use the local administrator account with PowerShell remoting

Sim, você pode. Você simplesmente não pode usar o Kerberos. E como não há autenticação mútua sem o Kerberos, você precisa adicionar o computador remoto à sua lista de Hosts Confiáveis para poder usar o Powershell Remoting para acessá-lo.