Re-connecter un ordinateur à un domaine

Cette astuce se fait par l'intermédiaire de mon groupe d'étude Active Directory. Je suggère à chacun de rejoindre un groupe d'utilisateurs et/ou un groupe d'étude. Ce n'est pas que nous ne connaissons pas AD, c'est que nous oublions ou passons à côté de nouvelles fonctionnalités. Un cours de recyclage est également amusant.

Il arrive qu'un ordinateur soit “disjoint” du domaine. Les symptômes peuvent être que l'ordinateur ne peut pas se connecter lorsqu'il est connecté au réseau, un message indiquant que le compte de l'ordinateur a expiré, que le certificat de domaine n'est pas valide, etc. Tous ces symptômes découlent du même problème, à savoir que le canal sécurisé entre l'ordinateur et le domaine est hébergé. (C'est un terme technique. Souriez)

La façon classique de résoudre ce problème est de se déconnecter et de se reconnecter au domaine. C'est un peu pénible car cela nécessite quelques redémarrages et le profil de l'utilisateur n'est pas toujours reconnecté. Brebis. De plus, si vous aviez cet ordinateur dans un groupe ou si vous lui aviez attribué des autorisations spécifiques, celles-ci ont disparu parce que votre ordinateur a maintenant un nouveau SID, de sorte que l'AD ne le voit plus comme la même machine. Vous devrez recréer tout cela à partir de l'excellente documentation que vous avez conservée. Euh, euh, votre excellente documentation. Double Ewe.

Au lieu de faire ça, on peut juste réinitialiser le canal sécurisé. Il y a plusieurs façons de faire ça :

1. dans AD, faites un clic droit sur l'ordinateur et sélectionnez Réinitialiser le compte.
   Ensuite, vous pouvez vous reconnecter sans débrancher l'ordinateur du domaine.
   Redémarrez l'ordinateur.
2. Dans une invite de commande élevée, tapez : dsmod computer "ComputerDN" -reset Ensuite, rejoignez à nouveau le domaine sans séparer l'ordinateur du domaine.
   Redémarrage nécessaire.
   
3. Dans une invite de commande élevée, tapez netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password Le compte dont vous avez fourni les informations d'identification doit être membre du groupe des administrateurs locaux.
   Pas de réintégration. Pas de redémarrage.
4. Dans une invite de commande élevée, tapez : nltest.exe /Server:ServerName /SC_Reset:DomainDomainController Pas de réintégration. Pas de redémarrage.

Arrêtez de vous battre avec ce problème du côté des clients. Si vous ne pouvez pas vous connecter au domaine, vous allez devoir soit vous connecter avec un compte local activé, soit utiliser un CD de démarrage pour en activer un.

Essayez de supprimer la machine des utilisateurs et des ordinateurs d'Active Directory. Elle devrait se trouver dans les outils d'administration de votre serveur. Ouvrez l'OU (unité organisationnelle) qui contient l'ordinateur. Trouvez l'ordinateur, faites un clic droit dessus et appuyez sur “Supprimer”.

Il n'y a peut-être pas de mal à être patient et à laisser la réplication faire son travail, selon le nombre de DCs que vous avez. Si votre domaine est assez simple (pas de sites et seulement deux DC), vous pourriez utiliser repadmin /replicate pour forcer la réplication. Avant de le faire, lisez ceci ](http://technet.microsoft.com/en-us/library/cc742152%28v=ws.10%29.aspx).

Maintenant, ajoutez à nouveau le PC en utilisant AD UC et attendez la réplication ou forcez-la.

S'il vous gémit toujours, essayez netdom /remove (page de manuel ici ](http://ss64.com/nt/netdom-remove.html)) et voyez si cela peut le faire sortir de votre domaine. Si cela vous pose problème, jetez un coup d'œil à cette question . C'est un scénario différent mais essentiellement le même concept : essayer de retirer un ordinateur d'un domaine alors qu'il ne peut pas contacter le DC.

À partir du serveur 2008 R2, la tâche est très simple. Nous pouvons maintenant utiliser le Test-ComputerSecureChannel cmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

Ajoutez le paramètre -Repair pour effectuer la réparation proprement dite ; utilisez les identifiants d'un compte qui est autorisé à joindre des ordinateurs au domaine.

Référence : https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

– EDITER–

Si vous ne disposez pas de comptes d'administrateur local, vous pouvez en créer un (ou activer le compte d'administrateur intégré désactivé) à l'aide du célèbre hack Sticky Keys .

Pour réinitialiser un mot de passe d'administrateur oublié, suivez les étapes suivantes : ^

1. démarrez à partir de Windows PE ou Windows RE et accédez à l'invite de commande.
2. Trouvez la lettre de lecteur de la partition où Windows est installé. Dans Vista et Windows XP, c'est généralement C :, dans Windows 7, c'est D : dans la plupart des cas parce que la première partition contient Startup Repair. Pour trouver la lettre de lecteur, tapez C : (ou D :, respectivement) et recherchez le dossier Windows. Notez que Windows PE (RE) réside généralement sur X :. Pour les besoins de cette démonstration, nous supposerons que Windows est installé sur le lecteur C :
3. Tapez la commande suivante : copy C:\Windows\System32\sethc.exe C:À partir du serveur 2008 R2, la tâche est très simple. Nous pouvons maintenant utiliser leTest-ComputerSecureChannel` cmdlet.

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

0x4&

Ajoutez le paramètre -Repair pour effectuer la réparation proprement dite ; utilisez les identifiants d'un compte qui est autorisé à joindre des ordinateurs au domaine.

Référence : https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel [ http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined ]0x3&

– EDITER–

Si vous ne disposez pas de comptes d'administrateur local, vous pouvez en créer un (ou activer le compte d'administrateur intégré désactivé) à l'aide du célèbre hack [ Sticky Keys ]0x3&.

Pour réinitialiser un mot de passe d'administrateur oublié, suivez les étapes suivantes : ^

1. démarrez à partir de Windows PE ou Windows RE et accédez à l'invite de commande.
2. Trouvez la lettre de lecteur de la partition où Windows est installé. Dans Vista et Windows XP, c'est généralement C :, dans Windows 7, c'est D : dans la plupart des cas parce que la première partition contient Startup Repair. Pour trouver la lettre de lecteur, tapez C : (ou D :, respectivement) et recherchez le dossier Windows. Notez que Windows PE (RE) réside généralement sur X :. Pour les besoins de cette démonstration, nous supposerons que Windows est installé sur le lecteur C :
3. Tapez la commande suivante : Cela crée une copie de sethc.exe à restaurer ultérieurement.
4. Tapez la commande suivante pour remplacer sethc.exe par cmd.exe : copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Redémarrez votre ordinateur et exécutez l'instance de Windows pour laquelle vous n'avez pas le mot de passe administrateur.
5. Après avoir vu l'écran de connexion, appuyez cinq fois sur la touche SHIFT.
6. Vous devriez voir une invite de commande où vous pouvez entrer la commande suivante pour réinitialiser le mot de passe Windows:net user [username] [password]Si vous ne connaissez pas votre nom d'utilisateur, tapez simplement net user pour lister les noms d'utilisateur disponibles.
7. Vous pouvez maintenant vous connecter avec le nouveau mot de passe.

Si vous souhaitez activer le compte administrateur intégré désactivé par défaut au lieu de réinitialiser le mot de passe d'un compte existant, la commande est la suivante :

1. net user administrator /active:yes.

Si vous souhaitez créer un nouveau compte et l'ajouter au groupe des administrateurs locaux, la [ séquence de commandes ] 0x3& est :

1. net user /add [username] [password]
2. net localgroup administrators [username] /add

Vous devrez peut-être vous connecter à l'aide d'un identifiant qui est local à cette machine. Lors de la première installation du système d'exploitation, un compte local est créé.

Connectez-vous avec ce compte en utilisant le nom de l'ordinateur comme domaine (ex. MYCOMP\JSmith). Habituellement, le compte local de l'administrateur de la machine est présent mais il est désactivé par défaut.

Une fois que vous êtes connecté en tant qu'utilisateur local, vous devriez pouvoir quitter et rejoindre le domaine.

Il n'est possible d'ajouter le PC que lorsque vous avez les droits d'administrateur sur le PC et le droit de modifier le DC.

Il est donc nécessaire de réinitialiser le mot de passe administrateur sur le PC. Une façon d'effectuer cette tâche est d'utiliser le DVD d'installation et d'utiliser la console de réparation. Cela vous permet de reprendre le contrôle total.

La seule solution, si vous avez un problème de PC / Server Trust, (après réinitialisation, recréer sur DC, etc.) pour le résoudre sans aucune restauration !

Désactivez tous les NICS, afin qu'il ne puisse pas vérifier la relation de confiance avec le DC de connexion. Ensuite, connectez-vous avec un compte de domaine de niveau administrateur (doit résider dans les groupes d'administrateurs de PC locaux) qui était précédemment connecté, c'est-à-dire pour exploiter les informations d'identification mises en cache. Mon problème est que j'ai déplacé une VM W7 de prod à un laboratoire de test, et j'ai anticipé une rupture de confiance, mais pas que je n'ai pas pu me connecter avec des comptes d'administrateurs/utilisateurs locaux, ou même avec les informations d'identification en cache des “anciens domaines”.

Désactiver les NIC et les informations d'identification en cache fonctionne, puis vous pouvez rejoindre le domaine avec netdom join.

Si vous n'avez plus de tentatives de mise en cache des identifiants (cela dépend des politiques locales du système d'exploitation / GPO - jusqu'à 50), faites une restauration du système aux jours précédents, cela fonctionnera aussi.

Essayez d'abord de vous connecter avec l'administrateur (nom de l'ordinateur), puis désunissez le domaine à WorkGroup et redémarrez. Essayez maintenant de rejoindre à nouveau le domaine (clic droit sur Mon ordinateur), puis saisissez le nom d'utilisateur en tant qu'administrateur et le mot de passe, puis redémarrez votre ordinateur. Maintenant que votre ordinateur est dans le domaine, essayez de vous connecter avec votre nom d'utilisateur et votre mot de passe.

1. Débranchez le câble réseau et connectez-vous au poste de travail concerné (les informations d'identification mises en cache le permettent.) Après avoir fait cela, rebranchez le câble réseau.

2. Téléchargez le paquet RSAT (Remote Server Administration Tools) de Microsoft ici : http://www.microsoft.com/en-us/download/details.aspx?id=7887 (sélectionnez la bonne version 32 bits ou 64 bits en fonction du système d'exploitation du poste de travail, et non du serveur).

3. Installez le paquet téléchargé. Nous avions des problèmes avec cela jusqu'à ce que nous utilisions le mode de démarrage propre, donc vous devrez peut-être redémarrer le poste de travail après avoir configuré pour le démarrage propre, ce qui peut être annulé après ce processus.

4. L'installation de RSAT ne le rend pas automatiquement disponible à l'utilisation. Allez dans le Panneau de configuration -> Programmes -> Ajout/Suppression de fonctions Windows et cherchez les outils d'administration de serveur à distance. Développez ceci et descendez jusqu'à AD/AS / Ligne de commande et activez cela.

5. Ouvrez une fenêtre de commande en tant qu'administrateur et entrez cette commande :

NETDOM.EXE resetpwd /s :(server) /ud :(username) /pd:*

Où (server) est le nom Netbios du serveur de domaine et (username) est le compte de connexion du poste de travail concerné au format DOMAIN\Username

C'est tout. Après avoir fait cela, tout est revenu à la normale sur le poste de travail.

C'est ce qui m'est arrivé et ce qui a fonctionné pour moi, c'est de me connecter sur le compte administrateur et d'ajouter à nouveau au groupe de travail, puis d'ajouter à nouveau au domaine après cela.

Si vous avez un logiciel antivirus installé, faites ce qui suit…

Start ==> run ==> ncpa.cpl ==> appuyez sur le bouton Alt + N ==> Advanced Settings ==> onglet Provider Order ==> appuyez sur le bouton up pour obtenir Microsoft Windows Network au sommet.

Faites-le sur le client et le contrôleur de domaine (DC).