Как подключиться к домену, когда доверительные отношения потеряны

Question

У меня есть несколько виртуальных машин, которые имеют моментальные снимки, применяемые с помощью сценария PowerShell. Иногда виртуальные машины теряют «доверительные отношения» с доменом. Это нарушает сценарий, поскольку я больше не могу использовать удаленный PowerShell для доступа к машинам и их настройки.

Как я могу удаленно восстановить доверительные отношения этих виртуальных машин? Возможно, есть возможности воссоединиться с доменом, который не связан с удалением?

Любые альтернативные решения для ручного воссоединения домена требуют входа на компьютер и выполнения этого локально. Я не нашел ничего, что могло бы сделать это иначе.

До сих пор, я попытался собрать воедино сценарий, который просто ПУлЬТОВ в поле в качестве локального администратора:

$password = ConvertTo-SecureString "password" -AsPlainText -Force 
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password) 
$sesh = new-pssession -computername "theMachine" -credential $cred 

На данный момент, я надеялся использовать PowerShell для сброса пароля или что-то например, чтобы восстановить доверительные отношения домена. Однако это приводит к ошибке на последней строке: Access is Denied.

Я не думаю, что вы можете использовать учетную запись локального администратора в удаленном режиме PowerShell. Есть ли другой способ, которым я могу удаленно получить виртуальную машину, потерявшую доверие к домену, чтобы подключиться к домену?

Answer 1

У вас есть проблема. Будет ли комбинация PSExec и netdom работать? У меня нет виртуальной машины со сломанным доверительным отношением, поэтому я не могу проверить эту идею.

В любом случае, PSExec имеет параметры -u и -p для имени пользователя и пароля. Убедитесь, что вы знаете локальную учетную запись администратора. Передача его учетных данных на PSExec должна обеспечивать удаленную оболочку даже с поврежденным доверительным отношением. Netdom.exe или сценарий Powershell можно использовать для повторного присоединения компьютера к домену.

Другой вариант - изменение политики для учетных записей компьютеров. Объект групповой политики, который устанавливает «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности \ Член домена: Максимальный возраст пароля учетной записи компьютера» до 0, не приведет к истечению срока действия пароля учетной записи компьютера. Однако это может вызвать некоторые проблемы с безопасностью.

Редактировать

Использование PsExec, чтобы открыть сеанс оболочки. Как это так,

psexec -u computer\administrator -p password \\computer cmd

После вы получили оболочку, и поэкспериментировать с командами NETDOM. Удалите компьютер из домена и добавьте его в домен. Netdom join и netdom remove поддерживают учетные данные, поэтому укажите действительные учетные данные учетной записи домена. После того, как вы знаете синтаксис команды точно, сохранять значения в файл сценария и запустить его с помощью PsExec, как это так,

psexec -u computer\administrator -p password \\computer c:\myScript.cmd