В Windows AD объект "компьютер", так же как и объект "пользователь", имеет пароль, который по умолчанию изменяется каждые 30 дней по инициативе локального компьютера.
Таким образом часто возникает проблема рассинхронизации пароля локального хоста с доменом, например, когда машина долго находилась в выключенном состоянии или была восстановлена из образа или снимка.
Оказавшись в такой ситуации достаточно просто зайти под локальной учетной записью, вывести машину из домена, перегрузится, и завести заново. Но есть более простой способ: воспользоваться командой netdom, которая по умолчанию присутствует в Windows Vista/7/2008, а в XP появляется после установки Support Tools.
Команда имеет следующий формат:
netdom resetpwd /server:mydomain.local /userD:mydomain\Administrator /passwordD:*
В данном примере используется аккаунт администратора домена mydomain.local для авторизации на контроллере. Звездочка нужна чтобы не светить в командной строке пароль. Если данная команда выполнится успешно, то можно попытаться перелогиниться под доменной учетной записью и проверить работоспособность машины в домене.
Теперь о том, как можно отключить изменение паролей:
необходимая ветка реестра:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters"
- для клиентов, отключение изменения пароля, параметр "DisablePasswordChange" нужно установить в 1,
- для клиентов, изменение времени генерации нового пароля компьютерного аккаунта в домене, параметр "MaximumPasswordAge" имеет значение, показывающее максимальный срок до смены нового пароля, по умолчанию 30 дней, меняем на нужное количество,
- для домен контроллеров, отключение изменения паролей компьютеров во всем домене, для этого создаем параметр типа REG_DWORD с именем "RefusePasswordChange" и устанавливаем его в 1. Это действие необходимо выполнить на всех контроллерах. Тогда не понадобится делать изменения на рабочих станциях.
Параметры начнут действовать после перезагрузки. Так же, если данные изменения выполняются по всей сети, то лучше произвести настройки как на домен контроллерах, так и на клиентских машинах. Это избавит сеть от генерации лишнего трафика по синхронизации. Автоматизировать внесение изменений можно как с помощью скриптов, так и используя шаблоны групповых политик.
Таким образом часто возникает проблема рассинхронизации пароля локального хоста с доменом, например, когда машина долго находилась в выключенном состоянии или была восстановлена из образа или снимка.
Оказавшись в такой ситуации достаточно просто зайти под локальной учетной записью, вывести машину из домена, перегрузится, и завести заново. Но есть более простой способ: воспользоваться командой netdom, которая по умолчанию присутствует в Windows Vista/7/2008, а в XP появляется после установки Support Tools.
Команда имеет следующий формат:
netdom resetpwd /server:mydomain.local /userD:mydomain\Administrator /passwordD:*
В данном примере используется аккаунт администратора домена mydomain.local для авторизации на контроллере. Звездочка нужна чтобы не светить в командной строке пароль. Если данная команда выполнится успешно, то можно попытаться перелогиниться под доменной учетной записью и проверить работоспособность машины в домене.
Теперь о том, как можно отключить изменение паролей:
необходимая ветка реестра:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters"
- для клиентов, отключение изменения пароля, параметр "DisablePasswordChange" нужно установить в 1,
- для клиентов, изменение времени генерации нового пароля компьютерного аккаунта в домене, параметр "MaximumPasswordAge" имеет значение, показывающее максимальный срок до смены нового пароля, по умолчанию 30 дней, меняем на нужное количество,
- для домен контроллеров, отключение изменения паролей компьютеров во всем домене, для этого создаем параметр типа REG_DWORD с именем "RefusePasswordChange" и устанавливаем его в 1. Это действие необходимо выполнить на всех контроллерах. Тогда не понадобится делать изменения на рабочих станциях.
Параметры начнут действовать после перезагрузки. Так же, если данные изменения выполняются по всей сети, то лучше произвести настройки как на домен контроллерах, так и на клиентских машинах. Это избавит сеть от генерации лишнего трафика по синхронизации. Автоматизировать внесение изменений можно как с помощью скриптов, так и используя шаблоны групповых политик.
Комментариев нет:
Отправить комментарий