Ztráta důvěryhodnosti mezi stanicí a doménou

Jan Fiala, 13.11.2015 01:00, Operační systémy, 21 odpovědí (10726 zobrazení)

Poprvé jsem se s tím setkal před několika lety v síti s doménou (Windows server) a Windows 7, naposledy před chvilkou po velké aktualizaci Windows 10. Co s tím?

Při přihlášení v síti Microsoft s doménou se může přihodit, že se uživateli ozbrazí hlášení:

Došlo k porušení důvěryhodnoti mezi stanicí a doménou

nebo jeho variace, protože na Windows 10 je ta hláška úplně nesmyslná. Důležité je slovíčko "důvěryhodnost". Podle něj se můžeme řídit a identifikovat problém.

Podíváme se, jak se s tím poprat, pokud jsme přímo v síti s doménovým řadičem a pokud jsme k doménové síti připojeni např. přes VPN.
Následující postup je "nedestruktivní", nedochází k žádným ztrátám dat. Uživatel po opravě pokračuje v práci, jako by se nic nestalo.

Předpoklady

1. přístup k lokálnímu administrátorskému účtu
2. přístup k doménovému administrátorskému účtu

Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.
Pokud takto řešíme uživatele, který je někde v zahraničí a na počítači nejsou žádné nástroje pro vzdálenou správu, se kterými se dostaneme k ovládání počítače už na přihlašovací obrazovce, je to průšvih, protože se podle Murphyho zákonů většinou jedná o počítač šéfa nejvyššího.

Případ, kdy jsem fyzicky připojen v síti s doménovým řadičem

1. Přihlásit se jako lokální administrátor
2. Změnit členství počítače v doméně na členství v pracovní skupině. K potvrzení jsou nutné údaje doménového admina

24204-jf03bm-000944-png

3. Následuje první restart a opět přihlášení jako lokální admin
4. Změnit členství počítače z pracovní skupiny zpět do domény. K potvrzení jsou nutné údaje doménového admina
5. Restart
6. Přihlásit se jako běžný doménový uživatel a je hotovo.

Případ, kdy jsem do domény připojen přes VPN

V tomto případě je situace trochu složitější, protože v době, kdy manipulujeme s účtem, musíme být připojeni do domény.
Pokud VPN běží jako služba, nemusíme to řešit a postupujeme jako v prvním případě.

Pokud máme VPN nastavenu tak, že se spouští ručně až v případě potřeby po přihlášení uživatele, máme problém.
Odebrání počítače z domény i jeho zpětné zařazení zvládneme, protože si na to můžeme ručně spustit VPN.
Problém nastává po zařazení počítače do domény a přihlášení jako doménový uživatel, protože poprvé se musíme vůči doméně ověřit. Pokud nejede VPN, ověření neprojde a nepřihlásíme se.

Co s tím?
Musíme zajistit, aby VPN v okamžiku přihlašování již jela. To znamená spustit ji jako službu.
V případě OpenVPN doporučuji nechat ve složce .\OpenVPN\Config pouze jeden profil, jinak se služba bude snažit přihlašovat ke všem profilům a nemuselo y to dopadnout dle očekávání.

1. Přihlásit se znovu jako lokální admin
2. Ve složce \Program Fiels\OpenVPN\Config ponechat pouze jeden profil (pokud se přihlašujeme k více sítím)
3. Spustit správce služeb a tam spustit službu OpenVPN
4. Odhlásit se a přihlásit se jako doménový uživatel
5. Uvést VPN do původního stavu

Jen podotýkám, že změnu konfigurace VPN je možné (a vhodné) udělat hned na začátku. Pak lze postupovat podle návodu v prvním případě a ušetříte si čas.

Odpovědět


PředmětAutorDatum
Re: Ztráta důvěryhodnosti mezi stanicí a doménou touchwood17.11.2015 11:56
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala17.11.2015 14:05
Re: Ztráta důvěryhodnosti mezi stanicí a doménou kmochna17.11.2015 17:31
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala18.11.2015 09:26
Re: Ztráta důvěryhodnosti mezi stanicí a doménou kmochna18.11.2015 11:07
Re: Ztráta důvěryhodnosti mezi stanicí a doménou MaSo18.11.2015 13:10
Re: Ztráta důvěryhodnosti mezi stanicí a doménou kmochna18.11.2015 13:59
Re: Ztráta důvěryhodnosti mezi stanicí a doménou fleg18.11.2015 15:35
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala18.11.2015 14:22
Re: Ztráta důvěryhodnosti mezi stanicí a doménou kmochna18.11.2015 14:33
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala18.11.2015 18:38
Re: Ztráta důvěryhodnosti mezi stanicí a doménou fleg19.11.2015 08:38
Re: Ztráta důvěryhodnosti mezi stanicí a doménou touchwood19.11.2015 09:04
Re: Ztráta důvěryhodnosti mezi stanicí a doménou kmochna04.12.2015 10:54
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala04.12.2015 14:20
Re: Ztráta důvěryhodnosti mezi stanicí a doménou kmochna04.12.2015 14:52
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala05.12.2015 21:53
Re: Ztráta důvěryhodnosti mezi stanicí a doménou posledníMKc08.12.2015 15:17
Re: Ztráta důvěryhodnosti mezi stanicí a doménou MKc25.11.2015 19:35
Re: Ztráta důvěryhodnosti mezi stanicí a doménou Jan Fiala26.11.2015 11:06
Re: Ztráta důvěryhodnosti mezi stanicí a doménou MKc26.11.2015 12:06

Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor touchwood, 17.11.2015 11:56
jo, ty W10 nám byl čert dlužnej.. už ani doména jim nefunguje jak bylo zvykem. ;-)
11110110110 ----- Chcete-li soukromě využít našich služeb, obraťte se na placenou službu http://it.poradna.net

↑ Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 17.11.2015 14:05
Tohle mi dělalo před asi 2 lety hromadně na Windows 7 u Lenovo desktopů s klávesnicí s čtečkou. Mohla za to ta klávesnice, musel se zaktualizovat firmware v klávesnici (čtečce)
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Zlatý rádce kmochna, 17.11.2015 17:31
logicky v tom problém nevidím. lokální admin odsouhlasí členství. jeho právo je nedotknutelné nad místními objekty. v čem je tedy problém?
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 18.11.2015 09:26
Lokální admin nemá právo zařazování ani vyřazování počítačů z domény, to musí doménový admin.
Jinak nechápu tvůj dotaz.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Zlatý rádce kmochna, 18.11.2015 11:07
pejsek a kočička. co je na počátku? jenom kočička dovolí zařazení do domény. kočička se zeptá prvně kočičky, nikdy pejska. velice dobře to win pochopil.

Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.
nepřipadne mi to evidentní? ne jen mě?
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět



Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Zlatý rádce kmochna, 18.11.2015 13:59
tato filipika ti nevoní? win zvolil správnou hlášku, javovský programátore.
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor fleg, 18.11.2015 15:35
Nie som programator, ale ani jeden z tvojich prispevkov tu mi nedava logiku. A to som minimalne treti. Nebude problem predsa len u teba;o)?
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 18.11.2015 14:22
Tady nejde o prvotní zařazení do domény, ale o počítač, který už v doméně dávno je, ale z nějakého důvodu se vazba na doménu poruší. Ten článek není o tom, jak počítač do domény zařadit, ale jak opravit problém.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Zlatý rádce kmochna, 18.11.2015 14:33
problém opravit přítomností lokálního admina? jafi ta hláška je varováním. ty jsi se pokusil napadnout stanici.
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 18.11.2015 18:38
Fakt mi uniká smysl tvých příspěvků. Kdo tu psal něco o opravování pomocí lokálního admina?
Pokud si neděláš srandu, mohl bys to prosím nějak najednou shrnout, abych to pochopil i já? Ber ohled na to, že jsem fakt dnes hodně utahaný
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor fleg, 19.11.2015 08:38
Ja mam pocit, ze skor je unaveny kmochna.
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor touchwood, 19.11.2015 09:04
já celkem chápu jak to kmochna myslí, nicméně v reálných podmínkách je na scéně naštvaný user, který nemá admin práva, má PC ve kterém jsou "nedobytná" data a on je zrovna nutně potřebuje, protože honí plán/má na drátě velkou zakázku/atp. A samozřejmě PC je třeba 200km daleko.

to se potom takováhle "lapálie" dost blbě řeší.
11110110110 ----- Chcete-li soukromě využít našich služeb, obraťte se na placenou službu http://it.poradna.net

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Zlatý rádce kmochna, 04.12.2015 10:54
ano takto jsem to myslel. omlouvám se za zmatečné odůvodnění mého názoru a napadnutí kolegy masa- vždyk ono to není tak díravý jako windows.:-p nicméně mi pořád připadne na hlavu padlý řešit znovupřipojením? chybu důvěryhodnosti. komunikace neprobíhá standardně, jestli to správně chápu...
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 04.12.2015 14:20
K tomuto problému dojde, kdyz se nejak rozjede registrace stanice (PC) na domene. Pak neni mozne se prihlasit pres zadny domenovy ucet.
Nejjednodussim resenim (o jinem nevim) je pocitac do domeny znovu zaradit.
Komunikace v siti probiha standardne, pouze se pocitac neoveri vuci radici.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Zlatý rádce kmochna, 04.12.2015 14:52
a co je v zásobníku? r
žádné hradby, žádný příkop ani snesitelný plot. tady by neudrželi ani krávu.

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 05.12.2015 21:53
Dnes mi to myslí nějak pomaleji. Jaký zásobník máš na mysli?
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou poslední

Registrovaný MKc, 08.12.2015 15:17
.. nerozebíral bych to. Rejoin to domény je nejsprávnější řešení .. (těchle rejoinů z tohoto důvodu už jich za sebou pár mám, 5+ určitě)

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Registrovaný MKc, 25.11.2015 19:35
To není zcela přesné. Stačí mít potřebná oprávnění (často pouze nad daným OU kde jsou PC) a ty může domain admin delegovat i na účty které domain adminy nejsou..

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Administrátor Jan Fiala, 26.11.2015 11:06
Nejsem si jistý, zda čověk, který má právo pouze na nějakou OU má dostatek práv, aby přidal počítač do domény. To by AD muselo automaticky přidat ten počítač do jeho OU.
Nově přidaný počítač končí ve výchozí skupině Computers.
Je možné, že by to fungovalo, pokud by již záznam o počítači v OU byl - to je tento případ.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: Ztráta důvěryhodnosti mezi stanicí a doménou

Registrovaný MKc, 26.11.2015 12:06
Standardně se to samozřejmě hází do default OU Computers.
To ale nic nebrání tomu přidat nějaké skupině (uživateli) právo create/delete computers nad daným nebo jiným OU (a případně další práva).
K tomu opravdu pak nemusíš být domain admin.
Každý uživatel s dostatečným oprávněním si pak může přes ADUC (nebo powershellem, cest je více) smazat/vytvořit/resetovat svůj computer account a pak provést rejoin computeru do domény. I to přidání computeru do domény, změna dns suffixu apod. má svoje práva která se aplikují na dané OU. Domain admin tak ty práva deleguje a o nic se nemusí starat.

↑ ← Odpovědět


TOPlist