Při přihlášení v síti Microsoft s doménou se může přihodit, že se uživateli ozbrazí hlášení:

Došlo k porušení důvěryhodnoti mezi stanicí a doménou

nebo jeho variace, protože na Windows 10 je ta hláška úplně nesmyslná. Důležité je slovíčko "důvěryhodnost". Podle něj se můžeme řídit a identifikovat problém.

Podíváme se, jak se s tím poprat, pokud jsme přímo v síti s doménovým řadičem a pokud jsme k doménové síti připojeni např. přes VPN.
Následující postup je "nedestruktivní", nedochází k žádným ztrátám dat. Uživatel po opravě pokračuje v práci, jako by se nic nestalo.

Předpoklady

1. přístup k lokálnímu administrátorskému účtu
2. přístup k doménovému administrátorskému účtu

Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.
Pokud takto řešíme uživatele, který je někde v zahraničí a na počítači nejsou žádné nástroje pro vzdálenou správu, se kterými se dostaneme k ovládání počítače už na přihlašovací obrazovce, je to průšvih, protože se podle Murphyho zákonů většinou jedná o počítač šéfa nejvyššího.

Případ, kdy jsem fyzicky připojen v síti s doménovým řadičem

1. Přihlásit se jako lokální administrátor
2. Změnit členství počítače v doméně na členství v pracovní skupině. K potvrzení jsou nutné údaje doménového admina

3. Následuje první restart a opět přihlášení jako lokální admin
4. Změnit členství počítače z pracovní skupiny zpět do domény. K potvrzení jsou nutné údaje doménového admina
5. Restart
6. Přihlásit se jako běžný doménový uživatel a je hotovo.

Případ, kdy jsem do domény připojen přes VPN

V tomto případě je situace trochu složitější, protože v době, kdy manipulujeme s účtem, musíme být připojeni do domény.
Pokud VPN běží jako služba, nemusíme to řešit a postupujeme jako v prvním případě.

Pokud máme VPN nastavenu tak, že se spouští ručně až v případě potřeby po přihlášení uživatele, máme problém.
Odebrání počítače z domény i jeho zpětné zařazení zvládneme, protože si na to můžeme ručně spustit VPN.
Problém nastává po zařazení počítače do domény a přihlášení jako doménový uživatel, protože poprvé se musíme vůči doméně ověřit. Pokud nejede VPN, ověření neprojde a nepřihlásíme se.

Co s tím?
Musíme zajistit, aby VPN v okamžiku přihlašování již jela. To znamená spustit ji jako službu.
V případě OpenVPN doporučuji nechat ve složce .\OpenVPN\Config pouze jeden profil, jinak se služba bude snažit přihlašovat ke všem profilům a nemuselo y to dopadnout dle očekávání.

1. Přihlásit se znovu jako lokální admin
2. Ve složce \Program Fiels\OpenVPN\Config ponechat pouze jeden profil (pokud se přihlašujeme k více sítím)
3. Spustit správce služeb a tam spustit službu OpenVPN
4. Odhlásit se a přihlásit se jako doménový uživatel
5. Uvést VPN do původního stavu

Jen podotýkám, že změnu konfigurace VPN je možné (a vhodné) udělat hned na začátku. Pak lze postupovat podle návodu v prvním případě a ušetříte si čas.