Ztráta důvěryhodnosti mezi stanicí a doménou
Poprvé jsem se s tím setkal před několika lety v síti s doménou (Windows server) a Windows 7, naposledy před chvilkou po velké aktualizaci Windows 10. Co s tím?
Při přihlášení v síti Microsoft s doménou se může přihodit, že se uživateli ozbrazí hlášení:
Došlo k porušení důvěryhodnoti mezi stanicí a doménou
nebo jeho variace, protože na Windows 10 je ta hláška úplně nesmyslná. Důležité je slovíčko "důvěryhodnost". Podle něj se můžeme řídit a identifikovat problém.
Podíváme se, jak se s tím poprat, pokud jsme přímo v síti s doménovým řadičem a pokud jsme k doménové síti připojeni např. přes VPN.
Následující postup je "nedestruktivní", nedochází k žádným ztrátám dat. Uživatel po opravě pokračuje v práci, jako by se nic nestalo.
Předpoklady
1. přístup k lokálnímu administrátorskému účtu
2. přístup k doménovému administrátorskému účtu
Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.
Pokud takto řešíme uživatele, který je někde v zahraničí a na počítači nejsou žádné nástroje pro vzdálenou správu, se kterými se dostaneme k ovládání počítače už na přihlašovací obrazovce, je to průšvih, protože se podle Murphyho zákonů většinou jedná o počítač šéfa nejvyššího.
Případ, kdy jsem fyzicky připojen v síti s doménovým řadičem
1. Přihlásit se jako lokální administrátor
2. Změnit členství počítače v doméně na členství v pracovní skupině. K potvrzení jsou nutné údaje doménového admina
3. Následuje první restart a opět přihlášení jako lokální admin
4. Změnit členství počítače z pracovní skupiny zpět do domény. K potvrzení jsou nutné údaje doménového admina
5. Restart
6. Přihlásit se jako běžný doménový uživatel a je hotovo.
Případ, kdy jsem do domény připojen přes VPN
V tomto případě je situace trochu složitější, protože v době, kdy manipulujeme s účtem, musíme být připojeni do domény.
Pokud VPN běží jako služba, nemusíme to řešit a postupujeme jako v prvním případě.
Pokud máme VPN nastavenu tak, že se spouští ručně až v případě potřeby po přihlášení uživatele, máme problém.
Odebrání počítače z domény i jeho zpětné zařazení zvládneme, protože si na to můžeme ručně spustit VPN.
Problém nastává po zařazení počítače do domény a přihlášení jako doménový uživatel, protože poprvé se musíme vůči doméně ověřit. Pokud nejede VPN, ověření neprojde a nepřihlásíme se.
Co s tím?
Musíme zajistit, aby VPN v okamžiku přihlašování již jela. To znamená spustit ji jako službu.
V případě OpenVPN doporučuji nechat ve složce .\OpenVPN\Config pouze jeden profil, jinak se služba bude snažit přihlašovat ke všem profilům a nemuselo y to dopadnout dle očekávání.
1. Přihlásit se znovu jako lokální admin
2. Ve složce \Program Fiels\OpenVPN\Config ponechat pouze jeden profil (pokud se přihlašujeme k více sítím)
3. Spustit správce služeb a tam spustit službu OpenVPN
4. Odhlásit se a přihlásit se jako doménový uživatel
5. Uvést VPN do původního stavu
Jen podotýkám, že změnu konfigurace VPN je možné (a vhodné) udělat hned na začátku. Pak lze postupovat podle návodu v prvním případě a ušetříte si čas.
jo, ty W10 nám byl čert dlužnej.. už ani doména jim nefunguje jak bylo zvykem.
Tohle mi dělalo před asi 2 lety hromadně na Windows 7 u Lenovo desktopů s klávesnicí s čtečkou. Mohla za to ta klávesnice, musel se zaktualizovat firmware v klávesnici (čtečce)
logicky v tom problém nevidím. lokální admin odsouhlasí členství. jeho právo je nedotknutelné nad místními objekty. v čem je tedy problém?
Lokální admin nemá právo zařazování ani vyřazování počítačů z domény, to musí doménový admin.
Jinak nechápu tvůj dotaz.
pejsek a kočička. co je na počátku? jenom kočička dovolí zařazení do domény. kočička se zeptá prvně kočičky, nikdy pejska. velice dobře to win pochopil.
nepřipadne mi to evidentní? ne jen mě?
Už to nehul, kámo...
tato filipika ti nevoní? win zvolil správnou hlášku, javovský programátore.
Nie som programator, ale ani jeden z tvojich prispevkov tu mi nedava logiku. A to som minimalne treti. Nebude problem predsa len u teba;o)?
Tady nejde o prvotní zařazení do domény, ale o počítač, který už v doméně dávno je, ale z nějakého důvodu se vazba na doménu poruší. Ten článek není o tom, jak počítač do domény zařadit, ale jak opravit problém.
problém opravit přítomností lokálního admina? jafi ta hláška je varováním. ty jsi se pokusil napadnout stanici.
Fakt mi uniká smysl tvých příspěvků. Kdo tu psal něco o opravování pomocí lokálního admina?
Pokud si neděláš srandu, mohl bys to prosím nějak najednou shrnout, abych to pochopil i já? Ber ohled na to, že jsem fakt dnes hodně utahaný
Ja mam pocit, ze skor je unaveny kmochna.
já celkem chápu jak to kmochna myslí, nicméně v reálných podmínkách je na scéně naštvaný user, který nemá admin práva, má PC ve kterém jsou "nedobytná" data a on je zrovna nutně potřebuje, protože honí plán/má na drátě velkou zakázku/atp. A samozřejmě PC je třeba 200km daleko.
to se potom takováhle "lapálie" dost blbě řeší.
ano takto jsem to myslel. omlouvám se za zmatečné odůvodnění mého názoru a napadnutí kolegy masa- vždyk ono to není tak díravý jako windows.
nicméně mi pořád připadne na hlavu padlý řešit znovupřipojením? chybu důvěryhodnosti. komunikace neprobíhá standardně, jestli to správně chápu...
K tomuto problému dojde, kdyz se nejak rozjede registrace stanice (PC) na domene. Pak neni mozne se prihlasit pres zadny domenovy ucet.
Nejjednodussim resenim (o jinem nevim) je pocitac do domeny znovu zaradit.
Komunikace v siti probiha standardne, pouze se pocitac neoveri vuci radici.
a co je v zásobníku? r
Dnes mi to myslí nějak pomaleji. Jaký zásobník máš na mysli?
.. nerozebíral bych to. Rejoin to domény je nejsprávnější řešení .. (těchle rejoinů z tohoto důvodu už jich za sebou pár mám, 5+ určitě)
To není zcela přesné. Stačí mít potřebná oprávnění (často pouze nad daným OU kde jsou PC) a ty může domain admin delegovat i na účty které domain adminy nejsou..
Nejsem si jistý, zda čověk, který má právo pouze na nějakou OU má dostatek práv, aby přidal počítač do domény. To by AD muselo automaticky přidat ten počítač do jeho OU.
Nově přidaný počítač končí ve výchozí skupině Computers.
Je možné, že by to fungovalo, pokud by již záznam o počítači v OU byl - to je tento případ.
Standardně se to samozřejmě hází do default OU Computers.
To ale nic nebrání tomu přidat nějaké skupině (uživateli) právo create/delete computers nad daným nebo jiným OU (a případně další práva).
K tomu opravdu pak nemusíš být domain admin.
Každý uživatel s dostatečným oprávněním si pak může přes ADUC (nebo powershellem, cest je více) smazat/vytvořit/resetovat svůj computer account a pak provést rejoin computeru do domény. I to přidání computeru do domény, změna dns suffixu apod. má svoje práva která se aplikují na dané OU. Domain admin tak ty práva deleguje a o nic se nemusí starat.