Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Ztráta důvěryhodnosti mezi stanicí a doménou

Registrovaný Jan Fiala Administrátor, , Operační systémy, 21 komentářů (13302 zobrazení)

Poprvé jsem se s tím setkal před několika lety v síti s doménou (Windows server) a Windows 7, naposledy před chvilkou po velké aktualizaci Windows 10. Co s tím?

Při přihlášení v síti Microsoft s doménou se může přihodit, že se uživateli ozbrazí hlášení:

Došlo k porušení důvěryhodnoti mezi stanicí a doménou

nebo jeho variace, protože na Windows 10 je ta hláška úplně nesmyslná. Důležité je slovíčko "důvěryhodnost". Podle něj se můžeme řídit a identifikovat problém.

Podíváme se, jak se s tím poprat, pokud jsme přímo v síti s doménovým řadičem a pokud jsme k doménové síti připojeni např. přes VPN.
Následující postup je "nedestruktivní", nedochází k žádným ztrátám dat. Uživatel po opravě pokračuje v práci, jako by se nic nestalo.

Předpoklady

1. přístup k lokálnímu administrátorskému účtu
2. přístup k doménovému administrátorskému účtu

Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.
Pokud takto řešíme uživatele, který je někde v zahraničí a na počítači nejsou žádné nástroje pro vzdálenou správu, se kterými se dostaneme k ovládání počítače už na přihlašovací obrazovce, je to průšvih, protože se podle Murphyho zákonů většinou jedná o počítač šéfa nejvyššího.

Případ, kdy jsem fyzicky připojen v síti s doménovým řadičem

1. Přihlásit se jako lokální administrátor
2. Změnit členství počítače v doméně na členství v pracovní skupině. K potvrzení jsou nutné údaje doménového admina

[24204-jf03bm-000944-png]

3. Následuje první restart a opět přihlášení jako lokální admin
4. Změnit členství počítače z pracovní skupiny zpět do domény. K potvrzení jsou nutné údaje doménového admina
5. Restart
6. Přihlásit se jako běžný doménový uživatel a je hotovo.

Případ, kdy jsem do domény připojen přes VPN

V tomto případě je situace trochu složitější, protože v době, kdy manipulujeme s účtem, musíme být připojeni do domény.
Pokud VPN běží jako služba, nemusíme to řešit a postupujeme jako v prvním případě.

Pokud máme VPN nastavenu tak, že se spouští ručně až v případě potřeby po přihlášení uživatele, máme problém.
Odebrání počítače z domény i jeho zpětné zařazení zvládneme, protože si na to můžeme ručně spustit VPN.
Problém nastává po zařazení počítače do domény a přihlášení jako doménový uživatel, protože poprvé se musíme vůči doméně ověřit. Pokud nejede VPN, ověření neprojde a nepřihlásíme se.

Co s tím?
Musíme zajistit, aby VPN v okamžiku přihlašování již jela. To znamená spustit ji jako službu.
V případě OpenVPN doporučuji nechat ve složce .\OpenVPN\Config pouze jeden profil, jinak se služba bude snažit přihlašovat ke všem profilům a nemuselo y to dopadnout dle očekávání.

1. Přihlásit se znovu jako lokální admin
2. Ve složce \Program Fiels\OpenVPN\Config ponechat pouze jeden profil (pokud se přihlašujeme k více sítím)
3. Spustit správce služeb a tam spustit službu OpenVPN
4. Odhlásit se a přihlásit se jako doménový uživatel
5. Uvést VPN do původního stavu

Jen podotýkám, že změnu konfigurace VPN je možné (a vhodné) udělat hned na začátku. Pak lze postupovat podle návodu v prvním případě a ušetříte si čas.

Předmět Autor Datum
jo, ty W10 nám byl čert dlužnej.. už ani doména jim nefunguje jak bylo zvykem. ;-)
touchwood 17.11.2015 11:56
touchwood
Tohle mi dělalo před asi 2 lety hromadně na Windows 7 u Lenovo desktopů s klávesnicí s čtečkou. Mohl…
Jan Fiala 17.11.2015 14:05
Jan Fiala
logicky v tom problém nevidím. lokální admin odsouhlasí členství. jeho právo je nedotknutelné nad mí…
kmochna 17.11.2015 17:31
kmochna
Lokální admin nemá právo zařazování ani vyřazování počítačů z domény, to musí doménový admin. Jinak…
Jan Fiala 18.11.2015 09:26
Jan Fiala
pejsek a kočička. co je na počátku? jenom kočička dovolí zařazení do domény. kočička se zeptá prvně…
kmochna 18.11.2015 11:07
kmochna
Už to nehul, kámo...::)
MaSo 18.11.2015 13:10
MaSo
tato filipika ti nevoní? win zvolil správnou hlášku, javovský programátore.
kmochna 18.11.2015 13:59
kmochna
Nie som programator, ale ani jeden z tvojich prispevkov tu mi nedava logiku. A to som minimalne tret…
fleg 18.11.2015 15:35
fleg
Tady nejde o prvotní zařazení do domény, ale o počítač, který už v doméně dávno je, ale z nějakého d…
Jan Fiala 18.11.2015 14:22
Jan Fiala
problém opravit přítomností lokálního admina? jafi ta hláška je varováním. ty jsi se pokusil napadno…
kmochna 18.11.2015 14:33
kmochna
Fakt mi uniká smysl tvých příspěvků. Kdo tu psal něco o opravování pomocí lokálního admina? Pokud si…
Jan Fiala 18.11.2015 18:38
Jan Fiala
Ja mam pocit, ze skor je unaveny kmochna.
fleg 19.11.2015 08:38
fleg
já celkem chápu jak to kmochna myslí, nicméně v reálných podmínkách je na scéně naštvaný user, který…
touchwood 19.11.2015 09:04
touchwood
ano takto jsem to myslel. omlouvám se za zmatečné odůvodnění mého názoru a napadnutí kolegy masa- vž…
kmochna 04.12.2015 10:54
kmochna
K tomuto problému dojde, kdyz se nejak rozjede registrace stanice (PC) na domene. Pak neni mozne se…
Jan Fiala 04.12.2015 14:20
Jan Fiala
a co je v zásobníku? r
kmochna 04.12.2015 14:52
kmochna
Dnes mi to myslí nějak pomaleji. Jaký zásobník máš na mysli?
Jan Fiala 05.12.2015 21:53
Jan Fiala
.. nerozebíral bych to. Rejoin to domény je nejsprávnější řešení .. (těchle rejoinů z tohoto důvodu… poslední
MKc 08.12.2015 15:17
MKc
To není zcela přesné. Stačí mít potřebná oprávnění (často pouze nad daným OU kde jsou PC) a ty může…
MKc 25.11.2015 19:35
MKc
Nejsem si jistý, zda čověk, který má právo pouze na nějakou OU má dostatek práv, aby přidal počítač…
Jan Fiala 26.11.2015 11:06
Jan Fiala
Standardně se to samozřejmě hází do default OU Computers. To ale nic nebrání tomu přidat nějaké skup…
MKc 26.11.2015 12:06
MKc

jo, ty W10 nám byl čert dlužnej.. už ani doména jim nefunguje jak bylo zvykem. ;-)

Tohle mi dělalo před asi 2 lety hromadně na Windows 7 u Lenovo desktopů s klávesnicí s čtečkou. Mohla za to ta klávesnice, musel se zaktualizovat firmware v klávesnici (čtečce)

logicky v tom problém nevidím. lokální admin odsouhlasí členství. jeho právo je nedotknutelné nad místními objekty. v čem je tedy problém?

Lokální admin nemá právo zařazování ani vyřazování počítačů z domény, to musí doménový admin.
Jinak nechápu tvůj dotaz.

pejsek a kočička. co je na počátku? jenom kočička dovolí zařazení do domény. kočička se zeptá prvně kočičky, nikdy pejska. velice dobře to win pochopil.

Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.

nepřipadne mi to evidentní? ne jen mě?

tato filipika ti nevoní? win zvolil správnou hlášku, javovský programátore.

Nie som programator, ale ani jeden z tvojich prispevkov tu mi nedava logiku. A to som minimalne treti. Nebude problem predsa len u teba;o)?

Tady nejde o prvotní zařazení do domény, ale o počítač, který už v doméně dávno je, ale z nějakého důvodu se vazba na doménu poruší. Ten článek není o tom, jak počítač do domény zařadit, ale jak opravit problém.

problém opravit přítomností lokálního admina? jafi ta hláška je varováním. ty jsi se pokusil napadnout stanici.

Fakt mi uniká smysl tvých příspěvků. Kdo tu psal něco o opravování pomocí lokálního admina?
Pokud si neděláš srandu, mohl bys to prosím nějak najednou shrnout, abych to pochopil i já? Ber ohled na to, že jsem fakt dnes hodně utahaný

já celkem chápu jak to kmochna myslí, nicméně v reálných podmínkách je na scéně naštvaný user, který nemá admin práva, má PC ve kterém jsou "nedobytná" data a on je zrovna nutně potřebuje, protože honí plán/má na drátě velkou zakázku/atp. A samozřejmě PC je třeba 200km daleko.

to se potom takováhle "lapálie" dost blbě řeší.

ano takto jsem to myslel. omlouvám se za zmatečné odůvodnění mého názoru a napadnutí kolegy masa- vždyk ono to není tak díravý jako windows.:-p nicméně mi pořád připadne na hlavu padlý řešit znovupřipojením? chybu důvěryhodnosti. komunikace neprobíhá standardně, jestli to správně chápu...

K tomuto problému dojde, kdyz se nejak rozjede registrace stanice (PC) na domene. Pak neni mozne se prihlasit pres zadny domenovy ucet.
Nejjednodussim resenim (o jinem nevim) je pocitac do domeny znovu zaradit.
Komunikace v siti probiha standardne, pouze se pocitac neoveri vuci radici.

To není zcela přesné. Stačí mít potřebná oprávnění (často pouze nad daným OU kde jsou PC) a ty může domain admin delegovat i na účty které domain adminy nejsou..

Nejsem si jistý, zda čověk, který má právo pouze na nějakou OU má dostatek práv, aby přidal počítač do domény. To by AD muselo automaticky přidat ten počítač do jeho OU.
Nově přidaný počítač končí ve výchozí skupině Computers.
Je možné, že by to fungovalo, pokud by již záznam o počítači v OU byl - to je tento případ.

Standardně se to samozřejmě hází do default OU Computers.
To ale nic nebrání tomu přidat nějaké skupině (uživateli) právo create/delete computers nad daným nebo jiným OU (a případně další práva).
K tomu opravdu pak nemusíš být domain admin.
Každý uživatel s dostatečným oprávněním si pak může přes ADUC (nebo powershellem, cest je více) smazat/vytvořit/resetovat svůj computer account a pak provést rejoin computeru do domény. I to přidání computeru do domény, změna dns suffixu apod. má svoje práva která se aplikují na dané OU. Domain admin tak ty práva deleguje a o nic se nemusí starat.

Zpět na články Přidat komentář k článku Nahoru