Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Ztráta důvěryhodnosti mezi stanicí a doménou

Poprvé jsem se s tím setkal před několika lety v síti s doménou (Windows server) a Windows 7, naposledy před chvilkou po velké aktualizaci Windows 10. Co s tím?

Při přihlášení v síti Microsoft s doménou se může přihodit, že se uživateli ozbrazí hlášení:

Došlo k porušení důvěryhodnoti mezi stanicí a doménou

nebo jeho variace, protože na Windows 10 je ta hláška úplně nesmyslná. Důležité je slovíčko "důvěryhodnost". Podle něj se můžeme řídit a identifikovat problém.

Podíváme se, jak se s tím poprat, pokud jsme přímo v síti s doménovým řadičem a pokud jsme k doménové síti připojeni např. přes VPN.
Následující postup je "nedestruktivní", nedochází k žádným ztrátám dat. Uživatel po opravě pokračuje v práci, jako by se nic nestalo.

Předpoklady

1. přístup k lokálnímu administrátorskému účtu
2. přístup k doménovému administrátorskému účtu

Zmanená to, že tento problém je schopný vyřešit pouze doménový administrátor.
Pokud takto řešíme uživatele, který je někde v zahraničí a na počítači nejsou žádné nástroje pro vzdálenou správu, se kterými se dostaneme k ovládání počítače už na přihlašovací obrazovce, je to průšvih, protože se podle Murphyho zákonů většinou jedná o počítač šéfa nejvyššího.

Případ, kdy jsem fyzicky připojen v síti s doménovým řadičem

1. Přihlásit se jako lokální administrátor
2. Změnit členství počítače v doméně na členství v pracovní skupině. K potvrzení jsou nutné údaje doménového admina

[24204-jf03bm-000944-png]

3. Následuje první restart a opět přihlášení jako lokální admin
4. Změnit členství počítače z pracovní skupiny zpět do domény. K potvrzení jsou nutné údaje doménového admina
5. Restart
6. Přihlásit se jako běžný doménový uživatel a je hotovo.

Případ, kdy jsem do domény připojen přes VPN

V tomto případě je situace trochu složitější, protože v době, kdy manipulujeme s účtem, musíme být připojeni do domény.
Pokud VPN běží jako služba, nemusíme to řešit a postupujeme jako v prvním případě.

Pokud máme VPN nastavenu tak, že se spouští ručně až v případě potřeby po přihlášení uživatele, máme problém.
Odebrání počítače z domény i jeho zpětné zařazení zvládneme, protože si na to můžeme ručně spustit VPN.
Problém nastává po zařazení počítače do domény a přihlášení jako doménový uživatel, protože poprvé se musíme vůči doméně ověřit. Pokud nejede VPN, ověření neprojde a nepřihlásíme se.

Co s tím?
Musíme zajistit, aby VPN v okamžiku přihlašování již jela. To znamená spustit ji jako službu.
V případě OpenVPN doporučuji nechat ve složce .\OpenVPN\Config pouze jeden profil, jinak se služba bude snažit přihlašovat ke všem profilům a nemuselo y to dopadnout dle očekávání.

1. Přihlásit se znovu jako lokální admin
2. Ve složce \Program Fiels\OpenVPN\Config ponechat pouze jeden profil (pokud se přihlašujeme k více sítím)
3. Spustit správce služeb a tam spustit službu OpenVPN
4. Odhlásit se a přihlásit se jako doménový uživatel
5. Uvést VPN do původního stavu

Jen podotýkám, že změnu konfigurace VPN je možné (a vhodné) udělat hned na začátku. Pak lze postupovat podle návodu v prvním případě a ušetříte si čas.

Jsou zobrazeny jen nové komentáře. Zobrazit všechny
Předmět Autor Datum
logicky v tom problém nevidím. lokální admin odsouhlasí členství. jeho právo je nedotknutelné nad mí…
kmochna 17.11.2015 17:31
kmochna
Lokální admin nemá právo zařazování ani vyřazování počítačů z domény, to musí doménový admin. Jinak…
Jan Fiala 18.11.2015 09:26
Jan Fiala
pejsek a kočička. co je na počátku? jenom kočička dovolí zařazení do domény. kočička se zeptá prvně…
kmochna 18.11.2015 11:07
kmochna
Tady nejde o prvotní zařazení do domény, ale o počítač, který už v doméně dávno je, ale z nějakého d…
Jan Fiala 18.11.2015 14:22
Jan Fiala
problém opravit přítomností lokálního admina? jafi ta hláška je varováním. ty jsi se pokusil napadno…
kmochna 18.11.2015 14:33
kmochna
Fakt mi uniká smysl tvých příspěvků. Kdo tu psal něco o opravování pomocí lokálního admina? Pokud si…
Jan Fiala 18.11.2015 18:38
Jan Fiala
Ja mam pocit, ze skor je unaveny kmochna.
fleg 19.11.2015 08:38
fleg
já celkem chápu jak to kmochna myslí, nicméně v reálných podmínkách je na scéně naštvaný user, který…
touchwood 19.11.2015 09:04
touchwood
ano takto jsem to myslel. omlouvám se za zmatečné odůvodnění mého názoru a napadnutí kolegy masa- vž…
kmochna 04.12.2015 10:54
kmochna
K tomuto problému dojde, kdyz se nejak rozjede registrace stanice (PC) na domene. Pak neni mozne se…
Jan Fiala 04.12.2015 14:20
Jan Fiala
a co je v zásobníku? r
kmochna 04.12.2015 14:52
kmochna
Dnes mi to myslí nějak pomaleji. Jaký zásobník máš na mysli?
Jan Fiala 05.12.2015 21:53
Jan Fiala
.. nerozebíral bych to. Rejoin to domény je nejsprávnější řešení .. (těchle rejoinů z tohoto důvodu… poslední
MKc 08.12.2015 15:17
MKc

já celkem chápu jak to kmochna myslí, nicméně v reálných podmínkách je na scéně naštvaný user, který nemá admin práva, má PC ve kterém jsou "nedobytná" data a on je zrovna nutně potřebuje, protože honí plán/má na drátě velkou zakázku/atp. A samozřejmě PC je třeba 200km daleko.

to se potom takováhle "lapálie" dost blbě řeší.

ano takto jsem to myslel. omlouvám se za zmatečné odůvodnění mého názoru a napadnutí kolegy masa- vždyk ono to není tak díravý jako windows.:-p nicméně mi pořád připadne na hlavu padlý řešit znovupřipojením? chybu důvěryhodnosti. komunikace neprobíhá standardně, jestli to správně chápu...

Zpět na články Přidat komentář k článku Nahoru