Επαναφορά λογαριασμών υπολογιστή στα Windows 2000 και στα Windows XP

Περίληψη

Για κάθε σταθμό εργασίας ή διακομιστή με Windows 2000 ή με Windows XP που είναι μέλος τομέα, υπάρχει ένα ξεχωριστό κανάλι σύνδεσης, γνωστό ως κανάλι ασφαλείας, με έναν ελεγκτή τομέα.

Ο κωδικός πρόσβασης για το κανάλι ασφαλείας αποθηκεύεται μαζί με το λογαριασμό υπολογιστή σε όλους τους ελεγκτές τομέα. Στα Windows 2000 ή τα Windows XP, η προεπιλεγμένη περίοδος αλλαγής του κωδικού πρόσβασης σε έναν λογαριασμό υπολογιστή είναι κάθε τριάντα (30) ημέρες. Εάν, για κάποιο λόγο, ο κωδικός πρόσβασης στο λογαριασμό υπολογιστή και το μυστικό της Τοπικής αρχής ασφαλείας (Local Security Authority - LSA) δεν είναι συγχρονισμένα, η υπηρεσία Netlogon καταγράφει ένα ή περισσότερα από τα ακόλουθα μηνύματα λάθους:
Δεν ήταν δυνατός ο έλεγχος ταυτότητας της εγκατάστασης της περιόδου λειτουργίας από τον υπολογιστή ΟΝΟΜΑ_ΤΟΜΕΑ. Το όνομα του λογαριασμού που αναφέρεται στη βάση δεδομένων ασφαλείας είναι ΟΝΟΜΑ_ΤΟΜΕΑ$. Εμφανίστηκε το παρακάτω σφάλμα: Δεν επιτρέπεται η πρόσβαση.

(The session setup from the computer DOMAINMEMBER failed to authenticate. The name of the account referenced in the security database is DOMAINMEMBER$. The following error occurred: Access is denied.)
NETLOGON Αναγνωριστικό συμβάντος 3210:
Απέτυχε ο έλεγχος ταυτότητας με \\ΟΝΟΜΑ_ΕΛΕΓΚΤΗ_ΤΟΜΕΑ ενός ελεγκτή τομέα Windows NT για τομέα ΟΝΟΜΑ_ΤΟΜΕΑ.

(NETLOGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.)
Η υπηρεσία Netlogon στον ελεγκτή τομέα καταγράφει το ακόλουθο μήνυμα λάθους όταν δεν έχει συγχρονιστεί ο κωδικός πρόσβασης:
NETLOGON Συμβάν 5722:
Δεν ήταν δυνατός ο έλεγχος ταυτότητας της εγκατάστασης της περιόδου λειτουργίας από τον υπολογιστή %1. Το όνομα του λογαριασμού που αναφέρεται στη βάση δεδομένων ασφαλείας είναι %2. Εμφανίστηκε το παρακάτω σφάλμα: %n%3

(NETLOGON Event 5722:
The session setup from the computer %1 failed to authenticate.The name of the account referenced in the security database is %2. The following error occurred: %n%3)
Το άρθρο αυτό περιγράφει τέσσερις τρόπους επαναφοράς λογαριασμών υπολογιστή στα Windows 2000 ή στα Windows XP. Οι τρόποι αυτοί είναι οι εξής:
  • Χρήση του εργαλείου γραμμής εντολών Netdom.exe
  • Χρήση του εργαλείου γραμμής εντολών Nltest.exe

    Σημείωση Τα εργαλεία Netdom.exe και Nltest.exe βρίσκονται στο φάκελο Support\Tools στο CD-ROM του Windows Server. Για την εγκατάσταση αυτών των εργαλείων, εκτελέστε το αρχείο Setup.exe ή κάνετε εξαγωγή των αρχείων από το αρχείο Support.cab.
  • Χρήση της Κονσόλας διαχείρισης της Microsoft (Microsoft Management Console -MMC) για Χρήστεs και Υπολογιστές της υπηρεσίας καταλόγου Active Directory (Active Directory Users and Computers)
  • Χρήση της δέσμης ενεργειών Microsoft Visual Basic
Τα εργαλεία αυτά επιτρέπουν απομακρυσμένη και μη απομακρυσμένη διαχείριση. Τα εργαλεία Netdom.exe και Nltest.exe είναι εργαλεία της γραμμής εντολών που επαναφέρουν ένα κανάλι ασφαλείας που δημιουργήθηκε με επιτυχία. Δεν μπορείτε να χρησιμοποιήσετε αυτά τα εργαλεία όταν το κανάλι ασφαλείας είναι κατεστραμμένο και η επικοινωνία δεν λειτουργεί σωστά.

Περισσότερες πληροφορίες

Netdom.exe

Για κάθε μέλος, υπάρχει ένα ξεχωριστό κανάλι επικοινωνίας (το κανάλι ασφαλείας), με έναν ελεγκτή τομέα. Το κανάλι ασφαλείας χρησιμοποιείται από την υπηρεσία Netlogon στο μέλος και στον ελεγκτή τομέα για επικοινωνία. Το Netdom επιτρέπει την επαναφορά του καναλιού ασφαλείας ενός μέλους. Μπορείτε να επαναφέρετε το κανάλι ασφαλείας ενός μέλους χρησιμοποιώντας την εξής εντολή:

netdom reset 'όνομα_υπολογιστή' /domain:'όνομα_τομέα
όπου 'machinename' είναι το όνομα του τοπικού υπολογιστή και 'όνομα_τομέα' = ο τομέας στον οποίο έχει αποθηκευτεί ο λογαριασμός του υπολογιστή.

Έστω ότι έχετε ένα μέλος τομέα με το όνομα DOMAINMEMBER σε έναν τομέα με το όνομα MYDOMAIN. Μπορείτε να επαναφέρετε το κανάλι ασφαλείας ενός μέλους χρησιμοποιώντας την εξής εντολή:
netdom reset domainmember /domain:mydomain
Μπορείτε να εκτελέσετε αυτήν την εντολή στο μέλος DOMAINMEMBER ή σε οποιοδήποτε άλλο μέλος ή ελεγκτή τομέα του τομέα, με την προϋπόθεση ότι είστε συνδεδεμένοι με έναν λογαριασμό που έχει δικαιώματα διαχειριστή στο DOMAINMEMBER.

Nltest.exe

Το Nltest.exe μπορεί να χρησιμοποιηθεί για τον έλεγχο της σχέσης αξιοπιστίας μεταξύ ενός υπολογιστή με Windows 2000 ή Windows XP που είναι μέλος τομέα και ενός ελεγκτή τομέα στον οποίο βρίσκεται ο λογαριασμός υπολογιστή του ελεγκτή τομέα.
C:\Ntreskit\Nltest.exe

Χρήση: nltest [/OPTIONS]

/SC_QUERY:DomainName - Υποβολή ερωτήματος στο κανάλι ασφαλείας για τον τομέα στο ServerName

/SERVER:Όνομα_διακομιστή

/SC_VERIFY:DomainName - Επιβεβαιώνει το κανάλι ασφαλείας στον καθορισμένο τομέα για έναν τοπικό ή απομακρυσμένο σταθμό εργασίας, διακομιστή ή ελεγκτή τομέα.

Σημαίες: 30 HAS_IP HAS_TIMESERV
Αξιόπιστο όνομα DC \\server.windows2000.com
Αξιόπιστη κατάσταση σύνδεσης DC Status = 0 0x0 NERR_Success
The command completed successfully

Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory (Active Directory Users and Computers (DSA)

Με τα Windows 2000 ή τα Windows XP, μπορείτε επίσης να επαναφέρετε το λογαριασμό του υπολογιστή μέσα από το περιβάλλον εργασίας χρήστη με γραφικά (graphical user interface - GUI). Στο συμπληρωματικό πρόγραμμα "Χρήστες και Υπολογιστές της υπηρεσίας Active Directory (Active Directory Users and Computers MMC - DSA), μπορείτε να κάνετε δεξιό κλικ στο αντικείμενο υπολογιστή στους "Υπολογιστές" ή στο κατάλληλο κοντέινερ και στη συνέχεια να κάνετε κλικ στο κουμπί Επαναφορά λογαριασμού (Reset Account). Με αυτόν τον τρόπο επαναφέρετε το λογαριασμό υπολογιστή. Δεν επιτρέπεται η χρήση αυτής της μεθόδου για την επαναφορά του κωδικού πρόσβασης για ελεγκτές τομέα. Η επαναφορά ενός λογαριασμού υπολογιστή διακόπτει τη σύνδεση του υπολογιστή στον τομέα και του ζητά να επανασυνδεθεί στον τομέα.


Σημείωση Αυτή η μέθοδος αποτρέπει τη σύνδεση ενός δομημένου υπολογιστή με τον τομέα και πρέπει να χρησιμοποιείται μόνο για έναν υπολογιστή που μόλις αναδομήθηκε.

Δέσμη ενεργειών Microsoft Visual Basic

Μπορείτε να χρησιμοποιήσετε μια δέσμη ενεργειών για να επαναφέρετε το λογαριασμό υπολογιστή. Πρέπει να συνδεθείτε με το λογαριασμό υπολογιστή χρησιμοποιώντας το περιβάλλον εργασίας χρήστη IAD. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε τη μέθοδο SetPassword για να ορίσετε μια αρχική τιμή για τον κωδικό πρόσβασης. Ο αρχικός κωδικός πρόσβασης ενός υπολογιστή είναι πάντα "όνομα_υπολογιστή$".

Τα ακόλουθα δείγματα δέσμης ενεργειών δεν λειτουργούν σε όλα τα περιβάλλοντα και πρέπει να δοκιμάζονται πριν να εφαρμοστούν. Το πρώτο παράδειγμα αφορά λογαριασμούς υπολογιστών που εκτελούν Windows NT 4.0 και το δεύτερο αφορά λογαριασμούς υπολογιστών που εκτελούν Windows 2000 ή Windows XP.

Δείγμα 1

 Dim objComputer

Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"

Wscript.Quit

Δείγμα 2

 Dim objComputer

Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"

Wscript.Quit
Ιδιότητες

Αναγνωριστικό άρθρου: 216393 - Τελευταία αναθεώρηση: 29 Μαΐ 2007 - Αναθεώρηση: 1

Σχόλια