Reset computer account in AD & other stuff related to computer account issues.
Cred ca toti cei ce au administrat la viata lor cat de putin Active Directory au vazut optiunea de mai jos – Reset Account. Multi am vazut ca o folosesc destul de abuziv mai ales cand vine vorba de join-at vreun sistem la domeniu. Si uite ca au trecut peste 10 ani de cand folosim AD si tot nu stim cu ce se mananca aceasta optiune. Poate si din cauza ca nu a fost explicata foarte bine si pentru ca help-ul multor comenzi nu e foarte bine explicat.
Dar sa vedem ce face “Reset Password”. Sincer, nimic interesant si de-a lungul anilor m-am tot chinuit sa-i gasesc o intrebuintare insa fara folos. Am avut discutii lungi cu multi admini insa nimic concret nu a iesit. Efectul comenzii se poate vedea in imaginea de mai jos:
Comanda reseteaza parola stocata in AD si asociata computer accountului. Rezultatul e ca parola stocata in registry pe sistemul joinat la domeniu nu mai corespunde cu cea din AD. Deci am putea spune ca singurul scop al acestei comenzi este de a rupe trust-ul unui sistem cu domeniul, fara a dezactiva computer accountul sau a-l sterge.
De pe statia respectiva se poate verificat trustul prin comanda nltest /sc_verify: domainname.
Trustul poate fi restabilit tot cu nltest atata timp cat sistemul mai are o conexiune cache-uita cu domain controllerul, si atunci comanda nltest /sc_change_pwd: domainname poate face ca parolele intre sistemul local si cea din AD sa se sincronizeze.
Daca acel cache nu mai este valabil, atunci se mai poate folosi netdom (atentie ca nu mai este by default pe Windows 7, si se instaleaza odata cu RSAT) folosind sintaxa netdom resetpwd /server: domaincontroller /userd:user /passwordd: password. Comanda va folosi credentialele specificate pentru a se conecta la AD si a sincroniza parola.
Netdom este mai util in scenariul in care s-a pierdut trustul cu domeniul pentru ca permite specificarea credentialelor pentru autentificare. Se mai vehiculeaza cum ca noul cmdlet Test-ComputerSecureChannel inlocuieste netdom si nltest. Nu va amagiti. Are optiunea –Repair insa odata pierdut trust-ul comanda e inutila.
Si acum pentru cei ce nu au rabdarea sa inteleaga tot ce se intampla cu acest computer account stocat in AD si se intalnesc cu mesajul din imaginea numarul 2, o alta solutie mult mai simpla decat ce am explicat mai sus, e de a face un Disjoin/Rejoin al sistemului la domeniu. Nu e nevoie de reset password, delete computer account sau alte “manevre”.
Spor!
Pingback from Test-ComputerSecureChannel Update & repairing secure channel » RO Windows Administrators Weblog
Time November 12, 2013 at 8:00 am
[…] acum ceva timp aici despre cateva scenarii cu computer account-urile dintr-un domeniu si pomeneam si de cmdlet-ul […]