将计算机重新加入域

Question

我的 Windows 7 PC 出现了问题，该 PC 曾经是域的成员。当我尝试使用域凭据登录这台 PC 时，我收到类似于

The trust relationship between this workstation and the primary domain could not be established.

现在我需要在域中重新建立 PC 的成员身份。但由于我无法登录，因此我无法更改计算机名称和域成员身份。

• 如何重新信任 PC 和域？
• 我可以从域控制器控制台添加或更新成员资格吗？

编辑：

计算机上没有可用于登录的活动本地帐户。

Answer 1

这个技巧来自我的 Active Directory 学习小组。我建议每个人都加入一个用户组和/或一个学习组。不是我们不知道 AD，而是我们忘记或错过了新功能。进修课程也很有趣。

有时，计算机会与域“脱离”。症状可能是计算机连接到网络时无法登录、计算机帐户已过期的消息、域证书无效等。这些都源于同一问题，即计算机之间的安全通道和域被冲洗。（这是一个技术术语。微笑）

解决此问题的经典方法是取消加入并重新加入域。这样做有点痛苦，因为它需要重新启动几次，而且用户配置文件并不总是重新连接。母羊。此外，如果您在任何组中拥有该计算机或为其分配了特定权限，这些都将消失，因为现在您的计算机具有新的 SID，因此 AD 不再将其视为同一台计算机。您必须从一直保存的优秀文档中重新创建所有这些内容。嗯，嗯，你的优秀文档。双母羊。

而不是这样做，我们可以重置安全通道。有几种方法可以做到这一点：

1. 在 AD 中右键单击计算机并选择重置帐户。
   然后重新加入而不将计算机取消加入域。
   需要重新启动。
2. 在提升的命令提示符类型中：dsmod computer "ComputerDN" -reset
   然后重新加入而不将计算机取消加入域。
   需要重新启动。
   
3. 在提升的命令提示符类型中：netdom reset MachineName /domain:DomainName /usero:UserName /passwordo:Password
   您提供其凭据的帐户必须是本地管理员组的成员。
   没有重新加入。没有重启。
4. 在提升命令提示符下键入：nltest.exe /Server:ServerName /SC_Reset:DomainDomainController
   不重新加入。没有重启。

Answer 2

从 Server 2008 R2 开始，任务非常简单。我们现在可以使用Test-ComputerSecureChannelcmdlet。

Test-ComputerSecureChannel -Credential (Get-Credential) -Verbose

添加-Repair参数进行实际修复；使用授权将计算机加入域的帐户的凭据。

参考：

https://msdn.microsoft.com/en-us/powershell/reference/3.0/microsoft.powershell.management/test-computersecurechannel

http://windowsitpro.com/blog/quick-fix-computers-no-longer-domain-joined

- 编辑 -

如果没有您可以使用的任何本地管理员帐户，您可以使用著名的粘滞键黑客创建一个（或启用禁用的内置管理员帐户）。

要重置忘记的管理员密码，请按照下列步骤操作：^

1. 从 Windows PE 或 Windows RE 启动并访问命令提示符。
2. 找到安装 Windows 的分区的驱动器号。在 Vista 和 Windows XP 中，通常是 C:，在 Windows 7 中，大多数情况下是 D:，因为第一个分区包含启动修复。要查找驱动器号，请分别键入 C:（或 D:）并搜索 Windows 文件夹。请注意，Windows PE (RE) 通常驻留在 X: 上。出于本演示的目的，我们假设 Windows 安装在驱动器 C 上：
3. 键入以下命令：copy C:\Windows\System32\sethc.exe C:\这将创建一个 sethc.exe 的副本以供稍后恢复。
4. 键入此命令以将 sethc.exe 替换为 cmd.exe：copy /y C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe重新启动计算机并运行您没有管理员密码的 Windows 实例。
5. 看到登录屏幕后，按五次 SHIFT 键。
6. 您应该会看到一个命令提示符，您可以在其中输入以下命令来重置 Windows 密码： net user [username] [password] 如果您不知道您的用户名，只需键入net user以列出可用的用户名。
7. 您现在可以使用新密码登录。

如果您希望启用默认禁用的内置管理员帐户而不是重置现有帐户的密码，命令是：

1. net user administrator /active:yes.

如果您希望创建一个新帐户并将其添加到本地管理员组，命令序列为：

1. net user /add [username] [password]
2. net localgroup administrators [username] /add

Answer 3

停止从客户端解决这个问题。如果您无法登录到域，您要么必须使用已启用的本地帐户登录，要么使用启动 CD 来启用该帐户。

尝试从 Active Directory 用户和计算机中删除机器。它应该在您服务器上的管理工具中。打开包含计算机的 OU（组织单位）。找到计算机，右键单击它，然后单击删除。

耐心等待并让复制完成它可能不会有什么坏处，这取决于您拥有多少个 DC。如果您的域非常简单（没有站点，只有两个 DC），您可以使用repadmin /replicate强制复制。在这样做之前先阅读一下。

现在使用 AD UC 再次添加 PC，然后等待复制或强制复制。

如果它仍然对您发牢骚，请netdom /remove尝试一下（此处的手册页），看看是否会使其脱离您的域。如果您对此有疑问，请查看此问题。这是一个不同的场景，但本质上是相同的概念：尝试从域中删除无法联系 DC 的计算机。

Answer 4

只有当您拥有该 PC 的管理员权限以及更改 DC 的权限时，才可以添加该 PC。

因此有必要在PC上重置管理员密码。执行此任务的一种方法是使用安装 DVD 并使用修复控制台。这使您可以重新获得完全控制权。