. Windows XP

1 . Kayıt defteri düzenleyicisini başlatalım, ( Koşmaya başla-regedit- girmek)

izleri nasıl temizlenir uzak programlar kayıt defterinde öğrenebilirsiniz
2. Sonra kayıt defteri anahtarını buluyoruz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon

3. Bundan sonra, tüm bölümü silin WgaLogon(şüpheliler önceden bu bölümün bir kopyasını alabilirler)
4. Sistemi yeniden başlatma
Yeniden başlatma mesajından sonra kimlik doğrulama hakkında kaybolmak

. Windows 7

Bakımından Windows 7, program yardımı ile kaldırın KaldırWAT21
1. İndirmek bu programİle birlikte Depozito veya Letitbit
2. Eski aktivasyonu kaldırın
3. yeniden etkinleştir
4. Ve orijinallik kontrolünü sonsuza kadar kaldırın
Ayrıntılı talimatlar programın kendisinde açıklanmıştır, tüm işlem sadece üç tıklamayla gerçekleşir.

Lisanssız Windows ile ilgili mesajdan nasıl kurtulurum

Güncelleme ( KB971033) teknolojilerin parçası olan etkinleştirme ve doğrulama bileşenlerinin kimliğini doğrular Windows etkinleştirme sistem için Windows 7.
Simgeye sağ tıklayın: Bilgisayar - Özellikler.
Seçmek Merkez Windows güncellemeleri- Yüklenen güncellemeler.
arasında buluyoruz yüklü güncellemeler(Güncelleme Microsoft Windows KB971033), seçin ve silin.
Windows'a artık aktivasyondan uçmadı güncelleme yapma (KB971033) gizlenmiş. Simgeye sağ tıklayın: Bilgisayar - Özellikler. Seçmek Windows güncelleme - Önemli güncellemeler . (KB971033) bulun ve üzerine tıklayarak gizlenmesini sağlayın sağ tık fareler. Artık Microsoft'tan gelmeyecek.

Bu yüzden bu güncellemeleri yüklemeyin..
Örneğin, eğer varsa korsan sürüm daha sonra: KB905474, KB2882822, KB2859537, KB2862330, KB2864058, KB2872339,
Eğer yüklemek KB971033- o bulacak çatırtı ve bir mesaj gösterecek "Sahte yazılımın kurbanısınız."
KB2859537- içinde Windows XP hepsinin başlatılmasını engelleyebilir exe dosyaları, bunlar hariç
geç saate kadar yatmak Windows klasörü . Bir güncellemeyi kaldırma sorunu giderir.
Windows XP için güncellemeler nasıl alınır, okuman
Windows XP'den olduğu gibi Ev versiyonu Windows XP Professional Edition'ı yapın, okuman
Burada kısaca hakkında bu pencere nasıl kaldırılır.

siyah derebeyi 14 Ocak 2013, 05:27

İhlal güven ilişkisi arasında iş istasyonu ve etki alanı denetleyicisi (çözüm)

Güncellemeden sonra 150 makinelik bir filo ile çevrimiçi işletim sistemi MS Windows 7'den önce, sisteme kullanıcı girişi ile ilgili sürekli bir sorun gözlemlenmeye başlandı. Güzel bir gün, bilgisayarı açan kullanıcı, bilgilendiriciliği açısından çarpıcı bir mesaj görürken sisteme giriş yapamadığını fark etti:
"Bu iş istasyonu ile birincil etki alanı arasında bir güven ilişkisi kurulamadı"

Tek bir çözüm var. Makineyi etki alanından kaldırın ve geri girin. Bu durum günde bir kereden fazla tekrarlamaya başladığında ve sadece yorulduğumda, önlem almayı düşündüm. Ve burası internetin sessizleştiği yer. Bir süre umutsuzluktan sonra ve umutsuzluk bildiğiniz gibi günahtır, kazmaya karar verildi. Kazı işkencesi sonucunda vakaların %99'unun nedeni bulundu (ve kalan %1'in aynı nedeni itiraf etmediğini düşünüyorum). Bunun nedeni, iş yanlış kapatıldığında açılan başlangıç ​​onarım servisidir. İletişim kutusunun ilk ekranında hizmet, kullanıcıya sistemi geri yükleyip yüklemeyeceğini sorar. Olumlu bir cevap durumunda, sistem daha fazlasına geri döner. erken devlet ve belki de makinenin yan tarafı atıyor. Öyle olsa bile, böyle bir işlemden sonra etki alanı böyle bir makineden kullanıcılara izin vermeyecektir. Böyle bir konuda kullanıcıya güvenmek boşunadır. Böyle bir durumda ondan reddetmesini isteyebilirsiniz, ancak kullanıcının “geri yükle” düğmesine basması ve ardından şeytanın kandırdığını söyleyerek ellerini silkmesi çok muhtemeldir. Genel olarak, n-makinelerde önyükleme kurtarma hizmetini toplu olarak devre dışı bırakmanız gerekir.

Yerel olarak, çözüm bir konsol komutuna benziyor:

Reagentc.exe / devre dışı bırak

Ağ oluşturma, PsExec yardımcı programını gerektirir Microsoft paketi Sysinternals PsTools, yardımcı programın açıklaması ve paketin kendisi

Psexec.exe'yi dosyamızla aynı klasöre koyduk. toplu iş dosyası(buna broff.cmd diyelim)
broff.cmd içinde şunu yazıyoruz:

:: Ağdaki bilgisayarların bir listesini alın, çöpten temizleyin ve net.lst net.exe görünümüne koyun /domain:megafon >>net.tmp for /f "tokens=1,2 delims=" %%i (net.tmp ) içinde (Echo %%i>>net1.tmp) /f için "tokens=1,2 delims=\" %%i (net1.tmp) yapın (Echo %%i>>net. lst) DEL *.TMP::Listeyi gözden geçirin ve /f "tokens=1,2 delims=" %%F in (net.lst) için önyükleme kurtarmayı devre dışı bırakın (psexec \\%%F reagentc.exe'yi başlatın / devre dışı bırakmak)

Bu kadar. Kullanıcı artık bizim düşmanımız değil.

Etiketler: Güven İlişkileri, DC, BT, Ağ Yönetimi, Ağ Oluşturma, Dağıtım

Bilgisayarın etki alanında kimliğinin doğrulanamaması gibi bir durum var. İşte bazı örnekler:

• İşletim sistemini iş istasyonuna yeniden yükledikten sonra, makine aynı bilgisayar adıyla bile kimlik doğrulaması yapamaz. Çünkü süreç içinde yeni kurulum işletim sistemi oluşturuldu SID ve bilgisayar, etki alanındaki bilgisayar nesnesi hesabının parolasını bilmiyor, etki alanına ait değil ve etki alanında kimlik doğrulaması yapamıyor.
• Bilgisayar bir yedekten tamamen geri yüklendi ve kimliği doğrulanamıyor. Bilgisayar nesnesi, yedeklendikten sonra etki alanındaki parolasını değiştirmiş olabilir. Bilgisayarlar her 30 günde bir şifrelerini değiştirir ve yapı Aktif Dizin akımı hatırlar önceki şifre. restore edilmiş olsaydı yedek kopya bilgisayar, uzun süredir güncel olmayan bir parolaya sahipse, bilgisayar kimlik doğrulaması yapamaz.
• Gizli LSA bilgisayar, uzun süredir etki alanı tarafından bilinen bir parola ile senkronize edilmemiş. Şunlar. bilgisayar şifreyi unutmadı - sadece bu şifre etki alanındaki gerçek şifreyle eşleşmiyor. Bu durumda bilgisayarın kimliği doğrulanamaz ve güvenli kanal oluşturulmaz.

Ana Özellikler olası sorunlar bilgisayar hesabı:

• Etki alanı oturum açma iletileri, bilgisayarın etki alanı denetleyicisiyle iletişim kuramadığını, bilgisayar hesabının eksik olduğunu, yanlış şifre bilgisayar hesabı veya bilgisayar ile etki alanı arasındaki güven (güvenli iletişim) kayboldu.
• Olay günlüğünde benzer hataları gösteren veya parolalar, güven ilişkileri, güvenli kanallar veya etki alanı ya da etki alanı denetleyicisiyle iletişimle ilgili sorunları öneren iletiler veya olaylar. Bu tür bir hata, bilgisayarın olay günlüğünde 3210 hata koduyla kimlik doğrulama hatasıdır.
• Bilgisayar hesabı Active Directory'de mevcut değil.

Nasıl tedavi edilir?

yeniden yüklemeniz gerekiyor hesap bilgisayar. Ağın böyle bir yeniden kurulum için önerileri var: bilgisayarı etki alanından çıkarın, ardından yeniden katılın. evet çalışıyor ama bu seçenek SID ve bilgisayarın çalışma grubu üyeliği kaybolduğu için bunu yapmanız önerilmez.

Bu nedenle, bunu yapmak gereklidir :

Açık snap Aktif Dizin, Kullanıcılar ve Bilgisayarlar'ı seçin, bilgisayar nesnesine sağ tıklayın ve Hesabı Yeniden Yükle komutunu kullanın. Bundan sonra, bilgisayar etki alanına yeniden katılmalı ve yeniden başlatılmalıdır.

İlişkili bir hesapla yerel grup"Yöneticiler":

netdom sıfırlama Ana BilgisayarAdı / etki alanı Etki AlanıAdı /Kullanıcı KullanıcıAdı /Parola (Parola | *)

Güvenin kaybolduğu bir bilgisayarda:

nltest /sunucu:SunucuAdı /sc_reset:DOMAIN\DomainController

Bu yazımızda bir workstation ile domain arasında kullanıcının sisteme giriş yapmasını engelleyen güven ihlali sorununa değineceğiz. Sorunun nedenini ve güvenli bir kanal üzerinden güveni geri kazanmanın basit bir yolunu düşünün.

Sorun kendini nasıl gösteriyor: kullanıcı hesabının altındaki iş istasyonuna veya sunucuya giriş yapmaya çalışıyor ve şifreyi girdikten sonra bir hata çıkıyor:

İş istasyonu ve etki alanı arasındaki güven geri yüklenemedi

Veya bunun gibi:

Sunucudaki güvenlik veritabanı, yok bu iş istasyonu güven ilişkisi için bir bilgisayar hesabı

Bu hataların ne anlama geldiğini ve nasıl düzeltileceğini anlamaya çalışalım.

AD etki alanında bilgisayar parolası

Bir bilgisayar bir etki alanına kaydedildiğinde, bilgisayar ile etki alanı denetleyicisi arasında kimlik bilgilerinin iletildiği güvenli bir kanal kurulur ve yönetici tarafından belirlenen güvenlik ilkelerine göre daha fazla etkileşim gerçekleşir.

Varsayılan bilgisayar hesabı parolası 30 gün boyunca geçerlidir ve ardından otomatik olarak değiştirilir. Parola değişikliği, etki alanı ilkelerine göre bilgisayarın kendisi tarafından başlatılır.

Tavsiye. Maksimum parola ömrü, ilke kullanılarak yapılandırılabilir alan adı üye: maksimum makine hesap şifre yaş bölümünde yer alan: bilgisayarYapılandırma->pencerelerAyarlar->GüvenlikAyarlar->YerelPolitikalar->GüvenlikSeçenekler. Bilgisayar parolasının geçerlilik süresi 0 ile 999 arasında olabilir (varsayılan olarak 30 gün).

Bilgisayar parolasının süresi dolmuşsa, ne zaman otomatik olarak değişecektir? sonraki kayıt etki alanında. Bu nedenle, bilgisayarınızı birkaç aydır yeniden başlatmadıysanız, bilgisayar ile etki alanı arasındaki güven ilişkisi korunur ve bilgisayar parolası bir sonraki yeniden başlatmada değiştirilir.

Bilgisayar, etki alanında yanlış bir parolayla kimlik doğrulaması yapmaya çalışırsa, güven ilişkisi bozulur. Bu genellikle bilgisayar bir sanal makine anlık görüntüsünün içinde veya dışındayken olur. Bu durumda, yerel olarak depolanan makine parolası ile etki alanındaki parola eşleşmeyebilir.

Bu durumda güveni geri kazanmanın "klasik" yolu şudur:

1. Yerel yönetici şifresini sıfırla
2. Bir bilgisayarı etki alanından çıkarın ve bir çalışma grubuna dahil edin
3. yeniden başlat
4. Snap'i kullanarak - bilgisayarın hesabını etki alanında sıfırlayın (Hesabı Sıfırla)
5. PC'yi etki alanına yeniden katın
6. Bir kez daha yeniden başlat

Bu yöntem en kolayıdır, ancak çok beceriksizdir ve en az iki yeniden başlatma ve 10-30 dakika zaman gerektirir. Ayrıca, eski kullanımda sorunlar olabilir. yerel profiller kullanıcılar.

Etki alanına yeniden katılmadan ve yeniden başlatmalar olmadan güveni geri kazanmanın daha zarif bir yolu var.

ağ yardımcı programı

Yararağ dahil Windows Server 2008 sürümünden başlayarak ve RSAT'tan (Uzak Sunucu Yönetim Araçları) kullanıcıların bilgisayarlarına kurulabilir. Güveni geri yüklemek için şunu kullanarak oturum açmanız gerekir: yerel yönetici(oturum açma ekranında “.\Administrator” yazarak) ve aşağıdaki komutu çalıştırın:

Netdom resetpwd /Sunucu:Etki AlanıDenetleyicisi /KullanıcıD:Yönetici /ŞifreD:Şifre

• sunucu- kullanılabilir herhangi bir etki alanı denetleyicisinin adı
• KullanıcıD– bilgisayar hesabı ile OU üzerinde etki alanı yöneticisi haklarına sahip kullanıcı adı veya Tam kontrol
• ŞifreD- Kullanıcı şifresi

Netdom resetpwd /Sunucu:sam-dc01 /UserD:aapetrov /PasswordD: [e-posta korumalı]@w0rd

Komutun başarıyla tamamlanmasından sonra yeniden başlatma gerekmez, bir etki alanı hesabı altında oturumu kapatıp oturum açmak yeterlidir.

Reset-ComputerMachinePassword Cmdlet

Cmdlet, PowerShell 3.0'da göründü ve Netdom yardımcı programından farklı olarak, Windows 8 / Windows Server 2012 ile başlayan sistemde zaten mevcut. Windows 7, Server 2008 ve Server 2008 R2'de manuel olarak kurulabilir (http:// www.microsoft.com/en-us/download/details.aspx?id=34595), ayrıca gerektirir ağ çerçevesi 4.0 veya üstü.

Ayrıca yerel bir yönetici hesabıyla oturum açmanız gerekir, açın PowerShell konsolu ve şu komutu çalıştırın:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• sunucu- etki alanı denetleyici adı
• Kimlik– etki alanı yönetici haklarına sahip kullanıcı adı (veya PC'den OU hakları)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corp\aapetrov

Açılan güvenlik penceresinde kullanıcının şifresini belirtmeniz gerekmektedir.

Tavsiye. Aynı işlem başka bir Powershell cmdlet'i kullanılarak da gerçekleştirilebilir. Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Onarım -Credential corp\aapetrov

PC ve DC arasında güvenli bir kanalın kullanılabilirliğini şu komutla kontrol edebilirsiniz:

nltest /sc_verify:corp.adatum.com

Aşağıdaki satırlar, güven ilişkisinin başarıyla geri yüklendiğini doğrular:

Güvenilir DC Bağlantı Durumu Durumu = 0 0x0 NERR_Success

Güven Doğrulama Durumu = 0 0x0 NERR_Success

Gördüğünüz gibi, bir etki alanındaki güveni geri yüklemek oldukça basittir.

Herkes zaman zaman "Bu iş istasyonu ve ana etki alanı arasında bir güven ilişkisi kurulamadı" hatasıyla uğraşmak zorunda. sistem yöneticisi. Ancak herkes, oluşumuna yol açan süreçlerin nedenlerini ve mekanizmalarını anlamıyor. Çünkü süregelen olayların anlamını anlamadan, anlamlı yönetim imkansızdır ve bunun yerini, talimatların düşüncesizce yerine getirilmesi alır.

Kullanıcı hesapları gibi bilgisayar hesapları da bir etki alanının güvenliğinin üyeleridir. Her güvenlik sorumlusuna, etki alanı kaynaklarına erişildiği düzeyde otomatik olarak bir güvenlik tanımlayıcısı (SID) atanır.

Bir alana bir hesaba erişim izni vermeden önce, orijinalliğini doğrulamanız gerekir. Her güvenlik sorumlusunun kendi hesabı ve parolası olmalıdır ve bilgisayar hesabı da bir istisna değildir. Bir bilgisayar Active Directory'ye katıldığında, onun için "Bilgisayar" türünde bir bilgisayar hesabı oluşturulur ve bir parola belirlenir. Bu düzeydeki güven şu gerçeğiyle sağlanır: bu operasyon bir etki alanı yöneticisi veya bunu yapmak için açık yetkisi olan başka bir kullanıcı tarafından gerçekleştirilir.

Ardından, bilgisayar etki alanında her oturum açtığında, etki alanı denetleyicisi ile güvenli bir kanal kurar ve ona kimlik bilgilerini söyler. Böylece bilgisayar ve etki alanı arasında bir güven ilişkisi kurulur ve yönetici tarafından belirlenen güvenlik politikaları ve erişim haklarına göre daha fazla etkileşim gerçekleşir.

Bilgisayar hesabı parolası 30 gün boyunca geçerlidir ve daha sonra otomatik olarak değiştirilir. Parola değişikliğinin bilgisayar tarafından başlatıldığını anlamak önemlidir. Bu, bir kullanıcının parolasını değiştirme işlemine benzer. Bunu keşfettikten Mevcut Şifre süresi dolduğunda, bilgisayar etki alanına bir sonraki katıldığında onu değiştirir. Bu nedenle, bilgisayarı birkaç ay boyunca açmamış olsanız bile, etki alanındaki güven ilişkisi korunacak ve uzun bir aradan sonra ilk girişte şifre değişecektir.

Bir bilgisayar bir etki alanında kimlik doğrulaması yapmaya çalışırsa, güven ilişkisi bozulur. geçersiz şifre. Bu nasıl olabilir? En kolay yol, bilgisayarın durumunu geri almaktır, örneğin, normal yardımcı program Sistem kurtarma. Aynı etki, bir görüntüden, anlık görüntüden geri yüklenirken de elde edilebilir (için Sanal makineler) vb.

Başka bir seçenek de hesabı aynı ada sahip başka bir bilgisayarla değiştirmektir. Durum oldukça nadirdir, ancak bazen, örneğin, bir çalışanın bilgisayarı adı korurken değiştirildiğinde, eskisini etki alanından çıkardığında ve ardından yeniden adlandırmayı unutarak etki alanına yeniden girdiğinde olur. Bu durumda, eski PC, etki alanına yeniden girerken, bilgisayar hesabı şifresini değiştirecek ve yeni PC, bir güven ilişkisi kuramayacağı için artık giriş yapamayacak.

Bu hata ile karşılaşıldığında ne gibi önlemler alınmalıdır? Her şeyden önce, güven ihlalinin nedenini belirleyin. Geri alma ise, kim tarafından, ne zaman ve nasıl yapıldıysa, şifre başka bir bilgisayar tarafından değiştirildiyse, bunun ne zaman ve hangi koşullar altında olduğunu tekrar bulmamız gerekiyor.

Basit örnek: eski bilgisayar yeniden adlandırıldı ve başka bir departmana verildi, ardından bir başarısızlık oldu ve otomatik olarak sonuncuya geri döndü kontrol noktası. Bundan sonra, bu bilgisayar eski ad altında etki alanında kimlik doğrulaması yapmaya çalışacak ve doğal olarak güven ilişkileri kurarken bir hata alacaktır. Doğru eylemler bu durumda bilgisayarı çağrılması gerektiği gibi yeniden adlandırır, yeni bir kontrol noktası oluşturur ve eskileri siler.

Ve ancak güven ihlalinin nesnel olarak gerçekleştiğinden emin olduktan sonra gerekli eylemler ve bu bilgisayar için güveni geri kazanmaya başlayabilirsiniz. Bu birkaç yolla yapılabilir.

aktif Dizin kulanıcıları ve bilgisayarları

Bu en kolayı ama en hızlısı değil ve uygun yol. Herhangi bir etki alanı denetleyicisinde ek bileşeni açın aktif Dizin kulanıcıları ve bilgisayarları, gerekli bilgisayar hesabını bulun ve sağ tıklayarak Hesabı yeniden yükle.

Daha sonra güvenini kaybeden bilgisayarda oturum açıyoruz. yerel yönetici ve makineyi etki alanından kaldırın.

Sonra tekrar giriyoruz, bu iki eylem arasında yeniden başlatmayı atlayabilirsiniz. Domaine tekrar giriş yaptıktan sonra restart edip domain hesabının altından giriş yapıyoruz. Bilgisayar parolası değiştirildiğinde yeniden etkinleştirme bilgisayar etki alanına.

Bu yöntemin dezavantajı, iki (bir) yeniden başlatma ihtiyacının yanı sıra, makinenin etki alanından kaldırılması gerektiğidir.

ağ yardımcı programı

Bu yardımcı program 2008 sürümünden bu yana Windows Server'a dahil edilmiştir, RSAT paketinden kullanıcı bilgisayarlarına yüklenebilir (Araçlar uzaktan yönetim sunucu). Kullanmak için hedef sistemde oturum açın yerel yönetici ve şu komutu çalıştırın:

Netdom resetpwd /Sunucu:Etki AlanıDenetleyicisi /KullanıcıD:Yönetici /ŞifreD:Şifre

Komut seçeneklerine bakalım:

• sunucu- herhangi bir etki alanı denetleyicisinin adı
• KullanıcıD- etki alanı yöneticisi hesap adı
• ŞifreD- etki alanı yöneticisi şifresi

Komutun başarılı bir şekilde yürütülmesinden sonra, yeniden başlatma gerekli değildir, sadece yerel hesaptan çıkış yapın ve etki alanı hesabında oturum açın.

PowerShell 3.0 cmdlet'i

Netdom yardımcı programından farklı olarak PowerShell 3.0, Windows 8 / Server 2012'den beri dahil edilmiştir, daha eski sistemler için manuel olarak kurulabilir, Windows 7, Server 2008 ve Server 2008 R2 desteklenir. Bağımlılık olarak Net Framework 4.0 veya üstü gereklidir.

Aynı şekilde, güveni geri yüklemek istediğiniz sistemde yerel yönetici olarak oturum açın, PowerShell konsolunu başlatın ve şu komutu çalıştırın:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• sunucu- herhangi bir etki alanı denetleyicisinin adı
• Kimlik- alan adı / alan yöneticisi hesabı

Bu komut yürütüldüğünde, belirttiğiniz etki alanı yöneticisi hesabı için parolayı girmeniz gereken bir yetkilendirme penceresi görünecektir.

Cmdlet başarılı olduğunda herhangi bir mesaj görüntülemez, bu nedenle hesabınızı değiştirmeniz yeterlidir, yeniden başlatma gerekmez.

Gördüğünüz gibi, bir etki alanındaki güveni geri yüklemek oldukça basittir, asıl mesele bu sorunun nedenini doğru bir şekilde belirlemektir, çünkü farklı durumlar Gerekli olacak farklı yöntemler. Bu nedenle, tekrar etmekten bıkmıyoruz: herhangi bir sorun ortaya çıkarsa, ağda bulunan ilk talimatı dikkatsizce tekrarlamak yerine, önce nedenini belirlemeli ve ancak o zaman düzeltmek için önlemler almalısınız.