iT邦幫忙

0

AD網域登入三個星期後就無法登入了??

ad
hsinyh2002 5 年前9039 瀏覽

我們的公用電腦使用還原系統,所以client端不會被修改,但是每三個星期在這三個星期未登入AD網域過的使用者就無法登入網域,請問是有AD伺服器有未設定的參數嗎??

goodnight iT邦研究生 5 級 ‧ 5 年前 檢舉
建議還原檔在加入網域前備份, 還原後重新加入網域
10
folkdancer
iT邦新手 3 級 ‧ 5 年前
最佳解答

首先要確認的是,你的公用電腦使用的還原系統方式
如果是全機還原或是系統還原,那有可能是電腦帳號密碼變更的問題造成那台電腦在網域內失去作用,無法使用該電腦進行帳號密碼的驗証作業(等同該電腦沒有加入網域)
但是因為用戶端電腦本身有登入過的使用者會保存一份最近的帳號密碼表,就算在用戶端電腦不加入網域帳號的狀況下依然能夠進行登入(可以理解為已在該電腦登入過網域帳號的使用者,在無法連線AD的情況[例如無法連接網路]仍然可以使用舊有的帳號密碼進行登入
可以嘗試解決的方法如下
先將該電腦重新加入網域(可能需要先刪除該電腦於AD內的電腦帳號或是手動將該電腦重新成為單機)[在此之前請先停用該電腦的自動還原]
如果重新加入網域後正常那就應該是上述的問題
接下來就可以考慮是否停用該電腦帳號的定期變更問題,可參考底下幾個網頁
http://support.microsoft.com/kb/154501/zh-tw
http://technet.microsoft.com/zh-tw/library/cc785826(v=ws.10).aspx
或是採用其它方式還原電腦(例如避開Windows 安裝目錄不要還原之類,關於加入AD後用戶端會受影響的檔案不是很能100%確認,所以僅能提供可能的方向)

12
raytracy
iT邦大神 1 級 ‧ 5 年前

被加入網域的電腦, 請不要用整機還原的方式來復原.

電腦被加入網域之後, 會有一個內部參考的密碼表, 要跟 AD Server 同步, 這個密碼表每隔一段時間, 就會由系統自動變更, 而且同時變更 Server/Client 兩邊所持有的密碼表.

如果你將 Client 電腦整機還原, 結果把內建的密碼表, 還原到前一次的版本, 這時就會跟 Server 的密碼表不同步, Server 會認為這台電腦是偽造的, 於是主動阻斷服務.

若要在整機還原之後, 也讓密碼表同步的話, 有幾種方法:

  1. 製作還原影像的時間, 距離現在不可以超過 30 天以上.
  2. 若超過 30 天的話, 還原之後, 必須將電腦強制退出網域, 然後重新加入
4
mikechang
iT邦研究生 5 級 ‧ 5 年前

建議你的還原建立點 = 加入Domain之前
你機器還原好之後再進行加入Domain的動作

0
lingeem
iT邦新手 3 級 ‧ 5 年前

你Ghost完後有更新SID嗎?
參考一下這篇文
http://www.shunze.info/forum/thread.php?threadid=1061&boardid=3&sid=15c7787c0a56b9696f7033321b1e55ac&page=1

去找NEWSID.EXE這工具
GHOST完後先退出AD, 執行工具, 再重加入AD

花輪 iT邦大師 1 級 ‧ 5 年前 檢舉

NewSID 只能用到 XP 為止,較新的系統就沒用了,樓主沒說他的系統為何......
順便提醒一下~ XD

shihweiche iT邦新手 5 級 ‧ 5 年前 檢舉

SID建議沒事還是不要隨便更新,若是有些有用到加密(如EFS)的情形,那更新完之後大概就直接宣告陣亡了.這種具有unique特性的物件,就算電腦名稱完全相同,對Domain的環境來說,他還是完全不同的兩台機器.

0
magician
iT邦研究生 2 級 ‧ 5 年前

簡單的方法是 :
新電腦先做完ghost後再加入ad. 以後電腦有問題需ghost 直接ghost,再加入AD.
都不用怕sid跑掉.
記得加入AD後, 要去把舊的名稱刪除,或是要ghost前先退出AD

我要發表回答

立即登入回答