Виж темата - Има ли Windows Администратори тук

[k.milanov Профил]

Здравейте, колеги!

Ще започна с това че нямам много богат опит в администрирането на Windows. Изкарах 1-2 курсчета, но реален и практически опит имам малко.

Хванах се да помагам на приятел в една малка фирма , след като се скарали с предишният човек, които им е поддържал компютрите. Наследих всички, както той го е настройл. За момента всичко си ми работи създавам акаунти и shared drives, мрежовия принтер им работи и като цяло е това. Не се занимават с кой знае какви неща - Word, Excel, Outlook и Chrome. Друго не ползват.

Напоследък възниква една доста странна грешка, за която няма никакво инфо в мрежата. Тя гласи следното:

We can't sign you in with this credential, because your domain isn't available. Make sure your device is connected to your organization's network and try again. If you previously signed in on this device with another credentials, you can sign in with that credential.

Във форума на Microsoft има тема, но без адекватен отговор вече година и половина:
https://answers.microsoft.com/en-us/win ... 8ec9d99352

Сега малко повече, за това кога се появява грешката. Имам само един админски акаунт, другите служители няматадмински права, за да не си качват всевъзможни простотии. Тази грешка се появява, когато трябва да инсталирам нещо и се изискват админ правата. Вкарвам си акаунта и паролата и бам това излиза. Пробвах по всевъзможни начини само потребителско име и парола или пък с домейн\потребителско име не става.
Същата грешка излиза и когато някой иска да се логне на друг компютър. Излиза със стари и с нови акаунти. Пробвах дори да създам втори админски - пак без промяна.

Компютрите са вързани в мрежа ( друг човек си я е изградил и там няма проблеми ) за DHCP се полва рутера, на всички компютри DNS е IPто на DC. Това става и с LAN и с Wi-Fi.

За съжаление компютрите нямат локален админски акаунт и тъй като излиза тази грешка не мога да създам такъв. Също така не мога да ги махна от домейна и да ги върна - пак иска админски права.

В AD съм ресетнал акаунта на компютрите пак не помага.

Пусках компютрите във всички възможни Safe Mode вариации и пак няма промяна.

В крайна сметка единия компютър го преинсталирах и разбира се се оправи, а втория го ресетнах през вграденото меню на Windows и това също помогна.

Днес трябваше да инсталираме една програмка на трети компютър и за съжаление отново тази грешка се появи


Въпросът ми към вас е има ли адекватно решение на този проблем? Защо се появява? Не може да преинсталирам машини до без край

Благодаря за отделеното време и ме извинете, ако темата не е ок за форума

[andy Профил]

Трябва да ги изкараш и вкараш наново в домейна. Трябва да има локал админ акаунт. По скоро не го знаеш. Локален юзър нямаш ли, дори и да не е админ? През него ще го изкараш от домейна и после ще го вкараш, като ти поиска юзер и админ пасс за да го вкараш.

[k.milanov Профил]

Имат да, не се изразих правилно в Computer Management го виждам, но не му знам паролата. Предишния човек няма да я каже най-вероятно, защото не поддържат връзка с него. Пробвах с паролите, които ми е оставил, не е никоя от тях.

Написах си едно скриптче от 2-3 реда и го пуснах на всички компютри, които нямат грешката и си създадох нов локален админ акаунт.

Друго решение освен махане от домейна и връщане има ли? Ако създам локален акаунт, било то и не админски не ми се вярва да мога да го махна от домейна с него или ще стане? Въпроса е дали създаването на локален акаунт няма да иска админско cmd

[andy Профил]

Не спомена с какъв джам са ПС-та?

[astrapower Профил]

Винаги можеш да добавиш локален админски акаунт и с него да "извадиш" пц-то от домейн контролера. Каква е ОС-а на пц-тата? Ето вариант за ресетване на локалния админ за уиндоус 8. Не че няма и други варианти за това.

След като имаш локални админ. права изкарвай от домейна после rejoin. Пробвай с едно пц, между другото му забрани мрежата или директно откачи мрежовия кабел когато го изкарваш от домейна.
Като ги реджойнеш ще си възстановят компютърните акаунти и ще си ОК.

[andy Профил]

Аз за това попитах с каква операционна с-ма са.
Вече има за Win8 от колегата

това е за WIN 7
https://www.howtogeek.com/96630/how-to- ... -easy-way/

Процедурата е една и съща но се пипа различен файл, според уиндоуса.

[kolp Профил]

ако локалната парола е сложена с ГПО, има начин да се експлойтне през sysvol шер-а.

https://www.pentestpartners.com/securit ... rivileges/
https://adsecurity.org/?p=2362
https://adsecurity.org/?p=2288

макар че и на мен първото ми предположение би било че е счупена връзката с домейна. това е най честата причина за подобен род грешки и не се оправя с ресет на компютърния акаунт. трябва да се махне и пак да се сложи в домейна, за махане мисля че не ти трябваше ДА права, за вкарване може с обикновен юзър, до 10 обекта мисля че беше в default domain policy-то, ако не е пипано. не се разбра ДА ли си или не, ама за да питаш тези работи, май по-скоро не си

[astrapower Профил]

Казва че има домейн админ. акаунт, но в случая не е ясно дали GPO-то ще сработи, поради неясния статус на компютърния акаунт в домейна. Според мен е "счупен", не е като да не се е случвало.

[Един Профил]

Я на първо време свери часовниците на всички компютри по този на домейн контролера.

[andy Профил]

Според мен колегата е пипал по полиците на домейна и за това са се омотали нещата. За толкова години никога не са се скапвали така ПС-та без намеса.
Ако примерно се ресторва имидж се налага изл/влиз в домейна за да тръгнат нещата както трябва и др.

[Cyberloner Профил]

Колегите са ти казали да го изкараш и вкараш от домейна. Часовника също е възможна прична, макар че ако има връзка с интернет би трябвало да си се синхронизира и да няма драми.
Мрежите провери ли ги(ping, telnet на АД портовете)?
Каза малка фирма ама да не е имало някой талантлив админ да се заиграва с firewall и да е блокирал АД портовете?
Ресет на компютърния акаунт аз поне освен за VDI workers не съм виждал да помага.
Да сте сменяли антивирусната скоро?

Процедурата иначе е: вадиш машината от домейна-> Ресет на компютрния акаунт(Може и да го изтриеш ако няма 293829482 group memberships) -> Вкарваш машината в домейна

Ако искаш дай един dump на event logs и gpresult и да го помислим.

[andy Профил]

Мрежата не е нужна за да се логне с домейн акаунт (стига ПС-то да не се логва за 1 път), ако всичко е наред.

п.с. колегата така и не каза с какъв джам са ПС-та?

[Cyberloner Профил]

Ако до сега не се е логвал с дадения домейнски акаунт на тая машина и мрежата не е ОК, то няма да може, нищо че щайгата може да е в домейна от преди това. Просто не може да се свърже с ДК и няма кой да го authenticate.
Нека пусне и един nslookup, няма да е лошо и echo %logonserver% за да е сигурно

[k.milanov Профил]

Благодаря за бързите отговори.

Компютрите са с Windows 10 Pro. На сървъра върви Windows Server 2016.
GPO-та няма никакви нови, вече друг е въпроса дали не са разбазикани стандартните. Също така това се случи първо на 2 от 11 компютъра. На другите няма грижи. Всички са с един и същ имидж и последния им ъпдейт е един и същ.
Сега проблема възникна на един лаптоп ( за който дори не знаех ) , там по мога да си обясня, защото се е счупила връзката с Домейна. Нямат VPN и този лаптоп, я някога е идвал в корпоративната мрежа, я не.
Не сме сменяли антивирусна, на всички компютри часовника е ОК, трябва да видя на DC-то дали не е мръднал нещо.
Мрежово всичко е идеално, компютрите си пингват DC-то по име и по IP. Tracert си върви всичко изглежда ок.

Аз също смятам, че поради някаква причина се чупи връзката и реално си помни локалните креденшъли, а не ги взима от AD, защото като пробвам с друг юзър дори не се замисля, давам ентер и вече излиза грешката. Не съм пробвал да се логна с друг акаунт, които се е логвал, но и да стане пак същото дередже - няма админ права

Днес пробвах да дам админски права remotely през Computer Management , но пак даде някаква грешка. Предполагам, че не е разрешено просто.

Тези дни ще пробвам да дам на юзъра временно само за пробата domain admin права и да го махна от домейна. Съмнява ме да се получи, но ще пробвам и това.
Ще пусна и nslookup и echo %logonserver% и ще постна резултатите.




Разцъках това, което сте ми пратили, но все още не разбирам как да добавя админски акаунт, без елевейтнато CMD или пък да сменя паролата на досегашен такъв.

[astrapower Профил]

Пусни един cmd прозорец и пробвай на работеща и съответно неработеща машина какво се случва след : gpupdate /force
Би трябвало да изглежда горе-долу така:

C:\Users\xxxxxxxxxxxx>gpupdate /force
Updating Policy...

User Policy update has completed successfully.
Computer Policy update has completed successfully.

ПС: За това не ти трябват админ. права.