• hjem
  •  > 
  • Diske og filer
  •  > 
  • Vi genopretter tilliden til domænet. Krænkelse af tillid mellem arbejdsstation og domænecontroller (løsning)

Vi genopretter tilliden til domænet. Krænkelse af tillid mellem arbejdsstation og domænecontroller (løsning)

Med fejlen "Det var ikke muligt at etablere et tillidsforhold mellem dette arbejdsstation og hoveddomænet" alle skal møde fra tid til anden systemadministrator. Men ikke alle forstår årsagerne og mekanismerne til de processer, der fører til dens forekomst. For uden at forstå betydningen af ​​aktuelle begivenheder er meningsfuld administration umulig, som erstattes af tankeløs udførelse af instruktioner.

Computerkonti er ligesom brugerkonti domænesikkerhedsprincipper. Hver sikkerhedsprincipal tildeles automatisk en sikkerhedsidentifikator (SID), på hvilket niveau den kan få adgang til domæneressourcer.

Før du giver en konto adgang til et domæne, skal du bekræfte dets ægthed. Hver sikkerhedsdeltager skal have sin egen konto og adgangskode er computerkonto ingen undtagelse. Når du tilslutter en computer til Active Directory der oprettes en konto af typen "Computer" til den, og der sættes en adgangskode. Tillid på dette niveau sikres ved, at denne operation udføres af en domæneadministrator eller anden bruger med eksplicit autoritet til at gøre det.

Efterfølgende, hver gang computeren logger ind på domænet, etablerer den en sikker kanal med domænecontrolleren og giver den sine legitimationsoplysninger. Der etableres således et tillidsforhold mellem computeren og domænet, og der sker yderligere interaktion iht installeret af administratoren sikkerhedspolitikker og adgangsrettigheder.

Computerkontoens adgangskode er gyldig i 30 dage og ændres automatisk derefter. Det er vigtigt at forstå, at adgangskodeændringen initieres af computeren. Dette svarer til processen med at ændre en brugeradgangskode. Efter at have opdaget, at den nuværende adgangskode er udløbet, vil computeren erstatte den, næste gang du logger ind på domænet. Selvom du ikke har tændt for computeren i flere måneder, forbliver tillidsforholdet i domænet derfor, og adgangskoden bliver ændret første gang du logger ind efter en længere pause.

Tilliden brydes, når en computer forsøger at godkende til et domæne med en ugyldig adgangskode. Hvordan kan dette ske? Den nemmeste måde er at rulle computerens tilstand tilbage, for eksempel ved at bruge et standardværktøj til systemgendannelse. Den samme effekt kan opnås ved gendannelse fra et billede, snapshot (for virtuelle maskiner) og så videre.

En anden mulighed er at ændre kontoen med en anden computer med samme navn. Situationen er ret sjælden, men nogle gange sker det, for eksempel når en medarbejders pc blev ændret, mens navnet blev gemt, den gamle blev fjernet fra domænet, og så blev de genindført til domænet, og glemte at omdøbe det. I dette tilfælde, når den gamle pc genindlæses i domænet, vil den ændre adgangskoden til computerens konto, og den nye pc vil ikke længere være i stand til at logge på, da den ikke vil være i stand til at etablere et tillidsforhold.

Hvilke handlinger skal du tage, hvis du støder på denne fejl? Først og fremmest skal du fastslå årsagen til overtrædelsen tillidsforhold. Hvis det var en tilbagerulning, så af hvem, hvornår og hvordan det blev udført; hvis adgangskoden blev ændret af en anden computer, skal vi igen finde ud af, hvornår og under hvilke omstændigheder dette skete.

Simpelt eksempel: gammel computer omdøbt og overført til en anden afdeling, hvorefter der opstod en fejl, og den rullede automatisk tilbage til sidste kontrolpunkt. Hvorefter denne pc vil forsøge at autentificere i domænet under det gamle navn og vil naturligvis modtage en fejl, der etablerer et tillidsforhold. Med de rigtige handlinger i dette tilfælde vil du omdøbe computeren, som den skal hedde, oprette et nyt kontrolpunkt og slette de gamle.

Og først efter at have sikret sig, at krænkelsen af ​​tilliden var forårsaget objektivt nødvendige handlinger og det er for denne computer, du kan begynde at genoprette tilliden. Der er flere måder at gøre dette på.

Active Directory-brugere og -computere

Dette er den enkleste, men ikke den hurtigste og bekvem måde. Åbn snap-in'en på enhver domænecontroller Brugere og Aktive computere Vejviser, find den nødvendige computerkonto og ved at klikke Højreklik mus, vælg Nulstil konto.

Så logger vi ind på den computer, der har mistet tillidsforholdet under lokal administrator og fjern maskinen fra domænet.

Så indtaster vi det igen; du kan springe genstarten over mellem disse to handlinger. Efter genindtastning af domænet, genstart og log ind under en domænekonto. Computerens adgangskode vil blive ændret, når computeren genføjes til domænet.

Ulempen ved denne metode er, at maskinen skal tages ud af domænet, samt behovet for to (én) genstart.

Netdom værktøj

Dette hjælpeprogram er inkluderet i Windows Server fra udgave 2008 kan den installeres på bruger-pc'er fra RSAT-pakken (Værktøjer fjernadministration server). For at bruge det skal du logge ind på målsystemet lokal administrator og kør kommandoen:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Adgangskode

Lad os se på kommandomulighederne:

  • Server- navn på enhver domænecontroller
  • BrugerD- domæneadministratorkontonavn
  • AdgangskodeD- domæneadministratoradgangskode

Når kommandoen er fuldført med succes, kræves ingen genstart, bare log ud af din lokale konto og log ind på din domænekonto.

PowerShell 3.0 cmdlet

I modsætning til Netdom-værktøjet er PowerShell 3.0 inkluderet i systemet fra Windows 8 / Server 2012, for ældre systemer kan det installeres manuelt, Windows 7, Server 2008 og Server 2008 R2 understøttes. Påkrævet som afhængighed Net Framework ikke lavere end 4,0.

På samme måde skal du logge ind på det system, som du skal gendanne tillidsforhold til som lokal administrator, køre PowerShell konsol og kør kommandoen:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • Server- navn på enhver domænecontroller
  • Legitimationsoplysninger- domænenavn / domæneadministratorkonto

Når du udfører denne kommando, vises et autorisationsvindue, hvor du skal indtaste adgangskoden til den domæneadministratorkonto, du har angivet.

Cmdlet'en viser ingen meddelelse, når den er fuldført, så skift blot kontoen, ingen genstart er påkrævet.

Som du kan se, er det ret simpelt at genoprette tillidsforhold i et domæne; det vigtigste er at fastslå årsagen til dette problem korrekt, da forskellige sager vil være påkrævet forskellige metoder. Derfor bliver vi aldrig trætte af at gentage: Når der opstår et problem, skal du først identificere årsagen og først derefter træffe foranstaltninger til at rette den, i stedet for tankeløst at gentage den første instruktion, der findes på netværket.

Ligesom brugerkonti har computerkonti i et domæne deres egen adgangskode. Denne adgangskode er nødvendig for at etablere det såkaldte "tillidsforhold" mellem arbejdsstationen og domænet. Adgangskoder til computere genereres automatisk og ændres også automatisk hver 30. dag.

Domænet gemmer den aktuelle computeradgangskode, såvel som den forrige, for en sikkerheds skyld :) Hvis adgangskoden ændres to gange, bruger computeren Gammelt kodeord, vil ikke være i stand til at godkende til domænet og installere sikker forbindelse. Adgangskodedesynkronisering kan forekomme pga forskellige årsager, for eksempel blev computeren gendannet fra en sikkerhedskopi, operativsystemet blev geninstalleret på den, eller det var simpelthen i lang tid slukket. Som et resultat vil vi, når vi forsøger at logge ind på domænet, modtage en besked om, at der ikke kan etableres et tillidsforhold til domænet.

Der er flere måder at genoprette tilliden på. Lad os se på dem alle i rækkefølge.

Metode et

Åbn "Active Directory-brugere og -computere"-snap-in og find i den den rigtige computer. Klik på den højre tast mus og kontekstmenu vælg punktet "Nulstil konto". Så går vi til computeren under en lokal konto og indtaster den igen i domænet.

Denne metode er ret besværlig og langsom, fordi... kræver en genstart, men virker 100% af tiden.

Metode to

Vi går til den computer, der skal nulstille adgangskoden, åbn kommandokonsol sørg for at køre som administrator og indtast kommandoen:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

hvor SRV1 er domænecontrolleren, er Administrator den administrative konto i domænet. Derudover kan du angive parameteren /SecurePasswordPrompt, som angiver at vise en adgangskodeanmodning i en speciel form.

Indtast brugeroplysningerne i det vindue, der åbnes, og klik på OK. Adgangskoden er blevet nulstillet, og du kan nu logge ind på din computer ved hjælp af en domænekonto. Ingen genstart er påkrævet.

Interessant nok siger brugsvejledningen og hjælpen, at kommandoen Netdom Resetpwd kun kan bruges til at nulstille adgangskoden på en domænecontroller; andre anvendelser understøttes ikke. Dette er dog ikke tilfældet, og teamet nulstiller også adgangskoder på medlemsservere og arbejdsstationer.

Du kan også bruge Netdom til at tjekke for en sikker forbindelse til domænet:

Netdom Bekræft WKS1 /Domæne:Contoso.com /UserO:Administrator /PasswordO:*

Eller nulstil din computerkonto:

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

hvor WKS1 er den arbejdsstation, som vi nulstiller kontoen med.

Metoden er ret hurtig og effektiv, men der er én ting: Som standard er Netdom-værktøjet kun tilgængeligt på servere med rolle aktiv Directory Domain Services (AD DS). På klientmaskiner den er tilgængelig som en del af Remote Server Administration Tools (RSAT).

Metode tre

Et andet værktøj kommandolinje- Nltest. Kør følgende kommandoer på den computer, der har mistet tilliden:

Nltest/forespørgsel - kontrollere en sikker forbindelse til domænet;

Nltest /sc_reset:Contoso.com - nulstil computerkontoen i domænet;

Nltest /sc_change_pwd:Contoso.com - ændre din computers adgangskode.

Den hurtigste og overkommelig måde, fordi Nltest-værktøjet er tilgængeligt som standard på enhver arbejdsstation eller server. Men i modsætning til Netdom, som kræver, at du indtaster legitimationsoplysninger, kører Nltest i sammenhæng med, at brugeren kører det. Hvis du logger på din computer under en lokal konto og prøver at udføre en kommando, kan du derfor modtage en adgangsfejl.

Metode fire

PowerShell kan også nulstille din computeradgangskode og gendanne en sikker forbindelse til domænet. Der er en cmdlet Test-ComputerSecureChannel til dette formål. . Startet uden parametre, vil den vise status for den sikre kanal - Sand eller Falsk.

For at nulstille computerkontoen og den sikre kanal kan du bruge følgende kommando:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

hvor SRV1 er domænecontrolleren (ikke påkrævet).

Du kan også bruge denne kommando til at nulstille din adgangskode:

Nulstil-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Metoden er hurtig og bekvem og kræver ikke en genstart. Men også her er der nogle særheder. -Credential-nøglen dukkede op for første gang i PowerShell 3.0. Uden denne parameter blev en cmdlet startet fra lokal bruger, giver en adgangsfejl. Det viser sig at denne metode kan kun bruges på Windows 8 og Server 2012, fordi PowerShell 3.0 endnu ikke er tilgængelig for andre operativsystemer.

Som du kan se, er der mere end nok måder at genoprette tilliden på. Men hvis problemet bliver permanent, så er det lettere at nærme sig dets løsning fra den anden side.

Ændring af din computers adgangskodeindstillinger

Ændring af et domæneadgangskode gøres som følger:

Hver 30. dag sender arbejdsstationen en anmodning til den nærmeste domænecontroller om at ændre adgangskoden til computerkontoen. Controlleren accepterer anmodningen, adgangskoden ændres, og derefter overføres ændringerne til alle controllere i domænet ved næste replikering.

Nogle indstillinger for ændring af adgangskode kan ændres. For eksempel kan du ændre tidsintervallet eller helt deaktivere ændring af adgangskoder. Dette kan gøres for individuelle computere og for grupper.

Hvis indstillingerne skal anvendes på en gruppe af computere, så er den nemmeste måde at bruge gruppepolitik. Indstillingerne, der er ansvarlige for at ændre adgangskoder, er placeret i afsnittet Computerkonfiguration - Politikker - Windows-indstillinger - Sikkerhedsindstillinger - Lokale politikker - Sikkerhedsindstillinger. Vi er interesserede i følgende parametre:

Deaktiver ændring af adgangskode til maskinkonto- deaktiverer anmodningen om at ændre adgangskoden på den lokale maskine;

Maksimal alder for maskinkontoadgangskode- definerer maksimal løbetid handlinger med computerens adgangskode. Denne indstilling bestemmer, hvor ofte et domænemedlem vil forsøge at ændre adgangskoden. Standardperioden er 30 dage, maksimum kan indstilles til 999 dage;

Afvis ændringer af adgangskode til maskinens konto- forbyder ændring af adgangskoden på domænecontrollere. Hvis denne parameter er aktiveret, vil controllere afvise computeranmodninger om at ændre adgangskoden.

For en enkelt maskine kan du bruge indstillingerne i registreringsdatabasen. For at gøre dette er der to parametre i afsnittet:

DeaktiverPasswordChange- hvis lig med 1, så er anmodningen om at opdatere computerens adgangskode deaktiveret, 0 - aktiveret.

Maksimal adgangskodealder - bestemmer den maksimale gyldighedsperiode for en computeradgangskode i dage. Hvis det ønskes, kan du indstille mere end 1 million dage!!!

Og i afsnittet HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, kun for domænecontrollere, parameter:

AfvisPasswordChange- hvis lig med 1, forbyder domænecontrolleren at acceptere en anmodning om at ændre adgangskoden. Denne parameter skal indstilles på alle controllere i domænet.

Det lader til at handle om tillidsfulde forhold. Som du kan se, er tillid til et domæne en delikat ting, så prøv ikke at miste det.

En af de periodiske fejl, som en systemadministrator skal håndtere, er fejlen "Det var ikke muligt at etablere et tillidsforhold mellem denne arbejdsstation og hoveddomænet." Denne fejl vises, når en bruger forsøger at logge ind på systemet, indtaster et brugernavn og en adgangskode og i sidste ende modtager denne besked. I de fleste tilfælde involverer dette at rulle systemet tilbage til en tidligere tilstand.

Hvad er årsagen til denne adfærd? Faktum er, at en computerkonto, der er forbundet med et domæne, tildeles en sikkerhedsidentifikator (SID) på det niveau, hvor der gives adgang til domænet, samt en adgangskode, der automatisk ændres hver 30. dag uden brugerindblanding.

Altså i genopretningsøjeblikket kontrolpunkt, kan systemet gendannes til det øjeblik, hvor den gamle adgangskode stadig var i kraft, og når der oprettes forbindelse til et domæne, vil adgangskoden på arbejdsstationen og domænecontrolleren være anderledes, hvilket vil forårsage fejlen "Det var ikke muligt at etablere en tillidsforhold mellem denne arbejdsstation og hoveddomænet." I denne situation er det nødvendigt at sikre, at disse adgangskoder matcher!

På trods af dette kan der stadig opnås adgang til arbejdsstationen; for at gøre dette skal du deaktivere netværkskabel fra computeren og indtast adgangskoden igen. Som et resultat vil der simpelthen ikke være nogen steder at sende dataene til verifikation, og systemet vil lade dig komme ind, da du har indtastet adgangskoden til din konto korrekt. Derefter forbinder vi kablet og arbejder. Men dette er ikke en løsning på problemet, da du hver gang skal udføre disse manipulationer såvel som visse funktioner vil ikke virke.

Der er flere metoder, der giver dig mulighed for at gøre dette, den enkleste er at fjerne arbejdsstationen fra domænet og derefter registrere den igen. For at gøre dette skal du først fjerne computeren fra domænet ved at oprette forbindelse til en vilkårlig arbejdsgruppe (Denne computer\RMB\Egenskaber\Computernavn, domænenavn og indstillinger arbejdsgruppe\ Skift indstillinger \ Skift \ Er medlem af en arbejdsgruppe \ 123 \ OK ), og opret forbindelse tilbage ved at indtaste domænenavnet og genstarte.

Disse handlinger bør udføres under en lokal administrator, da du måske simpelthen ikke får adgang under en domæneadministratorkonto! I denne situation, hvis du ikke kender den lokale administratoradgangskode, bliver du nødt til at nulstille denne adgangskode. Jeg har allerede talt om dette i lektionen Nulstilling af Windows XP Vista 7 2003 2008-kontoadgangskoden og Nulstilling af Windows 7-administratoradgangskoden

Selvom nogle anbefaler, at for at løse fejlen "Det var ikke muligt at etablere et tillidsforhold mellem denne arbejdsstation og hoveddomænet" i fremtiden, deaktiver Startup Repair-tjenesten helt, så tilbagerulningen ikke sker i automatisk tilstand. Men her ville jeg være forsigtig og udføre denne nedlukning som en sidste udvej, for ikke at reducere mængden af ​​midler til at genoprette ydeevne, når mulige fejl på arbejde. Under alle omstændigheder, hvis tilbagerulningen udføres periodisk, er det bedre ikke at deaktivere tjenesten, men at forstå essensen af ​​problemet!

Der kan være en situation, hvor en computer ikke kan godkende til et domæne. Her er nogle eksempler:

  • Efter geninstallation af operativsystemet på en arbejdsstation, kan maskinen ikke godkende selv ved at bruge det samme computernavn. Fordi i processen ny installation OS genereres SID identifikator og computeren kender ikke adgangskoden til computerobjektkontoen i domænet, den tilhører ikke domænet, og den kan ikke godkendes til domænet.
  • Computeren er blevet fuldstændig gendannet fra en sikkerhedskopi og kan ikke godkendes. Computerobjektet kan have ændret sin domæneadgangskode efter arkivering. Computere ændrer deres adgangskoder hver 30. dag, og strukturen Active Directory husker den nuværende og forrige adgangskode. Hvis det blev genoprettet sikkerhedskopi computer fra lang tid siden forældet adgangskode, vil computeren ikke være i stand til at godkende.
  • Hemmelighed LSA computeren har ikke synkroniseret med en adgangskode kendt af domænet i lang tid. De der. computeren glemte ikke adgangskoden - det er bare, at denne adgangskode ikke svarer til den rigtige adgangskode på domænet. I dette tilfælde kan computeren ikke godkendes, og der oprettes ikke en sikker kanal.

Hovedtræk mulige problemer computer konto:

  • Domænelogon-meddelelser angiver, at computeren ikke var i stand til at kommunikere med domænecontrolleren, at computerkontoen mangler, forkert kodeord computerkontoen eller tilliden (sikker forbindelse) mellem computeren og domænet går tabt.
  • Meddelelser eller hændelser i hændelsesloggen, der indikerer lignende fejl eller foreslår problemer med adgangskoder, tillidsforhold, sikre kanaler eller kommunikation med domæne- eller domænecontrolleren. En sådan fejl er Authentication Failure med fejlkode 3210 i computerhændelsesloggen.
  • Der er ingen computerkonto i Active Directory.

Hvordan behandler man?

Du skal geninstallere din computerkonto. Der er anbefalinger online til sådan en geninstallation: Fjern computeren fra domænet, og tilslut den derefter igen. Ja det virker, men denne mulighed Det anbefales ikke at gøre dette, fordi SID-id'et og computerens arbejdsgruppemedlemskab går tabt.

Derfor er det nødvendigt at gøre dette :

Åbn Active Directory-snap-in'et, vælg Brugere og computere, højreklik på computerobjektet og brug kommandoen Nulstil konto. Herefter skal computeren tilsluttes til domænet igen og genstartes.

Brug af en konto relateret til lokal gruppe"Administratorer":

netdom nulstil Maskinnavn /domæne Domænenavn /Bruger Brugernavn /Passwordo (Adgangskode | *)

På en computer, hvor tilliden er gået tabt:

nltest /server:Servernavn /sc_reset:DOMAIN\Domain_controller

Når jeg prøver at logge ind på en domænebrugerkonto, viser computeren "Der kunne ikke etableres et tillidsforhold mellem denne arbejdsstation og det primære domæne" og ingen muligheder. Det er okay, hvis dette skete på én computer, men det kan ske, at det skete på alle computere i domænet på samme tid! Dette er atas!!!

Hvorfor sker dette:

Computerkonti er ligesom brugerkonti domænesikkerhedsprincipper. Hver sikkerhedsprincipal tildeles automatisk en sikkerhedsidentifikator (SID), på hvilket niveau den kan få adgang til domæneressourcer.

Før du giver en konto adgang til et domæne, skal du bekræfte dets ægthed. Hver sikkerhedsdeltager skal have sin egen konto og adgangskode, og en computerkonto er ingen undtagelse. Når du tilslutter en computer til Active Directory, oprettes der en computerkonto til den, og der angives en adgangskode. Tillid på dette niveau sikres ved, at denne handling udføres af en domæneadministrator eller en anden bruger, der har eksplicit autoritet til at gøre det.

Efterfølgende, hver gang computeren logger ind på domænet, etablerer den en sikker kanal med domænecontrolleren og giver den sine legitimationsoplysninger. Der etableres således et tillidsforhold mellem computeren og domænet, og yderligere interaktion sker i overensstemmelse med de sikkerhedspolitikker og adgangsrettigheder, der er fastsat af administratoren.

Computerkontoens adgangskode er gyldig i 30 dage og ændres automatisk derefter. Det er vigtigt at forstå, at adgangskodeændringen initieres af computeren. Dette svarer til processen med at ændre en brugeradgangskode. Efter at have opdaget, at den nuværende adgangskode er udløbet, vil computeren erstatte den, næste gang du logger ind på domænet. Selvom du ikke har tændt for computeren i flere måneder, forbliver tillidsforholdet i domænet derfor, og adgangskoden bliver ændret første gang du logger ind efter en længere pause.

Tilliden brydes, når en computer forsøger at godkende til et domæne med en ugyldig adgangskode. Hvordan kan dette ske? Den nemmeste måde er at rulle computerens tilstand tilbage, for eksempel ved at bruge et standardværktøj til systemgendannelse. Den samme effekt kan opnås ved gendannelse fra et billede, snapshot (til virtuelle maskiner) osv.

En anden mulighed er at ændre kontoen med en anden computer med samme navn. Situationen er ret sjælden, men nogle gange sker det, for eksempel når en medarbejders pc blev ændret, mens navnet blev gemt, den gamle blev fjernet fra domænet, og så blev de genindført til domænet, og glemte at omdøbe det. I dette tilfælde, når den gamle pc genindlæses i domænet, vil den ændre adgangskoden til computerens konto, og den nye pc vil ikke længere være i stand til at logge på, da den ikke vil være i stand til at etablere et tillidsforhold.

Der er flere måder at genoprette tilliden på, som kan findes på ovenstående websted. Jeg gjorde dette:

Netdom værktøj

Dette værktøj har været inkluderet i Windows Server siden 2008-udgaven; det kan installeres på bruger-pc'er som en del af RSAT-pakken (Remote Server Administration Tools). For at bruge det skal du logge ind på målsystemet lokal administrator og kør kommandoen:

netdom resetpwd/ Server:DomainController /UserD:Administrator /PasswordD:Adgangskode

Lad os se på kommandomulighederne:

  • Server— navnet på enhver domænecontroller
  • BrugerD- domæneadministratorkontonavn
  • AdgangskodeD- domæneadministratoradgangskode

Metoden er ret hurtig og effektiv, men der er én hak: Som standard er Netdom-værktøjet kun tilgængeligt på servere med Active Directory Domain Services (AD DS)-rollen installeret. På klientmaskiner er det tilgængeligt som en del af RSAT-fjernadministrationspakken (Remote Server Administration Tools).

Nltest-værktøj (synes mere praktisk, men jeg har ikke prøvet det)

Dette hjælpeprogram findes på enhver arbejdsstation eller server. Men i modsætning til Netdom, som kræver, at du indtaster legitimationsoplysninger, kører Nltest i sammenhæng med, at brugeren kører det. Hvis du logger på din computer under en lokal konto og prøver at udføre en kommando, kan du derfor modtage en adgangsfejl.

Nltest/forespørgsel - kontrollere en sikker forbindelse til domænet;

Nltest /sc_reset: Dit_domæne.net - nulstil computerkontoen i domænet;

Nltest /sc_change_pwd: Dit_domæne.net - ændre din computers adgangskode.