Przywracamy zaufanie do domeny. Naruszenie zaufania pomiędzy stacją roboczą a kontrolerem domeny (rozwiązanie)

Z błędem „Nie można było ustanowić relacji zaufania między tym stacja robocza i domena główna, z którą każdy od czasu do czasu musi się zmierzyć Administrator systemu. Nie każdy jednak rozumie przyczyny i mechanizmy procesów prowadzących do jego wystąpienia. Bo bez zrozumienia znaczenia bieżących wydarzeń niemożliwe jest sensowne administrowanie, które zastępuje bezmyślne wykonywanie poleceń.

Konta komputerów, podobnie jak konta użytkowników, są podmiotami zabezpieczeń domeny. Każdemu podmiotowi zabezpieczeń automatycznie przypisywany jest identyfikator zabezpieczeń (SID), na którym może uzyskać dostęp do zasobów domeny.

Zanim przyznasz kontu dostęp do domeny, musisz zweryfikować jej autentyczność. Każdy uczestnik bezpieczeństwa musi mieć swój konto i hasło, konto komputera nie jest wyjątkiem. Podczas podłączania komputera do Aktywny katalog tworzone jest dla niego konto typu „Komputer” i ustalane jest hasło. Zaufanie na tym poziomie zapewnia fakt, że tę operację wykonywane przez administratora domeny lub innego użytkownika posiadającego do tego wyraźne uprawnienia.

Następnie za każdym razem, gdy komputer loguje się do domeny, ustanawia bezpieczny kanał z kontrolerem domeny i udostępnia mu swoje dane uwierzytelniające. W ten sposób ustanawiana jest relacja zaufania pomiędzy komputerem a domeną i dalsza interakcja następuje zgodnie z zainstalowany przez administratora polityki bezpieczeństwa i prawa dostępu.

Hasło do konta komputera jest ważne przez 30 dni i po tym czasie jest automatycznie zmieniane. Ważne jest, aby zrozumieć, że zmiana hasła jest inicjowana przez komputer. Przypomina to proces zmiany hasła użytkownika. Po wykryciu, że aktualne hasło wygasło, komputer zastąpi je przy następnym logowaniu do domeny. Dlatego nawet jeśli nie włączałeś komputera przez kilka miesięcy, relacja zaufania w domenie pozostanie, a hasło zostanie zmienione przy pierwszym logowaniu po dłuższej przerwie.

Zaufanie zostaje zerwane, gdy komputer próbuje uwierzytelnić się w domenie przy użyciu nieprawidłowego hasła. Jak to się może stać? Najłatwiej jest przywrócić stan komputera, na przykład za pomocą standardowego narzędzia do przywracania systemu. Ten sam efekt można uzyskać przy przywracaniu z obrazu, migawki (np wirtualne maszyny) i tak dalej.

Inną opcją jest zmiana konta na inny komputer o tej samej nazwie. Sytuacja jest dość rzadka, ale czasami zdarza się, że np. gdy pracownikowi zmieniono komputer PC, a nazwa została zapisana, stary został usunięty z domeny, a następnie został on ponownie wprowadzony do domeny, zapominając o zmianie jej nazwy. W takim przypadku, gdy stary komputer zostanie ponownie wprowadzony do domeny, zmieni hasło do konta komputera, a nowy komputer nie będzie mógł się już zalogować, ponieważ nie będzie mógł nawiązać relacji zaufania.

Jakie działania należy podjąć, jeśli napotkasz ten błąd? Przede wszystkim należy ustalić przyczynę naruszenia relacje zaufania. Jeśli było to wycofanie, to przez kogo, kiedy i jak zostało wykonane; jeśli hasło zostało zmienione przez inny komputer, to znowu musimy dowiedzieć się, kiedy i w jakich okolicznościach to się stało.

Prosty przykład: stary komputer przemianowany i przeniesiony do innego działu, po czym nastąpiła awaria i automatycznie cofnięto się do ostatniego punktu kontrolnego. Po czym ten komputer będzie próbował uwierzytelnić się w domenie pod starą nazwą i oczywiście otrzyma błąd ustanawiania relacji zaufania. Z właściwymi działaniami w takim przypadku zmienisz nazwę komputera na taką, jaką powinien się nazywać, utworzysz nowy punkt kontrolny i usuniesz stare.

I dopiero po upewnieniu się, że naruszenie zaufania zostało spowodowane obiektywnie niezbędne działania i to właśnie dla tego komputera możesz zacząć przywracać zaufanie. Można to zrobić na kilka sposobów.

Użytkownicy i komputery usługi Active Directory

Jest to najprostszy, ale nie najszybszy i wygodnym sposobem. Otwórz przystawkę na dowolnym kontrolerze domeny Użytkownicy i Aktywne komputery Informator, znajdź wymagane konto komputera i klikając kliknij prawym przyciskiem myszy mysz, wybierz Zresetuj konto.

Następnie logujemy się na komputerze, na którym utraciliśmy relację zaufania administrator lokalny i usuń maszynę z domeny.

Następnie wprowadzamy go z powrotem; możesz pominąć ponowne uruchomienie pomiędzy tymi dwiema czynnościami. Po ponownym wejściu do domeny uruchom ponownie komputer i zaloguj się na konto domeny. Hasło komputera zostanie zmienione po ponownym przyłączeniu komputera do domeny.

Wadą tej metody jest konieczność wyjęcia maszyny z domeny i konieczność wykonania dwóch (jednego) ponownego uruchomienia.

Narzędzie Netdom

To narzędzie jest zawarte w Serwer Windows począwszy od edycji 2008 można go zainstalować na komputerach użytkowników z pakietu RSAT (Tools administracja zdalna serwer). Aby z niego skorzystać należy zalogować się do systemu docelowego administrator lokalny i uruchom polecenie:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

Przyjrzyjmy się opcjom poleceń:

serwer- nazwa dowolnego kontrolera domeny
UżytkownikD- nazwa konta administratora domeny
HasłoD- hasło administratora domeny

Po pomyślnym wykonaniu polecenia nie jest wymagane ponowne uruchomienie, wystarczy wylogować się z konta lokalnego i zalogować się na konto domeny.

Polecenia cmdlet programu PowerShell 3.0

W przeciwieństwie do narzędzia Netdom, PowerShell 3.0 jest dostępny w systemie począwszy od Windows 8 / Server 2012, w przypadku starszych systemów można go zainstalować ręcznie, obsługiwane są Windows 7, Server 2008 i Server 2008 R2. Wymagane jako zależność Ramy sieciowe nie niższa niż 4,0.

W ten sam sposób zaloguj się do systemu, dla którego chcesz przywrócić relacje zaufania jako administrator lokalny, uruchom Konsola PowerShell i uruchom polecenie:

Reset-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

serwer- nazwa dowolnego kontrolera domeny
Poświadczenie- nazwa domeny / konto administratora domeny

Po wykonaniu tego polecenia pojawi się okno autoryzacji, w którym będziesz musiał wprowadzić hasło do określonego konta administratora domeny.

Polecenie cmdlet nie wyświetla żadnego komunikatu po pomyślnym zakończeniu, więc wystarczy zmienić konto, nie jest wymagane ponowne uruchomienie.

Jak widać, przywrócenie relacji zaufania w domenie jest dość proste, najważniejsze jest prawidłowe ustalenie przyczyny tego problemu, ponieważ różne przypadki będzie wymagane różne metody. Dlatego nigdy nie męczy nas powtarzanie: gdy pojawia się jakiś problem, należy najpierw zidentyfikować przyczynę, a dopiero potem podjąć działania w celu jej naprawienia, zamiast bezmyślnie powtarzać pierwszą instrukcję znalezioną w sieci.

Podobnie jak konta użytkowników, konta komputerów w domenie mają własne hasła. Hasło to jest potrzebne do ustanowienia tzw. „relacji zaufania” pomiędzy stacją roboczą a domeną. Hasła do komputerów generowane są automatycznie i są również zmieniane automatycznie co 30 dni.

Domena przechowuje na wszelki wypadek aktualne hasło komputera, a także poprzednie :) Jeśli hasło zostanie zmienione dwukrotnie, komputer używający Stare hasło, nie będzie możliwe uwierzytelnienie w domenie i instalacja bezpieczne połączenie. Desynchronizacja hasła może wystąpić z powodu różne powody na przykład komputer został przywrócony z kopii zapasowej, system operacyjny został na nim ponownie zainstalowany lub po prostu przez długi czas wyłączony. W rezultacie przy próbie zalogowania się do domeny otrzymamy komunikat, że nie można nawiązać relacji zaufania z domeną.

Istnieje kilka sposobów na przywrócenie zaufania. Przyjrzyjmy się im wszystkim w kolejności.

Metoda pierwsza

Otwórz przystawkę „Użytkownicy i komputery usługi Active Directory” i znajdź w niej właściwy komputer. Kliknij na to prawy klucz mysz i menu kontekstowe wybierz opcję „Resetuj konto”. Następnie podchodzimy do komputera pod kontem lokalnym i ponownie wpisujemy go do domeny.

Metoda ta jest dość kłopotliwa i powolna, ponieważ... wymaga ponownego uruchomienia komputera, ale działa w 100% przypadków.

Metoda druga

Idziemy do komputera, który musi zresetować hasło, otwórz konsola poleceń pamiętaj, aby uruchomić jako administrator i wprowadzić polecenie:

Netdom Resetpwd /Serwer:SRV1 /UżytkownikD:Administrator /HasłoD:*

gdzie SRV1 jest kontrolerem domeny, Administrator jest kontem administracyjnym w domenie. Dodatkowo można określić parametr /SecurePasswordPrompt, który określa wyświetlanie żądania hasła w specjalnej formie.

W oknie, które zostanie otwarte, wprowadź dane użytkownika i kliknij OK. Hasło zostało zresetowane i możesz teraz zalogować się do swojego komputera przy użyciu konta domeny. Nie jest wymagane ponowne uruchomienie.

Co ciekawe, wytyczne użytkowania i pomoc mówią, że polecenia Netdom Resetpwd można użyć tylko do zresetowania hasła na kontrolerze domeny; inne zastosowania nie są obsługiwane. Tak jednak nie jest i zespół pomyślnie resetuje hasła również na serwerach członkowskich i stacjach roboczych.

Możesz także użyć Netdom, aby sprawdzić bezpieczne połączenie z domeną:

Netdom Zweryfikuj WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

Lub zresetuj konto komputera:

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

gdzie WKS1 to stacja robocza, za pomocą której resetujemy konto.

Metoda jest dość szybka i skuteczna, ale jest jedna rzecz: domyślnie narzędzie Netdom jest dostępne tylko na serwerach z rola Aktywna Usługi domenowe katalogowe (AD DS). NA maszyny klienta jest on dostępny jako część narzędzi administracji zdalnej serwera (RSAT).

Metoda trzecia

Kolejne narzędzie wiersz poleceń- Nltest. Na komputerze, który utracił zaufanie, uruchom następujące polecenia:

Nltest/zapytanie - sprawdź bezpieczne połączenie z domeną;

Nltest /sc_reset:Contoso.com - zresetuj konto komputera w domenie;

Nltest /sc_change_pwd:Contoso.com - zmień hasło do swojego komputera.

Najszybszy i niedrogi sposób, ponieważ narzędzie Nltest jest domyślnie dostępne na dowolnej stacji roboczej lub serwerze. Jednak w przeciwieństwie do Netdom, który wymaga wprowadzenia poświadczeń, Nltest działa w kontekście użytkownika, który go uruchamia. W związku z tym, jeśli zalogujesz się na komputerze przy użyciu konta lokalnego i spróbujesz wykonać polecenie, może pojawić się błąd dostępu.

Metoda czwarta

PowerShell może także zresetować hasło komputera i przywrócić bezpieczne połączenie z domeną. W tym celu istnieje polecenie cmdlet Test-ComputerSecureChannel. . Uruchomiony bez parametrów, wyświetli status bezpiecznego kanału - Prawda lub Fałsz.

Aby zresetować konto komputera i bezpieczny kanał, możesz użyć następującego polecenia:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Naprawa

gdzie SRV1 jest kontrolerem domeny (niewymagane).

Możesz także użyć tego polecenia, aby zresetować hasło:

Reset-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Metoda jest szybka i wygodna i nie wymaga ponownego uruchomienia komputera. Ale i tutaj są pewne osobliwości. Klucz -Credential pojawił się po raz pierwszy w PowerShellu 3.0. Bez tego parametru polecenie cmdlet zostanie uruchomione z użytkownik lokalny, powoduje błąd dostępu. Okazało się, że Ta metoda można używać tylko w systemach Windows 8 i Server 2012, ponieważ program PowerShell 3.0 nie jest jeszcze dostępny dla innych systemów operacyjnych.

Jak widać, sposobów na przywrócenie zaufania jest więcej niż wystarczająco. Jeśli jednak problem stanie się trwały, wówczas łatwiej podejść do jego rozwiązania od drugiej strony.

Zmiana ustawień hasła komputera

Zmiana hasła domeny odbywa się w następujący sposób:

Co 30 dni stacja robocza wysyła do najbliższego kontrolera domeny żądanie zmiany hasła do konta komputera. Kontroler akceptuje żądanie, hasło zostaje zmienione, a następnie zmiany są propagowane na wszystkie kontrolery w domenie przy kolejnej replikacji.

Niektóre ustawienia zmiany hasła można zmienić. Możesz na przykład zmienić przedział czasowy lub całkowicie wyłączyć zmianę haseł. Można to zrobić dla poszczególne komputery i dla grup.

Jeśli ustawienia muszą zostać zastosowane dla grupy komputerów, najprostszym sposobem jest użycie Zasady grupy. Ustawienia odpowiedzialne za zmianę haseł znajdują się w sekcji Konfiguracja komputera - Zasady - Ustawienia systemu Windows - Ustawienia zabezpieczeń - Zasady lokalne - Opcje zabezpieczeń. Interesują nas następujące parametry:

Wyłącz zmianę hasła konta komputera- wyłącza żądanie zmiany hasła na komputerze lokalnym;

Maksymalny wiek hasła do konta komputerowego- określa maksymalny termin działania związane z hasłem komputera. To ustawienie określa częstotliwość, z jaką członek domeny będzie próbował zmienić hasło. Domyślny okres wynosi 30 dni, maksymalny można ustawić na 999 dni;

Odmawiaj zmian hasła do konta komputera- zabrania zmiany hasła na kontrolerach domeny. Jeżeli ten parametr jest aktywny, kontrolery będą odrzucać żądania komputera dotyczące zmiany hasła.

W przypadku pojedynczego komputera możesz użyć ustawień rejestru. Aby to zrobić, w sekcji znajdują się dwa parametry:

Wyłącz zmianę hasła- jeśli równa 1, to żądanie aktualizacji hasła komputera jest wyłączone, 0 - włączone.

Maksymalny wiek hasła — określa maksymalny okres ważności hasła komputerowego w dniach. W razie potrzeby możesz ustawić ponad 1 milion dni!!!

I w dziale HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, tylko dla kontrolerów domeny, parametr:

Odmów zmiany hasła- jeśli równa 1, uniemożliwia kontrolerowi domeny przyjęcie żądania zmiany hasła. Ten parametr musi być ustawiony na wszystkich kontrolerach w domenie.

Wydaje się, że to wszystko dotyczy relacji opartych na zaufaniu. Jak widać zaufanie do domeny to delikatna sprawa, dlatego staraj się go nie stracić.

Jednym z okresowych błędów, z którymi musi sobie poradzić administrator systemu, jest błąd „Nie można było ustanowić relacji zaufania pomiędzy tą stacją roboczą a domeną główną”. Ten błąd pojawia się, gdy użytkownik próbuje zalogować się do systemu, podaje nazwę użytkownika i hasło i ostatecznie otrzymuje ten komunikat. W większości przypadków wiąże się to z przywróceniem systemu do wcześniejszego stanu.

Jaki jest powód takiego zachowania? Faktem jest, że do konta komputera podłączonego do domeny przypisany jest identyfikator bezpieczeństwa (SID), na poziomie którego zapewniany jest dostęp do domeny, a także hasło, które zmienia się automatycznie co 30 dni bez interwencji użytkownika.

Tak więc w momencie powrotu do zdrowia punkt kontrolny, system można przywrócić do stanu, w którym nadal obowiązywało stare hasło, a przy łączeniu się z domeną hasło na stacji roboczej i kontrolerze domeny będzie inne, co spowoduje błąd „Nie można było nawiązać połączenia” relację zaufania pomiędzy tą stacją roboczą a domeną główną.” W tej sytuacji konieczne jest upewnienie się, że te hasła są zgodne!

Mimo to nadal można uzyskać dostęp do stacji roboczej, w tym celu należy ją wyłączyć kabel internetowy z komputera i wprowadź hasło ponownie. W rezultacie po prostu nie będzie gdzie wysłać danych do weryfikacji, a system Cię wpuści, ponieważ poprawnie wpisałeś hasło do swojego konta. Następnie podłączamy kabel i pracujemy. Ale to nie jest rozwiązanie problemu, ponieważ za każdym razem będziesz musiał wykonać te manipulacje pewne funkcje nie zadziała.

Istnieje kilka metod, które pozwalają to zrobić, najprostsza to usunięcie stacji roboczej z domeny, a następnie jej ponowna rejestracja. Aby to zrobić, najpierw usuń komputer z domeny, łącząc się z dowolną grupą roboczą (Mój komputer\RMB\Właściwości\Nazwa komputera, nazwa domeny i ustawienia Grupa robocza\ Zmień ustawienia \ Zmień \ Jest członkiem grupy roboczej \ 123 \ OK ), a następnie połącz się ponownie, wprowadzając nazwę domeny i uruchom ponownie komputer.

Te czynności powinny być wykonywane przez lokalnego administratora, ponieważ możesz po prostu nie zostać wpuszczony na konto administratora domeny! W tej sytuacji, jeśli nie znasz hasła administratora lokalnego, będziesz musiał je zresetować. Mówiłem już o tym na lekcji Resetowanie hasła do konta Windows XP Vista 7 2003 2008 i Resetowanie hasła administratora Windows 7

Chociaż niektórzy zalecają, aby w przyszłości rozwiązać błąd „Nie można było ustanowić relacji zaufania między tą stacją roboczą a domeną główną”, całkowicie wyłączyć usługę naprawy przy uruchomieniu, aby wycofanie nie nastąpiło w tryb automatyczny. Ale tutaj byłbym ostrożny i wykonywał to wyłączenie w ostateczności, aby nie zmniejszać kwoty środków na przywrócenie wydajności, gdy możliwe awarie w pracy. W każdym razie, jeśli przywracanie jest wykonywane okresowo, lepiej nie wyłączać usługi, ale zrozumieć istotę problemu!

Może zaistnieć sytuacja, w której komputer nie będzie mógł uwierzytelnić się w domenie. Oto kilka przykładów:

Po ponownej instalacji systemu operacyjnego na stacji roboczej urządzenie nie może zostać uwierzytelnione nawet przy użyciu tej samej nazwy komputera. Ponieważ w trakcie nowa instalacja Generowany jest system operacyjny Identyfikator SID a komputer nie zna hasła do konta obiektu komputera w domenie, nie należy do domeny i nie może uwierzytelnić się w domenie.
Komputer został w pełni przywrócony z kopii zapasowej i nie można go uwierzytelnić. Obiekt komputera mógł zmienić hasło domeny po archiwizacji. Komputery zmieniają swoje hasła co 30 dni i strukturę Aktywny katalog zapamiętuje aktualne i poprzednie hasło. Jeśli został przywrócony kopia zapasowa komputer z dawnych czasów nieaktualne hasło, komputer nie będzie mógł się uwierzytelnić.
Sekret LSA komputer nie synchronizował się z hasłem znanym domenie od dłuższego czasu. Te. komputer nie zapomniał hasła - po prostu to hasło nie odpowiada prawdziwemu hasłu w domenie. W takim przypadku nie będzie można uwierzytelnić komputera i nie zostanie utworzony bezpieczny kanał.

Główne cechy możliwe problemy konto komputerowe:

Komunikaty logowania do domeny wskazują, że komputer nie mógł skomunikować się z kontrolerem domeny, brakuje konta komputera, złe hasło konto komputera lub zaufanie (bezpieczne połączenie) między komputerem a domeną zostanie utracone.
Wiadomości lub zdarzenia w dzienniku zdarzeń wskazujące podobne błędy lub sugerujące problemy z hasłami, relacjami zaufania, bezpiecznymi kanałami lub komunikacją z domeną lub kontrolerem domeny. Jednym z takich błędów jest błąd uwierzytelnienia z kodem błędu 3210 w dzienniku zdarzeń komputera.
W usłudze Active Directory nie ma konta komputera.

Jak traktować?

Musisz ponownie zainstalować konto komputera. W Internecie można znaleźć zalecenia dotyczące takiej ponownej instalacji: usuń komputer z domeny, a następnie dołącz do niego ponownie. Tak, to działa, ale ta opcja Nie zaleca się tego robić, ponieważ identyfikator SID i członkostwo komputera w grupie roboczej zostaną utracone.

Dlatego konieczne jest to zrobić :

Otwórz przystawkę Active Directory, wybierz Użytkownicy i komputery, kliknij prawym przyciskiem myszy obiekt komputera i użyj polecenia Resetuj konto. Następnie komputer powinien zostać ponownie przyłączony do domeny i zrestartowany.

Korzystanie z konta powiązanego z grupa lokalna„Administratorzy”:

netdom reset Nazwa_komputera /domena Nazwa_domeny /Usero Nazwa_użytkownika /Hasło (Hasło | *)

Na komputerze, na którym utracono zaufanie:

nltest /server:nazwa_serwera /sc_reset:DOMENA\kontroler_domeny

Kiedy próbuję zalogować się na konto użytkownika domeny, na komputerze wyświetla się komunikat „Nie można ustanowić relacji zaufania między tą stacją roboczą a domeną podstawową” i brak opcji. Nie ma problemu, jeśli zdarzyło się to na jednym komputerze, ale może się zdarzyć, że stało się to na wszystkich komputerach w domenie w tym samym czasie! To jest Ata!!!

Dlaczego to się dzieje:

Zanim przyznasz kontu dostęp do domeny, musisz zweryfikować jej autentyczność. Każdy uczestnik bezpieczeństwa musi posiadać własne konto i hasło, a konto komputera nie jest tu wyjątkiem. Po przyłączeniu komputera do usługi Active Directory tworzone jest dla niego konto Komputer i ustawiane jest hasło. Zaufanie na tym poziomie zapewnia fakt, że operację tę wykonuje administrator domeny lub inny użytkownik mający do tego wyraźne uprawnienia.

Następnie za każdym razem, gdy komputer loguje się do domeny, ustanawia bezpieczny kanał z kontrolerem domeny i udostępnia mu swoje dane uwierzytelniające. W ten sposób nawiązywana jest relacja zaufania pomiędzy komputerem a domeną i dalsza interakcja następuje zgodnie z polityką bezpieczeństwa i prawami dostępu ustawionymi przez administratora.

Hasło do konta komputera jest ważne przez 30 dni i po tym czasie jest automatycznie zmieniane. Ważne jest, aby zrozumieć, że zmiana hasła jest inicjowana przez komputer. Przypomina to proces zmiany hasła użytkownika. Po wykryciu, że aktualne hasło wygasło, komputer zastąpi je przy następnym logowaniu do domeny. Dlatego nawet jeśli nie włączałeś komputera przez kilka miesięcy, relacja zaufania w domenie pozostanie, a hasło zostanie zmienione przy pierwszym logowaniu po dłuższej przerwie.

Istnieje kilka sposobów na przywrócenie zaufania, które znajdziesz na powyższej stronie. Ja to zrobiłem:

Narzędzie Netdom

Narzędzie to jest dostępne w systemie Windows Server od wersji 2008 i można je zainstalować na komputerach użytkowników w ramach pakietu RSAT (Remote Server Administration Tools). Aby z niego skorzystać należy zalogować się do systemu docelowego administrator lokalny i uruchom polecenie:

reset sieciowy/ serwer:DomainController /UserD:Administrator /HasłoD:Hasło

Przyjrzyjmy się opcjom poleceń:

serwer— nazwa dowolnego kontrolera domeny
UżytkownikD- nazwa konta administratora domeny
HasłoD- hasło administratora domeny

Metoda jest dość szybka i skuteczna, ale jest jeden haczyk: domyślnie narzędzie Netdom jest dostępne tylko na serwerach z zainstalowaną rolą Active Directory Domain Services (AD DS). Na komputerach klienckich jest on dostępny jako część pakietu do zdalnej administracji narzędziami administracji zdalnej serwera (RSAT).

Narzędzie Nltest (wydaje się wygodniejsze, ale nie próbowałem)

To narzędzie jest obecne na dowolnej stacji roboczej lub serwerze. Jednak w przeciwieństwie do Netdom, który wymaga wprowadzenia poświadczeń, Nltest działa w kontekście użytkownika, który go uruchamia. W związku z tym, jeśli zalogujesz się na komputerze przy użyciu konta lokalnego i spróbujesz wykonać polecenie, może pojawić się błąd dostępu.

Nltest/zapytanie - sprawdź bezpieczne połączenie z domeną;

Nltest /sc_reset: Twoja_domena.net - zresetuj konto komputera w domenie;

Nltest /sc_change_pwd: Twoja_domena.net - zmień hasło do swojego komputera.