Vor ein paar Tagen ist unser Server abgestürzt und wir konnten Active Directory nicht wiederherstellen. Daher haben wir die Active Directory-Informationen von Grund auf neu erstellt. Die Benutzernamen wurden so beibehalten, wie sie vor dem Absturz waren.
Wir haben Windows-7-Client-Rechner, die von diesem Active Directory authentifiziert werden. Als Benutzer kann ich mich nicht anmelden, wenn ich mich als dieser Benutzer mit dem Netzwerk verbinde (denken Sie daran, dass wir Active Directory mit genau denselben Benutzernamen rekonstruiert haben). Wenn ich jedoch die Verbindung zum Netzwerk trenne und mich anmelde, kann ich mich bei meinem Computer anmelden und normal arbeiten. Dies liegt daran, dass die Active Directory-Anmeldeinformationen offensichtlich auf dem Benutzercomputer zwischengespeichert werden.
Ich möchte Folgendes wissen:
- Wie kann ich der Domäne am schnellsten wieder beitreten?
- Ist es möglich, diesen Benutzer-Computer-Cache zu leeren und der Domäne erneut beizutreten?
Antwort1
Dies liegt nicht daran, dass die vorherigen AD-Anmeldeinformationen zwischengespeichert sind, sondern daran, dass die neuen AD-Objekte nicht mit den alten Objekten identisch sind, obwohl Sie sie mit denselben Namen erstellt haben. Folgendes müssen Sie tun:
Trennen Sie die Computer von der alten Domäne (indem Sie sie in den Arbeitsgruppenmodus versetzen) und fügen Sie sie der neuen Domäne hinzu.
Melden Sie sich vom neu hinzugefügten Computer aus mit dem Benutzernamen (derselbe Benutzername, aber ein anderes Benutzerkonto ist) bei der neuen Domäne an.
Dadurch wird für den Benutzer auf dem entsprechenden Computer ein neues Benutzerprofil angelegt. Das alte Benutzerprofil kann anschließend in das neue Benutzerprofil kopiert werden.
Antwort2
Sie müssen sich mit dem lokalen Administratorkonto bei den Systemen anmelden, die Domäne verlassen, neu starten und erneut beitreten. Sie müssen auch alle Ihre alten Profile migrieren, da diese nicht dieselbe Sicherheitskennung wie Ihre neue Domäne haben.
Antwort3
What is a quickest way to be able to 'rejoin' the Domain?
- Sie können der Domäne nicht erneut beitreten. Die Domäne, die Sie hatten, existiert nicht mehr.
Is it possible to clear this user-machine cache and join the Domain fresh?
- Ja, und das ist, was Sie tun müssen. Sie möchten die Arbeitsstationen aus der Domäne entfernen, indem Sie sie einer Arbeitsgruppe hinzufügen (der Standardname
WORKGROUPfunktioniert gut) und sie Ihrer neuen Domäne hinzufügen. Sie benötigen lokale Administratoranmeldeinformationen auf allen Maschinen, die Sie entfernen und hinzufügen, sowie Domänenadministratoranmeldeinformationen auf der neuen Domäne, um dies erfolgreich durchzuführen.
Vor ein paar Tagen ist unser Server abgestürzt und wir konnten Active Directory nicht wiederherstellen. Daher haben wir die Active Directory-Informationen von Grund auf neu erstellt.
Nun, ich hoffe, Sie machen es dieses Mal richtig. Verwenden Sie immer mindestens zwei Domänencontroller und stellen Sie sicher, dass diese gesichert sind und aus der Sicherung wiederhergestellt werden können, falls etwas schief geht.
Antwort4
Ich stimme Zoredaches Gedanken zu, dass Sie die PCs aus der Domäne entfernen und dann erneut hinzufügen müssen. Dies liegt daran, dass jedes Workstation-Objekt ein Kennwort erhält, das von AD gespeichert und aktualisiert wird. Als Ihre Domäne neu erstellt wurde, verfügte sie nicht über die Computerobjekte oder die zugehörigen Kennwörter für die alten Computerobjekte. Um das Vertrauen in die Domäne wiederherzustellen, müssen Sie die Computer aus der alten Domäne entfernen und sie dann der neuen Domäne hinzufügen. Sie sollten die Computerobjekte in Ihrem neuen AD in den entsprechenden Organisationseinheiten vorab erstellen, bevor Sie die Computer erneut der Domäne hinzufügen.
Sie können auch eine Registrierungsänderung verwenden, um die alten Profile den neuen Benutzerkonten zuzuordnen.
Lassen Sie die Benutzer sich zunächst bei den Arbeitsstationen anmelden, um neue Profile zu erstellen. Diese Profile werden den neuen Benutzerkonten und ihren jeweiligen SIDs (Sicherheitskennungen) zugeordnet. Sie können sich dann mit einem Administratorkonto anmelden und zum folgenden Registrierungspfad wechseln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
In der „ProfileList“ gibt es eine Reihe von Profilen, die durch die SIDs dargestellt werden. Klicken Sie auf jedes und suchen Sie nach dem Profil mit dem Registrierungsschlüssel „ProfileImagePath“ mit dem Speicherort des alten Domänenprofils. Kopieren Sie den Wert des Registrierungsschlüssels „ProfileImagePath“. Suchen Sie dann das Profil mit dem neuen Profilpfad. Ändern Sie den Wert von „ProfileImagePath“ im neuen Profilpfad in den des alten Profils.
Grundsätzlich verknüpfen Sie das neue Profil also mit dem Pfad des alten Profils auf dem lokalen Computer.
Starten Sie neu und lassen Sie den Benutzer sich anmelden.
Und richten Sie zu Ihrem eigenen Wohl entweder einen zweiten DC ein oder beginnen Sie mit der Sicherung von AD.