如何在信任關係丟失時重新加入域

Question

我有許多虛擬機使用PowerShell腳本應用快照。偶爾，虛擬機會失去與域的「信任關係」。這會中斷腳本，因爲我不能再使用PowerShell遠程進入機器並進行配置。

我該如何遠程重置這些虛擬機的信任關係？也許有可能重新加入不涉及遠程處理的域名？

任何手動重新加入域的備用解決方案都需要登錄到計算機並在本地執行此操作。我還沒有找到任何可以做到這一點的東西。

到目前爲止，我已經嘗試把一個腳本，只需遠程數據庫入禁區本地管理員：

$password = ConvertTo-SecureString "password" -AsPlainText -Force 
$cred= New-Object System.Management.Automation.PSCredential ("Administrator", $password) 
$sesh = new-pssession -computername "theMachine" -credential $cred 

在這一點上，我希望能利用PowerShell來重置密碼或東西像那樣重置域信任關係。但是，這會導致最後一行出現錯誤：Access is Denied。

我不認爲你可以使用本地管理員帳戶與PowerShell遠程處理。有沒有其他方法可以遠程獲取失去域名信任關係的虛擬機重新加入域？

Answer 1

有趣的一個問題。 PSExec和netdom的組合會起作用嗎？我沒有一個信任關係破裂的虛擬機，所以我無法測試這個想法。

無論如何，PSExec對於用戶名和密碼都有參數-u和-p。確保你知道一個本地管理員帳戶。將其憑據傳遞給PSExec應該提供一個遠程shell，即使信任關係不正確。 Netdom.exe或Powershell腳本可用於將計算機重新加入域。

另一種選擇是更改計算機帳戶的策略。將「計算機配置\ Windows設置\安全設置\本地策略\安全選項\域成員：最大計算機帳戶密碼時限」設置爲0的GPO會將計算機帳戶密碼設置爲永不過期。不過，這可能會增加一些安全問題。

編輯

使用PSEXEC打開一個shell會話。像這樣，

psexec -u computer\administrator -p password \\computer cmd

後你得到了殼，嘗試和實驗NETDOM命令。從域中刪除計算機並將其添加到域中。 Netdom join和netdom remove支持憑證傳遞，因此提供有效的域帳戶憑證。你知道確切的命令語法後，值保存到一個腳本文件，並像這樣PSEXEC啓動它，

psexec -u computer\administrator -p password \\computer c:\myScript.cmd