前几天家里的域控出现故障,恰好赶上需要升级到Windows 2012 Essentials所以选择直接重装,但是重装后发现原有一台Windows7工作站在服务器离线前没有正常退出域。重装后登录出现提示“服务器上的安全数据库没有此工作站信任关系的计算机用户”,无法登录。同时,工作站本地所有用户账户在加入域后已经删除,因此必须登录到域才能配置使用。
考虑到windows 会缓存之前所在域的账户登录信息(否则,加入域的笔记本电脑在离开域控的访问范围后将无法使用),并且之前在该工作站登录过Domain Admins 账户,于是通过以下办法圆满解决问题。
首先在域控上用防火墙策略中切断与该工作站所占用IP的一切通信。
在工作站上尝试登录之前已经登录过的域管理员账户(注意这个域在网络上事实上已经不存在了),成功进入系统。
进入系统后立刻建立本地管理员账户拿回控制权。
最后退出并重新加入新建的域。
要点分析
本例中工作站的Windows缓存了之前登录过的管理员账户,因此可以通过这样的办法处理。之所以要在服务器端用防火墙切断和该工作站的通信是为了逼着Windows使用已缓存的登录信息进行用户验证(这个和笔记本离开域范围后登录到域类似。拔掉网线也可以,不过当时该工作站处在远端,除过远程桌面外无法物理接触)。
注意
组策略中有相关设置会影响客户端对域登录凭据的缓存,默认设置下会允许客户端缓存最近使用的凭据,这点要注意一下。
对应的配置项目位于
组策略编辑器\计算机配置\策略\Windows设置\安全设置\本地策略\安全选项\交互式登录: 之前登录到缓存的次数(域控制器不可用时)
其描述如下
交互式登录: 之前登录到缓存的次数(域控制器不可用时)
每个单独的用户登录信息都会缓存在本地,以便于如果在随后的登录尝试期间域控制器不可用,用户仍然可以登录。系统将存储上一次登录会话中的缓存登录信息。如果域控制器不可用,且未缓存用户的登录信息,则系统会向用户显示如下消息:
目前没有可用的登录服务器,无法处理登录请求。
在该策略设置中,0 值表示禁用登录缓存。任何大于 50 的值都仅缓存 50 次登录尝试。Windows 最多支持 50 个缓存项目,每名用户占用的项目数取决于凭据。例如,Windows 系统中最多可以缓存 50 个唯一密码用户帐户,但只能缓存 25 个智能卡用户帐户,因为它需要同时存储密码信息和智能卡信息。当具有缓存登录信息的用户再次登录时,该用户的个人缓存信息将会被替换。
默认值:
Windows Server 2008: 25
所有其他版本: 10
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
