3. Устранение неполадок с учетными записями компьютеров

Домены Active Directory считают компьютеры участниками безопасности. Это значит, что у компьютера, как и у пользователя, есть учетная запись, или, точнее, свойства объекта компьютера: имя, пароль и SID.

Удаление, отключение и переустановка учетных записей компьютеров

Учетные записи компьютеров, как и учетные записи пользователей, обладают уникальным SID, позволяющим администратору предоставлять разрешения компьютерам. Как и учетные записи пользователей, компьютеры можно включать в группы. Следовательно, как и для учетных записей пользователей, важно понимать последствия удаления учетной записи компьютера. Когда учетная запись компьютера удаляется, его членство в группах и SID теряются. Если удаление было случайным, и с этим именем создается другая учетная запись компьютера, это будет совершено новая учетная запись с новым SID. Отношения с группами потребуется восстановить, и все разрешения, назначенные удаленному объекту компьютера, необходимо переназначить новой учетной записи. Удаляйте объекты компьютеров, только когда абсолютно уверены, что атрибуты безопасности этого объекта больше не понадобятся.

Для удаления учетной записи компьютера в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) щелкните нужный объект компьютера, а затем в меню Действие (Action) или в контекстном меню выберите Удалить (Delete). Вас попросят подтвердить удаление, и, поскольку это необратимая операция, ответом по умолчанию принято Нет (No). Щелкните Да (Yes), чтобы удалить объект.

Команда DSRM позволяет удалить объект компьютера из командной строки:

DSRM DN_объекта

Здесь DN_объекта — различающееся имя компьютера, например «CN=Desktop15, OU=Desktops,DC=povtas,DC=com». Снова появится запрос на подтверждение удаления.

Когда компьютер отсоединяется от домена (например, если администратор присоединяет его к другой рабочей группе или домену), он пытается удалить свою учетную запись из домена. Если это нельзя сделать (из-за отсутствия связи, проблем с сетью или недостаточных разрешений), учетная запись остается в Active Directory. Она сразу или со временем будет отображаться как отключенная. Если эта учетная запись больше не нужна, удалите ее вручную.

Если компьютер не будет использоваться долгое время или его отключают от сети, его учетную запись можно отключить. Такое действие отвечает принципу безопасности, по которому список участников безопасности разрешает проверку подлинности только минимальному числу учетных записей, необходимому для решения задач организации. Отключение учетной записи не изменяет SID компьютера или его членство в группах, поэтому, когда компьютер подключат к сети, его учетную запись можно снова включить.

В контекстном меню и в меню Действие (Action) для выбранного объекта компьютера предусмотрена команда Отключить учетную запись (Disable Account). Отключенные учетные записи обозначаются в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) крестом (рис. 6_5).

Рис. 6_5. Отключенная учетная запись компьютера

Когда учетная запись отключена, компьютер не может установить с доменом безопасную связь. В результате пользователи, ранее не входившие в систему на этом компьютере и реквизиты которых не были на нем кэшированы, не смогут входить в систему, пока учетная запись данного компьютера не будет включена и безопасный канал не будет восстановлен.

Для включения учетной записи компьютера просто выделите нужный компьютер и в меню Действие (Action) или в контекстном меню выберите команду Включить учетную запись (Enable Account).

Отключать и включать компьютер из командной строки можно командой DSMOD, которая изменяет объекты Active Directory:

DSMOD COMPUTER DN_ компьютера _DISABLED YES

DSMOD COMPUTER DN_компьютера _DISABLED NO

Если членство в группах и SID учетной записи компьютера, а также разрешения, назначенные этому SID, важны для функционирования домена, не следует удалять такую учетную запись. Что же делать, если компьютер заменяется новой системой с современным оборудованием? Это одна из ситуаций, когда может понадобиться переустановка учетной записи компьютера.

При переустановке учетной записи компьютера пароль на вход удаляется, но сохраняются все остальные свойства объекта. Без пароля данная учетная запись фактически становится «доступной» для использования. Любой компьютер теперь может присоединиться к домену по этой учетной записи, в том числе ваша новая система.

На самом деле компьютер, который уже был присоединен к домену с этой учетной записью, тоже может использовать переустановленную запись, просто ему нужно повторно присоединиться к этому домену.

Команда Переустановить учетную запись (Reset Account) доступна для выбранного объекта компьютера в меню Действие (Action) и в контекстном меню. Для переустановки учетной записи компьютера также можно применять команду DSMOD:

DSMOD computer DN_компьютера -reset

Команда NETDOM, входящая в средства поддержки Windows Server 2003 (папка Support\Tools на установочном компакт-диске), также позволяет переустановить учетную запись компьютера.

Выявление проблем с учетными записями компьютеров

Учетные записи компьютеров и безопасные отношения между компьютерами и их доменом работают весьма надежно. В редких случаях, когда учетная запись или безопасный канал перестают функционировать, признаки такой неполадки вполне очевидны. Наиболее типичные признаки проблем с учетными записями компьютеров таковы:

• сообщения при входе в систему о том, что связь с контроллером домена не может быть установлена, отсутствует учетная запись для данного компьютера или доверительные (то есть безопасные) отношения между компьютером и доменом были потеряны (см. пример на рис. 6_6);

Рис. 6_6. Сообщение, выдаваемое клиентом Windows XP при входе в систему,