https://pastein.ru/t/gXO
Загрузка данных
Восстановить доверие ПК к домену **без выхода из домена** (без переприсоединения) можно несколькими способами. Вот рабочие методы, начиная с самого простого:
## **1. PowerShell (самый эффективный способ)**
Откройте PowerShell **от имени администратора** и выполните одну из этих команд:
```powershell
# Способ 1: Самый простой (запросит учетные данные доменного администратора)
Reset-ComputerMachinePassword -Server "<Имя_контроллера_домена>" -Credential (Get-Credential)
# Способ 2: Альтернативная команда
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
```
**Что происходит:** Команда сбрасывает пароль компьютерного аккаунта в AD и устанавливает новый безопасный канал, не меняя членство в домене.
## **2. Командная строка (netdom)**
Откройте командную строку **от имени администратора**:
```cmd
# Базовый вариант (запросит пароль)
netdom reset <Имя_этого_компьютера> /Domain:<Имя_домена> /UserD:<Доменный_Администратор> /PasswordD:*
# С указанием конкретного контроллера
netdom reset <Имя_этого_компьютера> /Server:<Имя_контроллера> /UserD:<Доменный_Администратор> /PasswordD:*
```
Пример:
```cmd
netdom reset WS-01 /Domain:MYDOMAIN.LOCAL /UserD:MYDOMAIN\Admin /PasswordD:*
```
## **3. Утилита nltest (низкоуровневый инструмент)**
```cmd
# Переустановить безопасный канал
nltest /server:localhost /sc_reset:ДОМЕН\КонтроллерДомена
# Пример:
nltest /server:localhost /sc_reset:MYDOMAIN.LOCAL\DC01.MYDOMAIN.LOCAL
# Показать состояние безопасного канала
nltest /sc_query:ДОМЕН
```
## **4. Решение через реестр (если вышеперечисленное не работает)**
Этот метод принудительно сбрасывает пароль компьютера в реестре:
1. Откройте реестр (`regedit`)
2. Перейдите к:
```
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
```
3. Создайте новый параметр DWORD:
- Имя: `DisablePasswordChange`
- Значение: `1`
4. Перезагрузите компьютер
5. После загрузки удалите этот параметр из реестра
6. Запустите команду для смены пароля:
```cmd
netdom resetpwd /server:<контроллер_домена> /userd:<администратор> /passwordd:*
```
7. Перезагрузите компьютер еще раз
## **Что проверить перед выполнением команд:**
### **Критически важные условия:**
1. **Время должно быть синхронизировано** (разница с DC не более 5 минут)
```cmd
w32tm /resync
```
2. **DNS должен быть правильно настроен**
- DNS-серверы должны указывать на контроллер(ы) домена
- Проверить: `ipconfig /all`
3. **Сетевое подключение к контроллеру домена**
- Проверить доступность: `ping DC-NAME`
- Проверить порты: `telnet DC-NAME 389` (LDAP)
4. **Войти под локальным администратором**
- Все команды требуют локальных прав администратора
## **Если ничего не помогает:**
Есть "тяжелая артиллерия" — скрипт, который делает несколько попыток:
```powershell
# Сохраните как Repair-DomainTrust.ps1 и запустите от админа
$Domain = "ВАШ_ДОМЕН"
$DC = "ИМЯ_КОНТРОЛЛЕРА"
$Admin = "$Domain\Администратор"
Write-Host "1. Проверка времени..." -ForegroundColor Yellow
w32tm /resync /force
Write-Host "2. Проверка DNS..." -ForegroundColor Yellow
ipconfig /flushdns
nbtstat -R
Write-Host "3. Сброс пароля компьютера..." -ForegroundColor Yellow
try {
Reset-ComputerMachinePassword -Server $DC -Credential (Get-Credential $Admin)
} catch {
Write-Host "4. Попытка через netdom..." -ForegroundColor Yellow
netdom reset $env:COMPUTERNAME /Domain:$Domain /UserD:$Admin /PasswordD:*
}
Write-Host "5. Перезапуск служб..." -ForegroundColor Yellow
Restart-Service Netlogon -Force
Write-Host "Готово. Перезагрузите компьютер." -ForegroundColor Green
```
## **Важные нюансы:**
1. **Учетные данные доменного администратора** обязательны для этих операций
2. **После успешного выполнения нужна перезагрузка** для полного применения изменений
3. **Проверьте журналы событий** (Event Viewer → Windows Logs → System) на наличие ошибок от источника Netlogon
4. **На контроллере домена** компьютерный аккаунт должен быть активен и не заблокирован
Эти методы работают в 95% случаев потери доверия, не требуя выхода из домена и повторного присоединения.