none
通过域控管理加域服务器 RRS feed

  • Question

  • 【背景描述】:加域服务器管理,业务部门的服务器加域,管理员离职,内置管理员密码修改,下任管理员不知道密码,需要在AD 域控控制台,右键,计算机“管理” 重置用户服务器本地账号和密码;

    失败的可能原因是啥?

    正常如下图所示:

    【诉求描述】、个别服务器,“管理”遇到如下图所示错误,异常如下图所示,看不到“本地用户和组”,进而无法管理本地用户,这种原因是啥?


    Tuesday, 22 June 2021 12:22 AM

Answers

  • 您好,防火墙上需要启用的是COM+网络访问 (DCOM-in),我们可以在目标机器上查看以下防火墙规则是否开启。

    同时检查注册表RemoteAccessEnabled值为1,代表允许COM+ 远程访问。

    更改完后请重启机器,让设置生效。

    请尝试以上步骤,如果有任何进展,请告知我们。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。

    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    Wednesday, 23 June 2021 5:13 AM
  • 您好! 如果想通过组策略配置允许远程管理,我们可以配置如下策略
    Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Windows Defender Firewall\Domain Profile
    选择Windows Defender Firewall: Allow inbound remote administration exception,点击开启。

    关于这个设置的介绍,我们可以参考以下英文文章:
    https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsFirewall::WF_RemoteAdmin_Name_1
    提示:非微软文章,仅供参考。

    希望以上信息对您有帮助,如果有不清楚的地方,您可以联系我们。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    Thursday, 24 June 2021 2:59 AM

All replies

  • 您好!

    关于您提到的报错,有可能由以下原因导致:
    -机器处在关机状态,未在运行。
    -机器的IP地址无法解析。
    -远程管理在此机器的防火墙上被禁止。

    据我所知,加域的机器,域管理员会被加入到此类机器的本地管理员组,建议用域管理员账号登录此机器进行本地管理员账号密码更改。

    如果未来我们想通过ADUC远程管理这台机器,我们可以尝试以下步骤:
    1.确保机器正在运行。
    2.在域控上ping 计算机的名字,和用nslookup解析这台机器,看是否一切都正常。
    3.如果以上都正常,请登录这台有问题的机器,打开注册表管理器,到路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3查看RemoteAccessEnabled 是否为1,若不是,建议改成1来开启COM+Network access rule.更改完后需要重启这台服务器。

    希望以上信息对您有帮助,祝您工作愉快。

    Crystal

    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。

    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    Tuesday, 22 June 2021 2:26 AM
  • 您好!

    关于您提到的报错,有可能由以下原因导致:
    -机器处在关机状态,未在运行。
    -机器的IP地址无法解析。
    -远程管理在此机器的防火墙上被禁止。

    据我所知,加域的机器,域管理员会被加入到此类机器的本地管理员组,建议用域管理员账号登录此机器进行本地管理员账号密码更改。

    如果未来我们想通过ADUC远程管理这台机器,我们可以尝试以下步骤:
    1.确保机器正在运行。
    2.在域控上ping 计算机的名字,和用nslookup解析这台机器,看是否一切都正常。
    3.如果以上都正常,请登录这台有问题的机器,打开注册表管理器,到路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3查看RemoteAccessEnabled 是否为1,若不是,建议改成1来开启COM+Network access rule.更改完后需要重启这台服务器。

    希望以上信息对您有帮助,祝您工作愉快。

    Crystal

    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。

    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    -1机器处在关机状态,未在运行。

    =》通过堡垒机可以远程进去,确认是开机
    -2机器的IP地址无法解析。

    =》可以解析,从域控ping 不通
    -3远程管理在此机器的防火墙上被禁止

    =》需要开放什么端口?

    -4.在域控上ping 计算机的名字,和用nslookup解析这台机器,看是否一切都正常。=》在域控上ping可以解析,但不通,nslookup 可以解析

    -5、如果以上都正常,请登录这台有问题的机器,打开注册表管理器,到路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3查看RemoteAccessEnabled 是否为1,若不是,建议改成1来开启COM+Network access rule.更改完后需要重启这台服务器。

    =》该设置是开启从域控,控制台“管理” 目标服务器?

    Tuesday, 22 June 2021 12:22 PM
  • 您好,防火墙上需要启用的是COM+网络访问 (DCOM-in),我们可以在目标机器上查看以下防火墙规则是否开启。

    同时检查注册表RemoteAccessEnabled值为1,代表允许COM+ 远程访问。

    更改完后请重启机器,让设置生效。

    请尝试以上步骤,如果有任何进展,请告知我们。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。

    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    Wednesday, 23 June 2021 5:13 AM
  • 您好,防火墙上需要启用的是COM+网络访问 (DCOM-in),我们可以在目标机器上查看以下防火墙规则是否开启。

    同时检查注册表RemoteAccessEnabled值为1,代表允许COM+ 远程访问。

    更改完后请重启机器,让设置生效。

    请尝试以上步骤,如果有任何进展,请告知我们。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。

    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    求域控推策略管控设置方法

    1、防火墙上需要启用的是COM+网络访问 (DCOM-in)防火墙添加例外,允许域控的IP 远程

    2、注册表设置

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3查看RemoteAccessEnabled 为1 设置

    Wednesday, 23 June 2021 11:52 PM
  • 您好! 如果想通过组策略配置允许远程管理,我们可以配置如下策略
    Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Windows Defender Firewall\Domain Profile
    选择Windows Defender Firewall: Allow inbound remote administration exception,点击开启。

    关于这个设置的介绍,我们可以参考以下英文文章:
    https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsFirewall::WF_RemoteAdmin_Name_1
    提示:非微软文章,仅供参考。

    希望以上信息对您有帮助,如果有不清楚的地方,您可以联系我们。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    Thursday, 24 June 2021 2:59 AM
  • 您好! 如果想通过组策略配置允许远程管理,我们可以配置如下策略
    Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Windows Defender Firewall\Domain Profile
    选择Windows Defender Firewall: Allow inbound remote administration exception,点击开启。

    关于这个设置的介绍,我们可以参考以下英文文章:
    https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.WindowsFirewall::WF_RemoteAdmin_Name_1
    提示:非微软文章,仅供参考。

    希望以上信息对您有帮助,如果有不清楚的地方,您可以联系我们。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    需要445,135 端口?勒索病毒常用的端口? 
    Friday, 25 June 2021 12:05 AM
  • 您好,关于端口问题,我这边在ADUC对计算机进行管理,同时抓取了网络包。发现目标计算机上445,135还有RPC动态端口都是会用到的,我们需要开启这些端口。

    希望以上信息有帮助。

    Crystal

    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    Friday, 25 June 2021 6:44 AM
  • 您好,关于端口问题,我这边在ADUC对计算机进行管理,同时抓取了网络包。发现目标计算机上445,135还有RPC动态端口都是会用到的,我们需要开启这些端口。

    希望以上信息有帮助。

    Crystal

    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    1、防火墙上需要启用的是COM+网络访问 (DCOM-in)防火墙添加例外,允许域控的IP 远程

    Computer Configuration\Policies\Administrative Templates\Network\Network Connections\Windows Defender Firewall\Domain Profile
    选择Windows Defender Firewall: Allow inbound remote administration exception,点击开启。

    2、注册表设置

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3查看RemoteAccessEnabled 为1 设置

    3、网络上运行域控和目标加域的机器的445和135 以及动态端口通讯

    满足三者,才能正常通讯?

    Monday, 28 June 2021 7:54 AM
  • 我的理解是是的, 理论上这三个条件都要满足。

    Crystal


    本帖子以”现状”提供且没有任何担保,同时也没有授予任何权利。 如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。


    Monday, 28 June 2021 8:01 AM