Когда вы восстанавливаете компьютерный объект из корзины и включаете его, он может успешно восстановить доверие с доменом по нескольким причинам, связанным с тем, как Windows обрабатывает учетные записи компьютеров и их секреты (computer account secrets). Давайте разберем этот процесс подробно:
---
1. Что такое "доверие" между компьютером и доменом?
Доверие между компьютером и доменом основывается на учетной записи компьютера в Active Directory (AD) и связанном с ней секрете (пароле). Этот секрет используется для аутентификации компьютера при взаимодействии с контроллерами домена.
- Когда компьютер присоединяется к домену, создается новая учетная запись компьютера в AD.
- Учетная запись компьютера имеет уникальный пароль (секрет), который хранится как на компьютере, так и в AD.
- Этот пароль периодически обновляется автоматически (обычно каждые 30 дней).
---
2. Что происходит при удалении компьютерного объекта?
Когда компьютерный объект удаляется из AD:
- Объект перемещается в корзину (Recycle Bin) или полностью удаляется, если функция Recycle Bin не включена.
- Если объект находится в корзине, его учетные данные (включая секрет) сохраняются, но объект становится неактивным.
- Если объект полностью удален, учетные данные уничтожаются, и компьютер теряет возможность аутентифицироваться в домене.
---
3. Что происходит при восстановлении объекта из корзины?
Когда вы восстанавливаете компьютерный объект из корзины:
- Учетная запись компьютера восстанавливается вместе со всеми ее атрибутами, включая секрет.
- Если компьютер был выключен или отключен от сети во время удаления, его локальный секрет остается нетронутым.
- После восстановления объекта из корзины компьютер может использовать свой старый секрет для повторной аутентификации в домене.
Можете использовать Powershell для восстановления объектов:
$Obj = 'ИмяОбъекта' + '*'
# удалён ли объект:
get-adobject -filter {SamAccountName -like $Obj} -IncludeDeletedObjects -properties whenchanged
# Восстановление объекта - проверьте через ADUC, что искомого объекта нет:
get-adobject -filter {SamAccountName -like $Obj} -IncludeDeletedObjects -properties whenchanged | Restore-ADObject
# Если объектов несколько, то восстанавливаем по GUID, взяв нужный из вывода выше. Пример (указываем свой, исходя из полученной информации, вот сюда: "-eq "ObjGUI-ID12-3456-7890-bd5dd35d6528""):
get-adobject -filter {ObjectGUID -eq "ObjGUI-ID12-3456-7890-bd5dd35d6528"} -IncludeDeletedObjects -properties whenchanged | Restore-ADObject
- Либо через GUI в ADAC хActive Directory Administrative Center]
"Server Manager => Tools => Active Directory Administrative Center => ВашДомен (local) => Deleted Objects".
Далее необходимо ввести: "SamAccountName" искомого объекта и выбрать: "Restore".
---
4. Почему это работает?
Это работает потому, что:
- Секрет компьютера сохраняется как в AD, так и на самом компьютере.
- При восстановлении объекта из корзины секрет в AD совпадает со старым секретом, хранящимся на компьютере.
- Компьютер может снова использовать этот секрет для установления доверия с доменом.
Если компьютер был выключен или отключен от сети во время удаления, он не успевает обнаружить потерю связи с доменом и продолжает использовать старый секрет.
---
5. Ограничения и возможные проблемы
Хотя этот процесс часто работает, могут возникнуть ситуации, когда доверие не восстанавливается:
- **Истечение срока действия секрета**: Если секрет компьютера был автоматически обновлен после удаления объекта, старый секрет больше не будет действителен.
- **Ручное изменение секрета**: Если секрет был принудительно сброшен в AD (например, через `Reset Account`), компьютер не сможет использовать старый секрет.
- **Полное удаление объекта**: Если объект был полностью удален (не перемещен в корзину), восстановление доверия невозможно без повторной присоединения компьютера к домену.
---
6. Как проверить состояние доверия?
Вы можете проверить состояние доверия между компьютером и доменом следующими способами:
- **С помощью команды PowerShell**:
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
Эта команда проверяет и, при необходимости, восстанавливает канал безопасности.
- **С помощью командной строки**:
netdom resetpwd /s:<DC_Name> /ud:<Domain\User> /pd:*
Замените `<DC_Name>` на имя контроллера домена и `<Domain\User>` на учетные данные администратора.
---
7. Заключение
Восстановление компьютерного объекта из корзины работает благодаря тому, что секрет компьютера сохраняется как в AD, так и на самом компьютере. Если секрет не был изменен или истек, компьютер может успешно восстановить доверие с доменом. Однако важно помнить о возможных ограничениях, таких как истечение срока действия секрета или полное удаление объекта. В этих случаях потребуется повторная присоединение компьютера к домену.