Рейтинг:-1

Переименовать-компьютер: не удалось переименовать компьютер из-за следующего исключения: доступ запрещен

флаг us

Я присоединяю к домену новые машины с пакетами подготовки (ppkg) и использую временные имена (PENDING_%serial%). ppkg работает нормально, но затем я хочу их массово переименовать, а не переименовывать и переименовывать по отдельности. Проблема в том, что переименовать-компьютер выдает ошибку. Это после полного отключения брандмауэра и запуска команды из учетной записи администратора домена.

я приказываю бежать

rename-computer -computername PENDING#### -newname US#### -domaincredential mydomain\admin1

Rename-Computer: Не удалось переименовать компьютер «PENDING#####» в «us####» из-за следующего исключения: Отказано в доступе.

я могу бежать получить-wmiobject удаленно, используя те же учетные данные. Так что я знаю, что это не проблема учетных данных.

А средство просмотра событий на удаленном ПК показывает успешные входы в систему в моменты попыток.

Редактировать: Видимо, я делал что-то не так. Использование -DomainCredential доменное имя\domainadmin работает. Но без него не работает, даже если PowerShell повышен с той же учетной записью.

Semicolon avatar
флаг jo
Вам нужно запустить его на конечной точке или настроить Kerberos/CredSSP. Неважно, запускаете ли вы его из DC, это все равно второй переход. Вы передаете учетные данные на конечную точку, а затем пытаетесь передать их обратно на контроллер домена; это не сработает.
флаг us
Итак, чтобы запустить rename-computer на удаленной цели, вам нужно настроить Kerberos/credssp? Запустите Get-WMIObject с другого ПК с теми же учетными данными, что и работает. Разве это не тоже второй прыжок?
Semicolon avatar
флаг jo
Командлет Get-WMIObject не выполняет второй переход, а считывает информацию непосредственно с этой машины. Rename-Computer должен подключиться к контроллеру домена, чтобы обновить объект компьютера. Я думаю, вы явно что-то упускаете. При использовании параметра -computername вы запускаете операцию переименования на этом компьютере. Второй переход — попытка подключения к контроллеру домена для завершения процесса. Делегирование Kerberos не настроено, поэтому ваши учетные данные не могут быть делегированы с удаленного компьютера на контроллер домена, а попытка переименования проходит как анонимная, что приводит к отказу в доступе.
Semicolon avatar
флаг jo
Откройте удаленный сеанс powershell на клиенте и попробуйте получить доступ к общей папке на контроллере домена. Даже если это компьютер, с которого вы открыли сеанс powershell — вы получите отказ в доступе — это тот же процесс.
Semicolon avatar
флаг jo
Это проблема двойного прыжка. Вы пытаетесь удаленно запустить команду, которая должна связаться с третьим компьютером.
флаг us
Извините, но я не понимаю. Вы говорите, что я должен запустить команду из DC? Потому что именно там хранятся учетные данные доменной учетной записи, верно?
флаг us
удаленный сеанс powershell с контроллером домена и попытаться получить доступ к общему ресурсу на том же контроллере домена?
Semicolon avatar
флаг jo
Неа. Из контроллера домена откройте сеанс powershell на PENDING_xxx и получите доступ к общей папке на контроллере домена (или любом другом компьютере) — это не сработает.
флаг us
Хорошо спасибо. Есть ли способы удаленно переименовать компьютер без изменения настроек домена, объектов групповой политики и т. д.? Предпочтительно, локальные настройки, которые я мог бы изменить, поместив скрипт в ppkg?
Semicolon avatar
флаг jo
Присоединяю комп к домену по пути с правильным именем изначально. Как вы присоединяетесь к домену?
флаг us
Через временный пакет. Что позволяет мне выбрать только фиксированную строку + %random% + %serialnumber%. https://docs.microsoft.com/en-us/windows/configuration/wcd/wcd-accounts

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.