[2000] Kan niet meer inloggen (lokaal & domein) - Windows clients

maandag 24 juli 2006 13:09

Acties:

Topicstarter

Zoals al eerder voorgekomen heb ik hier weer een werkstation (Win2k) waar ik niet meer lokaal en niet meer op de server (Win2k SBS) kan inloggen. En dat terwijl ik zowel beschik over het wachtwoord van de gebruiker als het administrator-password.

Vorige keer ben ik niet bij een bevredigende oplossing uitgekomen, maar heb Windows over Windows heen gezet. Dit is dit keer niet echt een oplossing omdat dat alsnog een berg werk met zich meebrengt qua software installeren en instellingen.

Na nu weer vanalles geprobeerd te hebben te hebben blijf ik hangen op deze foutmelding:
Het systeem kan u niet aanmelden op dit domein omdat de computeraccount van het systeem in het primaire domein ontbreekt of omdat het wachtwoord van die account onjuist is.

Dat vanalles bestaat o.a. uit:

Wachtwoorden op pc resetten (mbv tooltje)
Computer handmatig toevoegen in de AD op de server
Map met GroupPolicy op werkstation hernoemen

Weet iemand hoe ik deze pc weer binnen het domein kan hangen?? TIA!!!

all your database are belong to us

maandag 24 juli 2006 13:10

Acties:

Verwijderd

Wat geeft hij als titel aan ? lsass.exe error ?

Want dan is je registery naar de haaien, deze kun je handmatig herstellen via de recovery console.

[edit]
Toevallig afgelopen week een klant gehad met dat probleem en dat kwam door een virus.

Ik ben met de info uit dit topic een heel eind gekomen: LSASS.EXE error: XP blijft rebooten

[ Voor 45% gewijzigd door Verwijderd op 24-07-2006 13:15 ]

maandag 24 juli 2006 16:17

Acties:

Dunka

databazz schreef op maandag 24 juli 2006 @ 13:09:

Weet iemand hoe ik deze pc weer binnen het domein kan hangen?? TIA!!!

Zorg dat je een account op domein hebt om computer aan domein toe te voegen.

log in als admin op computer, zet computer van domein in werkgroep(onder deze computer/netwerkeigenschappen) en sluit af.
verwijder computeraccount op DC.
computer opstarten en nu van werkgroep weer in domein zetten.

maandag 24 juli 2006 19:36

Acties:

databazz

Topicstarter

Dunka schreef op maandag 24 juli 2006 @ 16:17:
[...]
Zorg dat je een account op domein hebt om computer aan domein toe te voegen.
log in als admin op computer, zet computer van domein in werkgroep(onder deze computer/netwerkeigenschappen) en sluit af.
verwijder computeraccount op DC.
computer opstarten en nu van werkgroep weer in domein zetten.

Bij punt 1 houdt het voor mij al op: er is niet op in te loggen; niet als local admin en niet als domain admin. Zie ook het oude draadje waar ik in mn startpost al naar verwees:

Probeer ik lokaal in te loggen als Administrator dan krijg ik deze foutmelding:
Het lokale beleid van dit systeem staat u niet toe om u interactief aan te melden.
(Op z'n engels: "The local policy of this system does not permit you to logon interactively.")

Het hernoemen van de map "GroupPolicy" had ik trouwens gedaan door te booten van af een Linux live-cd (Helix in dit geval).
Misschien dat in deze richting een oplossing te vinden is...

all your database are belong to us

maandag 24 juli 2006 21:27

Acties:

elevator

Officieel moto fan :)

Wat ik me afvraag - hoe krijg je het voor elkaar dat die computer account kapot gaat? Heb je soms die PC als ghost image gebruikt en "joinen" mensen perongeluk hun net geghoste PC (met dezelfde naam) wel eens in het domain ofzo? Of draai je toevallig deepfreeze achtige software?

Heeft de user die er op werkt admin rechten en verpesten ze zelf gewoon het een en ander?

In ieder geval - dat je niet lokaak kan aanloggen, gebeurt dat ook op andere PCs van jouw netwerk als je die loskoppelt of kan het daarmee dan wel?

Kan je nog vanaf afstand connecteren naar de PC - zodat je bv. psexec kan gebruiken om te zien of je misschein gpedit.msc kan starten?

dinsdag 25 juli 2006 10:08

Acties:

databazz

Topicstarter

elevator schreef op maandag 24 juli 2006 @ 21:27:
Wat ik me afvraag - hoe krijg je het voor elkaar dat die computer account kapot gaat? Heb je soms die PC als ghost image gebruikt en "joinen" mensen perongeluk hun net geghoste PC (met dezelfde naam) wel eens in het domain ofzo? Of draai je toevallig deepfreeze achtige software?

Vorig jaar had ik het zelf op mijn geweten doordat ik de pcnaam wijzigde zonder de pc eerst uit het domein te halen (of zo ongeveer). Dit keer is het tijdens mijn vakantie spontaan ontstaan. (Ik mag blijkbaar niet op vakantie.

) We gebruiken iig geen Ghost of iets soortgelijks.

Heeft de user die er op werkt admin rechten en verpesten ze zelf gewoon het een en ander?

De gebruiker heeft als het goed is lokaal admin-rechten. Maar ik kan me zo niet voorstellen hoe hij het gras onder zijn voeten vandaan zou kunnen maaien.

In ieder geval - dat je niet lokaak kan aanloggen, gebeurt dat ook op andere PCs van jouw netwerk als je die loskoppelt of kan het daarmee dan wel?

Op andere pc's kan ik inderdaad ook niet lokaal inloggen. Middels deze instructie heb ik het wel proberen aan te passen maar nog zonder resultaat.
Mocht ik hier iets in kunnen wijzigen, dan nog betwijfel ik of een nieuw profiel naar de probleem-pc doorkomt, aangezien de pc uit het domein is.

Kan je nog vanaf afstand connecteren naar de PC - zodat je bv. psexec kan gebruiken om te zien of je misschein gpedit.msc kan starten?

code:

E:\PsExec>psexec \\pcpieter gpedit.msc

PsExec v1.72 - Execute processes remotely
Copyright (C) 2001-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

Couldn't access pcpieter:
Kan geen vertrouwensrelatie tot stand brengen tussen dit werkstation en het primaire domein.

Connecteren kan dus helaas niet. Zoals al eerder vermeld kan ik wel bij de bestanden komen. En ook inloggen middels de Recovery Console is mogelijk (maar dat kreng is imho veel te beperkt).

Het is volgens mij een twee-ledig probleem:

De pc is niet meer bekend binnen de AD dus kan ik niet meer op t domein aanmelden
In de lokale policy staat blijkbaar dat je ook lokaal niet meer aan mag melden

Is het mogelijk om op de een of andere manier de weer terug te hangen in het domein?
Of is het mogelijk om het profiel aan te passen of te verwijderen zodat ik iig weer lokaal kan inloggen?

all your database are belong to us

dinsdag 25 juli 2006 10:32

Acties:

elevator

Officieel moto fan :)

Hmm - kan je dit eens proberen:

code:

1	net use \\pcpieter\ipc$ /user:pcpieter\administrator

En vervolgens het lokale admin password van die pcpieter ingeven om vervolgens die PsExec handeling nog eens te herhalen?

Je zou met die psexec eventueel kunnen proberen om met http://support.microsoft.com/kb/260575/ je machine password te resetten

dinsdag 25 juli 2006 11:44

Acties:

databazz

Topicstarter

Yes! Weer een stapje verder! $_/-\o_$

code:

E:\PsExec>net use \\pcpieter\ipc$ /user:pcpieter\administrator
Lokale naam
Externe naam             \\pcpieter\ipc$
Type netwerkbron         IPC
Status                   OK
Aantal geopend           0
Aantal verbindingen      2
De opdracht is voltooid.

code:

E:\PsExec>psexec \\pcpieter gpedit.msc

PsExec v1.72 - Execute processes remotely
Copyright (C) 2001-2006 Mark Russinovich
Sysinternals - www.sysinternals.com


PsExec could not start gpedit.msc on pcpieter:
Het systeem kan het opgegeven bestand niet vinden.

gpedit.msc krijg ik zo niet gestart. Ook niet met: psexec -d -i -s \\pcpieter "mmc c:\winnt\system32\gpedit.msc"
Moet dit anders?
Is het nu safe om met Netdom aan de gang te gaan? Of is het mogelijk mbv een command line tooltje de pc opnieuw aan te melden binnen het domein?

TIA

all your database are belong to us

dinsdag 25 juli 2006 12:06

Acties:

elevator

Officieel moto fan :)

GUI programma's ga je niet weggegooid krijgen gok ik - je zou wel kunnen proberen om HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy weg te gooien om te zien of je dan - na een reboot - wel lokaal kan aanmelden

dinsdag 25 juli 2006 12:30

Acties:

marquis

Mischien een beetje onbegrip van mij kant, maar je kunt met de eerste code wel verbinding krijgen met het systeem?
Daar moet je toch ook gebruik maken van het wachtwoord?

[ Voor 6% gewijzigd door marquis op 25-07-2006 12:31 ]

Adem in...... adem uit. Poeh, weer gered :-)

dinsdag 25 juli 2006 13:10

Acties:

databazz

Topicstarter

marquis schreef op dinsdag 25 juli 2006 @ 12:30:
Mischien een beetje onbegrip van mij kant, maar je kunt met de eerste code wel verbinding krijgen met het systeem?
Daar moet je toch ook gebruik maken van het wachtwoord?

Inderdaad, ik heb ook alle wachtwoorden.

Maar als ik lokaal als administrator wil inloggen via de GUI dan wordt er wel gecontroleerd of dat mag ("Log On Localy" in de policy), en in bovenstaande situatie blijkbaar niet.

all your database are belong to us

dinsdag 25 juli 2006 14:01

Acties:

Dunka

Je kunt nog proberen om de verbinding van de client met de server te verbreken voor je de client opstart (netwerkkabel verwijderen

) zodat je op de client cache in kunt loggen op het domein. Als dit als administrator lukt, kan je alsnog client uit domein halen.

Na verwijderen computeraccount op server en opnieuw in netwerk hangen kan je de client opnieuw toevoegen aan het domein.

dinsdag 25 juli 2006 14:11

Acties:

marquis

Inderdaad, ik heb ook alle wachtwoorden.
Maar als ik lokaal als administrator wil inloggen via de GUI dan wordt er wel gecontroleerd of dat mag ("Log On Localy" in de policy), en in bovenstaande situatie blijkbaar niet.

Duidelijk.
Heb je gekeken of het computer account nog wel in AD stond voor dat je een nieuw computeraccount had aangemaakt? Heb je het computeraccount in AD eens geprobeert een reset te geven ?

[ Voor 39% gewijzigd door marquis op 25-07-2006 14:14 ]

Adem in...... adem uit. Poeh, weer gered :-)

dinsdag 25 juli 2006 15:23

Acties:

databazz

Topicstarter

@Dunka:
Brilliant idee! Sterker nog: het is de oplossing!!! $_/-\o_$ $_/-\o_$ $_/-\o_$
We kunnen met die pc weer inloggen op het domein, zowel als admin als als gebruiker.

Waarschijnlijk zal het nog steeds niet mogelijk zijn om lokaal in te loggen, maar dat is me nu om het even. Thanx again!

Dit zijn de stappen die ik heb genomen:
(voor de volledigheid en voor t geval dat ik er weer n keer tegen aan loop...

)

netwerkkabel er uit
inloggen op het domein als administrator
pc overzetten naar werkgroep en rebooten
lokaal inloggen als administrator
netwerkkabel er in
pc weer aanmelden binnen het domein

PS @marquis:
Het betreffende computer account was pas verdwenen uit de AD. Ik had al een nieuwe daar aangemaakt maar dat hielp niet, en dus had ik heb voor bovenstaande truc maar weer verwijderd. Na het aanmelden op het domein stond de betreffende pc er weer netjes bij.

PS @elevator:
Jij -net als de rest- ook bedankt voor je hulp. PsExec is n mooi ding en gaat me nog wel ooit van pas komen!

all your database are belong to us

dinsdag 25 juli 2006 16:53

Acties:

Dunka

Gelukkig werkt het weer door gebruik van cached credentials.

Het niet lokaal aan kunnen melden zou je nu ook in de group policy aan kunnen passen.

woensdag 26 juli 2006 11:16

Acties:

ElCondor

Geluk is Onmisbaar

databazz schreef op dinsdag 25 juli 2006 @ 15:23:
...
PS @marquis:
Het betreffende computer account was pas verdwenen uit de AD. Ik had al een nieuwe daar aangemaakt maar dat hielp niet, en dus had ik heb voor bovenstaande truc maar weer verwijderd. Na het aanmelden op het domein stond de betreffende pc er weer netjes bij.
...

Als een computer account op welke manier dan ook uit de AD verdwijnt, dan is dat account opnieuw aanmaken niet voldoende om de PC weer toegang te geven tot het netwerk.
Een account, zij het een PC account of een user account, krijgt van de AD namelijk ALTIJD een unieke indentifier mee, de GUID.
Deze GUID is ALTIJD uniek, zelfs als je een account opnieuw aanmaakt.
Aangezien je PC nog met de oude GUID aan probeerd te melden, en er staat een zelfde PC account, maar met een ANDERE GUID, dan zal aanloggen/aanmelden in het domein niet lukken.
Dit is vanwege security.
Dat zou namelijk inhouden dat een andere PC een oude PC naam gegeven zou kunnen worden, en op die manier 'illegaal' in het netwerk gehangen zou kunnen worden.
De hele procedure van de PC in een werkgroep zetten, en dan weer terugzetten in het domein is juist bedoeld om een Admin dat te laten doen, en dat de PC zelf zijn GUID aanmaakt. Zo komen ze weer overeen, en kan de PC weer het netwerk op.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 26 juli 2006 14:34

Acties:

marquis

ElCondor schreef op woensdag 26 juli 2006 @ 11:16:
[...]

Als een computer account op welke manier dan ook uit de AD verdwijnt, dan is dat account opnieuw aanmaken niet voldoende om de PC weer toegang te geven tot het netwerk.
Een account, zij het een PC account of een user account, krijgt van de AD namelijk ALTIJD een unieke indentifier mee, de GUID.
Deze GUID is ALTIJD uniek, zelfs als je een account opnieuw aanmaakt.
Aangezien je PC nog met de oude GUID aan probeerd te melden, en er staat een zelfde PC account, maar met een ANDERE GUID, dan zal aanloggen/aanmelden in het domein niet lukken.
Dit is vanwege security.
Dat zou namelijk inhouden dat een andere PC een oude PC naam gegeven zou kunnen worden, en op die manier 'illegaal' in het netwerk gehangen zou kunnen worden.
De hele procedure van de PC in een werkgroep zetten, en dan weer terugzetten in het domein is juist bedoeld om een Admin dat te laten doen, en dat de PC zelf zijn GUID aanmaakt. Zo komen ze weer overeen, en kan de PC weer het netwerk op.

Ben ik niet geheel met je eens, als een computeraccount opnieuw is aangemaakt in het AD, heeft een gebruiker 10 x het recht om een systeem aan dat account te hangen. Dit noemen ze "pre-create computer accounts". Correct me if i am wrong.....

Adem in...... adem uit. Poeh, weer gered :-)

maandag 7 augustus 2006 11:58

Acties:

jvdmeer

marquis schreef op woensdag 26 juli 2006 @ 14:34:
[...]

Ben ik niet geheel met je eens, als een computeraccount opnieuw is aangemaakt in het AD, heeft een gebruiker 10 x het recht om een systeem aan dat account te hangen. Dit noemen ze "pre-create computer accounts". Correct me if i am wrong.....

Nee, dit mag de gebruiker niet. Alleen indien er gebruik wordt gemaakt van RIS, dan wordt elke gebruiker in de gelegenheid gesteld om 10x een computer-account aan te maken. (Het gaat dus om 10 nieuwe accounts.

offtopic:
Ook wel leuk met het testen van RIS met gelimiteerde rechten is dat je er pas na 11x achter komt of de rechten van de gebruiker goed staan.