ghost后域用户无法登陆原因分析

一笑而过

域用户无法登陆原因分析
加入域的客户端还原后无法登陆
ghost还原后域客户端无法登陆

1.ghost还原后域客户端服务登陆，即使是刚备份后立即还原。

ghost 在打包 win2000/xp 等系统的时候，会自动清除计算机的域账号，目的是为了方便同时克隆到多台计算机。如果不清除这个域账号，出来的所有计算机名和网络id 都是相同的，你可以设想一下会有什么后果。

ghost对于SID的解决方案，提供了GhostWalker工具，同时也在说明书中提出了使用sysprep的解决方案（PQI Drive Image也提供了类似工具SID Utility），但好像对于域帐号存在限制。

Ghost 的帮助上写的很清楚啊，对于NT/2000/XP系统镜像前不能加入域。

2。用aconis等其它备份工具备份后，在超过30天还原后域客户端无法登陆域

  提示信息：windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助。
原因分析：ghost系统之前是不能入域了。恢复后，和域服务器脱离。
          AD在设计的时候，为了保证client与dc之间安全的通信，要求client在加入域后，client的计算机账户需要定期与dc的计算机账户保持同步（这个期限默认是30天），也就是说，当client与dc发生验证动作的时候，其实是先用计算机账户去验证，然后才是用户账户验证（也就是您输入用户名和密码）。那么，为什么要这么做呢？因为，用户名和密码是比较容易伪造的，如果在任何验证发生之前，先校验计算机账户的安全性，校验通过之后，再校验用户账户，那么整体验证的安全性就得到了保证，相对于用户帐户，计算机账户就比较难以伪造。

         微软通过如下两个方法来保障计算机账户验证的安全：
     其一、ad不允许任何用户模式下的程序或者用户模式下的交互动作，去干预或者设置计算机账户的同步（由这个同步动作建立的通道，微软称之为 security channel），
其二、计算机账户将会关联计算机硬件信息，然后用形成计算机sid（sysprep的动作就是抽取了这部分信息）。
可能在将client加入域后，没有作sysprep，然后直接ghost。然后这台计算机启动登录到域，于是dc验证当前client，通过验证，随后与client计算机账户进行同步（这个动作对用户是透明的）。
过了一段时间，这段时间可能超过了30天，您使用之前的ghost进行恢复，然后再次尝试登录到域，dc验证当前计算机账户的时候，与ad中的那个计算机账户对比，发现已经超过了30天，那么出于安全考虑，认为该计算机账户是不可信任的（怕是伪造的），于是就给出一个错误信息“windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”，在这种情况下，不是说dc有问题，而是说client的计算机账户有问题，请管理员出面解决。管理员该如何做呢？把ad中原来的计算机账户删除，然后将客户端重新加入域就可以了。
那么30天的时间是否可以修改呢？是可以的，您甚至可以禁止这个同步动作.
3.不建议您在加入域的客户端上安装还原软件
问:AD客户端可以装还原软件吗？我想把客户端加完域后，再加装个还原软件，这样做可行么？我看了一些资料，说30天后，可能给出一个错误信息“windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”，如果我修改掉同步时间，是否可行？

答:我们不建议您在加入域的客户端上安装还原软件，因为对于域中的每个计算机来说，它和DC之间有一个安全通道。安全通道的密码和计算机账号一起保存在PDC上，并且被复制到所有的BDC上。该密码也会保存在客户端上。对于XP、2000、2003的计算机来说，缺省的计算机账号密码更新为30天。您可以使用NTBACKUP来执行备份操作。
我们也不建议您轻易启用“禁用更改机器帐户密码”此安全设置。计算机帐户密码用于在成员和域控制器之间以及域内的域控制器之间建立安全通道通信。安全通道一旦建立，即可用于传送进行身份验证和作出授权决定所需的敏感信息。
4.解决办法:将客户端重新加入域