Ввод домен без пароля администратора сети

[Сперанский]

Всем привет! ) Задача следующая: нужно ввести комп с ubuntu в домен не дергая при этом админа ) Комп присутствовал в домене  под виндой, я посмотрел все настройки (в том числе имя компьютера), и дошел до пункта

Код: [Выделить]

net ads join -U username -D DOMAINгде, как я понял, нужно прописывать username администратора домена, чтобы комп попал в домен. Можно ли это обойти учитывая, что комп уже добавлен в домен (из-под винды).

Код: [Выделить]

speranskiy@W-OS-SPERANSKY:~$ sudo net ads testjoinвыдает запрос пароля для W-OS-SPERANSKY@имя-домена (где W-OS-SPERANSKY это имя компьютера) вместо имя_пользователя_в_домене@имя_домена, это правильно?

[rapidsp]

Вряд ли.
net ads join насколько понимаю просит службу каталогов сгенерить новый ID для машины. А это без домен-админа никак.

[Сперанский]

А старый нельзя использовать?

[easy2002]

где, как я понял, нужно прописывать username администратора домена, чтобы комп попал в домен.

необязательно, просто доменную учётку можно
Пользователь решил продолжить мысль 14 Февраля 2013, 12:24:08:хотя может только при первом вводе, не помню..
можно попробовать

[Sly_tom_cat]

Я очень давно читал про механизм включения в домен и могу что-то путать, но, вроде, там создается то-ли ключ, то ли сертификат которым машина и пользуется при аутентификации в домене, так вот в винде этот сертификат кладется кудато в защищенное хранилище и я тогда так и не смог разобраться - как его оттуда вытянуть... а без него не пройдет аутентификация в домене. При присоединении - там все создается по-новой но это требует с-щих прав админа сети.

[Сперанский]

необязательно, просто доменную учётку можно

Пробовал, если имя машины совпадает с Windowsким, то появляется ошибка

Код: [Выделить]

Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)Если изменить имя машины, то ругается на отсутствие привелегий в домене.

[Сперанский]

С одинаковым именем из под разных ОС вообще не реально зайти, я так понял?
Sly_tom_cat, то есть без админа домена это сделать невозможно?

[rapidsp]

В общем лично мне неизвестны случаи ввода в домен без админских привилегий

[Karl500]

Могу ошибаться, но попробуйте сделать в Ubuntu тот же SID, что был у Windows. (подумав) скорее всего, не поможет: "ответная" часть по идее должна быть зашифрована и храниться, как и сказал уважаемый Sly_tom_cat, в защищенном хранилище.

[rapidsp]

Даже если была установлена Windows и переустановить ту же винду, придется пройти заново весь ритуал ввода в домен.

[Karl500]

Строго говоря, это не аргумент: при установке SID генерится заново. Но к теме вопроса это замечание отношения не имеет

[Sly_tom_cat]

Сперанский, я так понял, что если как-то вытянуть из винды необходимые "потроха" (SID и этот сертификат(ы)) и привесить их на ubuntu (т.е. две задачи - вытануть и привесить), то, чисто теоретически, - должно пройти.

Но это должно быть уже довольно сложно т.к. вся концепция ввода в домен для того и разрабатывалась что бы не позволить подсунуть одну машину(читаем ОС) вместо другой. Я не хакер и даже првый шаг не осилил.

[Сперанский]

С этим понятно. Тогда ещё один вопрос, дабы подготовиться к приходу админа- имя компьютера указать отличное от виндового? Ему потом новое имя компа надо будет на стороне домена как то конфигурировать? Потому что сейчас если имя компа совпадает с виндовым появляется ошибка даже с моим именем пользователя (видимо даже не доходит до проверки привилегий).

[Sly_tom_cat]

имя компьютера указать отличное от виндового? Ему потом новое имя компа надо будет на стороне домена как то конфигурировать?

Если имя будет то же что и у виндового - то компьютерная учетка виндовая перетрется.
Если новое имя задать - то зависит от политик на сервере. В зависимости от политик для компьютера при присоединении к домену может быть создана новая учетка автоматом, а может быть так, что сначала должен быть заведен машинный акаунт с нужными именем и только после этого комп можно присоединить к домену (в процессе присоединения вся "секьюрити хрень" просинхронизируется между компом и его учеткой на сервере.

Какие там политики - админ должен знать - так что нужно звать и на всякий случай назвать ему имя компа, который надо добавить в домен (если надо предварительно создавать акаунт - то создаст)

[Сперанский]

Sly_tom_cat, спасибо, понятно.