自己的电脑,一直用的是管理员身份的域用户登录的,很多的程序,数据都在这个域用户环境下面。突然有次不小心,域用户被pdc禁用了,导致域用户无法登录本电脑。
为了让域用户重新可以登录,我走了很多的弯路,记录在此,免得有同样需求的朋友再掉坑里。
首先,我用PE进去系统,然后想着直接把 域用户 的数据全部导入administrator下面,这样子理论上,就可以直接用了。
此时就是悲催的事情了。所有的 domain user的数据move到useradministrator下面之后,然后重启,竟然是登录进去,马上就logoff,我事后想,这应该是administrator看到其中的关键文件不是自己的sid,导致直接logoff的。
没有办法,此时domain user无法登录,administrator无法登录,因为已经被覆盖,我只能重启,用PE进去,修改那个DefaultAccount的用户,enable之后,可以进去了。
但是进去也没有用啊。后来就再次创建了一个本地用户,然后重启,也可以进去了。
此时已经是死循环。administrator还有domain user都无法登录。因为profile文件已经损坏。后来用新建立的用户,进行win10的restore,如下图所示:
这样子重启之后,选择system restore,resotre到了一个之前的时间点,哈哈,奇迹出现了。此时domain user的权限恢复了,可以登录了。但是因为他的所有文件都挪到了administrator下面,不得不马上用PE重启,把文件重新挪回去。
但是悲催的是,还是一样的问题,log on之后就马上log off。还是profile文件权限问题。
此时因为已经restore,导致之前创建的本地用户都不见了。咳,因为administrator的目录已经空了,就可以登录,但是进来啥也没有。
不得已,就再次用PE,把域用户的登录目录改名,比如domainuser改为domainuser_temp,这样子,系统重启后是进去了。但是呢,因为windows找不到该用户的HOMEPATH变量,windows会创建一个c:usersTEMP的目录,而且登录就告诉你,你的一切设置,都不会保存。
我此时手残,因为已经快放弃恢复域用户环境的努力了。把所有的domainuser的HOMEPATH下面的文件统统改owner为一个新创建的user。但是此时,我想起,我曾经把此盘ghost备份过,因此,usersdomainuserntuser.dat (ntuser.dat是存储用户环境的系统文件) 应该还在。应该可以恢复,但是此时已经开始了change file owner的动作。咳,手贱啊。不得不等着它操作好。然后PE启动,把ntuser.dat copy进domainuser的homepath,结果,重启,怎么样,直接进去了原来domainuser的环境。初步大功告成。
但是,此时因为我之前的手贱动作。把所有的文件owner修改了。这个domainuser啥也不能用。咳,只能够重新启动PE,手工先把现homepath的所有文件copy到移动硬盘备份。然后再把原来备份盘的homepath的所有文件copy回去。这样子之后,哈哈哈,出现了奇迹,domainuser的权限与文件,环境。都恢复了。但是是几周前的环境。
然后不得不再用比较工具,把两个目录比较,把新的文件重新copy进来。
此时,我得到的第一个知识是:Windows在copy文件的时候,会自动修改文件的owner为当前用户。但是PE不会。是死copy。才不管你owner呢。
第二个知识,用户的profile就是c:usersHOMEPATHntuser.dat,此文件千万不要随便移动,copy,因为PE copy时,不会修改文件owner,那么用户登录时,发现该profile owner不是自己,导致登录后马上log off。无法进入系统。
第三,域用户已经与域控制器断开的情况下,把文件owner change back to domain user就是不可能完成的任务了。因此要谨慎。此种情况下,只有用此用户身份 (domainuser) 登录,然后再copy才是domain user的owner。
至此,这个hard task比较完美的完成了。说一下教训:
A 标准流程应该是,既然domainuser无法登录,就用administrator登录,然后系统还原到早先的点,此时再用domainuser登录,则此问题完美解决。自己走了如此多的弯路。
B 既然域用户已经不能长期使用了。就要把所有的有效文件,挪出c:usersdomainuser目录,包括download, documents, picture, music, videos等等。系统配置文件无所谓,但是有效文件,必须挪出去。
但是我现在又两个问题没有解决,留在此,以后来想办法:
1 域控制器写了哪里的文件,导致domainuser无法登录的呢?从事后可以restore来看,还是在local写了一些东西的。
2 域控制器配置的gpedit.msc选项如何修改,不能修改的话,因为有password expire的配置,将来这颗雷还是要爆的啊。
