none
Errore aggiungendo un utente di dominio al gruppo degli amministratori locali via script

    Question

  • Ciao a tutti,

    è due giorni che sto cercando di risolvere un problema con uno script ma no ci riesco:

    ho fatto uno script che inserisce in un dominio un pc (e questo funziona), ora vorrei anche aggiungere un utente di questo dominio al gruppo locale degli amministratori.

    Quando lo faccio via script ottengo sempre l'errore 1789 (The trust relationship between this workstation and the primary domain failed.) mentre se lo faccio da interfaccia grafica funziona.

    Ho provato varie versioni di script ma bnessuna funziona, nemmeno la linea di comando:

    net localgroup Administrators /add domain\username

    (ovviamente al posto di domain\username metto il dominio ed il nome di utente corretto)

    Aggiungo un ulteriore informazione: dopo l'errore vedo che alla lista degli amministratori è stato aggiunto uno user ed il SID mostrato è proprio quello dello user di dominio, ma non compare il nome dominio\utente (anche l'icona mostra un utente ma con il punto di domanda sopra, come se non fosse riconosciuto).

    La macchina sulla quale faccio le prove è un Windows 7 Embedded.

    Qualcuno sa darmi un aiuto?

    grazie mille, saluti, Rocco Barbaresco.


    Rocco Barbaresco
    Friday, December 16, 2011 8:26 AM

All replies

  • Ciao,

    innanzitutto:

    • il dominio a cui hai joinato la macchina è il dominio corretto?
    • ci sono problemi segnalati nel rgistro eventi di quella macchina o nel domain controller?
    • lo hai joinato COME? con NETDOM? se si, hai messo il DNS name o il NETBIOS name della macchina?

    poi:

    • con che utente stai eseguendo lo script? DEVE essere un utente DI DOMINIO con diritti di amministratore nella macchina.

     

    poi ancora:

    • fai RSOP.msc e vai qui
      computer-impostazioni di windows-impostazioni di sicurezza-criteri local-opzioni di sicurezza.
      Vedi se c'è "Accesso di rete: consenti conversione anonima SID/nome " impostato a "disabilitato".

     

    spero di esserti stato utile...

     

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    Friday, December 16, 2011 12:23 PM
  • Ciao Diego,

    intanto grazie mille per la risposta, poi provo a rispondere alle tue domande:

    • il dominio a cui hai joinato la macchina è il dominio corretto?

     si

    • ci sono problemi segnalati nel rgistro eventi di quella macchina o nel domain controller?

    No, nessun messaggio sia nel computer locale che nel domain controller

    • lo hai joinato COME? con NETDOM? se si, hai messo il DNS name o il NETBIOS name della macchina?

    Ho fatto varie prove, sia usando la riga di comando con questo testo:

    net localgroup Administrators /add domain\username

    che anche usando dei vb script (ecco uno, per esempio):

    strDomain = InputBox("Enter the NetBIOS name of the domain (svsprodotti)")
    strComputer = objWshNet.ComputerName
    Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators,group")
    strUser =  InputBox("Enter user for the autostart")
    objGroup.Add("WinNT://" & strDomain & "/" & strUser)

    • con che utente stai eseguendo lo script? DEVE essere un utente DI DOMINIO con diritti di amministratore nella macchina.

    Questo mi sembra un punto molto importante ( che io proprio ignoravo): io ho sempre usato uno user amministratore locale del computer e assolutamente non amministratore di dominio. Lo scopo era quello di far si che in un'unico script fosse possibile sia fare il join al dominio che assegnare uno specifico user di dominio agli amministratori locali della macchina ed anche impostare tale user come user di autologon.

    A questo proposito però faccio una domanda: come mai facendo l'operazione via interfaccia grafica la cosa funziona? ( tale procedura mi chiede le credenziali dell'amministratore di dominio, forse se nello script impersonifico questo l'amministratore di dominio può funzionare?)

    poi ancora:

    • fai RSOP.msc e vai qui
      computer-impostazioni di windows-impostazioni di sicurezza-criteri local-opzioni di sicurezza.
      Vedi se c'è "Accesso di rete: consenti conversione anonima SID/nome " impostato a "disabilitato".

    Questa impostazione è "not defined"

     

    Ciao, Rocco

     


    Rocco Barbaresco
    Friday, December 16, 2011 2:26 PM