Nollaa tietokonetilin salasana

Kirjoitettu 16-03-2021

Kuten olet ehkä huomannut, yritysmaailmassa käytetään Active Directorya ja toimialueelle kirjautumista helpottamaan tunnusten ja tietokoneiden hallintaa ja tekemään se keskitetysti.
Jos olet käyttänyt tällaiseen verkkoon liitettyä tietokonetta tai ollut yrityksessä töissä tietohallinnossa, olet ehkä törmännyt virheeseen Luottamussuhde tämän työaseman ja ensisijaisen toimialueen välillä on epäonnistunut.

Kuten käyttäjillä, myös tietokoneilla on toimialueella tili Active Directoryssa. Tällä tietokonetilillä on myös salasana, jolla tietokone tunnistetaan. Tätä salasanaa ei kuitenkaan itse kirjoiteta mihinkään, vaan se toimii taustalla. Joskus saattaa käydä niin, että jotain tässä yhdistelmässä menee rikki ja tulee tuo mainittu virheilmoitus. Kun virheilmoitus tulee, se estää käyttäjää kirjautumasta toimialueelle kyseisellä tietokoneella. Millään muullakaan tunnuksella kuten järjestelmänvalvojan tunnuksella ei pysty kirjautumaan, jos tunnus on toimialuetunnus.

Jos tietokoneelle on aiemmin kirjautunut jollakin tunnuksella, voi olla mahdollista hyödyntää kirjautumisvälimuistia ottamalla tietokone pois verkosta ja kirjautumalla sitten tunnuksella, jolla tietokoneelle on aiemminkin kirjauduttu. Tällöin kirjautuminen tarkistetaan välimuistista, eikä palvelimelta ja kirjautuminen saattaa onnistua.

Vastaavanlaisten ongelmien varalta on kuitenkin hyvä jos tietokoneella on jokin paikallinen järjestelmänvalvoja-tason tunnus. Saman tunnuksen ja salasanan käyttäminen kaikilla yrityksen tietokoneilla on tietoturvan näkökulmasta kyseenalaista, mutta siihen ongelmaan on olemassa hyvä ratkaisu.

Local Administrator Password Solution (LAPS) on ratkaisu, jota käyttämällä tietokoneilla voi olla yksi tarkoitukseen nimetty paikallinen tunnus, jonka salasana on jokaisella koneella erilainen ja salasanat tallennetaan Active Directoryyn, josta tietohallinto voi ne tarvittaessa katsoa. En käy tässä sen tarkemmin läpi miten LAPS-järjestelmä otetaan käyttöön.

Perinteinen tapa rikkoutuneen tietokoneen luottamussuhteen korjaamiseen on poistaa tietokone toimialueelta (liittää se työryhmään) ja liittää sitten takaisin uudella nimellä. Tässä on kuitenkin se vika, että tietokoneen nimi vaihtuu. Ympäristöstä riippuen sillä ei välttämättä ole kovin suurta merkitystä, mutta se aiheuttaa ainakin jonkin verran lisää työtä. Tietokonetileihin voi esimerkiksi olla merkitty tietokoneen käyttäjä ja nimen vaihtuessa tämä tieto pitäisi muuttaa. Tietokone täytyy tässä tapauksessa myös käynnistää kahdesti uudelleen, kerran sen jälkeen kun tietokone on liitetty työryhmään ja toisen kerran kun tietokone liitetään takaisin toimialueelle.

Ongelmaan on onneksi parempikin ratkaisu. Tätä tapaa käyttämällä tietokoneen nimeä ei tarvitse vaihtaa eikä tietokonetta edes tarvitse käynnistää uudelleen. Alla ohjeet.

  1. Kirjaudu tietokoneelle paikallisella järjestelmänvalvojan tilillä.
  2. Käynnistä PowerShell järjestelmänvalvojana.
  3. Kirjoita komento Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin johon syötät oikeisiin kohtiin Domain Controllerin nimen ja käyttäjätunnuksen jolla on riittävät oikeudet tehdä operaatio.
  4. Kirjaudu ulos.
  5. Kirjaudu sisään halutulla käyttäjällä.