Este post será de grande utilidade para aqueles que utilizam máquinas virtuais (criadas no hyper-v, por exemplo) inseridas em um domínio (ADDS) e que vez ou outra precisem retornar para um snapshot antigo.
Eu particularmente já me deparei com este problema algumas vezes. No meu ambiente de VMs quando precisava efetuar um rollback de uma determinada VM, que havia sido inserida no domínio, eu percebia que ao retornar o snapshot não era mais possível realizar logon no domínio. Para contornar o problema, eu tinha que remover e reinserir o computador no domínio, e isto acontecia devido a senha da conta de máquina gravada no meu snapshot não ser mais a mesma senha de conta de máquina registrada no ADDS.
Existem duas maneiras de contornar este problema, ambas estão descritas no KB a seguir http://support.microsoft.com/kb/154501/en-us
Dica:
No KB acima é demonstrado como alterar o comportamento do ADDS de forma que todas as contas de máquinas não alterem a senha de conta de máquina, ou ainda, é demonstrado como alterar o comportamento de um único computador, para que este não tenha sua senha de conta de máquina alterada no ADDS.
Faço aqui uma transcrição dos passos mencionados no KB, para alteração do comportamento de um único computador, acrescentando alguns passos, de forma que este computador manterá a sua senha de conta de máquina, independente da existência de GPO que force a alteração.
Importante:
- Antes de seguir com o passo-a-passo, devemos certificar que é possível efetuar logon no domínio ADDS a partir desta VM.
- Toda alteração realizada no Registro do Windows, deve ser realizada com extremo cuidado, alterar o registro do Windows de forma incorreta pode ocasionar mal funcionamento do sistema operacional.
1 – Iniciar o Editor do Registro, para isto clique em Iniciar, clique em Executar, digite regedit e clique em OK.
2 – Localize e clique na chave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3 – No menu Editar, selecione Novo e então clique em Valor DWORD.
4 – No campo Nome digite RefusePasswordChange e pressione ENTER.
5 – No menu Editar clique Modificar.
6 – No campo Dados do valor, digite o valor 1 e clique em OK
7 – Clique com botão direito na chave, em seguida clique em Permissões… :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
8 – Na aba Segurança, clique no botão Avançadas
9 – Desmarque a opção “Incluir permissões herdáveis provenientes do pai deste objeto”
10 – Na janela “Segurança do Windows” que será exibida clique no botão Adicionar
11 – De volta a janela de “Configurações de Segurança“, na aba Permissões selecione a conta de SISTEMA e clique no botão Editar
12 – Na janela que será aberta, localize as permissões “Definir Valor” e “Excluir“, e marque o valor Negar para ambas.
13 – Clique em OK.
14 – Repita os passos de 11 a 13, e altere as permissões do grupo Administradores.
15 – Clique em OK, OK para confirmar as alterações e feche o Editor do Registro
16 – Crie um novo Snapshot com estas alterações de registro.
A partir de agora a conta de maquina não terá mais a sua senha alterada, nem mesmo por uma GPO, podemos então realizar rollback do snapshot sem que a conta de máquina perca o sincronismo de senha com o ADDS.