不幸的是,Active Directory 域和信任MMC 管理单元 (domain.msc) 允许您创建对域控制器的传出信任(换句话说:将域控制器的名称指定为要信任的域的名称)。更不幸的是,您无法通过 GUI 恢复此更改。如果您尝试删除此信任,您将收到带有以下消息的警告弹出窗口:
发生内部错误。
尝试通过以下方式删除它netdom:
netdom trust my.domain.local /domain:dc1 /oneside:trusting /remove /force
也失败并显示相同的消息:
发生内部错误。
那么如何删除这样的信任对象呢?
信任的创建至少会在域分区中创建两个对象:
Trusted Domain(classtrustedDomain) 的对象,该对象具有受信任域的名称。User(classuser) 的对象,其名称为<NetBIOS name of the domain>$。这个隐藏的用户帐户(只能由 ADSI 编辑器或类似的“原始”工具查看)将包含在创建信任对象期间提供的信任密码。当提供域控制器的名称作为要信任的域的名称时,无法创建第二个对象,因为该名称已存在于域控制器的计算机帐户中,从而使信任对象损坏。
要删除此损坏的信任对象,请转到系统容器并手动将其删除。您必须是该
Enterprise Admins组的成员或具有相应的委派访问权限才能执行此删除操作。在视图菜单中启用高级功能或使用 ADSI 编辑器并访问域分区时,您可以通过Active Directory 用户和计算机MMC 管理单元 (dsa.msc)访问系统容器。