Поделиться через

Использование Netdom.exe для сброса паролей учетной записи компьютера контроллера домена Windows Server

  • Статья

В этой пошаговой статье описывается, как использовать Netdom.exe для сброса паролей учетной записи компьютера контроллера домена в Windows Server.

Исходный номер базы знаний: 325850

Итоги

Каждый компьютер под управлением Windows поддерживает журнал паролей учетной записи компьютера, содержащий текущие и предыдущие пароли, используемые для учетной записи. Когда два компьютера пытаются пройти проверку подлинности друг с другом, и изменение текущего пароля еще не получено, Windows использует предыдущий пароль. Если последовательность изменений паролей превышает два изменения, компьютеры, участвующие в ней, могут не взаимодействовать, и вы можете получать сообщения об ошибках. Например, при репликации Active Directory вы получаете сообщения об ошибках с отказом в доступе.

Это поведение также относится к репликации между контроллерами домена одного домена. Если контроллеры домена, не реплицируемые, находятся в двух разных доменах, ознакомьтесь с отношениями доверия более внимательно.

Невозможно изменить пароль учетной записи компьютера с помощью оснастки Пользователи и компьютеры Active Directory. Но вы можете сбросить пароль с помощью средства Netdom.exe. Средство Netdom.exe входит в средства поддержки Windows для Windows Server 2003 и интегрировано в более поздние версии операционной системы.

Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (известное как локальный секрет). Он записывает это изменение в объект учетной записи компьютера на контроллере домена Windows, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. И запуск репликации Active Directory гарантирует, что другие контроллеры домена получают изменения.

В следующей процедуре описывается использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи компьютера Windows.

Необходимо локально запустить средство с компьютера под управлением Windows, пароль которого необходимо изменить. Кроме того, для запуска Netdom.exe необходимо иметь разрешения администратора локально и на объекте учетной записи компьютера в Active Directory.

Использование Netdom.exe для сброса пароля учетной записи компьютера

  1. Установите средства поддержки Windows Server 2003 на контроллере домена, пароль которого требуется сбросить. Эти средства находятся в папке Support\Tools на компакт-диске Windows Server 2003. Чтобы установить эти средства, щелкните правой кнопкой мыши файл Suptools.msi в папке Support\Tools , а затем нажмите кнопку "Установить".

    Примечание.

    Этот шаг не нужен в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe входит в эти выпуски Windows.

  2. Если вы хотите сбросить пароль для контроллера домена Windows, необходимо остановить службу Центра распространения ключей Kerberos и задать для него тип запуска вручную.

    Примечание.

    • После перезапуска и проверки успешности сброса пароля можно перезапустить службу Центра распространения ключей Kerberos (KDC) и задать для него тип запуска автоматически. Это заставляет контроллер домена с неправильным паролем учетной записи компьютера связаться с другим контроллером домена для билета Kerberos.
    • Возможно, вам придется отключить службу Центра распространения ключей Kerberos на всех контроллерах домена, кроме одного. Если вы можете, не отключите контроллер домена, имеющий глобальный каталог, если не возникают проблемы.

  3. Удалите кэш билетов Kerberos на контроллере домена, где вы получаете ошибки. Это можно сделать, перезагрузив компьютер или используя средства KLIST, Kerbtest или KerbTray. KLIST входит в состав Windows Server 2008 и более поздних версий, KLIST доступен в качестве бесплатного скачивания в средствах набора ресурсов Windows Server 2003.

  4. В командной строке введите следующую команду:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Описание этой команды:

    • /s:<server> — это имя контроллера домена, используемого для настройки пароля учетной записи компьютера. Это сервер, на котором выполняется KDC.

    • /ud:<domain\User> — это учетная запись пользователя, которая делает подключение к домену, указанному в параметре /s . Он должен находиться в формате domain\User. Если этот параметр не указан, используется текущая учетная запись пользователя.

    • /pd:* указывает пароль учетной записи пользователя, указанной в параметре /ud . Используйте звездочку (*), чтобы получить пароль. Например, компьютер локального контроллера домена — Server1, а одноранговый контроллер домена Windows — Server2. Если вы запускаете Netdom.exe на сервере Server1 со следующими параметрами, пароль изменяется локально и одновременно записывается на Server2. И репликация распространяет изменение на другие контроллеры домена:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.