Resetování účtů počítačů v systémech Windows 2000 a Windows XP

Překlady článku Překlady článku
ID článku: 216393 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Pro každou pracovní stanici nebo server se systémem Windows 2000 nebo Windows XP, které jsou členy domény, existuje diskrétní komunikační kanál (známý jako kanál zabezpečení) s řadičem domény.

Heslo kanálu zabezpečení je uloženo společně s účtem počítače ve všech řadičích domény. V systémech Windows 2000 nebo Windows XP je výchozí interval pro změnu hesla účtu počítače každých 30 dní. Pokud nejsou z nějakého důvodu heslo účtu počítače a utajení LSA synchronizovány, služba Netlogon zaznamená některou z následujících chybových zpráv:
Nezdařilo se ověření nastavení relace z počítače ČLEN_DOMÉNY. Databáze zabezpečení odkazuje na účet ČLEN_DOMÉNY$. Došlo k následující chybě: Přístup byl odepřen.
ID události služby NETLOGON 3210:
Ověření s \\DOMAINDC (řadič domény Windows NT pro doménu DOMÉNA) se nezdařilo.
Pokud není heslo synchronizováno, zaznamená služba Netlogon pro řadič domény následující chybovou zprávu:
Událost služby NETLOGON 5722:
Nezdařilo se ověření nastavení relace z počítače %1. Databáze zabezpečení odkazuje na účet %2. Došlo k následující chybě: %n%3
Tento článek popisuje čtyři způsoby resetování účtů počítačů v systému Windows 2000 nebo Windows XP. Existují tyto způsoby resetování:
  • použití nástroje příkazového řádku Netdom.exe,
  • použití nástroje příkazového řádku Nltest.exe,

    Poznámka: Nástroje Netdom.exe a Nltest.exe jsou umístěny na disku CD-ROM systému Windows Server ve složce Support\Tools. Pokud chcete tyto nástroje nainstalovat, spusťte soubor Setup.exe nebo proveďte extrakci souborů ze souboru Support.cab.
  • použití modulu Uživatelé a počítače služby Active Directory v konzole MMC (Microsoft Management Console),
  • použití skriptu v jazyce Microsoft Visual Basic.
Tyto nástroje umožňují vzdálenou i běžnou správu. Nástroje příkazového řádku Netdom.exe a Nltest.exe jsou nástroje, které umožňují resetování úspěšně zavedeného kanálu zabezpečení. Tyto nástroje nelze použít, pokud není kanál zabezpečení funkční a komunikace nefunguje správně.

Další informace

Netdom.exe

Pro každého člena existuje diskrétní komunikační kanál (kanál zabezpečení) s řadičem domény. Kanál zabezpečení používá ke komunikaci služba Netlogon daného člena a řadiče domény. Nástroj Netdom umožňuje znovu nastavit kanál zabezpečení člena. Kanál zabezpečení člena můžete resetovat pomocí následujícího příkazu:

netdom reset 'název_počítače' /domain:'název_domény
kde 'název_počítače' = název místního počítače a 'název_domény' = doména, ve které je uložen účet počítače.

Předpokládejme, že máte člena domény s názvem ČLEN_DOMÉNY v doméně s názvem MOJE_DOMÉNA. Kanál zabezpečení člena můžete resetovat pomocí následujícího příkazu:
netdom reset člen_domény /domain:moje_doména
Tento příkaz můžete spustit v počítači člena ČLEN_DOMÉNY, v libovolném jiném počítači člena nebo řadiči domény v doméně za předpokladu, že jste přihlášeni s účtem, který má přístup správce do domény ČLEN_DOMÉNY.

Nltest.exe

Nástroj Nltest.exe lze použít k testování vztahu důvěryhodnosti mezi počítačem se systémem Windows 2000 nebo Windows XP, který je členem domény, a řadičem domény, ve kterém je umístěn příslušný účet počítače.
C:\Ntreskit\Nltest.exe

Použití: nltest [/PARAMETRY]

/SC_QUERY:Název_domény – Kanál zabezpečení dotazu pro doménu na serveru Název_serveru

/SERVER:Název_serveru

/SC_VERIFY:Název_domény – Ověřuje kanál zabezpečení v zadané doméně pro místní nebo vzdálenou pracovní stanici, server nebo řadič domény.

Příznaky: 30 HAS_IP HAS_TIMESERV
Název důvěryhodného řadiče domény \\server.windows2000.com
Stav připojení důvěryhodného řadiče domény Stav = 0 0x0 NERR_Success
Příkaz byl úspěšně dokončen.

Modul Uživatelé a počítače služby Active Directory (DSA)

V systému Windows 2000 nebo Windows XP lze účet počítače resetovat také z grafického uživatelského rozhraní (GUI). V konzole MMC Uživatelé a počítače služby Active Directory (DSA) můžete klepnout pravým tlačítkem myši na počítač v části Počítače nebo na odpovídající kontejner a klepnout na příkaz Resetovat účet. Tím je resetován účet počítače. Resetování hesla pro řadiče domény pomocí této metody není povoleno. Při resetování účtu počítače je přerušeno připojení počítače k doméně a je nutné připojení k doméně znovu nastavit.

Poznámka: Tímto postupem zabráníte nastavenému počítači v připojení k doméně, proto je uvedený postup nutné použít jen pro počítač, který byl znovu sestaven.

Skript jazyka Microsoft Visual Basic

K resetování účtu počítače můžete použít skript. K účtu počítače je nutné se připojit pomocí uživatelského rozhraní IADs. Potom můžete použít metodu SetPassword a nastavit heslo na původní hodnotu. Úvodní heslo počítače je vždy název_počítače$.

Následující příklady skriptů zřejmě nebudou fungovat ve všech prostředích a před implementací je nutné je otestovat. První příklad je určen pro účty počítačů se systémem Windows NT 4.0 a druhý pro účty počítačů se systémem Windows 2000 nebo Windows XP.

Příklad 1

Dim objComputer

Set objComputer = GetObject("WinNT://WINDOWS2000/název_počítače$")
objComputer.SetPassword "název_počítače$"

Wscript.Quit
				

Příklad 2

Dim objComputer

Set objComputer = GetObject("LDAP://CN=název_počítače,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "název_počítače$"

Wscript.Quit
				

Vlastnosti

ID článku: 216393 - Poslední aktualizace: 25. srpna 2006 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Klíčová slova: 
kbenv kbhowto KB216393

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com