文章編號: 216393 - 上次校閱: 2006年2月20日 - 版次: 5.0

在 Windows 2000 和 Windows XP 上重設電腦帳戶

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文曾發行於 CHT216393

在此頁中

全部展開 | 全部摺疊

結論

對於屬於網域成員的每個 Windows 2000 或 Windows XP 工作站或伺服器而言,分隔的通訊通道 (稱為安全通道) 是隨著網域控制站而建立的。

安全通道的密碼是與電腦帳戶一起儲存在所有的網域控制站中。在 Windows 2000 或 Windows XP 中,預設電腦帳戶密碼的更換週期為 30 天。如果電腦帳戶的密碼因某種原因而與 LSA 機密不同步,Netlogon 服務會記錄下列一或兩個錯誤訊息:
從電腦 DOMAINMEMBER 設定的工作階段無法驗證。安全性資料庫中參照的帳戶名稱是 DOMAINMEMBER$。發生下列錯誤: 拒絕存取。
NETLOGON 事件 ID 3210:
無法與 \\DOMAINDC 進行驗證,它是網域 DOMAIN 的 Windows NT 網域控制站。
當密碼不同步時,網域控制站的 Netlogon 服務會記錄下列錯誤訊息:
NETLOGON 事件 5722:
從電腦 %1 設定的工作階段無法驗證。安全性資料庫中參照的帳戶名稱是 %2。發生下列錯誤:%n%3
本文說明在 Windows 2000 或 Windows XP 中重設電腦帳戶的四種方法,這些方法如下:
  • 使用 Netdom.exe 命令列工具
  • 使用 Nltest.exe 命令列工具

    注意 Netdom.exe 和 Nltest.exe 工具位於 Windows Server CD-ROM 的 Support\Tools 資料夾中。如果要安裝這些工具,請執行 Setup.exe 或從 Support.cab 檔案解壓縮檔案。
  • 使用 Active Directory 使用者及電腦 Microsoft Management Console (MMC)
  • 使用 Microsoft Visual Basic 指令碼
這些工具允許遠端及非遠端管理。Netdom.exe 和 Nltest.exe 是可重設已成功建立之安全通道的命令列工具。當安全通道損壞,通訊無法正常進行時,您無法使用這些工具。
回此頁最上方

其他相關資訊

Netdom.exe

對於每個成員,網域控制站都有分隔的通訊通道 (即安全通道)。在成員和網域控制站上,Netlogon 服務會使用安全通道進行通訊。Netdom 可以重設成員的安全通道。您可以使用下列命令重設成員的安全通道:

netdom reset 'machinename' /domain:'domainname
其中 'machinename' = 本機電腦名稱,'domainname' = 儲存電腦/機器帳戶的網域。

假設您在 MYDOMAIN 的網域中具有名為 DOMAINMEMBER 的網域成員。您可以使用下列命令重設成員的安全通道:
netdom reset domainmember /domain:mydomain
如果您使用具有 DOMAINMEMBER 系統管理員存取權限的帳戶登入,您就可以在 DOMAINMEMBER 成員或網域的任何其他成員或網域控制站上執行這個命令。

回此頁最上方

Nltest.exe

Nltest.exe 可以用來測試屬於網域成員或其機器帳戶所在之網域控制站的 Windows 2000 或 Windows XP 電腦之間的信任關係。
C:\Ntreskit\Nltest.exe

使用方式:nltest [/OPTIONS]

/SC_QUERY:DomainName - 查詢 ServerName 上的 domain 的安全通道

/SERVER:ServerName

/SC_VERIFY:DomainName - 為本機或遠端工作站、伺服器或網域控制站驗證指定網域中的安全通道。

旗標:30 HAS_IP HAS_TIMESERV
受信任的 DC 名稱 \\server.windows2000.com
受信任的 DC 連線狀態 Status = 0 0x0 NERR_Success
命令執行成功
回此頁最上方

Active Directory 使用者及電腦 (DSA)

在 Windows 2000 或 Windows XP 中,您也可以從圖形使用者介面 (GUI) 重設機器帳戶。在 [Active Directory 使用者及電腦] MMC (DSA) 中,您可以用滑鼠右鍵按一下 [電腦] 或適當容器中的電腦物件,然後按一下 [重設帳戶]。這會重設該機器帳戶。使用這個方法無法重設網域控制站的密碼。重設電腦帳戶將會中斷該電腦到網域的連線,並會要求電腦重新加入網域。

注意 這將會使已建立的電腦無法連線到該網域,因此,只適用於剛重建完成的電腦。
回此頁最上方

Microsoft Visual Basic 指令碼

您可以使用指令碼重設機器帳戶。您必須使用 IADsUser 介面連線到電腦帳戶。然後,您可以使用 SetPassword 方法將密碼設為初始值。電腦的初始密碼永遠是 computername$。

下列範例指令碼可能無法在所有環境中執行,實作之前必須先行測試。第一個範例適用於 Windows NT 4.0 電腦帳戶,第二個範例適用於 Windows 2000 或 Windows XP 電腦帳戶。

範例 1

Dim objComputer

Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"

Wscript.Quit

範例 2

Dim objComputer

Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"

Wscript.Quit
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional Edition (商用版)
回此頁最上方
關鍵字:?
kbenv kbhowto KB216393
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。