Como utilizar o Netdom.exe para repor palavras-passe de contas de computador de um controlador de domínio do Windows 2000

Todos os computadores baseados no Windows mantêm um histórico de palavras-passe da conta de computador contendo as palavras-passe actual e anteriores utilizadas na conta. Quando dois computadores tentam autenticar-se mutuamente e uma alteração na palavra-passe actual ainda não tiver sido recebida, o Windows confia na palavra-passe anterior. Se a sequência de alterações na palavra-passe exceder duas alterações, os computadores envolvidos poderão não conseguir comunicar e o utilizador poderá receber mensagens de erro (por exemplo, mensagens de erro de "acesso negado" quando ocorre a replicação do Active Directory).

Este comportamento também é aplicável à replicação entre controladores de domínio do mesmo domínio. Se os controladores de domínio que não estão a ser replicados residirem em dois domínios diferentes, deve inspeccionar com mais atenção a relação de fidedignidade.

Não é possível alterar a palavra-passe da conta do computador utilizando o snap-in Computadores e utilizadores do Active Directory (Active Directory Users and Computers), mas é possível repor a palavra-passe utilizando a ferramenta Netdom.exe incluída nas ferramentas de suporte do Windows.

A ferramenta Netdom repõe a palavra-passe da conta no computador localmente (conhecida como "segredo local") e escreve esta alteração no objecto da conta de computador do computador num controlador de domínio do Windows que resida no mesmo domínio. A escrita simultânea da nova palavra-passe em ambos os locais garante que, pelo menos, os dois computadores envolvidos na operação estão sincronizados e inicia a replicação do Active Directory para que outros controladores de domínio recebam a alteração.

O procedimento seguinte descreve como utilizar o comando netdom para repor uma palavra-passe de conta de computador. Este procedimento é normalmente utilizado em controladores de domínio, mas também se aplica a qualquer conta de computador do Windows.

Dado que não é possível utilizar o Netdom remotamente, tem de executar a ferramenta no computador baseado no Windows cuja palavra-passe pretenda alterar. Além disso, tem de ter permissões administrativas localmente e no objecto da conta de computador no Active Directory para executar o Netdom.

Utilizar o Netdom para repor uma palavra-passe de conta de computador

1. Instale as ferramentas de suporte do Windows a partir da pasta Support\Tools do CD-ROM do Windows no controlador de domínio cuja palavra-passe pretenda repor.
2. Se estiver a tentar repor a palavra-passe de um controlador de domínio do Windows, tem de parar o serviço Centro de distribuição de chaves Kerberos (Kerberos Key Distribution Center) e definir o respectivo tipo de arranque como Manual antes de avançar para o passo 3.
   
   Nota: depois de reiniciar e verificar que a palavra-passe foi reposta com êxito, pode reiniciar o serviço Centro de distribuição de chaves Kerberos (Kerberos Key Distribution Center) e definir o respectivo tipo de arranque novamente como Automático (Automatic). Ao efectuar este procedimento forçará o controlador de domínio com a palavra-passe da conta de computador incorrecta a contactar outro controlador de domínio para obter uma permissão Kerberos.
3. Numa linha de comandos, escreva o seguinte comando:
   netdom resetpwd /server:Nome_do_servidor_parceiro_de_replicação /userd:nome_do_domínio\id_administrador /passwordd:*
   onde Nome_do_servidor_parceiro_de_replicação é o nome de DNS ou de NetBIOS totalmente qualificado de um controlador de domínio no mesmo domínio que o computador local e nome_do_domínio\id_administrador é o nome de domínio de NetBIOS e o ID de administrador, respectivamente, no formato de credenciais de nome de conta do gestor de contas de segurança (SAM, Security Accounts Manager).
   
   O valor "*" para o parâmetro /PasswordD: especifica que a palavra-passe deverá ser escrita utilizando caracteres ocultos quando o comando for submetido. Por exemplo, o computador local (que, por acaso, é um controlador de domínio) é o "Servidor1" e o nome do controlador de domínio peer do Windows é "Servidor2". Se executar o Netdom no "Servidor1" com os parâmetros que se seguem, a palavra-passe será alterada localmente e simultaneamente escrita no "Servidor2", sendo a alteração propagada pela replicação a outros controladores de domínio:
   netdom resetpwd /server:servidor2 /userd:meu_domínio\administrator /passwordd:*
4. Reinicie o servidor cuja palavra-passe foi alterada (neste exemplo, o "Servidor1").