Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server

  • Статья

В этой пошаговой статье описывается использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена в Windows Server.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Оригинальный номер базы знаний: 325850

Сводка

Каждый компьютер под управлением Windows ведет журнал паролей учетной записи компьютера, содержащий текущий и предыдущий пароли, используемые для учетной записи. Когда два компьютера пытаются выполнить проверку подлинности друг с другом и изменение текущего пароля еще не получено, Windows использует предыдущий пароль. Если последовательность изменений паролей превышает два изменения, задействованные компьютеры могут не взаимодействовать, и вы можете получать сообщения об ошибках. Например, при репликации Active Directory появляется сообщение об ошибке "Отказано в доступе ".

Это поведение также применяется к репликации между контроллерами домена одного домена. Если контроллеры домена, которые не реплицируемые, находятся в двух разных доменах, более подробно изучите отношения доверия.

Вы не можете изменить пароль учетной записи компьютера с помощью оснастки Пользователи и компьютеры Active Directory. Но вы можете сбросить пароль с помощью средства Netdom.exe. Средство Netdom.exe входит в состав средств поддержки Windows для Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008.

Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (называется локальным секретом). Это изменение записывается в объект учетной записи компьютера на контроллере домена Windows, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. А запуск репликации Active Directory гарантирует, что другие контроллеры домена получат изменения.

В следующей процедуре описывается использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи компьютера Windows.

Необходимо запустить средство локально с компьютера под управлением Windows, пароль которого требуется изменить. Кроме того, для запуска Netdom.exe необходимо иметь разрешения администратора локально и на объект учетной записи компьютера в Active Directory.

Использование Netdom.exe для сброса пароля учетной записи компьютера

  1. Установите средства поддержки Windows Server 2003 на контроллере домена, пароль которого требуется сбросить. Эти средства находятся в папке Support\Tools на компакт-диске Windows Server 2003. Чтобы установить эти средства, щелкните правой кнопкой мыши файл Suptools.msi в папке Support\Tools и выберите Установить.

    Примечание.

    Этот шаг не является обязательным в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe входит в эти выпуски Windows.

  2. Если вы хотите сбросить пароль для контроллера домена Windows, необходимо остановить службу Центра распространения ключей Kerberos и задать для нее тип запуска вручную.

    Примечание.

    • После перезапуска и проверки успешности сброса пароля можно перезапустить службу Центра распространения ключей Kerberos (KDC) и задать для нее тип запуска автоматически. Это заставляет контроллер домена с неправильным паролем учетной записи компьютера связаться с другим контроллером домена для получения билета Kerberos.
    • Может потребоваться отключить службу Центра распространения ключей Kerberos на всех контроллерах домена, кроме одного. Если это возможно, не отключайте контроллер домена с глобальным каталогом, если в нем не возникают проблемы.

  3. Удалите кэш билетов Kerberos на контроллере домена, где возникают ошибки. Это можно сделать, перезагрузив компьютер или с помощью средств KLIST, Kerbtest или KerbTray. KLIST входит в состав Windows Server 2008 и Windows Server 2008 R2. Для Windows Server 2003 KLIST доступен в виде бесплатной загрузки в средствах набора ресурсов Windows Server 2003.

  4. В командной строке введите следующую команду:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    Описание этой команды:

    • /s:<server> — это имя контроллера домена, используемого для установки пароля учетной записи компьютера. Это сервер, на котором выполняется KDC.

    • /ud:<domain\User> — это учетная запись пользователя, которая устанавливает соединение с доменом, указанным в параметре /s . Он должен быть в формате домен\Пользователь. Если этот параметр опущен, используется учетная запись текущего пользователя.

    • /pd:* указывает пароль учетной записи пользователя, указанной в параметре /ud . Используйте звездочку (*), чтобы получить запрос на ввод пароля. Например, компьютер локального контроллера домена — Server1, а одноранговый контроллер домена Windows — Server2. При запуске Netdom.exe на Сервере Server1 со следующими параметрами пароль изменяется локально и одновременно записывается на Сервере2. Репликация распространяет изменения на другие контроллеры домена:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.