Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server
В этой пошаговой статье описывается использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена в Windows Server.
Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Оригинальный номер базы знаний: 325850
Сводка
Каждый компьютер под управлением Windows ведет журнал паролей учетной записи компьютера, содержащий текущий и предыдущий пароли, используемые для учетной записи. Когда два компьютера пытаются выполнить проверку подлинности друг с другом и изменение текущего пароля еще не получено, Windows использует предыдущий пароль. Если последовательность изменений паролей превышает два изменения, задействованные компьютеры могут не взаимодействовать, и вы можете получать сообщения об ошибках. Например, при репликации Active Directory появляется сообщение об ошибке "Отказано в доступе ".
Это поведение также применяется к репликации между контроллерами домена одного домена. Если контроллеры домена, которые не реплицируемые, находятся в двух разных доменах, более подробно изучите отношения доверия.
Вы не можете изменить пароль учетной записи компьютера с помощью оснастки Пользователи и компьютеры Active Directory. Но вы можете сбросить пароль с помощью средства Netdom.exe. Средство Netdom.exe входит в состав средств поддержки Windows для Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008.
Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (называется локальным секретом). Это изменение записывается в объект учетной записи компьютера на контроллере домена Windows, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. А запуск репликации Active Directory гарантирует, что другие контроллеры домена получат изменения.
В следующей процедуре описывается использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи компьютера Windows.
Необходимо запустить средство локально с компьютера под управлением Windows, пароль которого требуется изменить. Кроме того, для запуска Netdom.exe необходимо иметь разрешения администратора локально и на объект учетной записи компьютера в Active Directory.
Использование Netdom.exe для сброса пароля учетной записи компьютера
Установите средства поддержки Windows Server 2003 на контроллере домена, пароль которого требуется сбросить. Эти средства находятся в папке
Support\Tools
на компакт-диске Windows Server 2003. Чтобы установить эти средства, щелкните правой кнопкой мыши файл Suptools.msi в папкеSupport\Tools
и выберите Установить.Примечание.
Этот шаг не является обязательным в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe входит в эти выпуски Windows.
Если вы хотите сбросить пароль для контроллера домена Windows, необходимо остановить службу Центра распространения ключей Kerberos и задать для нее тип запуска вручную.
Примечание.
- После перезапуска и проверки успешности сброса пароля можно перезапустить службу Центра распространения ключей Kerberos (KDC) и задать для нее тип запуска автоматически. Это заставляет контроллер домена с неправильным паролем учетной записи компьютера связаться с другим контроллером домена для получения билета Kerberos.
- Может потребоваться отключить службу Центра распространения ключей Kerberos на всех контроллерах домена, кроме одного. Если это возможно, не отключайте контроллер домена с глобальным каталогом, если в нем не возникают проблемы.
Удалите кэш билетов Kerberos на контроллере домена, где возникают ошибки. Это можно сделать, перезагрузив компьютер или с помощью средств KLIST, Kerbtest или KerbTray. KLIST входит в состав Windows Server 2008 и Windows Server 2008 R2. Для Windows Server 2003 KLIST доступен в виде бесплатной загрузки в средствах набора ресурсов Windows Server 2003.
В командной строке введите следующую команду:
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
Описание этой команды:
/s:<server>
— это имя контроллера домена, используемого для установки пароля учетной записи компьютера. Это сервер, на котором выполняется KDC./ud:<domain\User>
— это учетная запись пользователя, которая устанавливает соединение с доменом, указанным в параметре/s
. Он должен быть в формате домен\Пользователь. Если этот параметр опущен, используется учетная запись текущего пользователя./pd:*
указывает пароль учетной записи пользователя, указанной в параметре/ud
. Используйте звездочку (*), чтобы получить запрос на ввод пароля. Например, компьютер локального контроллера домена — Server1, а одноранговый контроллер домена Windows — Server2. При запуске Netdom.exe на Сервере Server1 со следующими параметрами пароль изменяется локально и одновременно записывается на Сервере2. Репликация распространяет изменения на другие контроллеры домена:netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по