Resetování účtů počítačů v systémech Windows 2000 a Windows XP

Souhrn

Pro každou pracovní stanici nebo server se systémem Windows 2000 nebo Windows XP, které jsou členy domény, existuje diskrétní komunikační kanál (známý jako kanál zabezpečení) s řadičem domény.

Heslo kanálu zabezpečení je uloženo společně s účtem počítače ve všech řadičích domény. V systémech Windows 2000 nebo Windows XP je výchozí interval pro změnu hesla účtu počítače každých 30 dní. Pokud nejsou z nějakého důvodu heslo účtu počítače a utajení LSA synchronizovány, služba Netlogon zaznamená některou z následujících chybových zpráv:
Nezdařilo se ověření nastavení relace z počítače ČLEN_DOMÉNY. Databáze zabezpečení odkazuje na účet ČLEN_DOMÉNY$. Došlo k následující chybě: Přístup byl odepřen.
ID události služby NETLOGON 3210:
Ověření s \\DOMAINDC (řadič domény Windows NT pro doménu DOMÉNA) se nezdařilo.
Pokud není heslo synchronizováno, zaznamená služba Netlogon pro řadič domény následující chybovou zprávu:
Událost služby NETLOGON 5722:
Nezdařilo se ověření nastavení relace z počítače %1. Databáze zabezpečení odkazuje na účet %2. Došlo k následující chybě: %n%3
Tento článek popisuje čtyři způsoby resetování účtů počítačů v systému Windows 2000 nebo Windows XP. Existují tyto způsoby resetování:

  • použití nástroje příkazového řádku Netdom.exe,
  • použití nástroje příkazového řádku Nltest.exe,

    Poznámka: Nástroje Netdom.exe a Nltest.exe jsou umístěny na disku CD-ROM systému Windows Server ve složce Support\Tools. Pokud chcete tyto nástroje nainstalovat, spusťte soubor Setup.exe nebo proveďte extrakci souborů ze souboru Support.cab.
  • použití modulu Uživatelé a počítače služby Active Directory v konzole MMC (Microsoft Management Console),
  • použití skriptu v jazyce Microsoft Visual Basic.
Tyto nástroje umožňují vzdálenou i běžnou správu. Nástroje příkazového řádku Netdom.exe a Nltest.exe jsou nástroje, které umožňují resetování úspěšně zavedeného kanálu zabezpečení. Tyto nástroje nelze použít, pokud není kanál zabezpečení funkční a komunikace nefunguje správně.

Další informace

Netdom.exe

Pro každého člena existuje diskrétní komunikační kanál (kanál zabezpečení) s řadičem domény. Kanál zabezpečení používá ke komunikaci služba Netlogon daného člena a řadiče domény. Nástroj Netdom umožňuje znovu nastavit kanál zabezpečení člena. Kanál zabezpečení člena můžete resetovat pomocí následujícího příkazu:

netdom reset 'název_počítače' /domain:'název_domény
kde 'název_počítače' = název místního počítače a 'název_domény' = doména, ve které je uložen účet počítače.

Předpokládejme, že máte člena domény s názvem ČLEN_DOMÉNY v doméně s názvem MOJE_DOMÉNA. Kanál zabezpečení člena můžete resetovat pomocí následujícího příkazu:
netdom reset člen_domény /domain:moje_doména
Tento příkaz můžete spustit v počítači člena ČLEN_DOMÉNY, v libovolném jiném počítači člena nebo řadiči domény v doméně za předpokladu, že jste přihlášeni s účtem, který má přístup správce do domény ČLEN_DOMÉNY.

Nltest.exe

Nástroj Nltest.exe lze použít k testování vztahu důvěryhodnosti mezi počítačem se systémem Windows 2000 nebo Windows XP, který je členem domény, a řadičem domény, ve kterém je umístěn příslušný účet počítače.
C:\Ntreskit\Nltest.exe

Použití: nltest [/PARAMETRY]

/SC_QUERY:Název_domény – Kanál zabezpečení dotazu pro doménu na serveru Název_serveru

/SERVER:Název_serveru

/SC_VERIFY:Název_domény – Ověřuje kanál zabezpečení v zadané doméně pro místní nebo vzdálenou pracovní stanici, server nebo řadič domény.

Příznaky: 30 HAS_IP HAS_TIMESERV
Název důvěryhodného řadiče domény \\server.windows2000.com
Stav připojení důvěryhodného řadiče domény Stav = 0 0x0 NERR_Success
Příkaz byl úspěšně dokončen.

Modul Uživatelé a počítače služby Active Directory (DSA)

V systému Windows 2000 nebo Windows XP lze účet počítače resetovat také z grafického uživatelského rozhraní (GUI). V konzole MMC Uživatelé a počítače služby Active Directory (DSA) můžete klepnout pravým tlačítkem myši na počítač v části Počítače nebo na odpovídající kontejner a klepnout na příkaz Resetovat účet. Tím je resetován účet počítače. Resetování hesla pro řadiče domény pomocí této metody není povoleno. Při resetování účtu počítače je přerušeno připojení počítače k doméně a je nutné připojení k doméně znovu nastavit.


Poznámka: Tímto postupem zabráníte nastavenému počítači v připojení k doméně, proto je uvedený postup nutné použít jen pro počítač, který byl znovu sestaven.

Skript jazyka Microsoft Visual Basic

K resetování účtu počítače můžete použít skript. K účtu počítače je nutné se připojit pomocí uživatelského rozhraní IADs. Potom můžete použít metodu SetPassword a nastavit heslo na původní hodnotu. Úvodní heslo počítače je vždy název_počítače$.

Následující příklady skriptů zřejmě nebudou fungovat ve všech prostředích a před implementací je nutné je otestovat. První příklad je určen pro účty počítačů se systémem Windows NT 4.0 a druhý pro účty počítačů se systémem Windows 2000 nebo Windows XP.

Příklad 1

Dim objComputer

Set objComputer = GetObject("WinNT://WINDOWS2000/název_počítače$")
objComputer.SetPassword "název_počítače$"

Wscript.Quit

Příklad 2

Dim objComputer

Set objComputer = GetObject("LDAP://CN=název_počítače,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "název_počítače$"

Wscript.Quit
Vlastnosti

ID článku: 216393 - Poslední kontrola: 25. 8. 2006 - Revize: 1

Váš názor