Shrnutí

Pro každou pracovní stanici nebo server se systémem Windows 2000 nebo Windows XP, který je členem domény, existuje samostatný komunikační kanál, označovaný jako kanál zabezpečení, s řadičem domény.Heslo kanálu zabezpečení se ukládá spolu s účtem počítače na všech řadičích domény. V systému Windows 2000 nebo Windows XP je výchozí doba změny hesla účtu počítače každých 30 dnů. Pokud se z nějakého důvodu heslo účtu počítače a tajný klíč LSA nesynchronují, služba Netlogon zaznamená jednu nebo obě z následujících chybových zpráv:

NETLOGON ID události 5723: Nastavení relace z počítače DOMAINMEMBER se nepovedlo ověřit. Název účtu, na který se odkazuje v databázi zabezpečení, je DOMAINMEMBER$. Došlo k následující chybě: Přístup byl odepřen.

NETLOGON ID události 3210:Ověření pomocí \\DOMAINDC, systém Windows NT řadiče domény pro doménu DOMAIN, se nezdařilo.

Služba Netlogon na řadiči domény zaprotokoluje následující chybovou zprávu, pokud heslo není synchronizované:

NETLOGON ID události 5722:Nastavení relace z počítače ComputerName se nepodařilo ověřit. Název účtu, na který se odkazuje v databázi zabezpečení, je AccountName$.Došlo k následující chybě:Přístup byl odepřen.

Tento článek popisuje čtyři způsoby resetování účtů počítačů v systému Windows 2000 nebo Windows XP. Jedná se o následující metody:

  • Použití nástroje příkazového řádku Netdom.exe

  • Použití nástrojepříkazového řádku Nltest.exe Poznámka: Nástroje pro Netdom.exe a Nltest.exe se nacházejí na Windows Server disku CD-ROM ve složce Support\Tools. Pokud chcete tyto nástroje nainstalovat, spusťte Setup.exe nebo extrahujte soubory ze souboru Support.cab.

  • Použití Uživatelé a počítače služby Active Directory konzoly MMC (Microsoft Management Console)

  • Použití skriptu jazyka Microsoft Visual Basic

Tyto nástroje umožňují vzdálenou i ne vzdálenou správu. Netdom.exe a Nltest.exe jsou nástroje příkazového řádku, které resetují úspěšně vytvořený kanál zabezpečení. Tyto nástroje nelze použít, pokud je přerušený kanál zabezpečení a komunikace nefunguje správně.

Další informace

Netdom.exe

Pro každého člena existuje diskrétní komunikační kanál (kanál zabezpečení) s řadičem domény. Kanál zabezpečení používá služba Netlogon na členovi a na řadiči domény ke komunikaci. Netdom umožňuje resetovat kanál zabezpečení člena. Kanál zabezpečení člena můžete resetovat pomocí následujícího příkazu:

netdom reset 'machinename' /domain:'domainnamewhere 'machinename' = název místního počítače a 'název_domény' = doména, ve které je uložený účet počítače/počítače.Předpokládejme, že máte člena domény s názvem DOMAINMEMBER v doméně s názvem MYDOMAIN. Kanál zabezpečení člena můžete resetovat pomocí následujícího příkazu:

netdom reset domainmember /domain:mydomainTento příkaz můžete spustit na člena DOMAINMEMBER nebo na jiném členu nebo řadiči domény domény za předpokladu, že jste přihlášení pomocí účtu, který má přístup správce k DOMAINMEMBER.

Nltest.exe

Nltest.exe lze použít k otestování vztahu důvěryhodnosti mezi počítačem se systémem Windows 2000 nebo Windows XP, který je členem domény, a řadičem domény, na kterém se nachází jeho účet počítače.

C:\Ntreskit\Nltest.exeUsage: nltest [/OPTIONS] /SC_QUERY:DomainName – dotazování kanálu zabezpečení pro doménu na serveru /SERVER:Název_serveru /SC_VERIFY:Název_domény – ověří kanál zabezpečení v zadané doméně pro místní nebo vzdálenou pracovní stanici, server nebo řadič domény. Příznaky: 30 HAS_IP HAS_TIMESERV název důvěryhodného řadiče domény \\server.windows2000.com Stav připojení důvěryhodného řadiče domény = 0 0x0 NERR_SuccessPříkaz se úspěšně dokončil.

Uživatelé a počítače služby Active Directory (DSA)

V systému Windows 2000 nebo Windows XP můžete také resetovat účet počítače z grafického uživatelského rozhraní (GUI). V Uživatelé a počítače služby Active Directory MMC (DSA) můžete kliknout pravým tlačítkem myši na objekt počítače v kontejneru Počítače nebo příslušný kontejner a potom kliknout na Obnovit účet. Tím se účet počítače resetuje. Resetování hesla pro řadiče domény pomocí této metody není povoleno. Resetování účtu počítače přeruší připojení tohoto počítače k doméně a vyžaduje, aby se znovu připojil k doméně. Poznámka: To zabrání vytvořenému počítači v připojení k doméně a měl by být použit pouze pro počítač, který byl právě znovu sestaven.

Skript jazyka Microsoft Visual Basic

K resetování účtu počítače můžete použít skript. Musíte se připojit k účtu počítače pomocí rozhraní IADsUser. Pak můžete použít SetPassword metodu nastavit heslo na počáteční hodnotu. Počáteční heslo počítače je vždy "název_počítače$".Následující ukázkové skripty nemusí fungovat ve všech prostředích a před implementací by se měly testovat. První příklad je pro účty počítačů systém Windows NT 4.0 a druhý je pro účty počítačů se systémem Windows 2000 nebo Windows XP.

Ukázka 1

Dim objComputerSet objComputer = GetObject("WinNT://WINDOWS2000/computername$")objComputer.SetPassword "computername$"Wscript.Quit

Ukázka 2

Dim objComputerSet objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")objComputer.SetPassword "computername$"Wscript.Quit

Další informace o tom, jak zjistit, zda datum a čas události 5722 odpovídají dekódovanému datu a času, naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:

175024 Resetování zabezpečeného kanálu člena domény

810977 V řadiči domény se systémem Windows 2000 Server je zaznamenána událost s ID 5722

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti