JAK: Korzystanie z programu Netdom.exe w celu resetowania haseł kont komputerów na kontrolerze domeny systemu Windows 2000

Streszczenie

Każdy komputer oparty na systemie Windows utrzymuje historię haseł kont komputera, która zawiera bieżące i poprzednie hasła używane w przypadku konta. Jeśli dwa komputery próbują wzajemnie się uwierzytelnić i nie została jeszcze otrzymana zmiana bieżącego hasła, system Windows opiera się na wcześniejszym haśle. Jeśli sekwencja zmian hasła jest dłuższa niż dwie zmiany, komputery biorące udział w uwierzytelnianiu mogą nie móc się komunikować i mogą być wyświetlane komunikaty o błędach (na przykład komunikaty „Odmowa dostępu” podczas replikacji usługi Active Directory).


To zachowanie dotyczy również replikacji między kontrolerami domeny w tej samej domenie. Jeśli kontrolery domeny, które się nie replikują, znajdują się w dwóch różnych domenach, należy dokładniej sprawdzić relacje zaufania.


Nie można zmienić hasła konta komputera za pomocą przystawki Użytkownicy i komputery usługi Active Directory, ale można zresetować hasło przy użyciu narzędzia Netdom.exe dołączonego do zestawu narzędzi obsługi systemu Windows.

Narzędzie Netdom resetuje lokalnie hasło konta na komputerze (określane również jako „sekret lokalny”) i zapisuje tę zmianę w obiekcie konta komputera na kontrolerze domeny systemu Windows, który znajduje się w tej samej domenie. Jednoczesne zapisanie nowego hasła w obu miejscach gwarantuje, że przynajmniej te dwa komputery, które biorą udział w tej operacji, są zsynchronizowane, i rozpoczyna proces replikacji usługi Active Directory, aby inne kontrolery domeny zostały poinformowane o zmianie.


Poniższa procedura opisuje sposób użycia polecenia netdom w celu zresetowania hasła konta komputera. Ta procedura jest najczęściej używana na kontrolerach domeny, jednak może być zastosowana do dowolnego konta komputera systemu Windows.


Ponieważ narzędzia Netdom nie można używać zdalnie, musi ono zostać uruchomione z opartego na systemie Windows komputera, którego hasło ma być zmienione. Do uruchomienia narzędzia Netdom konieczne jest ponadto posiadanie uprawnień administracyjnych na komputerze lokalnym oraz w odniesieniu do obiektu konta komputera w usłudze Active Directory.

Korzystanie z programu Netdom w celu resetowania hasła konta komputera

 1. Zainstaluj zestaw narzędzi obsługi systemu Windows z folderu Support\Tools na dysku CD-ROM systemu Windows na kontrolerze domeny, którego hasło chcesz zresetować.
 2. W przypadku próby zresetowania hasła kontrolera domeny systemu Windows konieczne jest zatrzymanie usługi Centrum dystrybucji kluczy Kerberos i ustawienie jej typu uruchomienia na Ręczny przed przejściem do kroku 3.

  Uwaga: Po ponownym uruchomieniu komputera i upewnieniu się, że hasło zostało pomyślnie zresetowane, można ponownie uruchomić usługę Centrum dystrybucji kluczy Kerberos i ustawić jej typ uruchomienia z powrotem na Automatyczny. Dzięki temu kontroler domeny przechowujący złe hasło konta komputera zostanie zmuszony do skontaktowania się z innym kontrolerem domeny w celu uzyskania biletu protokołu Kerberos.
 3. Wpisz następujące polecenie w wierszu polecenia:
  netdom resetpwd /server:nazwa_serwera_partnera_replikacji /userd:nazwa_domeny\identyfikator_administratora /passwordd:*
  gdzie nazwa_serwera_partnera_replikacji jest w pełni kwalifikowaną nazwą DNS lub NetBIOS kontrolera domeny w tej samej domenie, co komputer lokalny, a nazwa_domeny\identyfikator_administratora są odpowiednio nazwą domeny NetBIOS i identyfikatorem administratora w formacie poświadczeń nazw kont Menedżera kont zabezpieczeń (SAM).


  Wartość „*” parametru /PasswordD: określa, że hasło powinno być wpisane przy użyciu ukrytych znaków po przesłaniu polecenia. Na przykład komputer lokalny (który jest także kontrolerem domeny) to Serwer1, a równorzędny kontroler domeny systemu Windows to Serwer2. Jeśli narzędzie Netdom zostanie uruchomione na komputerze Serwer1 z następującymi parametrami, hasło zostanie zmienione lokalnie i jednocześnie zostanie zapisane na komputerze Serwer2, a replikacja spowoduje propagację tej zmiany do innych kontrolerów domeny:
  netdom resetpwd /server:serwer2 /userd:mojadomena\administrator /passwordd:*
 4. Ponownie uruchom serwer, którego hasło zostało zmienione (w tym przykładzie jest to Serwer1).

Właściwości

Identyfikator artykułu: 260575 — ostatni przegląd: 21.01.2004 — zmiana: 1

Opinia