如何使用 Netdom.exe 重置 Windows Server 域控制器的机器帐户密码
如何使用 Netdom.exe 重置 Windows Server 域控制器的机器帐户密码
参考KB:https://support.microsoft.com/zh-cn/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows
适用于: Windows Server 2019, all versionsWindows Server 2016 StandardWindows Server 2012 R2 Standard 详细
使用 Netdom.exe 重置机器帐户密码
概要
本文分步描述如何使用 Netdom.exe 在 Windows Server 中重置域控制器的机器帐户密码。
每台基于 Windows 的计算机均会保留一个计算机帐户密码历史记录,其中包含用于该帐户的当前和以前的密码。 当两台计算机尝试彼此进行身份验证时,如果未接收到当前密码更改,则 Windows 将依赖于以前的密码。 如果密码序列更改次数超过两次,则涉及的计算机可能无法通信,并且你可能会收到错误消息。 例如,在发生 Active Directory 复制时可能会收到“拒绝访问”错误消息。
此行为也适用于同一域的域控制器之间的复制。 如果未复制的域控制器驻留在两个不同的域中,请更密切地查看信任关系。
不能使用 Active Directory 用户和计算机管理单元更改计算机帐户密码,但可以使用 Netdom.exe 工具重置密码。 Netdom.exe 工具包含在 Windows Server 2003 的 Windows 支持工具中。 Netdom.exe 工具也包含在 Windows Server 2008 R2 和 Windows Server 2008 中。
Netdom.exe 工具可以本地重置计算机上的帐户密码(称为“本地密码”),并将此更改写入位于同一域中的 Windows 域控制器上的计算机的计算机帐户对象。 同时将新密码写入两个位置,确保对操作中涉及的至少两台计算机进行同步,并启动 Active Directory 复制,以便其他域控制器接收更改。
以下过程描述了如何使用 netdom 命令重置计算机帐户密码 。 此过程最常用于域控制器,但也适用于任何 Windows 计算机帐户。
你必须从想要更改其密码的基于 Windows 的计算机本地运行该工具。 此外,必须具有本地和对 Active Directory 中的计算机帐户对象的管理权限才能运行 Netdom.exe。
使用 Netdom.exe 重置机器帐户密码
在要重置其密码的域控制器上安装 Windows Server 2003 支持工具。 这些工具位于 Windows Server 2003 CD-ROM 上的 Support\Tools 文件夹中。 要安装这些工具,请右键单击 Support\Tools 文件夹中的 Suptools.msi 文件,然后单击“安装”。
注意在 Windows Server 2008 R2 和 Windows Server 2008 中不需要执行此步骤,因为 Netdom.exe 工具包含在这些 Windows 版本中 。
如果要重置 Windows 域控制器的密码,则必须停止 Kerberos 密钥分发中心服务并将其启动类型设置为 “手动” 。
注意
重新启动并验证密码已成功重置后,可以重新启动 Kerberos 密钥分发中心 (KDC) 服务并将其启动类型设置回自动 。 这使得具有错误计算机帐户密码的域控制器联系另一个域控制器,以获取 Kerberos 票证。
可能必须在所有域控制器(除一个外)上禁用 Kerberos 密钥分发中心服务。 如果可以,请不要禁用具有全局目录的域控制器,除非遇到问题。
删除收到错误的域控制器上的 Kerberos 票证缓存。 可以通过重新启动计算机或使用 KLIST、Kerbtes 或 KerbTray 工具来实现此目的。 Windows Server 2008 R2 和 Windows Server 2008 中均包含 KLIST。 在 Windows Server 2003 中,可以在 Windows Server 2003 Resource Kit Tools 中免费下载 KLIST。 要获取此工具,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
在命令提示符下,键入以下命令:
netdom resetpwd /s:server /ud:domain\User /pd:
此命令的说明如下:
/s:server 是域控制器的名称,该控制器用于设置机器帐户密码。 这是 KDC 正在其中运行的服务器。
/ud:domain\User 是用于连接至 /s 参数中指定的域的用户帐户。 该格式必须为 domain\User 格式。 如果省略此参数,则使用当前用户帐户。
/pd: 用于指定 /ud 参数中指定的用户帐户的密码。 使用星号 () 提示输入密码。
例如,本地域控制器计算机是 Server1,对等 Windows 域控制器为 Server2。 如果在 Server1 上用以下参数运行 Netdom.exe,则会本地更改密码并同时写入到 Server2,并且复制会将更改传播给其他域控制器:
netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:
重新启动已更改密码的服务器。 在本示例中,它是 Server1。