如何使用 Netdom.exe 重置 Windows Server 域控制器的机器帐户密码

如何使用 Netdom.exe 重置 Windows Server 域控制器的机器帐户密码
参考KB:https://support.microsoft.com/zh-cn/help/325850/how-to-use-netdom-exe-to-reset-machine-account-passwords-of-a-windows

适用于: Windows Server 2019, all versionsWindows Server 2016 StandardWindows Server 2012 R2 Standard 详细

使用 Netdom.exe 重置机器帐户密码
概要
本文分步描述如何使用 Netdom.exe 在 Windows Server 中重置域控制器的机器帐户密码。

每台基于 Windows 的计算机均会保留一个计算机帐户密码历史记录,其中包含用于该帐户的当前和以前的密码。 当两台计算机尝试彼此进行身份验证时,如果未接收到当前密码更改,则 Windows 将依赖于以前的密码。 如果密码序列更改次数超过两次,则涉及的计算机可能无法通信,并且你可能会收到错误消息。 例如,在发生 Active Directory 复制时可能会收到“拒绝访问”错误消息。

此行为也适用于同一域的域控制器之间的复制。 如果未复制的域控制器驻留在两个不同的域中,请更密切地查看信任关系。

不能使用 Active Directory 用户和计算机管理单元更改计算机帐户密码,但可以使用 Netdom.exe 工具重置密码。 Netdom.exe 工具包含在 Windows Server 2003 的 Windows 支持工具中。 Netdom.exe 工具也包含在 Windows Server 2008 R2 和 Windows Server 2008 中。

Netdom.exe 工具可以本地重置计算机上的帐户密码(称为“本地密码”),并将此更改写入位于同一域中的 Windows 域控制器上的计算机的计算机帐户对象。 同时将新密码写入两个位置,确保对操作中涉及的至少两台计算机进行同步,并启动 Active Directory 复制,以便其他域控制器接收更改。

以下过程描述了如何使用 netdom 命令重置计算机帐户密码 。 此过程最常用于域控制器,但也适用于任何 Windows 计算机帐户。

你必须从想要更改其密码的基于 Windows 的计算机本地运行该工具。 此外,必须具有本地和对 Active Directory 中的计算机帐户对象的管理权限才能运行 Netdom.exe。

使用 Netdom.exe 重置机器帐户密码
在要重置其密码的域控制器上安装 Windows Server 2003 支持工具。 这些工具位于 Windows Server 2003 CD-ROM 上的 Support\Tools 文件夹中。 要安装这些工具,请右键单击 Support\Tools 文件夹中的 Suptools.msi 文件,然后单击“安装”。
注意在 Windows Server 2008 R2 和 Windows Server 2008 中不需要执行此步骤,因为 Netdom.exe 工具包含在这些 Windows 版本中 。
如果要重置 Windows 域控制器的密码,则必须停止 Kerberos 密钥分发中心服务并将其启动类型设置为 “手动” 。

注意
重新启动并验证密码已成功重置后,可以重新启动 Kerberos 密钥分发中心 (KDC) 服务并将其启动类型设置回自动 。 这使得具有错误计算机帐户密码的域控制器联系另一个域控制器,以获取 Kerberos 票证。
可能必须在所有域控制器(除一个外)上禁用 Kerberos 密钥分发中心服务。 如果可以,请不要禁用具有全局目录的域控制器,除非遇到问题。
删除收到错误的域控制器上的 Kerberos 票证缓存。 可以通过重新启动计算机或使用 KLIST、Kerbtes 或 KerbTray 工具来实现此目的。 Windows Server 2008 R2 和 Windows Server 2008 中均包含 KLIST。 在 Windows Server 2003 中,可以在 Windows Server 2003 Resource Kit Tools 中免费下载 KLIST。 要获取此工具,请访问下面的 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
在命令提示符下,键入以下命令:
netdom resetpwd /s:server /ud:domain\User /pd:
此命令的说明如下:
/s:server 是域控制器的名称,该控制器用于设置机器帐户密码。 这是 KDC 正在其中运行的服务器。
/ud:domain\User 是用于连接至 /s 参数中指定的域的用户帐户。 该格式必须为 domain\User 格式。 如果省略此参数,则使用当前用户帐户。
/pd: 用于指定 /ud 参数中指定的用户帐户的密码。 使用星号 () 提示输入密码。
例如,本地域控制器计算机是 Server1,对等 Windows 域控制器为 Server2。 如果在 Server1 上用以下参数运行 Netdom.exe,则会本地更改密码并同时写入到 Server2,并且复制会将更改传播给其他域控制器:
netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:
重新启动已更改密码的服务器。 在本示例中,它是 Server1。

原文地址:https://blog.51cto.com/kuazhang/2405504

时间: 2024-08-29 05:36:35

如何使用 Netdom.exe 重置 Windows Server 域控制器的机器帐户密码的相关文章

windows server域的概念以及wmic(centos上命令)

wmic访问在域中的计算机.其中ops\administrator为域用户名,也可以写作ops.com\administrator.ops是域名ops.com的简写,是MS的NetBIOS一套吗? ./wmic -U 192.168.0.120/ops\\administrator%[email protected] //192.168.0.120 "select * from Win32_ComputerSystem" ./wmic -U 192.168.0.120/ops.com\

windows Server 2008 64位机器装了一个10g客户端,Oracle数据库连接不上问题解决。

windows Server 2008 64位机器装了一个10g客户端,32和64位不清楚 用Netmanager里面的服务名连.Data Source=o10ga;user id=DJZD;password=cy2015;直接显示Tns12514错误,库连接不上... 若改用 Data Source=(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)(HOST=10.72.5.13) (PORT=1521))(ADDRESS=(PROTOCOL

windows server 域分发与分配软件

参考网站:https://blog.csdn.net/southwind0/article/details/80734508 域管理:windows server分发与分配软件 1.分发与分配 用户配置>分发:把某个软件分发给用户以后,用户下次在任意计算机登录时,所部属的软件都会出现在用户计算机的"添加和删除程序"对话框中,供用户下载安装. 用户配置>分配:分配是强制性的软件部属方式.当软件分配给用户时,用户无论在任意的计算机上登录的时,该软件都会自动安装,都可以在&quo

linux samba共享加入windows server 域

软件需求: krb5-workstation-1.9-33.el6_3.2.x86_64 krb5-libs-1.9-33.el6_3.2.x86_64 krb5-devel-1.9-33.el6_3.2.x86_64 pam_krb5-2.3.11-9.el6.x86_64 samba-3.5.10-125.el6.x86_64 samba-client-3.5.10-125.el6.x86_64 samba-winbind-clients-3.5.10-125.el6.x86_64 samb

Windows Server 2012 AD域管理创建

前言 关于AD域管理及其权限划分概论: 1. AD域源于微软,适用于windows,为企业集中化管理和信息安全提供强力保障. 2. 提供域中文件夹共享,但同时又对不同用户有不用的权限. 3.通过对设备限制USB接口,网络访问特定网站来实现对企业内部信息的保护和防止流失. 4.个人文件夹可以重定向到服务器文件夹上,实现真正的在同一个域中使用者数据不受固定PC限制既数据跟随用走. 5.用户的权限不需要定制,只需要加入若干个带有不同权限属性的固定组就可以获得相应的权限功能. 我们按照下图来创建第一个林

Windows Server 2012 R2 创建AD域

? ? 前言 我们按照下图来创建第一个林中的第一个域.创建方法为先安装一台Windows服务器,然后将其升级为域控制器.然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机. 环境 网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2 域名 contoso.com DC1 192.168.100.11/24 DC2 192.168.100.12/24 Server 192.168.100.13/24 PC1 192.168.100.1

Reset Password Windows Server 2008 r2

博主经常会碰到很傻的问题,忘记管理员密码这样的事儿经常犯错,所以对于各种管理员密码恢复的事情比较熟悉,这篇就讲讲如何重置Windows Server 2008 r2的密码,注意这和windows xp.win7等系统方法不一样(真心不想吐槽xp和7的密码破解太简单了),好了,下面就进入正题: 一.工具 一台忘记administrator密码的windows server 2008 r2 一个server 2008 r2的系统光盘 二.实验环境 VMware workstation 11(就一台电

Windows Server 2016-管理Active Directory复制任务

Repadmin.exe可帮助管理员诊断运行Microsoft Windows操作系统的域控制器之间的Active Directory复制问题. Repadmin.exe内置于Windows Server 2008&08R2及以上版本中.如果安装了AD DS或AD LDS服务器角色,则可用.如果您安装属于远程服务器管理工具(RSAT)的Active Directory域服务工具,也可以使用它. 要使用Repadmin.exe,您必须从提升的命令提示符处运行ntdsutil命令.要打开提升的命令提

Windows Server 2012 之 动态访问控制DAC

什么是DAC? 动态访问控制(DAC,Dynamic Access Control)是Windows Server 2012的一个针对文件系统资源的新的访问控制机制.它允许管理员去定义可以应用在组织中所有文件服务器的中心文件访问策略.DAC为所有的文件服务器和现有的共享以及NTFS文件系统权限提供了安全保障.无论共享和NTFS文件系统的权限怎么改变,它都能够确保中心策略被强制覆盖应用. DAC根据多个标准的组合来确定访问权限.它结合NTFS文件系统访问控制列表,那么用户需要满足共享权限,NTFS