使用Netdom.exe重設 Windows Server 域控制器的電腦帳戶密碼
本文說明如何使用 Netdom.exe 在 Windows Server 中重設域控制器的電腦帳戶密碼。
原始 KB 編號: 325850
摘要
每個 Windows 計算機都會維護電腦帳戶密碼歷程記錄,其中包含用於帳戶的目前和先前密碼。 當兩部計算機嘗試彼此進行驗證,而且尚未收到目前密碼的變更時,Windows 會依賴先前的密碼。 如果密碼變更順序超過兩項變更,則涉及的計算機可能無法通訊,而且您可能會收到錯誤訊息。 例如,當 Active Directory 複寫發生時,您會收到 拒絕 存取的錯誤訊息。
此行為也適用於相同網域的域控制器之間的複寫。 如果未復寫的域控制器位於兩個不同的網域中,請更仔細地查看信任關係。
您無法使用 Active Directory 使用者和電腦 嵌入式管理單元來變更電腦帳戶密碼。 但是您可以使用 Netdom.exe 工具來重設密碼。 Netdom.exe工具包含在 Windows Server 2003 的 Windows 支援工具中,並整合至更新版本的作業系統版本。
Netdom.exe工具會在本機重設電腦上的帳戶密碼(稱為 本機密碼)。 它會將此變更寫入相同網域中 Windows 域控制器上的電腦帳戶物件。 同時將新密碼寫入這兩個位置可確保至少同步處理作業所涉及的兩部計算機。 啟動 Active Directory 複寫可確保其他域控制器收到變更。
下列程序說明如何使用 netdom 命令來重設電腦帳戶密碼。 此程式最常用於域控制器,但也適用於任何 Windows 計算機帳戶。
您必須從您要變更其密碼的 Windows 電腦本機執行此工具。 此外,您必須在本機和 Active Directory 中的電腦帳戶對象上擁有系統管理許可權,才能執行Netdom.exe。
使用Netdom.exe重設電腦帳戶密碼
在您要重設密碼的域控制器上安裝 Windows Server 2003 支援工具。 這些工具位於
Support\ToolsWindows Server 2003 CD-ROM 的資料夾中。 若要安裝這些工具,請以滑鼠右鍵按下資料夾中Suptools.msi檔案Support\Tools,然後選取 [ 安裝]。注意
Windows Server 2008、Windows Server 2008 R2 或更新版本中不需要此步驟,因為這些 Windows 版本包含Netdom.exe工具。
如果您想要重設 Windows 域控制器的密碼,您必須停止 Kerberos 金鑰發佈中心服務,並將其啟動類型設定為 [手動]。
注意
- 重新啟動並確認密碼已成功重設之後,您可以重新啟動 Kerberos 金鑰發佈中心 (KDC) 服務,並將其啟動類型設定回自動。 這會強制具有不正確計算機帳戶密碼的域控制器連絡另一個域控制器以取得 Kerberos 票證。
- 您可能必須停用除一個域控制器以外的所有域控制器上的 Kerberos 金鑰發佈中心服務。 如果可以,除非發生問題,否則請勿停用具有全域編錄的域控制器。
拿掉您收到錯誤的域控制器上的 Kerberos 票證快取。 您可以重新啟動電腦或使用 KLIST、Kerbtest 或 KerbTray 工具來執行此動作。 KLIST 隨附於 Windows Server 2008 和更新版本,KLIST 可在 Windows Server 2003 Resource Kit Tools 中免費下載。
在命令提示字元中,輸入下列命令:
netdom resetpwd /s:<server> /ud:<domain\User> /pd:*此指令描述如下:
/s:<server>是用來設定電腦帳戶密碼的域控制器名稱。 這是 KDC 執行所在的伺服器。/ud:<domain\User>是用戶帳戶,會與您在 參數中指定的/s網域建立連線。 它必須是 domain\User 格式。 如果省略此參數,則會使用目前的用戶帳戶。/pd:*會指定 參數中所/ud指定用戶帳戶的密碼。 使用星號 \ 提示輸入密碼。 例如,本機域控制器計算機是 Server1,而對等 Windows 域控制器是 Server2。 如果您使用下列參數在 Server1 上執行Netdom.exe,則會在本機變更密碼,並在 Server2 上同時寫入。 複寫會將變更傳播至其他域控制器:netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*
重新啟動密碼已變更的伺服器。 在此範例中,它是 Server1。