使用 Netdom.exe 重置 Windows 2000 域控制器的机器帐户密码
轉載..
每一台基于 Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。
当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。
如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信,而且您可能会收到错误消息
(如发生 Active Directory 复制时出现“访问遭拒”错误消息)。
同一域的域控制器之间进行复制时也会出现这一情况。如果不能进行复制的域控制器驻留在两个不同的域中,
那么您就应该仔细检查一下信任关系。
您不能使用“Active Directory 用户和计算机”管理单元更改机器帐户密码,但可以使用 Windows Support
Tools 中包括的 Netdom.exe 工具重置密码。
Netdom 工具可在计算机上本地重置帐户密码(也叫“本地机密”)并将此更改写入驻留在同一域中的 Windows
域控制器上该计算机的计算机帐户对象中。同时将新密码写入两个位置可确保至少操作中涉及的两台计算机得
到了同步,并可以启动 Active Directory 复制以便让其他域控制器接收到此更改。
下面的过程讲述了如何使用 netdom 命令重置机器帐户密码。此过程在域控制器上最常用,但也适应于任何 Windows 机器帐户。
因为不能远程使用 Netdom,所以您必须在要更改其密码的那一 Windows 计算机上运行此工具。另外,为运行 Netdom,您必须有本地管理权限以及对 Active Directory 中该计算机帐户的对象的管理权限。
返回页首
使用 Netdom 重置机器帐户密码
在要重置密码的域控制器上安装 Windows CD-ROM 上 Support\Tools 文件夹中的 Windows Support Tools。
如果您尝试重置 Windows 域控制器的密码,那么在执行步骤 3 之前,必须停止 Kerberos 密钥分发中心服
务并将其“启动”类型设置为“手动”。
备注:在重新启动并确认密码已成功重置后,您可以重新启动 Kerberos 密钥分发中心服务并将其“启动”
类型设置回“自动”。这样做可强制有错误计算机帐户密码的域控制器与另一个域控制器联系以获取
Kerberos 票证。
在命令提示符下,键入以下命令:
netdom resetpwd /server: Replication_Partner_Server_Name/userd:
domainname\administrator_id/passwordd:*
其中 Replication_Partner_Server_Name 是与本地计算机在同一域中的某一域控制器的 DNS 或 NetBIOS 名称,domainname\administrator_id分别是 NetBIOS 域名和管理员 ID,格式是“安全帐户管理器”(SAM) 帐户名凭据格式。
/PasswordD: 参数的值“*”指定在提交命令时密码应当用隐藏字符键入。例如,本地计算机(恰好是一个域控制器)是 Server1,对等 Windows 域刂破鞯拿剖?I> Server2。如果您在 Server1 上用下列参数运行 Netdom,则密码就会在本地更改并同时写入 Server2,而且复制作业将把此更改传播到其他域控制器:
netdom resetpwd /server:server2 /userd: mydomain \administrator /passwordd:*
其中重新启动密码已更改的服务器. |
