Поделиться через

Восстановление леса Active Directory — сброс пароля krbtgt

Используйте следующую процедуру, чтобы сбросить пароль krbtgt для домена. Следующая процедура применяется к записываемым контроллерам домена, но не контроллерам домена только для чтения (RODC).

Important

Если вы планируете восстановить RODC во время восстановления леса, не удаляйте учетные записи krbtgt для RODC. The krbtgt account for an RODC is listed in the format krbtgt_number.

Если вы используете настраиваемый фильтр паролей (например, passfilt.dll) на контроллере домена, при попытке сбросить пароль krbtgt может возникнуть ошибка. For more information, including a workaround, see Microsoft Knowledge Base article 2549833.

Сброс пароля krbtgt

  1. Select Start, point to Control Panel, point to Administrative Tools, and then select Active Directory Users and Computers.
  2. Select View, and then select Advanced Features.
  3. In the console tree, double-click the domain container, and then select Users.
  4. In the details pane, right-click the krbtgt user account, and then select Reset Password. Reset password
  5. In New password, type a new password, retype the password in Confirm password, and then select OK. Указанный пароль не имеет значения, так как система автоматически создает надежный пароль независимо от указанного пароля.

Important

Эту операцию следует выполнить дважды. Между сбросами паролей необходимо ждать 10 часов. 10 часов — это максимальное время существования билета пользователя и максимальное время существования служебного билета по параметрам политики, поэтому в случае изменения максимального периода времени существования минимальный период ожидания между сбросами должен быть больше настроенного значения.

Note

Значение журнала паролей для учетной записи krbtgt равно 2, т. е. включает два последних пароля. Сбросив пароль дважды, вы эффективно очищаете историю старых паролей, поэтому другой контроллер домена не сможет реплицироваться с этим контроллером домена, используя старый пароль.

Next steps