使用 Netdom.exe 重設 Windows Server 域控制器的電腦帳戶密碼

  • 發行項

此逐步解說文章說明如何使用 Netdom.exe 在 Windows Server 中重設域控制器的電腦帳戶密碼。

適用於: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 編號: 325850

摘要

每部 Windows 計算機都會維護電腦帳戶密碼歷程記錄,其中包含用於帳戶的目前和先前密碼。 當兩部計算機嘗試彼此驗證,但尚未收到目前密碼的變更時,Windows 會依賴先前的密碼。 如果密碼變更序列超過兩項變更,則涉及的計算機可能無法通訊,而且您可能會收到錯誤訊息。 例如,當 Active Directory 複寫發生時,您會收到 拒絕存取 錯誤訊息。

此行為也適用於相同網域域控制器之間的複寫。 如果未復寫的域控制器位於兩個不同的網域中,請更仔細地查看信任關係。

您無法使用 Active Directory 使用者和電腦 嵌入式管理單元來變更電腦帳戶密碼。 但您可以使用 Netdom.exe 工具來重設密碼。 Netdom.exe 工具包含在 Windows Server 2003、Windows Server 2008 R2 和 Windows Server 2008 的 Windows 支援工具中。

Netdom.exe 工具會在本機計算機上重設帳戶密碼, (稱為 本機密碼) 。 它會將這項變更寫入相同網域中 Windows 域控制器上的電腦帳戶物件。 同時將新密碼寫入這兩個位置,可確保至少同步處理與作業相關的兩部計算機。 而啟動 Active Directory 複寫可確保其他域控制器會收到變更。

下列程式描述如何使用 netdom 命令來重設電腦帳戶密碼。 此程式最常用於域控制器,但也適用於任何 Windows 計算機帳戶。

您必須在本機從您想要變更密碼的 Windows 電腦執行此工具。 此外,您必須在本機和 Active Directory 中電腦帳戶的 物件上擁有系統管理許可權,才能執行 Netdom.exe。

使用 Netdom.exe 重設電腦帳戶密碼

  1. 在您要重設密碼的域控制器上安裝 Windows Server 2003 支援工具。 這些工具位於 Support\Tools Windows Server 2003 CD-ROM 的資料夾中。 若要安裝這些工具,請以滑鼠右鍵按下資料夾中的 Support\Tools Suptools.msi 檔案,然後選取 [ 安裝]

    注意事項

    Windows Server 2008、Windows Server 2008 R2 或更新版本中不需要此步驟,因為這些 Windows 版本中包含 Netdom.exe 工具。

  2. 如果您想要重設 Windows 域控制器的密碼,您必須停止 Kerberos 金鑰發佈中心服務,並將其啟動類型設定為 Manual

    注意事項

    • 重新啟動並確認密碼已成功重設之後,您可以重新啟動 Kerberos 金鑰發佈中心 (KDC) 服務,並將其啟動類型設定回 [自動]。 這會強制具有不正確計算機帳戶密碼的域控制器連絡另一個域控制器以取得 Kerberos 票證。
    • 您可能必須停用所有域控制器上的 Kerberos 金鑰發佈中心服務,但一個除外。 如果可以,除非遇到問題,否則請勿停用具有全域編錄的域控制器。

  3. 在您收到錯誤的域控制器上移除 Kerberos 票證快取。 您可以藉由重新啟動電腦或使用 KLIST、Kerbtest 或 KerbTray 工具來執行此動作。 KLIST 包含在 Windows Server 2008 和 Windows Server 2008 R2 中。 針對 Windows Server 2003,KLIST 可在 Windows Server 2003 Resource Kit Tools 中免費下載。

  4. 在命令提示字元中,輸入下列命令:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    此指令描述如下:

    • /s:<server> 是用於設定電腦帳戶密碼的域控制器名稱。 這是 KDC 執行所在的伺服器。

    • /ud:<domain\User> 是與您在 參數中指定之網域建立連線的 /s 用戶帳戶。 它必須是 domain\User 格式。 如果省略此參數,則會使用目前的用戶帳戶。

    • /pd:* 指定 參數中指定之用戶帳戶的 /ud 密碼。 使用星號 (*) 提示輸入密碼。 例如,本機域控制器計算機是 Server1,而對等 Windows 域控制器是 Server2。 如果您使用下列參數在 Server1 上執行 Netdom.exe,密碼會在本機變更,並同時寫入 Server2。 複寫會將變更傳播至其他域控制器:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. 重新啟動密碼已變更的伺服器。 在此範例中,它是 Server1。