使用Netdom.exe重設 Windows Server 網域控制站的電腦帳戶密碼

  • 發行項

本逐步解說文章說明如何使用Netdom.exe在 Windows Server 中重設網域控制站的電腦帳戶密碼。

適用于:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 編號: 325850

摘要

每部 Windows 電腦都會維護電腦帳戶密碼歷程記錄,其中包含用於帳戶的目前和先前密碼。 當兩部電腦嘗試彼此驗證,但尚未收到目前密碼的變更時,Windows 會依賴先前的密碼。 如果密碼變更序列超過兩項變更,則涉及的電腦可能無法通訊,而且您可能會收到錯誤訊息。 例如,當 Active Directory 複寫發生時,您會收到 拒絕存取 的錯誤訊息。

此行為也適用于相同網域網域控制站之間的複寫。 如果未複寫的網域控制站位於兩個不同的網域中,請更仔細地查看信任關係。

您無法使用Active Directory 消費者和電腦嵌入式管理單元來變更電腦帳戶密碼。 但您可以使用Netdom.exe工具來重設密碼。 Netdom.exe工具組含在 Windows Server 2003、Windows Server 2008 R2 和 Windows Server 2008 的 Windows 支援工具中。

Netdom.exe工具會在本機電腦上重設帳戶密碼, (稱為 本機密碼) 。 它會將這項變更寫入相同網域中 Windows 網域控制站上的電腦帳戶物件。 同時將新密碼寫入這兩個位置,可確保至少同步處理與作業相關的兩部電腦。 而啟動 Active Directory 複寫可確保其他網域控制站會收到變更。

下列程式描述如何使用 netdom 命令來重設電腦帳戶密碼。 此程式最常用於網域控制站,但也適用于任何 Windows 電腦帳戶。

您必須在本機從您想要變更密碼的 Windows 電腦執行此工具。 此外,您必須在本機和 Active Directory 中電腦帳戶的 物件上擁有系統管理許可權,才能執行Netdom.exe。

使用Netdom.exe重設電腦帳戶密碼

  1. 在您要重設密碼的網域控制站上安裝 Windows Server 2003 支援工具。 這些工具位於 Support\Tools Windows Server 2003 CD-ROM 的資料夾中。 若要安裝這些工具,請以滑鼠右鍵按一下資料夾中的 Support\Tools Suptools.msi檔案,然後選取 [ 安裝]

    注意事項

    Windows Server 2008、Windows Server 2008 R2 或更新版本中不需要此步驟,因為這些 Windows 版本包含Netdom.exe工具。

  2. 如果您想要重設 Windows 網域控制站的密碼,您必須停止 Kerberos 金鑰發佈中心服務,並將其啟動類型設定為 Manual

    注意事項

    • 重新開機並確認密碼已成功重設之後,您可以重新開機 Kerberos 金鑰發佈中心 (KDC) 服務,並將其啟動類型設定回 [自動]。 這會強制具有不正確電腦帳戶密碼的網域控制站連絡另一個網域控制站以取得 Kerberos 票證。
    • 您可能必須停用所有網域控制站上的 Kerberos 金鑰發佈中心服務,但一個除外。 如果可以,除非遇到問題,否則請勿停用具有通用類別目錄的網域控制站。

  3. 在您收到錯誤的網域控制站上移除 Kerberos 票證快取。 您可以藉由重新開機電腦或使用 KLIST、Kerbtest 或 KerbTray 工具來執行此動作。 KLIST 包含在 Windows Server 2008 和 Windows Server 2008 R2 中。 針對 Windows Server 2003,KLIST 可在 Windows Server 2003 Resource Kit Tools 中免費下載。

  4. 在命令提示字元中,輸入下列命令:

    netdom resetpwd /s:<server> /ud:<domain\User> /pd:*

    此命令的描述如下:

    • /s:<server> 是用於設定電腦帳戶密碼的網域控制站名稱。 這是 KDC 執行所在的伺服器。

    • /ud:<domain\User> 是與您在 參數中指定之網域建立連線的 /s 使用者帳戶。 它必須是 domain\User 格式。 如果省略此參數,則會使用目前的使用者帳戶。

    • /pd:* 指定 參數中指定之使用者帳戶的 /ud 密碼。 使用星號 (*) 提示輸入密碼。 例如,本機網域控制站電腦是 Server1,而對等 Windows 網域控制站是 Server2。 如果您使用下列參數在 Server1 上執行 Netdom.exe,密碼會在本機變更,並同時寫入 Server2。 複寫會將變更傳播至其他網域控制站:

      netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*

  5. 重新開機密碼已變更的伺服器。 在此範例中,它是 Server1。