Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory

Обновлено 02.06.2019

Active directory logoКак и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом.  Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.

Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай . Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-01

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-01

Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.

  • Способ первый

Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-02

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-02

Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.

Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.

  • Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-03

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-03

Что интересно, в рекомендациях  по использованию и в справке написано, что команду Netdom Resetpwdможно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

Или сбросить учетную запись компьютера:

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

где WKS1 — рабочая станция, которой сбрасываем учетку.

еще пример для доменной учетки отличную названию Администратор.

C:\>netdom resetpwd /server:DC1 /userd:contoso\administrator
/passwordd:P@ssw0rd

Выходим из сессии локального администратора (logoff); Вуаля! Логинимся доменной учетной записью без всяких перезагрузок! Внимание! Ключ PasswordD пишется с ДВУМЯ буковками "D" на конце (что явно подчеркивает, что в команде имя пользователя и пароль указываются именно для ДОМЕННОГО администратора).

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-04

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-04

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью  Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

  • Способ третий

Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:

Nltest /query - проверить безопасное соединение с доменом;

Nltest /sc_reset:Contoso.com — сбросить учетную запись компьютера в домене;

Nltest /sc_change_pwd:Contoso.com — изменить пароль компьютера.

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-05

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-05

Самый быстрый и доступный способ, ведь утилита Nltest по умолчанию есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.

  • Способ четвертый

PowerShell тоже умеет сбрасывать пароль компьютера и восстанавливать безопасное соединение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.

Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

где SRV1 — контролер домена (указывать не обязательно).

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-06

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-06

Для сброса пароля также можно также воспользоваться такой командой:

Reset-ComputerMachinePassword -Server SRV1 -Credential Contoso\Administrator -Repair

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-07

Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-07

Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа.

Автор - Сёмин Иван

15 Responses to Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory

  1. Алексей:

    А если на компьютере отключены все локальные пользователи!?

  2. Иван Семин:

    Их можно включить с консоли и с помощью сборки Sony PE, можете взять у меня на сайте.

  3. хушбахт:

    Спасибо!

  4. Ислам:

    Здравствуйте! Компьютер включен в домен. После очередной смены пароля теперь при загрузке винды появляется сообщение, что логин или пароль неверны. Не принимает ни старый ни новый пароль. Администратор сети уволился и не оставил пароль администратора домена. При этом, если выдернуть кабель локалки, то можно войти старым паролем. Вставляем локалку, но сетевые папки, естественно, недоступны. Это значит, что «утеряно доверие» ? И что применить для восстановления нормального входа в систему? Спасибо.

  5. Иван Семин:

    Пароль администратора домена можно сломать, если интересно научу как. А доверие утеряно, в большинстве случае, из-за недоступности контроллера домена, либо сервер давно не включался и не успел обновить свой пароль, лечиться повторными вводом в домен.

  6. Вячеслав:

    Вопросы в связи с особенностями парольной политики нашей организации:

    1. А можно ли вручную (т.е. заданной требуемой сложности) установить пароль учетной записи компьютера ?
    2. Какая сложность паролей, устанавливаемых Windows автоматически (какая длина и используемость верхнего и нижнего регистра, цифр, спецсимволов)? Можно ли её задать принудительно?

  7. Иван Семин:

    Да вы можете установить любой нужный вам пароль для учетной записи компьютера. Почитайте у меня статью про PSO и настройка PSO, а так по умолчанию в серверных платформах минимум 7 символов с разными регистрами и цифрами, в клиентских вообще можно без пароля.

  8. Oles:

    Столкнулся что при любых вариантах получаю ошибку:
    База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции.

    При этом безопасный канал установлен. Просто спустя время не могу залогиниться на эту машинку.
    При выводе и попытке ввода в домен спустя какое-то время получаю ту же ошибку.

  9. Иван Семин:

    Удаляйте из AD данную учетку компьютера и перезаводите его

  10. Николай:

    Добрый день! Получилось так, что сам домен временно выбыл из строя, следовательно команды типа netdom не работают. И в столь сложный час, один из пользователей забыл пароль. Существует ли способ смены или сброса пароля доменного пользователя в windows 7 в нашем случаи?

  11. Иван Семин:

    Да есть Live CD ISO сборки, где есть утилиты по сбросу пароля, например SonyaPE и его аналоги. На рутрекере их много. А вы кстати пробовали залогиниться под пользователем вытащив шнурок сети? Так же вы можете сбросить пароль локальной учетной записи, а уже потом имея административный доступ вытащить нужные данные, все зависит от вашей ситуации.

  12. Николай:

    Live CD ISO есть,утилиты видят локальных пользователей, а доменных нет, доступ к локальному админу тоже есть, но хотелось открыть рабочей стол именно доменного пользователя

  13. Иван Семин:

    А компьютер уже не будет иметь доступ в домен?

  14. Zenit:

    если все правильно настроено, и ничего из предложенного не помогает, в т.ч. и с множества других ресурсах,
    в т.ч. если выключение STP на интерфейсе порта свитча также ни к чему не приводит, то

    залогиниться может получиться через некоторое время (бывало до 40 минут), либо по локальной учётке, и
    попробуйте перевести сетевую принудительно в 100 Mbit/s или 10, fd или hd, затем перезагрузитесь и проверьте лог на предмет «Код события: 5719»

    если ушло, то предположительно глючит сетевая или линия.

    Вообще, если остальные ПК, подключенные к тому же свитчу входят без длительной паузы, то думаю лучше сразу начать «диагностику» с сетевой карты, описанную выше, чтобы зря тратить время.

  15. AnGeL:

    Доброго дня! Подскажите а если сам контроллер домена потерял доверительные отношения что делать? Ошибка на самом АД: «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой на рабочей станции», в отличии от простых рабочих станций на нем в оприоре нет локального админа или учетных записей.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *