Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory
Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.
Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай . Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.
Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.
- Способ первый
Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.
Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.
Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.
- Способ второй
Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:
Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*
где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.
В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.
Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwdможно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.
Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:
Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
Или сбросить учетную запись компьютера:
Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
где WKS1 — рабочая станция, которой сбрасываем учетку.
еще пример для доменной учетки отличную названию Администратор.
C:\>netdom resetpwd /server:DC1 /userd:contoso\administrator
/passwordd:P@ssw0rd
Выходим из сессии локального администратора (logoff); Вуаля! Логинимся доменной учетной записью без всяких перезагрузок! Внимание! Ключ PasswordD пишется с ДВУМЯ буковками "D" на конце (что явно подчеркивает, что в команде имя пользователя и пароль указываются именно для ДОМЕННОГО администратора).
Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).
- Способ третий
Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:
Nltest /query - проверить безопасное соединение с доменом;
Nltest /sc_reset:Contoso.com — сбросить учетную запись компьютера в домене;
Nltest /sc_change_pwd:Contoso.com — изменить пароль компьютера.
Самый быстрый и доступный способ, ведь утилита Nltest по умолчанию есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.
- Способ четвертый
PowerShell тоже умеет сбрасывать пароль компьютера и восстанавливать безопасное соединение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.
Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:
где SRV1 — контролер домена (указывать не обязательно).
Для сброса пароля также можно также воспользоваться такой командой:
Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа.
А если на компьютере отключены все локальные пользователи!?
Их можно включить с консоли и с помощью сборки Sony PE, можете взять у меня на сайте.
Спасибо!
Здравствуйте! Компьютер включен в домен. После очередной смены пароля теперь при загрузке винды появляется сообщение, что логин или пароль неверны. Не принимает ни старый ни новый пароль. Администратор сети уволился и не оставил пароль администратора домена. При этом, если выдернуть кабель локалки, то можно войти старым паролем. Вставляем локалку, но сетевые папки, естественно, недоступны. Это значит, что «утеряно доверие» ? И что применить для восстановления нормального входа в систему? Спасибо.
Пароль администратора домена можно сломать, если интересно научу как. А доверие утеряно, в большинстве случае, из-за недоступности контроллера домена, либо сервер давно не включался и не успел обновить свой пароль, лечиться повторными вводом в домен.
Вопросы в связи с особенностями парольной политики нашей организации:
1. А можно ли вручную (т.е. заданной требуемой сложности) установить пароль учетной записи компьютера ?
2. Какая сложность паролей, устанавливаемых Windows автоматически (какая длина и используемость верхнего и нижнего регистра, цифр, спецсимволов)? Можно ли её задать принудительно?
Да вы можете установить любой нужный вам пароль для учетной записи компьютера. Почитайте у меня статью про PSO и настройка PSO, а так по умолчанию в серверных платформах минимум 7 символов с разными регистрами и цифрами, в клиентских вообще можно без пароля.
Столкнулся что при любых вариантах получаю ошибку:
База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции.
При этом безопасный канал установлен. Просто спустя время не могу залогиниться на эту машинку.
При выводе и попытке ввода в домен спустя какое-то время получаю ту же ошибку.
Удаляйте из AD данную учетку компьютера и перезаводите его
Добрый день! Получилось так, что сам домен временно выбыл из строя, следовательно команды типа netdom не работают. И в столь сложный час, один из пользователей забыл пароль. Существует ли способ смены или сброса пароля доменного пользователя в windows 7 в нашем случаи?
Да есть Live CD ISO сборки, где есть утилиты по сбросу пароля, например SonyaPE и его аналоги. На рутрекере их много. А вы кстати пробовали залогиниться под пользователем вытащив шнурок сети? Так же вы можете сбросить пароль локальной учетной записи, а уже потом имея административный доступ вытащить нужные данные, все зависит от вашей ситуации.
Live CD ISO есть,утилиты видят локальных пользователей, а доменных нет, доступ к локальному админу тоже есть, но хотелось открыть рабочей стол именно доменного пользователя
А компьютер уже не будет иметь доступ в домен?
если все правильно настроено, и ничего из предложенного не помогает, в т.ч. и с множества других ресурсах,
в т.ч. если выключение STP на интерфейсе порта свитча также ни к чему не приводит, то
залогиниться может получиться через некоторое время (бывало до 40 минут), либо по локальной учётке, и
попробуйте перевести сетевую принудительно в 100 Mbit/s или 10, fd или hd, затем перезагрузитесь и проверьте лог на предмет «Код события: 5719»
если ушло, то предположительно глючит сетевая или линия.
Вообще, если остальные ПК, подключенные к тому же свитчу входят без длительной паузы, то думаю лучше сразу начать «диагностику» с сетевой карты, описанную выше, чтобы зря тратить время.
Доброго дня! Подскажите а если сам контроллер домена потерял доверительные отношения что делать? Ошибка на самом АД: «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой на рабочей станции», в отличии от простых рабочих станций на нем в оприоре нет локального админа или учетных записей.