本分步文章介绍如何使用 Netdom.exe 重置 Windows Server 中域控制器的计算机帐户密码。

原始 KB 编号： 325850

每台基于 Windows 的计算机都会维护一个计算机帐户密码历史记录，其中包含用于该帐户的当前密码和以前的密码。 当两台计算机尝试相互进行身份验证，但尚未收到对当前密码的更改时，Windows 会依赖以前的密码。 如果密码更改序列超过两个更改，则所涉及的计算机可能无法通信，并且你可能会收到错误消息。 例如，发生 Active Directory 复制时，会收到 “拒绝访问 ”错误消息。

此行为也适用于同一域的域控制器之间的复制。 如果未复制的域控制器驻留在两个不同的域中，请更仔细地查看信任关系。

无法使用 Active Directory 用户和计算机管理单元更改计算机帐户密码。 但可以使用 Netdom.exe 工具重置密码。 Netdom.exe 工具包含在 Windows Server 2003 的 Windows 支持工具、Windows Server 2008 R2 和 Windows Server 2008 中。

Netdom.exe 工具在本地重置计算机上的帐户密码 (称为 本地机密) 。 它将此更改写入同一域中的 Windows 域控制器上的计算机计算机帐户对象。 同时将新密码写入这两个位置可确保至少同步操作所涉及的两台计算机。 启动 Active Directory 复制可确保其他域控制器收到更改。

以下过程介绍如何使用 netdom 命令重置计算机帐户密码。 此过程最常在域控制器上使用，但也适用于任何 Windows 计算机帐户。

必须从要更改其密码的基于 Windows 的计算机本地运行该工具。 此外，必须在 Active Directory 中本地和计算机帐户的对象上具有管理权限，才能运行 Netdom.exe。

在要重置其密码的域控制器上安装 Windows Server 2003 支持工具。 这些工具位于 Support\Tools Windows Server 2003 CD-ROM 上的 文件夹中。 若要安装这些工具，请右键单击 文件夹中的 Suptools.msi 文件 Support\Tools ，然后选择“ 安装”。

注意

Windows Server 2008、Windows Server 2008 R2 或更高版本中不需要此步骤，因为这些 Windows 版本中包含 Netdom.exe 工具。

如果要重置 Windows 域控制器的密码，则必须停止 Kerberos 密钥分发中心服务，并将其启动类型设置为 “手动”。

注意

删除收到错误的域控制器上的 Kerberos 票证缓存。 可以通过重新启动计算机或使用 KLIST、Kerbtest 或 KerbTray 工具执行此操作。 KLIST 包含在 Windows Server 2008 和 Windows Server 2008 R2 中。 对于 Windows Server 2003，KLIST 可在 Windows Server 2003 资源工具包工具中免费下载。

在命令提示符下，键入以下命令：

此命令的说明为：

/s: 是用于设置计算机帐户密码的域控制器的名称。 它是运行 KDC 的服务器。

/ud: 是与参数中指定的 /s 域建立连接的用户帐户。 它必须采用 domain\User 格式。 如果省略此参数，则使用当前用户帐户。

/pd:* 指定参数中指定的 /ud 用户帐户的密码。 使用星号 (*) 提示输入密码。 例如，本地域控制器计算机为 Server1，对等 Windows 域控制器为 Server2。 如果使用以下参数在 Server1 上运行 Netdom.exe，则密码将在本地更改，并在 Server2 上同时写入。 复制会将更改传播到其他域控制器：

重启密码已更改的服务器。 在此示例中，它是 Server1。