Я думаю, многие администраторы сталкивались с проблемой, когда компьютер не может пройти проверку подлинности в домене и при попытке логона пользователя выдает сообщение: The trust relationship between this workstation and the primary domain failed («Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом»).
В общем-то причина появления такой ошибки известна. Все компьютеры в домене Windows имеют свой собственный пароль и по умолчанию должны менять его каждые 30 дней. Однако если по какой либо причине эти пароли не совпадают, то компьютер не может пройти аутентификации в домене (установить доверительные отношения и безопасный канал).
Такое рассогласование может произойти в случае, если компьютер был восстановлен из резервной копии, созданной раньше момента последней смены пароля компьютера в домене (особенно часто это случается при восстановлении виртуальной машины из снапшота), или же произошла принудительная смена пароля в домене, а на компьютер эти изменения по какой-либо причине не попали (например, была сброшена или перезатерта учетная запись ПК).
В принципе, избежать такую ситуации можно, запретив смену пароля в в домене групповой политике (например, только для виртуальных машин), но, естественно это небезопасно и делать это обычно не рекомендуется.
В таких случаях, системный администратор обычно просто заново включал вылетевший компьютер в домен. Но для этого компьютер нужно перезагружать. Мне захотелось найти альтернативу такому решению, и как оказалось, оно существует. Для этого можно воспользоваться Powershell.
- Откройте консоль PowerShell
- Введите команду
Test-ComputerSecureChannel
- Если в ответ мы получим False, это означает что невозможно установить безопасный канал между клиентом и контроллером домена. А т.к. не устанавливается безопасный канал, то и залогинится с доменной учетной записью нельзя.
- Чтобы сбросить и синхронизировать пароль компьютера в домене, воспользуемся командой
Test-ComputerSecureChannel –Credential -Repair
- В появившемся окне введите имя пользователя, которому разрешено управлять учетной записью компьютера в домене и его пароль
- После чего еще раз проверим возможность установки безопасного канала первой командой, если все получилось, она вернет True
- Осталось выйти из системы и зайти под доменной учетной записью
Вот так быстро и просто мы сбросили пароль учетной записи компьютера в домене без перезагрузки компьютера. Указанная методика была проверена на Windows 8 и Windows 7.
Как сбросить пароль администратора в Windows
В данной статье рассмотрим сценарий сброса пароля администратора домена Active Directory. Эта процедура может понадобиться в случаях утраты прав администратора, например, при «забывчивости» администратора, при намеренном саботаже, либо после атаки злоумышленников. Для выполнения сброса пароля вам потребуется физический или удалённый доступ к консоли сервера (через ILO, iDRAC или консоли VMware vSphere/Hyper-V/Proxmox при использовании виртуального контроллера домена).
Приобрести оригинальные ключи активации Windows Server можно у нас в магазине от 1190 ₽
Скачать дистрибутивы Windows Server можно у нас в каталоге.
Пример будет рассмотрен на сервере с Windows Server 2019. Если в сети несколько контроллеров домена, рекомендуется выполнить процедуру на сервере с FSMO ролью PDC (Primary Domain Controller).
Для сброса пароля администратора домена вам нужно попасть в режим восстановления службы каталогов – DSRM (Directory Services Restore Mode) с паролем администратора DSRM (он задается при повышении уровня сервера до контроллера домена). По сути это учетная запись локального администратора, хранящаяся в локальной базе SAM на контроллере домена.
Сброс пароля администратора домена, если вы не знаете пароль DSRM
1. Загрузите сервер с любого установочного носителя Windows (например, установочная USB флешка или ISO-образ).
2. На экране установки Windows нажмите Shift+F10 для открытия командной строки.
3. Определите, какой диск соответствует вашему разделу с Windows Server, выполнив команду:
wmic logicaldisk get volumename,name
В данном примере видно, что ваш офлайн образ Windows Server находится на диске C:. Именно это букву диска мы будем использовать в следующих командах;
Если этот способ не помог вам однозначно определить диск в Windows, последовательно выполните:
iskpart -> list disk -> list vol
4. Если Windows находится на диске C:, создайте резервную копию файла utilman.exe и замените его:
copy C:\windows\system32\utilman.exe C:\windows\system32\utilman.exebak
copy C:\windows\system32\cmd.exe C:\windows\system32\utilman.exe /y
5. Перезагрузите сервер, извлеките загрузочный образ:
wpeutil reboot
6. После загрузки сервера на экране входа в систему нажмите «Специальные возможности» (Easy of Access), чтобы открыть командную строку. Выполните команду:
whoami (убедитесь, что работаете от имени NT Authority\SYSTEM).
7. Выведите информацию о пользователе administrator: Net user administrator
В этом примере видно, что этот пользователь входит в группу Domain admins, и сейчас он отключен: Account active: No
8. Активируйте аккаунт администратора и задайте новый пароль:
net user administrator /active:yes
net user administrator *
9. Восстановите исходный файл utilman.exe и перезагрузите сервер:
copy C:\windows\system32\utilman.exebak C:\windows\system32\utilman.exe /y
Перезагрузите контроллер домена в обычном режиме и проверьте, что теперь вы можете войти на DC с новым паролем администратора домена.
Сброс пароля администратора на виртуальном контроллере домена
Если контроллер домена запущен на виртуальной машине (например, в VMware ESXi, Hyper-V или Proxmox), можно воспользоваться PowerShell модулем DSInternals:
1. Отключите виртуальную машину с контроллером домена и подключите её диск к другой ВМ с Windows. Присвойте диску букву, например, E:
2. Установите модуль DSInternals:
Install-Module DSInternals –Force
Модули PowerShell можно устанавливать в офлайн режиме без подключений к Интернету.
3. Получите загрузочный ключ (boot key):
$bootkey= Get-BootKey -SystemHiveFilePath "E:\Windows\System32\config\SYSTEM"
4. Получите информацию о пользователе «Administrator»:
Get-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:\Windows\NTDS\ntds.dit" -BootKey $bootkey
5. Если учетная запись администратора домена отключена, включите ее и задайте новый пароль:
Enable-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:\Windows\NTDS\ntds.dit"
Set-ADDBAccountPassword -SamAccountName 'administrator' -DBPath "E:\Windows\NTDS\ntds.dit" -BootKey $bootkey
6. Отключите виртуальный диск и включите контроллер домена. Новый пароль администратора будет реплицирован на все DC.
Как сбросить пароль администратора домена через DSRM?
Если у вас есть пароль DSRM, можно сбросить пароль администратора домена, загрузив сервер в режим DSRM:
1. Перезагрузите сервер и выберите режим Directory Services Restore Mode (DSRM).
2. Введите имя локального администратора (Administrator) и пароль DSRM для входа.
3. Проверьте имя пользователя:
whoami /user
4. Для сброса пароля администратора создайте службу, которая изменит пароль при запуске:
sc create ResetADPass binPath= "%ComSpec% /k net user administrator P@ssw0rd1" start= auto
Примечание. Обратите внимание, при задании пути в переменной binPath, между знаком ‘=’ и ее значением необходим пробел. Кроме того, новый пароль должен обязательно отвечать доменным требованиям на длину и сложность пароля.
5. Проверьте, что служба создана:
sc qc ResetADPass
6. Перезагрузите сервер:
shutdown -r -t 0
Теперь вы можете войти на контроллер домена с новым паролем администратора.
7. Удалите созданную ранее службу:
sc delete ResetADPass
Заключение:
В данной статье мы рассмотрели несколько способов сброса пароля администратора домена Active Directory. Подчеркнём, что физический доступ к контроллерам домена — это ключевой аспект безопасности. Если вам требуется разместить контроллеры домена в менее защищённых местах, рекомендуется использовать RODC (read-only domain controller), который значительно снижает риски компрометации.
Восстановление пароля Администратора на сервере, который является контролером домена
На днях возникла необходимость восстановить администраторский пароль на сервере, который попутно является ещё и контролером домена. Надо ли говорить, что мне требовался очень надёжный способ, который исключал бы возможность сбоя?
Существует достаточно много различных утилит для сброса пароля пользователей в ОС Windows, некоторые из которых вполне успешно справляются с операцией. Однако уже имеется печальный опыт, когда утилита разрушила операционку и оставила её без Администратора.
Поэтому действовать будем только встроенными средствами Windows Server 2008 (в принципе, можно попробовать и в обычной винде так пароль сменить, я просто пока не проверял).
Подготовительные операции
Для этого берём загрузочный диск с Windows Server 2008, загружаемся с него и в самом первом окне просто нажимаем Далее (Next)
В следующем окне вместо Установить выбираем Восстановление системы (System Recovery), далее выбираем из списка нашу установленную операционку:
Нажимаем Далее (Next) и выбираем Командная строка (Command Prompt)
Перед нами откроется командная строка, в которой нужно будет перво-наперво установить, на каком из дисков находится папка Windows.
Для этого вводим команду C: и нажимаем Enter
После этого вводим команду dir и нажимаем Enter
Окно приведено из Win7 для примера. Суть в том, что нам нужно увидеть в списке папку Windows. Если она там есть, то хорошо. Если нет, то набираем команду dir, нажимаем Enter и просматриваем список папок и файлов. Если на D: нет папки Windows, то набираем E: и нажимаем Enter. Опять команду dir и т.п.
Когда папка Windows нашлась, необходимо последовательно ввести следующие команды:
cd windows\system32
move utilman.exe utilman.exe.bak
copy cmd.exe utilman.exe
Сбрасываем пароль администратора
После этого перезагружаемся и при входе в Windows нажимаем на кнопочку специальных возможностей. При этом откроется командная строка, где необходимо ввести следующую команду:
net user administrator | *
или
net user Администратор | *
после этого система запросит ввод нового пароля.
Вводим пароль два раза (звёздочки не будут отображаться, курсор просто будет моргать) и перезагружаем сервер.
После окончания всех операций не забудьте удалить «лже-utilman» и вернуть на его место оригинальный файл.
Теги:
как сделать,
как сбросить пароль на windows server 2008 r2 контролере домена
Внимание! Все вопросы по статье прошу писать в комментариях, расположенных ниже, чтобы получить бесплатный ответ.
На вопросы, написанные «в личку», отвечаю только за деньги.
Мат и оскорбления — удаляются, а их автор отправляется в бан навсегда.
Другие статьи в разделе:
In this article, we will reset Administrator Password in Windows Server 2022 domain controller using the following steps: In a Windows Server 2022 domain controller, the administrator password holds significant importance as it provides access to critical system functions and data. However, there may be instances when you need to reset the administrator password due to various reasons, such as forgotten passwords or security concerns. This article will guide you through the process of resetting the administrator password on the Windows Server 2022 domain controller, ensuring you regain control over your system.
Table of Contents
Understanding the Importance of the Administrator Password
The administrator password grants access to the Windows Server 2022 domain controller, allowing system administrators to perform critical tasks, manage user accounts, and maintain overall system security. It is crucial to keep this password secure and confidential. However, circumstances such as forgetting the password or security breaches may require a reset.
If you have the installation media available, you can use it to reset the administrator password. Here’s how:
Insert the Windows Server 2022 installation media into the domain controller. Boot the server from the installation media.
Press any key to boot from a CD or DVD.
Select the desired language and click Next.
On the installation screen, click Repair your computer.
On the Choose an Option window, click the Troubleshoot option.
Select Command Prompt.
Verify your Windows installed drive.
Type d: (replace d with the drive letter of the system drive) and press Enter.
Use the cd command to navigate to the Windows\System32 directory.
Type ren Utilman.exe Utilman.exe.old and press Enter.
Then, enter copy cmd.exe Utilman.exe and press Enter.
Close the Command Prompt
Choose Continue
Open Ease to Access Command Prompt
After the server restarts, click on Ease to Access or press Windows Key + U to open the administrator command prompt at the logon screen.
Enter the below commands to change the password.
net user administrator P@ssvv00rd
Then close the command prompt.
You can now log on with the recently changed password.
After you successfully log on to your domain controller, you need to repeat the following cleanup steps:
Restart the server and press F12 (F2, Dell, etc.) to boot from the Windows installation media.
Follow the above steps to reach the command prompt.
Type d: (replace d with the drive letter of the system drive) and press Enter.
Use the cd command to go to the Windows\System32 directory.
Type ren Utilman.exe Utilman.exe.new and press Enter.
Then, enter ren Utilman.exe.old utilman.exe and press Enter.
Close the command prompt.
Select Continue.
On the server login screen, type the username and password, and press Enter.
How to Disable Safe Mode in System Configuration
Type msconfig in the run box and open it.
Untick the safe boot box and click OK.
Click on restart.
Read this article for more details.
Summary
Resetting the domain administrator and local administrator passwords is a crucial responsibility for system administrators. It plays a vital role in safeguarding our job security in certain situations. Familiarizing ourselves with this process is highly beneficial and can potentially save us from unwanted complications.
Jamilhttp://jamiltech.com
A Professional Technology Blog Writer | An energetic professional with more than 20+ years of rich experience in Technology, Planning, Designing, Installation, and Networking.
Reset Windows Password:
сброс кэшированного пароля доменной учетной записи
При входе пользователя в домен Windows, учетные данные пользователя могут кэшироваться и сохраняться на локальном компьютере. Кэширование позволяет пользователям входить в домен, когда локальная рабочая станция отключена от сети или если контроллер домена недоступен. Если пароль домена потерян или забыт, можно обойти эту проблему и войти в учетную запись домена, просто сбросив кэш домена при помощи Reset Windows Password. Процесс состоит из трех простых шагов.
Выбор файлов реестра
Для работы с кэшированными записями домена необходимо указать путь к файла реестра SECURITY и SYSTEM, которые находятся в каталоге %WINDIR%\system32\config. Где %WINDIR% — каталог Windows. Как правило, программа определяет эти файлы автоматически.
Перед тем, как продолжить работу, обязательно убедитесь, что файлы реестра были выбраны правильно.
Поиск и выбор кэшированной записи домена
В верхней части диалога отображается список найденных записей с именами пользователей. Выбрав одну из записей, можно просмотреть ее свойства: полное имя пользователя, последнюю дату входа, домен входа, домашний каталог и др.
Сброс пароля
Для сброса, оставьте поле ввода ‘Новый пароль’ пустым и нажмите на кнопку ‘Сбросить/Изменить‘. Обратите внимание на дополнительную опцию. Кэш домена устроен таким образом, что может содержать несколько записей одного и того же пользователя. Если установлена опция ‘Изменять пароли всех кэшированных записей для этого пользователя‘, то программа изменит/сбросит пароли всех найденных записей выбранного пользователя с указанным RID. Иначе будет сброшен пароль только одной выбранной записи. Рекомендуется оставлять эту опцию включенной.
Обратите внимание, для успешного входа в учетную запись после сброса кэшированного пароля домена, необходимо временно отключить ПК с учетной записью от домена. В противном случае, система не будет использовать кэшированные записи и вход с новым паролем будет
невозможен
!
Имейте в виду, вход в домен с кэшированным паролем дает доступ только к локальным ресурсам.