Utiliser Netdom.exe pour réinitialiser les mots de passe de comptes d'ordinateur d'un contrôleur de domaine Windows 2000

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s) :

·             Microsoft Windows 2000 Advanced Server

·             Microsoft Windows 2000 Datacenter Server

·             Microsoft Windows 2000 Server

·             Microsoft Windows 2000 Professionnel

Ancien nº de publication de cet article : F260575

DANS CETTE TÂCHE

·             RÉSUMÉ

·          

§                 Utilisation de Netdom pour réinitialiser le mot de passe d'un compte d'ordinateur

 

Résumé

Tout ordinateur Windows gère un historique des mots de passe de comptes d'ordinateur qui contient les mots de passe du compte en cours d'utilisation et précédemment utilisés. Lorsque deux ordinateurs tentent de s'authentifier l'un à l'autre et qu'une modification apportée au mot de passe en cours n'est pas encore reçue, Windows utilise alors le mot de passe précédent. Si la séquence excède deux modifications de mot de passe, les ordinateurs impliqués peuvent être incapables de communiquer et vous pouvez recevoir des messages d'erreur (par exemple, des messages d'erreur "Accès refusé" apparaissent au cours d'une réplication Active Directory).

Ce comportement se retrouve également pour une réplication entre des contrôleurs de domaine du même domaine. Si les contrôleurs de domaine qui ne répliquent pas résident sur deux domaines différents, vous devriez inspecter de plus près la relation d'approbation.

Vous ne pouvez pas modifier le mot de passe d'un compte d'ordinateur en utilisant le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, mais vous pouvez le réinitialiser en utilisant l'outil Netdom.exe inclus dans les outils de support de Windows.

L'outil Netdom réinitialise localement le mot de passe du compte sur l'ordinateur (appelé "secret local") et écrit cette modification sur l'objet du compte d'ordinateur de l'ordinateur d'un contrôleur de domaine Windows qui réside dans le même domaine. L'écriture simultanée du nouveau mot de passe aux deux emplacements garantit que les deux ordinateurs impliqués dans l'opération sont au moins synchronisés et démarre la réplication Active Directory de sorte que les autres contrôleurs de domaine reçoivent la modification.

La procédure suivante décrit comment utiliser la commande netdom pour réinitialiser le mot de passe d'un compte d'ordinateur. Cette procédure est généralement utilisée sur les contrôleurs de domaine, mais s'applique aussi à n'importe quel compte d'ordinateur Windows.

Étant donné que vous ne pouvez pas utiliser Netdom à distance, vous devez exécuter l'outil sur l'ordinateur Windows dont vous souhaitez modifier le mot de passe. En outre, vous devez posséder des droits d'administrateur à la fois au niveau local et sur l'objet du compte d'ordinateur dans Active Directory pour pouvoir exécuter Netdom.

retour au début de la page

Utilisation de Netdom pour réinitialiser le mot de passe d'un compte d'ordinateur

1.                   Installez les outils de support Windows contenus dans le dossier Support\Tools sur le CD-ROM de Windows sur le contrôleur de domaine dont vous souhaitez réinitialiser le mot de passe.

2.                   Si vous essayez de réinitialiser le mot de passe pour un contrôleur de domaine Windows, vous devez arrêter le service Centre de distribution de clés Kerberos et régler le Type de démarrage sur Manuel avant de passer à l'étape 3.

Remarque : après avoir redémarré l'ordinateur et vérifié que le mot de passe a bien été réinitialisé, vous pouvez redémarrer le service Centre de distribution de clés Kerberos et rétablir le Type de démarrage sur Automatique. Vous forcez ainsi le contrôleur de domaine avec le mot de passe du compte d'ordinateur incorrect à contacter un autre contrôleur de domaine pour obtenir un ticket Kerberos.

3.                   À partir d'une invite de commandes, tapez la commande suivante :

netdom resetpwd /server: Nom_du_serveur_partenaire_de_réplication /userd: Nom_de_domaine \ ID_administrateur /passwordd:*

Nom_du_serveur_partenaire_de_réplication correspond au nom DNS ou NetBIOS complet d'un contrôleur de domaine dans le même domaine que l'ordinateur local et Nom_de_domaine \ ID_administrateur correspondent respectivement au nom de domaine NetBIOS et à l'ID de l'administrateur, conformément au format des informations d'authentification des noms de compte SAM (Security Accounts Manager).

La valeur "*" du paramètre /PasswordD: spécifie que le mot de passe doit être tapé avec des caractères masqués lorsque la commande est soumise. Par exemple, Server1 est l'ordinateur local (qui est en fait un contrôleur de domaine) et Server2 est le nom du contrôleur de domaine Windows pair. Si vous exécutez Netdom sur Server1 avec les paramètres suivants, le mot de passe est modifié localement et écrit simultanément sur Server2 et la réplication propage la modification aux autres contrôleurs de domaine :

netdom resetpwd /server:server2 /userd: mon_domaine \administrator /passwordd:*

4.                   où Redémarrez le serveur dont le mot de passe a été modifié (Server1 dans cet exemple).


retour au début de la page

 

Dernière modification le : 14/03/2002

Mot(s) clé(s) : kbACL kbGPO kbhowto kbHOWTOmaster w2000acl w2000grppol KB260575 kbAudITPro

 

******