Сброс пароля windows server 2012 r2

Обновлено: 07.07.2024

В этой статье мы рассмотрим сценарий сброса пароля администратора домена Active Direcotory. Эта возможность может понадобиться в случаях утраты прав доменного администратора вследствие, например, «забывчивости» или намеренного саботажа увольняющегося админа, атаки злоумышленников или других форс мажорных обстоятельствах. Для успешного сброса пароля администратора домена необходимо иметь физический или удаленный (ILO, iDRAC или консоль vSphere, в случае использования виртуального DC) доступ к консоли сервера. В данном примере мы будем сбрасывать пароль администратора на контроллере домене с ОС Windows Server 2012. В том случае, если в сети несколько контроллеров домена, рекомендуется выполнять процедуру на сервере PDC (primary domain controller) с ролью FSMO (flexible single-master operations).

Для сброса пароля домен-админа необходимо попасть в режим восстановления службы каталогов – DSRM (Directory Services Restore Mode) с паролем администратора DSRM (он задается при повышении уровня сервера до контроллера домена). По сути это учетная запись локального администратора, хранящаяся в локальной базе SAM на контроллере домена.

В том случае, если пароль DSRM не известен, его можно сбросить таким способом, или, если администратор обезопасил сервер от использования подобных трюков, с помощью специализированных загрузочных дисков (типа Hiren’s BootCD, PCUnlocker и им подобных).

Итак, загружаем контроллер домена в DSRM режиме (сервер загружается с отключенными службами AD), выбрав соответствующую опцию в меню расширенных параметров загрузки.

Режим dsrm контроллера домена

На экране входа в систему вводим имя локального пользователя (administrator) и его пароль (пароль DSRM режима).

Сброс пароля администратора active directory

В данном примере имя контроллера домена – DC01.

Проверим, под каким пользователем выполнен вход в системе, для этого выполним команду:

Может наступить время, когда вам нужно изменить пароль администратора на вашем Windows Server . Варианты восстановления зависят от того, помните ли вы старый пароль или нет.

Если вы регулярно меняете известный пароль администратора, вы можете использовать пользовательский интерфейс Windows. Однако, если вы изменяете неизвестный пароль администратора, вам нужно использовать командную строку.

Как изменить пароль администратора в Windows Server 2008 R2 или 2012 Как изменить пароль администратора в Windows Server 2008 R2 или 2012

Изменение пароля администратора сервера Windows Server 2008 R2

Если вы уже знаете текущий пароль администратора и можете войти в Windows Server 2008 R2 , изменить пароль так же просто, как перейти к списку пользователей и установить новый пароль.

  • Войдите на сервер напрямую или удаленно.
  • Щелкните правой кнопкой мыши на Компьютер и выберите пункт Управление (Manage).
  • Выберите пункт Конфигурация (Configuration)
  • Нажмите Локальные пользователи и группы (Local Users and Groups) -> Пользователи (Users).
  • Найдите и щелкните правой кнопкой мыши на пользователе Администратор .
  • Нажмите Установить пароль (Set Password) -> Продолжить (Proceed).
  • Введите и подтвердите новый пароль.

Как сбросить пароль в Windows Server 2008 R2 или 2012

Что делать, когда вам нужно изменить пароль администратора, потому что вы потеряли старый пароль?

Если у вас нет старого пароля, вы не можете получить доступ к серверу, чтобы изменить пароли пользователей. Вместо этого вам нужно будет использовать командную строку для сброса пароля администратора.

  • Вставьте установочный диск в компьютер и загрузите его.
  • На экране Язык и другие настройки (Language and other preferences) нажмите Далее .
  • Выберите ссылку Восстановить компьютер (Repair your computer).
  • Выберите установку ОС и нажмите Далее .
  • Нажмите Командная строка (Command Prompt).
  • Введите следующее: MOVE C:\Windows\System32\Utilman.exe C:\Windows\System32\Utilman2.exe
    Приведенная выше команда создает резервную копию менеджера утилит. COPY C:\Windows\System32\cmd.exe C:\Windows\System32\Utilman.exe
    Эта команда заменяет Utilman командной строкой. Это необходимо для сброса пароля. Упомянутые выше команды могут различаться в зависимости от пути установки Windows. В нашем примере это на диске C. Если ваша установка находится на другом разделе диска, измените команду соответствующим образом.
  • Перезагрузите систему.
  • Выберите значок Ease of Access .
  • Введите следующее: net user administrator *
  • Введите и подтвердите желаемый пароль.

После завершения вы сможете войти в систему как администратор. Однако не забудьте отменить изменения в Utilman. Для этого:

  • Перезагрузите компьютер снова с установочного диска.
  • Откройте командную строку.
  • Запустите следующее: MOVE C:\Windows\System32\Utilman2.exe C:\Windows\System32\Utilman.exe

Как восстановить пароль Windows Server 2012 с диска восстановления пароля

Если вы создали диск восстановления пароля (Password Recovery Disk) для своего сервера, вставьте USB-накопитель в сервер и перезагрузите систему.

В этой пошаговой статье описывается использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена в Windows Server.

Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 325850

Сводка

Это поведение также применяется к репликации между контроллерами домена того же домена. Если контроллеры домена, не реплицируемые, находятся в двух различных доменах, внимательно посмотрите на отношения доверия.

Нельзя изменить пароль учетной записи машины с помощью оснастки Active Directory Users and Computers. Но сбросить пароль можно с помощью Netdom.exe средства. Средство Netdom.exe включено в Windows средства поддержки для Windows Server 2003, в Windows Server 2008 R2 и в Windows Server 2008.

Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (известный как локальный секрет). Это изменение записывается на объект учетной записи компьютера на Windows домена, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. Запуск репликации Active Directory гарантирует получение изменений другими контроллерами домена.

Следующая процедура описывает использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи Windows компьютера.

Необходимо запустить средство локально с Windows, пароль которого необходимо изменить. Кроме того, для запуска Netdom.exe необходимо иметь административные разрешения на локальном уровне и на объекте учетной записи компьютера в Active Directory.

Используйте Netdom.exe для сброса пароля учетной записи машины

Установите средства Windows Server 2003 на контроллер домена, пароль которого необходимо сбросить. Эти средства находятся в папке Support\Tools на Windows Server 2003 CD-ROM. Чтобы установить эти средства, щелкните правой кнопкой мыши Suptools.msi файл в папке, а Support\Tools затем выберите Установите.

Этот шаг не требуется в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe включено в Windows выпусков.

Если вы хотите сбросить пароль для контроллера Windows домена, необходимо остановить службу Центра рассылки ключей Kerberos и настроить тип запуска в Руководство.

  • После перезапуска и проверки успешного сброса пароля можно перезапустить службу Центра рассылки ключей Kerberos (KDC) и вернуть ее тип запуска в Автоматическую. Это заставляет контроллер домена с неправильным паролем учетной записи компьютера обращаться к другому контроллеру домена для билета Kerberos.
  • Возможно, вам придется отключить службу Центра рассылки ключей Kerberos на всех контроллерах домена, кроме одного. Если это возможно, не отключайте контроллер домена, который имеет глобальный каталог, если у него нет проблем.

Удалите кэш билета Kerberos на контроллере домена, где будут допущены ошибки. Это можно сделать, перезапустив компьютер или используя средства KLIST, Kerbtest или KerbTray. KLIST включен в Windows Server 2008 и Windows Server 2008 R2. Для Windows Server 2003 KLIST доступен в качестве бесплатной загрузки в средствах набора ресурсов Windows Server 2003.

В командной подсказке введите следующую команду:

Описание этой команды:

/s:<server> это имя контроллера домена, используемого для настройки пароля учетной записи компьютера. Это сервер, на котором работает KDC.

/ud:<domain\User> это учетная запись пользователя, которая создает подключение к домену, указанному в /s параметре. Он должен быть в формате domain\User. Если этот параметр опущен, используется учетная запись текущего пользователя.

/pd:* указывает пароль учетной записи пользователя, указанный в /ud параметре. Для запроса пароля используйте звездочку (*). Например, локальный компьютер контроллера домена — Server1, а одноранговой Windows контроллер домена — Server2. Если вы запустите Netdom.exe Server1 со следующими параметрами, пароль будет изменен локально и одновременно записан на Server2. Репликация распространяет изменения на другие контроллеры домена:

Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.

date

26.02.2020

directory

Windows Server 2012 R2, Windows Server 2016

comments

комментариев 10

В этой статье мы покажем, как удаленные пользователи самостоятельно могут менять свои истекшие пароли через RDP-подключение к ферме терминальных серверов Remote Desktop Services (RDS) на Windows Server 2016 / 2012 R2.

An authentication error has occurred.
The Local Security Authority cannot be contacted
Remote computer:xxxxxx
This could be due to an expired password
Please update your password if it has expired.

The Local Security Authority cannot be contacted - This could be due to an expired password


Таким образом, при использовании NLA, проблема смены истекшего пароля через RDP может стать практически неразрешимой для удаленных пользователей, у которых отсутствует другие возможности входа в сеть. Можно конечно, попросить пользователей заранее менять свой пароль непосредственно в RDP сессии, но, как правило, это не всегда срабатывает из-за элементарной забывчивости пользователей.

В Windows Server 2012 /R2 и выше у удаленных пользователей появилась возможность самостоятельно сбрасывать свой пароль (текущий пароль или пароль с истекшим сроком действия) через специальную веб-страницу на сервере RD Web Access. Процесс смены пароля выглядит так: пользователь заходит под своей учетной записью на веб-страницу регистрации на сервере с ролью RD Web Access и с помощью специальной aspx формы меняет свой пароль.

Примечание. В Windows Server 2003 пользователи домена могли сменить свой пароль через небольшое веб-приложение IISADMPWD (официально, впрочем, не поддерживаемое).

Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access (RD Web Access), но по-умолчанию эта функция отключена. Для смены пароля используется сценарий в файле password.aspx, который находится в каталоге C:\Windows\Web\RDWeb\Pages\en-US.

В русской версии Windows Server (без language pack) путь к файлу password.aspx будет отличаться и выглядеть так: C:\Windows\Web\RDWeb\Pages\ru-RU.

Чтобы включить функцию смены пароля, нужно на сервере с настроенной ролью Remote Desktop Web Access открыть консоль управления веб-сервером IIS (IIS Manager), перейти в раздел [Server Name] –> Sites –> Default Web Site –> RDWeb –> Pages и открыть раздел с настройками приложения (Application Settings).

Sites –> Default Web Site –> RDWeb –> Pages

В правой панели найдите параметр с именем PasswordChangeEnabled и измените его значение на true.

PasswordChangeEnabled - опция смены пароля через веб страницу на Remote Desktop Web

Перезапустите IIS из консоли или с помощью команды IISRESET.

Чтобы проверить доступность страницы смены, перейдите на веб-адрес:

Форма смены пароля пользователя на rd web access windows 2012

Your password has been successfully changed.

rdweb сброс пароля пользователя Your password has been successfully changed

Нажмите ОК, и пользователь будет перенаправлена на страницу входа RD Web.

Если пароль пользователя не соответствует парольной политике домена, появится окно с предупреждением:

Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password.

Your new password does not meet the length, complexity, or history requirements of your domain. Try choosing a different new password

Вы можете использовать этот способ смены пароля на Remote Desktop Web Access только если на RDWA сервере включена аутентификация Forms Authentication. При использовании метода Windows Authentication, смена пароля через форму RD Web невозможна.

Теперь при попытке подключиться к веб серверу RD Web Access с истекшим паролем пользователь будет перенаправлен на веб-страницу password.aspx, на которой ему будет предложено сменить пароль.

Необходимо изменить истекший пароль

Совет. Аналогичный функционал для смены пароля в Windows Server 2008 R2 с RD Web Access Role может быть доступен после установки специального патча — KB 2648402.

Вы можете добавить ссылку на страницу с формой смены пароля можно непосредственно в веб-форму входа на сервер RDWeb. Благодаря этому пользователь в любой момент может самостоятельно изменить свой пароль, не дожидаясь окончания его срока действия.

Добавим ссылку на файл password.aspx на страницу входа в систему (создайте копию файла password.aspx перед редактированием).

Ссылка на страницу смены пароля в login.aspx

  1. На сервере RDWeb найдите и откройте в любом тестовом редакторе (я предпочитаю Notepad++) файл C:\Windows\Web\RDWeb\Pages\en-US\login.aspx
  2. Перейдите на 583 строку и вставьте в нее следующий код:
    <a href="https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx"> Password Reset Utility</a>
  3. Сохраните изменения в файле login.aspx, перезапустите сайт IIS и проверьте что на странице регистрации на терминальном сервере появилась ссылка на страницу смены пароля.

Читайте также: