当我将自己锁定在新创建的 Active Directory 服务器之外时，我该怎么办？

Question 1

Windows Server 2003 中实际上没有“受支持”的密码恢复方法。如果机器上或新创建的域中没有关键数据，最简单的方法是将框调平并重新开始。

编辑：

我并不是想说陈词滥调，但如果你只是设置机器，将其调平并重新开始并不会太难。为什么要经历所有这些麻烦的其他程序，而你可以重新开始，并且知道你的机器不会带着过去的曲折开始它的一生。

编辑2：

只是为了好玩，我启动了一台 W2K3 SP2 VM，将其提升为新 AD 林中的一台独立 DC，然后开始尝试使用@zevlag 链接的文章。

文章中描述的“屏幕保护程序方法”在 Windows Server 2003 或更新版本中不起作用，因为 Winlogon 屏幕保护程序以 LOCAL_SERVICE 身份运行，而 LOCAL_SERVICE 具有受限权限。与该文章的作者不同，我认为这种改变是个好主意，我很高兴微软这样做。登录时有缺陷的屏幕保护程序不会使机器暴露于 NT_AUTHORITY\SYSTEM 级漏洞。

公平地说，该文章指出其中描述的“屏幕保护程序方法”不适用于 Windows Server 2003。该文章将你发送到其他地方以获取有关该平台的更多说明。

这篇专门针对 W2K3 的文章使用 Resource Kit 工具的方法srvany来创建以 NT_AUTHORITY\System 身份运行的服务。这篇专门针对 W2K3 的文章的作者不知道内置的“SC”命令可以安装服务（而是使用来instsrv完成安装），但后来使用“SC”删除服务，这让人很不放心。尽管如此，我还是坚持了下去。

令我惊讶的是，cmd.exe以 NT_AUTHORITY\SYSTEM 身份运行的实例服务能够重置域管理员帐户的密码！我羞涩地承认，我不知道 DC 上的 NT_AUTHORITY\SYSTEM 在 AD 中有任何权限。哇哦。

如果我要以这种方式重置密码，我会这样做：

在 DS 恢复模式下启动并以“管理员”身份登录
执行命令sc create resetpw binPath= "net user administrator p@ssw0rd" start= auto
重新启动进入正常模式。您将在登录对话框顶部收到“系统启动期间至少有一个服务或驱动程序失败。”的弹出窗口。

此时，域管理员密码将被重置为p@ssw0rd（按照net user上述命令）。然后，您可以登录并执行命令sc delete resetpw以删除您安装的“服务”以重置密码。使用instsvr和srvany不是实现此操作的必要条件（srvany可缓解服务失败错误弹出，但该消息对net user命令的结果没有影响）。

尽管我不喜欢机器在开始其运行寿命时就带有“不可靠的过去”，但我承认这个过程并不是非常具有侵入性（因为它不会安装任何第三方软件、对注册表进行任何“黑客攻击”、使文件系统权限处于不一致状态等）。这可能是一件安全的事情，并且可能比升级和重建机器更快。

Answer

Windows Server 2003 中实际上没有“受支持”的密码恢复方法。如果机器上或新创建的域中没有关键数据，最简单的方法是将框调平并重新开始。

编辑：

我并不是想说陈词滥调，但如果你只是设置机器，将其调平并重新开始并不会太难。为什么要经历所有这些麻烦的其他程序，而你可以重新开始，并且知道你的机器不会带着过去的曲折开始它的一生。

编辑2：

只是为了好玩，我启动了一台 W2K3 SP2 VM，将其提升为新 AD 林中的一台独立 DC，然后开始尝试使用@zevlag 链接的文章。

文章中描述的“屏幕保护程序方法”在 Windows Server 2003 或更新版本中不起作用，因为 Winlogon 屏幕保护程序以 LOCAL_SERVICE 身份运行，而 LOCAL_SERVICE 具有受限权限。与该文章的作者不同，我认为这种改变是个好主意，我很高兴微软这样做。登录时有缺陷的屏幕保护程序不会使机器暴露于 NT_AUTHORITY\SYSTEM 级漏洞。

公平地说，该文章指出其中描述的“屏幕保护程序方法”不适用于 Windows Server 2003。该文章将你发送到其他地方以获取有关该平台的更多说明。

这篇专门针对 W2K3 的文章使用 Resource Kit 工具的方法srvany来创建以 NT_AUTHORITY\System 身份运行的服务。这篇专门针对 W2K3 的文章的作者不知道内置的“SC”命令可以安装服务（而是使用来instsrv完成安装），但后来使用“SC”删除服务，这让人很不放心。尽管如此，我还是坚持了下去。

令我惊讶的是，cmd.exe以 NT_AUTHORITY\SYSTEM 身份运行的实例服务能够重置域管理员帐户的密码！我羞涩地承认，我不知道 DC 上的 NT_AUTHORITY\SYSTEM 在 AD 中有任何权限。哇哦。

如果我要以这种方式重置密码，我会这样做：

在 DS 恢复模式下启动并以“管理员”身份登录
执行命令sc create resetpw binPath= "net user administrator p@ssw0rd" start= auto
重新启动进入正常模式。您将在登录对话框顶部收到“系统启动期间至少有一个服务或驱动程序失败。”的弹出窗口。

此时，域管理员密码将被重置为p@ssw0rd（按照net user上述命令）。然后，您可以登录并执行命令sc delete resetpw以删除您安装的“服务”以重置密码。使用instsvr和srvany不是实现此操作的必要条件（srvany可缓解服务失败错误弹出，但该消息对net user命令的结果没有影响）。

尽管我不喜欢机器在开始其运行寿命时就带有“不可靠的过去”，但我承认这个过程并不是非常具有侵入性（因为它不会安装任何第三方软件、对注册表进行任何“黑客攻击”、使文件系统权限处于不一致状态等）。这可能是一件安全的事情，并且可能比升级和重建机器更快。

Question 2

听起来这个盒子也是域控制器，对吗？而不仅仅是成员服务器？

此实用程序将允许您重置本地管理员帐户，这听起来好像您已经知道了，因此仅此工具无法帮助您。 http://pogostick.net/~pnh/ntpasswd/

此处的说明：http://www.jms1.net/nt-unlock.shtml引导您完成恢复 Active Directory 管理员密码的过程。但请记住：

如果您尝试修复服务器，请在接触服务器之前阅读整个页面并确保自己理解它。

Answer

听起来这个盒子也是域控制器，对吗？而不仅仅是成员服务器？

此实用程序将允许您重置本地管理员帐户，这听起来好像您已经知道了，因此仅此工具无法帮助您。 http://pogostick.net/~pnh/ntpasswd/

此处的说明：http://www.jms1.net/nt-unlock.shtml引导您完成恢复 Active Directory 管理员密码的过程。但请记住：

如果您尝试修复服务器，请在接触服务器之前阅读整个页面并确保自己理解它。

Question 3

由于这是一个新创建的 Active Directory，并且不需要恢复任何用户/信息，因此您可以按照以下步骤删除 Active Directory微软自己的举措：

启动目录服务恢复模式并使用服务器的本地管理员帐户登录（如果不知道密码，可以使用 ntpassword 来恢复/重置密码）
打开 regedit 并导航到此条目： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions 将值更改为 ServerNT
重新启动计算机
正常启动并使用相同的凭据重新登录服务器，同时进入目录服务恢复模式
打开 regedit 并导航到此条目： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 删除“Src Root Domain Srv”（如果存在）
要最终彻底删除所有相关文件，您必须重新安装 Active Directory 服务并立即卸载。

这将从服务器中删除 Active Directory 角色，并允许您重新开始。

这会让你到达一个可以重新开始的地步。

Answer

由于这是一个新创建的 Active Directory，并且不需要恢复任何用户/信息，因此您可以按照以下步骤删除 Active Directory微软自己的举措：

启动目录服务恢复模式并使用服务器的本地管理员帐户登录（如果不知道密码，可以使用 ntpassword 来恢复/重置密码）
打开 regedit 并导航到此条目： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions 将值更改为 ServerNT
重新启动计算机
正常启动并使用相同的凭据重新登录服务器，同时进入目录服务恢复模式
打开 regedit 并导航到此条目： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 删除“Src Root Domain Srv”（如果存在）
要最终彻底删除所有相关文件，您必须重新安装 Active Directory 服务并立即卸载。

这将从服务器中删除 Active Directory 角色，并允许您重新开始。

这会让你到达一个可以重新开始的地步。

Question 4

我用过密码我在咨询时在工作站上使用它，但这是最后的手段。它说它支持 Windows Server 2003，但我只会在别无他法的情况下使用它，因为使用它可能会损坏计算机。

Answer

我用过密码我在咨询时在工作站上使用它，但这是最后的手段。它说它支持 Windows Server 2003，但我只会在别无他法的情况下使用它，因为使用它可能会损坏计算机。

当我将自己锁定在新创建的 Active Directory 服务器之外时，我该怎么办？

答案1

答案2

答案3

答案4

相关内容