我不是微软人,我需要维护一些旧服务器。
不久前,域控制器从网络中删除,Windows Server 2008 R2 正在运行一个非常重要的数据库。出于安全原因,我们需要更改管理员密码,但收到一条错误消息,提示无法连接到 DC。
我真的不关心这台计算机是否拥有 DC,我只是想更改管理员密码。
有什么方法可以消除计算机对 DC 的要求吗?我们可以将其更改为进行本地化身份验证吗?
我知道当前域/管理员密码并且可以登录(缓存),但我无法更改密码。
答案1
听起来你需要启用本地管理员帐户。你可以启动 lusrmgr.msc(本地用户和组),然后启用/创建本地管理员帐户。然后执行断开连接过程,否则在本地登录时你将束手无策。
以下是 Technet 上的详细步骤链接:https://technet.microsoft.com/en-us/library/cc770642.aspx
答案2
首先,听起来机器有缓存的凭据,允许用户使用登录domain\administrator
。这就是为什么用户可以登录,但你无法更改它的原因——登录可以通过缓存的凭据完成,更改域密码需要连接到域控制器。
解决这个问题的最快方法可能是将计算机从域中退出。不过,在执行此操作之前,请确保您拥有(或)本地管理员的凭据。
正如其他答案所述,命令是netdom remove computername /Domain:domain /UserD:user /PasswordD:* /Force
。您也可以通过计算机属性执行此操作,Computer name, domian and workgroup settings
将计算机的域从其所在的域更改为您喜欢的任何工作组名称。
如果您没有本地管理员凭据,有几种方法可以在 Windows 机器上重置密码。
一种方法是使用类似“终极启动 CD”- 将机器启动到 CD,然后选择 NT 密码恢复工具。另一个流行的本机选项是使用您的Windows 安装 CD 进入恢复控制台,cmd.exe
与交换utilman.exe
,重新启动,然后启动易于使用/辅助工具,该工具已被 cmd.exe 取代。然后您可以使用 重置密码。完成后,net user
请不要忘记切换cmd.exe
并返回。utilman.exe
最后,一般来说,使用默认管理员密码登录是一种不好的做法。(这就像root
在 Linux 中使用,但更不可原谅。在 Windows 中,最佳做法是禁用或重命名默认管理员用户。)使用默认域管理员密码这样做尤其糟糕,让一群用户使用默认域管理员密码登录更是极其糟糕。修复此问题后,您的下一步工作是尽快修复您的策略。
答案3
答案可能取决于您站点中有关域的情况,在删除该 DC 之后。您有另一个 DC 吗?您是否需要在域中拥有该服务器?
继续操作之前请确保您有本地管理员密码(从您的问题来看这不清楚,您只是说“我知道当前管理员密码并可以登录”,您没有指定它是本地管理员还是域管理员)。
如果脱离域是合适的,你可以使用
netdom remove computername /Domain:domain /UserD:user /PasswordD:* /Force
键入netdom remove /?
以查看完整命令用法。/力量选项就是您要找的。根据帮助:
Forces the unjoin of the machine from the domain even if the domain is not found or does not contain the matching computer object.
逻辑是,脱离域后,您应该能够更改密码而无需联系任何域控制器。
致谢:从用户处获得此答案mweisel
这里。