Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» пароль к серверу W2003 и соответсвенно домену утерян

Автор: Reata
Дата сообщения: 02.08.2005 10:55
ситуация такая: есть маленький офис на другом краю москвы, сетка 10 компов и Windows Server 2003. Все настроено и работает. Я там стараюсь появлятся как можно реже... тут понимаю что пароль администратора домена забыла напрочь, он нигде не был записан естественно. Пробовала входить на сервер другими пользователями, говорит - интерактивный доступ запрещен локальной политикой. Пока все работает, но мне грустно. Если надо будет хоть нового пользователя заводить, что делать? Так не хочется заново устанавливать домен. Может кто подкинет идею?
Автор: Ici Chacal
Дата сообщения: 02.08.2005 11:30
извиняюсь, не то

Добавлено:
А вот это то что надо.

Сбить пароль лок. админу:


Цитата:
Offline NT Password & Registry Editor
Домашняя страница автора этой замечательной утилиты - http://home.eunet.no/~pnordahl/ntpasswd
Что же умеет делать эта программа:
(Пере)устанавливать пароль для любого локального пользователя путем редактирования зашифрованного пароля в реестре
Необязательно знать предыдущий пароль для того чтобы установить новый
Программа находится на загрузочной дискете (или CD), на котором записаны драйвера для доступа к NTFS разделам
Работает с Syskey, включая опцию отключения
Обнаружит и предложит разблокировать заблокированные аккаунты пользователей
Внимание: Если в системе использовались зашифрованные EFS файлы, система XP или последние пакеты обновлений для W2K, все зашифрованные файлы будут недоступны! Для их восстановления необходим старый пароль.
Данная утилита не пригодна для восстановления пароля администратора Active Directory. Далее вы найдете инструкции по восстановлению пароля для Domain-администратора
Если у вас возникли вопросы или проблемы при использовании данной программы, пожалуйста, обращайтесь напрямую к автору этой программы. На его сайте вы найдете много полезной информации по программе и большой раздел часто задаваемых вопросов, где вы, наверняка, найдете ответ и на свой вопрос.


А теперь и доменному:


Цитата:
Восстановление пароля для Domain-администратора
Как уже было сказано выше, Offline NT Password & Registry Editor boot disk поможет только в восстановлении паролей для локальных пользователей, т.е. зарегистрированных только на данной машине, но не в домене.
Вероятно вы знаете, что Windows 2000 Server является контроллером Active Directory и вы не можете получить доступ к системным аккаунтам. Это значит, что (пере)установка пароля администратора системы в этом случае будет просто бесполезной.
Оригинальный текст инструкции с ремарками автора можно прочесть здесь - http://www.jms1.net/nt-unlock.html
1. При помощи Offline NT Password & Registry Editor удалите старый администраторский пароль. Новый пароль пока что устанавливать не надо.
2. Перезагрузите компьютер и, нажимая F8, выберите режим "Directory Service Recovery Mode". В этом случае система загрузится как standalone сервер, без поддержки Active Directory.
3. Когда появится заставка для входа в систему, нажмите CTRL-ALT-DEL и зайдите как "Administrator" без пароля. Имейте ввиду, что это аккаунт администратора только на этой машине и он не имеет возможности изменять что-либо, что касается Active Directory, хотя может сохранять резервные копии и восстанавливать физические файлы, содержащие базы данных Active Directory.
4. Запустите Regedit (Start -> Run -> regedit) и найдите ветвь:
HKEY_USERS\.Default\Control Panel\Desktop
В ней измените следующие значения:
SCRNSAVE.EXE - изменить с logon.scr на cmd.exe ScreenSaveTimeout изменить с 900 на 15
5. Теперь перезагрузитесь в обычном режиме. Когда появится заставка с предложением нажать CTRL-ALT-DEL для входа в систему просто подождите ничего не предпринимая. Через 15-30 секунд появится окно командной строки (command prompt), ведь теперь это наш "скринсейвер"
6. В командной строке введите команду:
C:\WINNT\system32>MMC DSA.MSC
это должно открыть консоль управления паролями пользователей, включая пароль администратора.
7. После (пере)установки пароля администратора закройте консоль и выйдите из командной строки при помощи команды EXIT
8. Нажмите CTRL-ALT-DEL и войдите в систему как администратор домена с новым паролем.
Не забудьте изменить обратно значения в реестре, иначе командная строка с правами администратора домена будет всегда появляться, когда кто-нибудь захочет выйти из системы.

Если пароль локального админа известен, его сбивать не надо.
Очень желательно сменить название темы в соответствии с Правилами Например: Утерян пароль администратора домена Win2003
Автор: Reata
Дата сообщения: 02.08.2005 14:09
спасибо, завтра поеду попробую. только настораживает, что описано для W2000 а не 2003
Автор: fosfor
Дата сообщения: 02.08.2005 14:59
Ici Chacal

Цитата:
командная строка с правами администратора домена

С какой стати она будет с правами администратора домена? Лажа какая-то чесслов
ИМХО cmd.exe запустится с правами system
(надо будет попробовать)
Автор: Ici Chacal
Дата сообщения: 02.08.2005 18:22
Я проверил на Win2003, без DC - работает. Получаю доступ к оснастке Active Directory Users & Computers. Чесслово я и сам удивился.
Автор: fosfor
Дата сообщения: 03.08.2005 11:05
Собственно то, что остнастка запустится сомнений не вызывает. Но даст ли делать изменения в AD с такими правами?
Автор: Ici Chacal
Дата сообщения: 03.08.2005 11:19
fosfor
Давай дождемся автора с результатами. У меня на контроллере ~ 300 юзеров, да и Exchange очень чувствителен. Не охота ради эксперимента проблемы иметь. Теоретически права SYSTEM на хозяине схемы должны давать определенные привилегии.
Автор: fosfor
Дата сообщения: 03.08.2005 11:42
Ici Chacal

Цитата:
Не охота ради эксперимента проблемы иметь

Аналогично Ждем автора
Автор: Ici Chacal
Дата сообщения: 03.08.2005 15:44
Было свободное время и я:
1.Поставил Win2003.
2.Поднял тряпошный домен.
3.Сделал все по инструкции.
Просмотреть могу все, а изменить НИЧЕГО. "Доступ запрещен". С 2000 возиться не охота, может там и проканает. Только щас заметил дату выхода статьи: 6 июля 2003г.
Автор: Kronos081105
Дата сообщения: 04.08.2005 10:57
А у меня на 2003 работает, проверил после завтра всеравно выходной еси че и переставить моно
Автор: devost
Дата сообщения: 04.08.2005 10:58
Если есть возможность перезагрузки сервера, то можно воспользоваться Wininternals ERD Commander 2005 Live CD. Ссылку на софт к сожалению дать не могу, однако могу положить куда-нибудь. Если интересно, то на мыло.
Автор: tager
Дата сообщения: 04.08.2005 11:31
Народ есть такой образ INFRA называется так там вообще супер , практический есть все что надо ,грузишся с диска и попадаешь в винду в которой практический все есть проги для работы и востоновления , мне очень понравилась сейчас скачал новый образ весит 700 метров почти ,эта версии 6.2 а 5.5 влазиет на мини диск правдо немного урезал его _cool_
Автор: NABius
Дата сообщения: 04.08.2005 13:38
Есть у меня образок загрузочного диска (загрузчик линуксовый), только уже не помню как называется. Весит всего - ничего: 3Мб. Управляет пользователями полностью. Есть возможность разблокировать пользователя. Менять его права и пароли, создавать пользователей. Пльзуюсь ней когда приносят машины на ремонт без паролей. 2 Минуты и пароля нет. Если кому-то интересно пишите.
Автор: Ici Chacal
Дата сообщения: 04.08.2005 16:13
Не забывайте: речь идет о контроллере домена и пользователях Active Directory. Локальному админу сбить пароль очень просто и софта куча. Если у кого РЕАЛЬНО получится сбить пароль Domain Admin*у, то запостите обязательно!
Автор: ShriEkeR
Дата сообщения: 04.08.2005 17:43
Reata
может это попробовать?
_http://www.rusc.ru/filesshow.phtml?id=3173
Автор: defined
Дата сообщения: 06.08.2005 00:51
Люди, вы чего-то не то делаете. GUI'вые проги, mmc.. есть же net.exe, достаточно (проверено на win'2000 srv rus, на win'2003 проверить пока не могу - remote admin у меня для win'2003 sp1 не захотел экран показывать, а локально под рукою win'2003 нет) вместо logon.scr запустить cmd.exe и далее "net user Администратор 123" и пароль юзера "Администратор" в домене на контроллере которого из-под system была запущена эта команда изменится на "123".
Автор: Reata
Дата сообщения: 06.08.2005 10:16

Цитата:
есть же net.exe, достаточно

если можно, поподробнее
у меня не получилось, сервер с дисками SATA на рейде промис. не удается подложить драйвера для рейда
к тому же все работают целыми днями, вот приехала в субботу, хоть выгнала всех
Автор: defined
Дата сообщения: 06.08.2005 13:24
Reata
Если совсем подробно, то для смены пароля любого пользователя в домене (включая админа) без знания админского пароля нужно:
(1) запустить на контроллере домена cmd.exe, например, вместо logon.scr. Для этого нужно поправить в ветке HKEY_USERS\.Default\Control Panel\Desktop значение SCRNSAVE.EXE (изменить с logon.scr на cmd.exe) и (опционально) ScreenSaveTimeout на любое значение (точнее, это время в секундах, достаточно поставить значение порядка 15) чтобы быстрее дождаться запуска cmd.exe. Поправить ветку реестра можно несколькими способами:
a) любым доступным способом (снять винт и поставить на другой компьютер, найти ntfsdos pro с нужными драйверами под контроллер винта и т.п.) получить R/W доступ к файлу %systemroot%\system32\config\default и через программу типа http://paullee.ru/download/regv.zip поменять вышеупомянутые ключи.
б) найти win'PE подобную систему (всякие там erd commander и прочее) и оттуда уже загрузить штатный regedit и поправить реестр
в) сбросить пароль локального админа (через програмку с http://home.eunet.no/~pnordahl/ntpasswd/ , O&O BlueConsole или т.п.), загрузиться в режиме восстановления службы каталогов и поправить реестр
(2) после того как ветка реестра поправлена как нужно - перегружаем контроллер домена и ждём запуска cmd.exe, затем пишем "net user <юзер в домене> <пароль>", например, "net user Администратор 123".

Про SATA диск.. Если не лениво - снять диск, подцепить на любую рабочую систему понимающую NTFS5 для w2k3 и выполнить пункт 1а, если снимать диск лениво - найти загрузочный CD с erd commander или подобной bootcd системой и через неё поправить реестр (драйвера для SATA можно скачать с сайта производителя и без проблем интегрировать в дистрибутив win'PE подобного диска, как - подробно расписано на http://greenmachine.msfnhosting.com/READING/addraid.htm , проверил на ERD Commander 2005 и контроллере Promise FastTrak 378 на мамке - работает). В теории можно попробовать ещё всякие Windows Key Enterprise Edition 7.1, но у меня (w2k srv sp4, w2k3 sp1) почему-то не сработало (раздел нашел, файл базы AD, ntds.dit, нашел, но написал что некорректный формат базы и пароль админа в домене сменить нельзя)..

P.S. на всякий случай выложил архив образа диска (6,7Mb/7,6Mb) с O&O BlueCon и Windows Key Enterprise Edition, в сборке драйвера для raid/sata контроллеров которые нашел на данный момент из распространённых, т.е. к штатным добавил:
===
Promise FastTrak 376/378 (tm) Controller
Intel(R) 82801FR/82801ER/6300ESB SATA RAID Controller
NVIDIA NForce Storage Controller
NVIDIA RAID CLASS DRIVER
Intel (R) ICP RAID Controller
SiS 180/181 RAID Controller
SiS 182 RAID Controller
Promise SATA378 (tm) IDE Controller
VIA VT6410/VT6421/SATA RAID Controller
===
может кому пригодится образ или WKEE сработает.

Образ на базе win'xp sp2 ru vlk: http://rapidshare.de/files/3706462/oobcwkee.zip.html
Образ на базе win'2003 sp1 ru vlk: http://rapidshare.de/files/3707343/oobcwkee.zip.html

Страницы: 1

Предыдущая тема: Проблемы с WinXP: не запускаються любые программы(не вирус).


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.