Как поменять пароль администратора домена windows server 2016

Смена пароля

В данном руководстве будет рассмотрена процедура изменения пароля в операционной системе Windows Server 2016.

Для того чтобы изменить пароль в своей учетной записи Администратора нажмите «Пуск» и на кнопку Параметры

В окне Параметры выберите  «Учетные записи» , далее «Параметры входа» и в параметре Пароль нажмите «Изменить»

Откроется окно изменения пароля, введите текущий пароль и «Далее»

Далее в окне «Изменение пароля»
 

• 1. Введите новый пароль (не меньше 8 символов и латинскими буквами ) в строке «Введите пароль еще раз» — введите новый пароль ещё раз

• 2. Сохраните изменения  кнопкой «Далее»

Готово

Таким образом Вы сменили пароль на текущую учетную запись, теперь мы рассмотрим функцию «Срок истечения пароля»

Срок истечения пароля

На сервере функция «Срок истечения пароля» по умолчанию установлена в 42 дня, это говорит о том что через каждые 42 дня Ваша система будет требовать смены пароля.
Где изменить или отключить эту функцию мы рассмотрим ниже

Нажмите «Пуск» далее «Средства администрирования»

Сейчас мы рассмотрим изменение срока пароля на сервере без домена (Active Directory)
Поэтому, открываем окно «Локальная политика безопасности»

В окне «Локальная политика безопасности» слева нажмите на стрелку «Политика учетных записей» далее на папку «Политика паролей»,
Затем справа откройте запись «Максимальный срок действия пароля 42 дн.»

В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.

И нажмите кнопку «Применить» , готово.

Одной из хороших привычек любого пользователя ПК, а тем более системного администратора, является периодическая смена паролей учетных записей. Главное потом его не забыть.

Как сменить пароль на удаленном рабочем столе:

• Как сменить пароль в ОС Windows Server 2008
• Как сменить пароль в OC Windows Server 2012 и Windows Server 2012 R2
• Как сменить пароль в ОС Windows Server 2016
• Как альтернативно сменить пароль в ОС Windows Server 2016
• Как сменить пароль на удаленном компьютере с помощью комбинации CTRL + ALT + END
• Как сменить пароль на удаленном компьютере с помощью экранной клавиатуры
• Как вызвать окно смены пароля в RDP сессии через VBS-скрипт или PowerShell
• Как сменить пароль с помощью ярлыка расширения оболочки Windows Explorer
• Как сменить пароль через Remote Desktop Web Access
• Как сменить пароль с помощью RDP при ошибке из-за CredSSP, NLA
• Как сменить пароль с помощью специального RDP-файла

Смена пароля в ОС Windows Server 2008

Смена пароля в ОС Windows Server 2012 и Windows Server 2012 R2

Далее все привычно.

Смена пароля в ОС Windows Server 2016

Альтернативный способ

Как сменить пароль на удаленном компьютере с помощью комбинации CTRL + ALT + END.

Для получения комбинации CTRL + ALT + DEL на удаленном компьютере, нужно нажать CTRL + ALT + END.
Нажатие этой комбинации откроет нам диалоговое окно, в котором нам нужно будет выбрать «Изменить пароль»:

Для смены пароля нам нужно будет указать некоторые данные:

Смена пароля на удаленном рабочем столе с помощью экранной клавиатуры.

При удаленном подключении к рабочему столу, пароль можно сменить с помощью использования экранной клавиатуры.
Чтобы вызвать экранную клавиатуру введите в меню «Пуск» «Экранная клавиатура» или же «OSK».

После того, как появится экранная клавиатура, зажмите клавиши ALT + CTRL и с помощью мыши нажмите кнопку Del.

У вас вылезет диалоговое окно, в котором вам вам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Вызов окна смены пароля в RDP сессии через VBS-скрипт или PowerShell.

Чтобы вызвать окно смены пароля с помощью VBS-скрипта, создайте файл WindowsSecurity.vbs и введите туда данные строчки кода:
set objShell = CreateObject("shell.application")
objshell.WindowsSecurity
После чего, после двойного щелчка по данному VBS-скрипту, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Также чтобы открыть окно смены пароля с помощью PowerShell, откройте сам PowerShell с помощью меню «Пуск» и воспользуйтесь командой:
New-Object -COM Shell.Application).WindowsSecurity()

После чего, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Чтобы открыть диалоговое окно со сменой пароля, можно создать ярлык со ссылкой на расширение оболочки Windows Explorer.

Для начала создаем ярлык и указываем данный путь для него:
C:Windowsexplorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}

Далее выбираем название для ярлыка и создаем его:

После двойного щелчка по данному ярлыка, перед вами откроется диалоговое окно, в котором нам нужно будет выбрать «Сменить пароль»:

Для смены пароля нам нужно будет указать: имя пользователя, старый пароль и два раза повторить новый пароль.

Cмена пароля через Remote Desktop Web Access

В Windows Server 2012 /R2 и выше у удаленных пользователей с правами Remote Desktop Web Access появилась возможность самостоятельно сбрасывать свой пароль через специальную веб-страницу на сервере Remote Desktop Web Access.
Функционал удаленной смены пароля доступен на сервере с ролью Remote Desktop Web Access, но по-умолчанию эта функция отключена.
Чтобы включить данную функцию:
Открываем консоль управления сервером IIS Manager и переходим в [Name of your Server] – Sites – Default Web Site – RDWeb – Pages и открываем раздел Application Settings.

В правой панели выбираем параметр с именем PasswordChangeEnabled и меняем его значение на true.

Чтобы проверить доступность страницы смены пароля, переходим по: https://[RD-WEB-1]/RDWeb/Pages/en-US/password.aspx
Важно! Если у вас русская версия Windows Server путь к файлу password.aspx будет отличаться и выглядеть так:
C:WindowsWebRDWebPagesru-RU.

После успешной смены пароля пользователя должно появится сообщение:

Your password has been successfully changed.

СredSSP, NLA и смена пароля через RDP

Credential Security Support Provider (CredSSP) — протокол для передачи учетных данных, который используется при RDP для защиты DDoS атак и несанкционированного исполнения процессов.

Network Level Authentication (NLA) — это функция служб удаленных рабочих стол, которая требует, чтобы подключающийся пользователь аутентифицировал себя до установления сеанса с сервером.

Есть одна важная особенность, касающаяся смены истекшего пароля пользователя по RDP, связанная с опцией Network Level Authentication (NLA) и протоколом Credential Security Support Provider (CredSSP). По умолчанию CredSSP с NLA для RDP включен во всех версиях Windows, начиная с Windows Server 2012/Windows 8. NLA обеспечивают защиту RDP сервера за счет выполнения аутентификации пользователя до установки RDP сеанса с сервером.

Если у пользователя истек пароль, или администратор AD пользователя включил ему опцию «userAccountControl» — Требовать смену пароля при первом входе в систему, то при входе в систему по RDP появится ошибка:

Remote Desktop Connection
You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support.

или

Подключение к удаленному рабочему столу
Перед первым входом в систему необходимо сменить пароль. Обновите пароль либо обратитесь к вашему системному администратору или в службу технической поддержки.
Подключение к удаленному рабочему столу Перед первым входом в систему необходимо сменить пароль

Как результат — пользователь не сможет подключиться к RDP серверу и сменить пароль.

В этом случае, чтобы пользователь мог самостоятельно сменить пароль, можно:

1)Настроить Remote Desktop Web Acces (RDWA) со страницей смены пароля как в данной части инструкции : Смена пароля через Remote Desktop Web Access

2)Создать отдельный сервер для смены паролей пользователей. На данном сервере нужно отключить функцию NLA. В этом случае пользователи смогу сменить пароль.

3)Пользователь может изменить свой пароль удаленно через PowerShell — как показано в данной части инструкции Как вызвать окно смены пароля в RDP сессии через VBS-скрипт или PowerShell

Смена пароля на удаленном рабочем столе с помощью специального RDP-файла:

Если ситуация требует того, чтобы пользователь изменил пароль с помощью RDP-файла, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDP сервера и подготовки специального RDP-файла на стороне клиента.

Сначала на клиентской стороне откроем mstsc.exe.
В меню пуск вводим «mstsc» и выбираем «Подключение к удаленном рабочему столу»:

Далее настраиваем все нужные параметры для подключения к серверу.
Нажимаем «Показать больше», вводим туда IP-адресс нашего удаленного компьютера и имя пользователя, затем, используя кнопку Сохранить как, создаем RDP-файл:

После этого откроем RDP-файл с помощью текстового редактора и добавим в конце файла строку:
enablecredsspsupport:i:0

Пояснение: Добавление данного параметра в свойствах RDP-подключения позволит клиенту успешно установить RDP-сессию с удалённой системой и сменить пароль до получения доступа к удалённому рабочему столу. Однако этот параметр понизит уровень безопасности RDP-подключения, так как клиент не сможет использовать проверку подлинности на уровне сети — Network Level Authentication (NLA), которую мы описывали выше в нашей статье.

Если NLA включен — то пользователь не сможет подключиться и получит соответствующую ошибку:

Исправить эту ошибку можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA).

Важно!

Не рекомендуем делать этого, если ваш удаленный компьютер может быть подвергнут DDoS-атакам и несанкционированным процессам.

Чтобы изменить эту настройку, на удаленном компьютере, в меню пуск вводим «Панель управления»:

Затем переходим в «Система и безопасность»:

Затем переходим в «Система»:

Открываем окно, которое появилось, на весь экран и выбираем «Дополнительные параметры системы»: «Разрешить подключения только с…» :

У нас появится окно с «Свойствами системы», перейдем в часть с «Удаленным доступом» и уберем галочку с пункта «Разрешить подключения только с…», затем нажмем «Применить» и «ОК»:

После того, как мы отключили функцию NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, может успешно установить RDP-сессию и уже в ней сменить пароль:

После этого вы сможете подключаться с новым паролем.

Таким образом, мы рассмотрели все возможные способы смены пароля учетной записи по RDP.

В этой статье мы рассмотрим сценарий сброса пароля администратора домена Active Directory. Эта возможность может понадобиться в случаях утраты прав доменного администратора вследствие, например, «забывчивости» или намеренного саботажа увольняющегося админа, атаки злоумышленников и т.д. Для успешного сброса пароля администратора домена необходимо иметь физический или удаленный доступ к консоли сервера (ILO, iDRAC или консоль VMware vSphere/Hyper-V/Proxmox, в случае использования виртуального DC).

В данном примере мы будем сбрасывать пароль администратора на контроллере домене с Windows Server 2019. Если в сети несколько контроллеров домена, рекомендуется выполнять процедуру на сервере с FSMO ролью PDC (Primary Domain Controller).

Для сброса пароля администратора домена вам нужно попасть в режим восстановления службы каталогов – DSRM (Directory Services Restore Mode) с паролем администратора DSRM (он задается при повышении уровня сервера до контроллера домена). По сути это учетная запись локального администратора, хранящаяся в локальной базе SAM на контроллере домена. Если вы не знаете этот пароль, перейдите к способу 1 или 2.

Сброс пароля администратора домена, если вы не знаете пароль DSRM

Загрузите ваш сервер с любого установочного диска Windows (это может быть установочная USB флешка с Windows, или ISO образ).

1. На экране выбора параметров установки Windows нажмите сочетание клавиш
   Shift+F10
   чтобы открыть командную строку;
2. Теперь нужно понять, какая буква назначена разделу, на которои хранится ваш Windows Server. Выполните команду:
   wmic logicaldisk get volumename,name
   
   В данном примере видно, что ваш офлайн образ Windows Server находится на диске C:. Именно это букву диска мы будем использовать в следующих командах;

   Если этот способ не помог вам однозначно определить диск в Windows, последовательно выполните:
   diskpart
   ->
   list disk
   ->
   list vol
   

3. Создадим резервную копию оригинального файла utilman.exe:
   copy C:windowssystem32utilman.exe C:windowssystem32utilman.exebak
4. Теперь нужно заменить файл utilman.exe файлом cmd.exe:
   copy c:windowssystem32cmd.exe c:windowssystem32utilman.exe /y
   
5. Извлеките загрузочный образ (USB/ISO) и перезагрузите хост:
   wpeutil reboot
6. После загрузки контроллера домена нажмите на экране входа кнопку «Специальные возможности» (Easy of access) чтобы открыть окно командной строки;
7. Выполните команду
   whoami
   , чтобы уведитесь что командная строка запущена от имени NT AuthoritySYSTEM;
8. Выведите информацию о пользователе administrator:
   Net user administrator
   
9. В этом примере видно, что этот пользователь входит в группу Domain admins, и сейчас он отключен:

   Account active: No

10. Включите аккаунт администратора домена:
    net user administrator /active:yes
11. Теперь вы можете сбросить пароль администратора домена или любого другого аккаунта:
    net user administrator *
    
    Задайте новый пароль администратора (обратите внимание, что новый пароль должен соответствовать доменной политике паролей);
12. Еще раз загрузите сервер с установочного диска и замените файл utilman.exe исходным файлом (чтобы не оставлять лазейку в безопасности сервера):
    copy c:windowssystem32utilman.exebak c:windowssystem32utilman.exe /y
13. Перезагрузите контроллер домена в обычном режиме и проверьте, что теперь вы можете войти на DC с новым паролем администратора домена.

    Этот способ сброса пароля в Windows описан в этой статье.

Сброс пароля администратора на виртуальном контроллере домена

Если у вас используются виртуальный контроллер домена, запущенный на любом из гипервизоров (ESXi, Hyper-V, Proxmox), можно сбросить пароль администратора с помощью PowerShell модуля DSInternals.
Для этого:

1. Отключите ВМ с DC и подключите ее диск (vhdx,vmdk, и т.п.) к любой другой ВМ с Windows. Назначьте букву диска, например E:;
2. Установите модуль DSInternals из галереи PowerShell:
   Install-Module DSInternals –Force
   
3. Получите загрузочный ключ (boot key) с помощью которого шифруются хэши паролей в базе AD (ntds.dit):
   $bootkey= Get-BootKey -SystemHiveFilePath "E:WindowsSystem32configSYSTEM"
4. Теперь можно получить информацию о любом аккаунте в базе данных AD:
   Get-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:WindowsNTDSntds.dit" -BootKey $bootkey
5. Если учетная запись администратора домена отключена, включите ее и задайте новый пароль:
   Enable-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:WindowsNTDSntds.dit"

Set-ADDBAccountPassword -SamAccountName 'administrator' -DBPath "E:WindowsNTDSntds.dit" -BootKey $bootkey
   
   
6. Отключите виртуальный диск от ВМ и включите контроллер домена;
7. После его включения новый пароль администратора домена будет реплицирован на все DC.

Как сбросить пароль администратора домена через DSRM?

Если вы знаете пароль администратора DSRM, нужно загрузить ваш DC в режиме DSRM (сервер загружается с отключенными службами AD), выбрав соответствующую опцию в меню расширенных параметров загрузки.

На экране входа в систему ведите имя локального пользователя (administrator) и его пароль (пароль DSRM режима).

В данном примере имя контроллера домена – DC01.
Проверим, под каким пользователем выполнен вход в системе, для этого выполним команду:
whoami /user

USER INFORMATION
 ----------------
User Name          SID
================== ============================================
dc01administrator S-1-5-21-3244332244-383844547-2464936909-500

Как вы видите, мы работаем под локальным админом.

Следующий шаг – смена пароля учетной записи администратора Active Directory (по умолчанию это учетная тоже называется Administrator). Чтобы сбросить пароль администратора домена мы создим отдельную службу, которая при запуске из-под SYSTEM сбрасывает в Active Directory пароль учетной записи Administrator:
sc create ResetADPass binPath= "%ComSpec% /k net user administrator [email protected]" start= auto

Примечание. Обратите внимание, при задании пути в переменной binPath, между знаком ‘=’ и ее значением необходим пробел. Кроме того, новый пароль должен обязательно отвечать доменным требованиям на длину и сложность пароля.

Проверьте, что служба создана:
sc qc ResetADPass

[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: ResetADPass
TYPE               : 10  WIN32_OWN_PROCESS
START_TYPE         : 2   AUTO_START
ERROR_CONTROL      : 1   NORMAL
BINARY_PATH_NAME   : C:Windowssystem32cmd.exe /k net user administrator [email protected]
LOAD_ORDER_GROUP   :
TAG                : 0
DISPLAY_NAME       : ResetADPass
DEPENDENCIES       :
SERVICE_START_NAME : LocalSystem

Перезагрузите контроллер домена в нормальном режиме:
shutdown -r -t 0

Во время загрузки созданная нами служба изменит пароль учетной записи админа домена на [email protected] Теперь вы можете войти на DC под этой учетной записью и паролем.
whoami /user

USER INFORMATION
----------------
User Name             SID
===================== ============================================
corpadministrator S-1-5-21-1737425439-783543262-1234318981-500

Осталось удалить созданную наму службу Windows:
sc delete ResetADPass

[SC] DeleteService SUCCESS

Итак, в этой статье мы разобрались, как можно сбросить пароль администратора домена AD. Еще раз отметим о важности обеспечения физической безопасности вашей IT инфраструктуры. Если кто-то кроме известного круга лиц имеет доступ к физическим серверам контроллеров домена, он может легко сбросить пароль любого пользователя или администратора. Если вам нужно разместить DC в менее доверенных локациях, рекомендуем использовать RODC (read-only domain controller).

Загружаемся с установочного диска Windows Server (он же является и диском восстановления).
Сразу после выбора языка выбираем Восстановление системы (“Repair your computer”)
Для Windows Server 2016-2019 выбираем Диагностика (“Troubleshoot”), для Server 2008 — переходим к следующему шагу.
Выбираем Командная строка (“Command Prompt”)

Выполняем команды (для Windows Server 2008, 2008R2, 2016 и 2019):

copy c:WindowsSystem32Utilman.exe с:WindowsSystem32Utilman.exe.old
copy c:WindowsSystem32cmd.exe с:WindowsSystem32Utilman.exe

Закрываем командную строку и нажимаем Продолжить(“Continue”).
Сервер загрузится и выведет logon screen. Нажимаем Windows Key + U (специальные возможности, внизу экрана).
Выполняем команду:

net user administrator 123456

где 123456 — новый пароль

Если УЗ Administrator заблокирована, разблокируем её следующей командой. После разблокирования необходимо перезагрузить сервер, т.к. УЗ Administrator будет недоступна без перезагрузки.

net user administrator /active:yes

После разблокирования учётной записи необходимо вернуть Utilman.exe на прежнее место.