计算机帐户密码

域中的计算机帐户，就如同用户帐户一样，他也是有密码存在的，这个密码分存在两个地方，一个成员计算机本地，另外一个是在域的数据库中。当成员计算机启动时，它会将本地的密码与服务器上的密码进行匹配，如果一样，那么OK，两者建立安全通道，这个通道一旦建立，就可以用于传递一些安全信息，比如随后我们在登录域时输入的用户名和密码就是通过这个安全通道提交给域控来做验证的。计算机帐户的共享密码，他有以下的特点：

1、这个密码是计算机加入域时创建的，并且为了安全考虑，默认他自动会30天修改一次，这个时间我们是可以通过组策略来修改的，组策略的位置在计算机配置\Windows设置\安全设置\本地策略\安全选项\域成员：计算机帐户密码最长使用期限

 一般来说，保持默认即可，更是不应该禁用计算机密码的更改，这样会带来相应的安全隐患。

2、本地计算机系统中有一个ScavengeInterval进程负责监视计算机密码是否到期，他会每15分钟检查一次，一旦计算机密码到期时，那么很自然的，他先修改本地计算机的密码，然后将这个新密码同步到服务器上去。这个过期都非常的顺畅，但是有一点是非常有意思的，就是本地首先会采用新的密码，同时他还会保存旧的密码副本，这个我们可以通过查看注册表HKLM\SECURITY\Policy\Secrets\$machine.ACC看到

 

其中的currVal就是当前使用的密码，而OldVal就是原来的密码，当然这些都加密的值。而在域中，他只会存储当前的密码，而不会保存前一个密码。

以上的过程都很顺畅，总结下来一条一条的，我们在实际管理域时，可以结合上面的特点解决我们可能会遇到的两个问题：

1、我们给客户端做了备份，过了30天以上，我们给客户端做了恢复，结果客户端再去登录时，那么它可能会收到以下的报错

 

2、另外一种情况，就是我们经常做实验，使用虚拟机，使用快照，也可能会出现这种情况

看到这个报错，结合上面的两点，我们都明白，这是因为本地的存储的计算机帐户密码与域中的计算机帐户密码不一致，要解决这个问题，也很简单，使用netdom reset命令来搞定

netdom resetpwd /s:server /ud:domain\User /pd:*

/s:server 是用于设置机器帐户密码的域控制器的名称。
/ud:domain\User 是与您在 /s 参数中指定的域进行连接的用户帐户。它的格式必须是 domain\User 。如果省略此参数，则使用当前用户帐户。
/pd:* 指定在 /ud 参数中指定的用户帐户的密码。使用星号 (*) 来提示您输入该密码。

给个截图吧，看个明白