Active Directory 樹系復原 - 在信任的一端重設信任密碼

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

如果樹系復原與安全性缺口有關，請使用下列程序，在信任的一端重設信任密碼。 這包括子網域和父網域之間的隱含信任，以及此網域 (信任網域) 與另一個網域 (受信任網域) 之間的明確信任。

只在信任的受信任網域端重設密碼，也稱為傳入信任(此網域所屬的一端)。 然後，在信任的受信任網域端使用相同的密碼，也稱為傳出信任。 當您在每個其他 (受信任) 網域中還原第一個 DC 時，重設傳出信任的密碼。

重設信任密碼可確保 DC 不會在其網域外部以潛在不良 DC 進行複寫。 藉由在還原每個網域中的第一個 DC 時設定相同的信任密碼，您可以確定此 DC 會使用每個已復原的 DC 進行複寫。 安裝 AD DS 所復原網域中的後續 DC，會在安裝程序期間自動複寫這些新密碼。

在信任的一端重設信任密碼

1. 在命令提示字元中輸入下列命令，然後按 ENTER：

   netdom experthelp trust
   

2. 使用此命令提供的語法，以使用 NetDom 工具來重設信任密碼。 例如，如果樹系中有兩個網域 (也就是父網域和子網域)，而且您在父網域中還原的 DC 上執行此命令，則使用下列命令語法：

   netdom trust parent domain name /domain:child domain name /resetOneSide /passwordT:password /userO:administrator /passwordO:*
   

   當您在子網域中執行此命令時，請使用下列命令語法：

   netdom trust child domain name /domain:parent domain name /resetOneSide /passwordT:password /userO:administrator /passwordO:*
   

   注意

   passwordT 在信任的兩端應是相同的值。 只執行此命令一次 (與 netdom resetpwd 命令不同)，因為其會自動重設密碼兩次。

下一步

• AD 樹系復原 - 先決條件
• AD 樹系復原 - 設計自訂樹系復原計畫
• AD 樹系復原 - 用來還原樹系的步驟
• AD 樹系復原 - 識別問題
• AD 樹系復原 - 決定如何復原
• AD 樹系復原 - 執行初始復原
• AD 樹系復原 - 程序
• AD 樹系復原 - 常見問題集 (FAQ)
• AD 樹系復原 - 復原多網域樹系內的單一網域
• AD 樹系復原 - 重新部署其餘 DC
• AD 樹系復原 - 虛擬化
• AD 樹系復原 - 清除