a senha do modo de restauração dos Serviços de directório (DSRM) é definida pela primeira vez ao promover um novo controlador de domínio. Eu encontrei muitos ambientes de diretório ativo onde a senha DSRM para os controladores de domínio não é conhecida ou armazenada com segurança para recuperação quando necessário.
controladores de domínio não têm uma conta de administrador local que pode ser usada para fazer login localmente a qualquer momento, como você tem em estações de trabalho e servidores. Quando há uma falha de diretório ativo no controlador de domínio, você pode não ser capaz de entrar no servidor usando suas credenciais de domínio para reparar Diretório Ativo.
o modo de restauração dos Serviços de Directórios (DSRM) é uma opção de arranque para um controlador de domínio, que lhe permite aceder ao servidor mesmo quando a pasta activa falhou. Você vai usar uma conta que é semelhante à conta de administrador local em uma estação de trabalho ou servidor. Para entrar no controlador de domínio depois de iniciar no DSRM, digite .\administrador como o nome de utilizador com a senha DSRM, como mostrado nas imagens abaixo. Isto regista-o localmente sem acesso a quaisquer recursos do domínio.
A senha do DSRM é única para cada Controlador de Domínio, portanto, você tem que ir através do DSRM processo de redefinição de senha para cada Controlador de Domínio no seu ambiente. A senha DSRM não pode ser resetada quando o controlador de domínio é iniciado em DSRM.
vou agora levá-lo através dos passos para repor a senha DSRM.
NTDSUTIL
o comando NTDSUTIL é usado para repor a senha DSRM. Este utilitário pode ser usado a partir da linha de comandos e também funciona no Windows PowerShell.
os passos a seguir na linha de comandos ou no PowerShell do Windows são os seguintes::
- ntdsutil
- define a senha dsrm
irá agora ver a linha de comandos “reiniciar a senha do administrador DSRM”.
nesta linha de comandos você tem uma escolha entre dois parâmetros para completar a reset da senha DSRM:
- Repor palavra-passe no servidor %s
- Sincronização da conta de domínio %s
eu vou passar os passos com cada um destes parâmetros para demonstrar as diferenças entre eles.
Reset senha no servidor % S
pode ser especificado um nome de controlador de domínio remoto, o que significa que isso pode ser concluído a partir de qualquer dispositivo que tenha as ferramentas de Serviços de diretório ativo instalado. %s é uma substituição para o nome do servidor. Isto também pode ser completado para o servidor local quando logado em um controlador de domínio. Aqui estão alguns exemplos:
Servidor Remoto: repor palavra-passe no servidor dcs001p01
servidor Local: repor a palavra-passe no servidor null
Introduza a nova palavra-passe DSRM e repita para confirmar a nova palavra-passe depois de ter introduzido repor palavra-passe no servidor %s. Digite p duas vezes para sair do utilitário NTDSUTIL.
As etapas também podem ser inseridas em uma única linha, exceto para a palavra-passe que ainda precisa ser inserida nas instruções.
ntdsutil “set dsrm password “”reset password on server dcs001p01 “”q””
Sync from domain account % s
An alternative option is to use the sync from domain account %s parameter. %s é uma substituição para uma conta de utilizador do domínio. Em vez de indicar a senha DSRM durante o processo, você sincroniza a nova senha DSRM do controlador de domínio local com a senha da conta de usuário de domínio especificada.
esta é uma sincronização de senha única ao executar o reset, a senha não é mantida em sincronia com a conta de usuário. A senha DSRM não irá mudar quando você reiniciar a senha da conta do Usuário. A senha DSRM só irá mudar quando você completar o procedimento de reset de senha DSRM.
criei uma conta no meu domínio chamada svc-dc, configurei uma senha complexa (que quero usar para a minha senha DSRM) e também desactivei a conta. A conta não é membro de nenhum grupo além do padrão “Usuários de domínio”. A conta não será usada para quaisquer outras tarefas que estejam sendo usadas para definir a senha DSRM em um controlador de domínio.
isto deve ser completado localmente no controlador de domínio alvo. Este parâmetro só irá repor a senha DSRM no servidor local, pelo que não poderá indicar outro controlador de domínio. Você receberá um erro quando o comando não for executado em um controlador de domínio, como por exemplo abaixo:
a conta de origem é uma conta de utilizador no domínio do directório activo.
a conta de origem não está marcada como exigindo smartcard para logon interactivo.
a conta de origem não expirou.
a senha da conta de origem não expirou.
código de erro WIN32: 0x32
mensagem de erro: o pedido não é suportado.
O comando reset também pode ser introduzido com uma única linha:
ntdsutil “definir palavra-passe dsrm” “Sincronização de conta de domínio svc-dc” “q” “q”
Executando o comando em um Controlador de Domínio for concluída com êxito, sem mais avisos. A senha DSRM está agora configurada para a senha configurada na conta de usuário do domínio. Da próxima vez eu posso apenas mudar a senha da conta de usuário do domínio e executar o processo de reset de senha novamente para atualizar a senha DSRM no controlador de domínio.
registar em cada controlador de domínio, no entanto, pode levar tempo dependendo do tamanho do ambiente. O Windows PowerShell Remoting oferece a capacidade de executar comandos remotamente. Eu posso usar o comando invoque para executar a senha DSRM reset em um controlador de domínio remoto a partir de qualquer dispositivo.
Invoke-Command-ComputerName DCS001P01 -ScriptBlock { ntdsutil “definir palavra-passe dsrm” “Sincronização de conta de domínio svc-dc” “q” “q” }
Se você está pensando em usar a mesma senha para todos os Controladores de Domínio, em seguida, o comando do PowerShell pode ser facilmente adaptado para alterar a palavra-passe em todos os Controladores de domínio no Domínio.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
Você também pode usar uma conta de usuário separada para cada Controlador de Domínio, garantindo que a senha do DSRM é diferente em cada Controlador de Domínio. O comando PowerShell remoto pode então ser introduzido em linhas separadas para cada controlador de domínio e combinação de conta de usuário. Grava o programa para utilização posterior. Neste exemplo eu criei uma conta para cada controlador de domínio:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }eu posso agora executar o reset em todos os meus controladores de domínio, reutilizando o arquivo saved. PS1 em PowerShell ISE. Na minha próxima mudança de senha DSRM, tudo que eu preciso fazer é mudar a senha das contas de usuário e executar o script novamente para atualizar a senha DSRM em meus controladores de domínio.
Tarefa Agendada
é possível configurar tarefas agendadas em Controladores de Domínio para repor a palavra-passe DSRM automaticamente com a sincronização da conta de domínio %s parâmetro.
a tarefa pode ser executada diariamente para definir a senha DSRM, sincronizando com uma conta de usuário do domínio. A senha DSRM só mudaria quando a senha da conta do usuário fosse alterada. Na minha próxima agenda de mudança de senha DSRM, tudo que eu preciso fazer é mudar as senhas das contas de usuário e deixar a tarefa agendada cuidar do resto.
Use este método com precaução!
a tarefa programada será executada no controlador de domínio com as permissões apropriadas, sem vigilância. Se qualquer pessoa não autorizada pode alterar a senha da conta de serviço de referência, eles também estão efetivamente mudando a senha DSRM, sem exigir quaisquer direitos de Administração de domínio.
as contas de serviço terão de ser seguras e auditadas, o que adiciona despesas administrativas adicionais que, na minha opinião, superam os benefícios do uso de uma tarefa programada para gerir as mudanças de senha DRSM.
tarefas programadas podem falhar o que pode resultar na senha DSRM não sendo alterada como esperado. Isso pode resultar em uma situação em que você não pode entrar no controlador de domínio em DSRM. As tarefas programadas terão de ser eficazmente controladas e poderão contribuir para os esforços administrativos.
