Jak obnovit Adresářové Služby Obnovení Režimu (DSRM) heslo

By admin

Adresář Služby Obnovení Režimu (DSRM) heslo je prvním setu při propagaci nového Řadiče Domény. Setkal jsem se s mnoha prostředími služby Active Directory, kde heslo DSRM pro řadiče domény není známo nebo bezpečně uloženo pro vyhledání v případě potřeby.

řadiče domény nemají účet místního správce, který lze kdykoli použít k místnímu přihlášení, jako máte na pracovních stanicích a serverech. Když je Active Directory selhání na Řadič Domény, nemusí být schopen se přihlásit na server pomocí pověření domény na opravu Active Directory.

režim obnovení adresářových služeb (DSRM) je spouštěcí volba pro řadič domény, která umožňuje přihlásit se na server i v případě selhání služby Active Directory. Budete používat účet, který je podobný účtu místního správce na pracovní stanici nebo serveru. Chcete-li se po spuštění v DSRM přihlásit k řadiči domény, zadejte .\administrator jako uživatelské jméno s heslem DSRM, jak je znázorněno na obrázcích níže. To vás přihlásí místně bez přístupu k prostředkům domény.

Přihlašovací obrazovka

Přihlášení se heslo DSRM

DSRM heslo je jedinečné pro každý Řadič Domény, tak musíš jít přes DSRM password reset proces pro každý Řadič Domény ve vašem prostředí. Při spuštění řadiče domény v DSRM nelze resetovat heslo DSRM.

nyní vás provedu kroky k obnovení hesla DSRM.

NTDSUTIL

příkaz NTDSUTIL se používá k resetování hesla DSRM. Tento nástroj lze použít z příkazového řádku a funguje také v prostředí Windows PowerShell.

kroky Příkazový Řádek nebo Windows PowerShell jsou následující:

  • ntdsutil
  • nastavit heslo dsrm

nyní se zobrazí „Obnovit Heslo DSRM Správce“ prompt.

Reset hesla správce DSRM

na této výzvě máte na výběr ze dvou parametrů pro dokončení resetování hesla DSRM:

  • Reset password on server %s
  • Synchronizovat z účtu domény %s

jsem se projít kroky s každou z těchto parametrů prokázat rozdíly mezi nimi.

Obnovit heslo na Serveru %s

lze zadat název řadiče vzdálené domény, což znamená, že to lze dokončit z jakéhokoli zařízení, které má nainstalované nástroje služby Active Directory. %s je zástupný symbol pro název serveru. To lze také dokončit pro místní server při přihlášení k řadiči domény. Zde je několik příkladů:

vzdálený server: reset password on server dcs001p01

Místní server: reset password on server null

Zadejte nové heslo DSRM a opakujte potvrdit nové heslo, poté, co jste zadali reset password on server %s. Zadejte q dvakrát ukončete nástroj NTDSUTIL.

reset password on server dcs001p01

reset password on server null

kroky mohou být také zapsán v jediném řádku, s výjimkou hesla, které ještě musí být zadána v příkazovém řádku.

ntdsutil „nastavit heslo dsrm“, „reset password on server dcs001p01“ „q“ „q“

Překlad z účtu domény %s

alternativní možností je použít překlad z účtu domény %s parametrem. %s je zástupný symbol pro uživatelský účet domény. Namísto zadání hesla DSRM během procesu synchronizujete nové heslo DSRM místního řadiče domény s heslem zadaného uživatelského účtu domény.

Jedná se o jednorázovou synchronizaci hesla při provádění resetu není heslo synchronizováno s uživatelským účtem. Heslo DSRM se při resetování hesla uživatelského účtu nezmění. Heslo DSRM se změní pouze po dokončení postupu resetování hesla DSRM.

vytvořil jsem si účet ve své doméně svc-dc, nastavil složité heslo (které chci použít pro své heslo DSRM) a také jsem účet deaktivoval. Účet není členem žádné jiné skupiny než výchozí „uživatelé domény“. Účet nebude použit pro jiné úkoly, které se používají k nastavení hesla DSRM v řadiči domény.

toto by mělo být dokončeno lokálně na řadiči cílové domény. Tento parametr resetuje pouze heslo DSRM na místním serveru, nemůžete zadat jiný řadič domény. Zobrazí se chyba, pokud příkaz není spuštěn na řadiči domény, jak je uvedeno níže:

synchronizace hesla se nezdařila. Ověřte, že
zdrojový účet je uživatelský účet v doméně služby Active Directory.
zdrojový účet není označen jako vyžadující čipovou kartu pro interaktivní přihlášení.
zdrojový účet nevypršel.
heslo zdrojového účtu nevypršelo.
kód chyby WIN32: 0x32
chybová zpráva: požadavek není podporován.

resetovací příkaz může být také zapsán s jeden řádek:

ntdsutil „nastavit heslo dsrm“ „Překlad z domény účtu svc-dc“ „q“ „q“

Spuštěn příkaz na Řadiči Domény dokončí úspěšně bez jakýchkoli dalších pokynů. Heslo DSRM je nyní nastaveno na heslo nakonfigurované v uživatelském účtu domény. Příště mohu jen změnit heslo uživatelského účtu domény a znovu spustit proces resetování hesla a aktualizovat heslo DSRM na řadiči domény.

přihlášení ke každému řadiči domény však může nějakou dobu trvat v závislosti na velikosti prostředí. Windows PowerShell Remoting poskytuje možnost spouštět příkazy na dálku. Mohu použít příkaz Invoke-k provedení resetování hesla DSRM na vzdáleném řadiči domény z jakéhokoli zařízení.

Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil „nastavit heslo dsrm“ „Překlad z domény účtu svc-dc“ „q“ „q“ }

Pokud plánujete používat stejné heslo pro všechny Řadiče Domény pak PowerShell příkaz může být snadno upraveny tak, aby změnit heslo na všech Řadičích Domény v doméně.

Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }

můžete také použít samostatný uživatelský účet pro každý Řadič Domény, což zajišťuje, že heslo DSRM je jiný, na každý Řadič Domény. Příkaz remote PowerShell lze poté zadat na samostatných řádcích pro každý řadič domény a kombinaci uživatelských účtů. Uložte skript pro pozdější použití. V tomto příkladu jsem vytvořil účet pro každý řadič domény:

Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }

nyní mohu provést reset na všech řadičích domény opětovným použitím uloženého souboru. PS1 v PowerShell ISE. Při mé další změně hesla DSRM stačí změnit heslo uživatelských účtů a znovu spustit skript, abyste aktualizovali heslo DSRM na řadičích mé domény.

Naplánované Úlohy

je možné nastavit naplánované úlohy v Řadičích Domény resetovat heslo DSRM automaticky synchronizovat z účtu domény %s parametrem.

úkol lze provádět denně pro nastavení hesla DSRM synchronizací s uživatelským účtem domény. Heslo DSRM by se účinně změnilo pouze při změně hesla uživatelského účtu. Na mém dalším plánu změny hesla DSRM stačí změnit hesla uživatelských účtů a nechat naplánovanou úlohu postarat se o zbytek.

tuto metodu používejte opatrně!

naplánovaná úloha bude spuštěna na řadiči domény s příslušnými oprávněními bez dozoru. Pokud může neoprávněná osoba změnit heslo účtu referenční služby, účinně také mění heslo DSRM, aniž by vyžadovala jakákoli práva správce domény.

servisní účty budou muset být zabezpečeny a auditovány, což přidává další administrativní režii, která podle mého názoru převažuje nad výhodami použití naplánované úlohy ke správě změn hesla DRSM.

naplánované úlohy mohou selhat, což může mít za následek, že heslo DSRM nebude změněno podle očekávání. To může mít za následek situaci, kdy se nemůžete přihlásit k řadiči domény v DSRM. Naplánované úkoly budou muset být účinně sledovány a mohou přispět k administrativnímu úsilí.

«
»

Related posts

Leave a Comment

Vaše e-mailová adresa nebude zveřejněna.

+