Das Kennwort für den Verzeichnisdienstwiederherstellungsmodus (DSRM) wird zuerst festgelegt, wenn ein neuer Domänencontroller hochgestuft wird. Ich bin auf viele Active Directory-Umgebungen gestoßen, in denen das DSRM-Kennwort für die Domänencontroller nicht bekannt ist oder bei Bedarf sicher zum Abrufen gespeichert wird.
Domänencontroller verfügen nicht über ein lokales Administratorkonto, mit dem Sie sich jederzeit lokal anmelden können, wie auf Workstations und Servern. Wenn auf dem Domänencontroller ein Active Directory-Fehler auftritt, können Sie sich möglicherweise nicht mit Ihren Domänenanmeldeinformationen am Server anmelden, um Active Directory zu reparieren.
Der Wiederherstellungsmodus für Verzeichnisdienste (Directory Services Restore Mode, DSRM) ist eine Startoption für einen Domänencontroller, mit der Sie sich auch dann am Server anmelden können, wenn Active Directory fehlgeschlagen ist. Sie verwenden ein Konto, das dem lokalen Administratorkonto auf einer Workstation oder einem Server ähnelt. Um sich nach dem Start in DSRM am Domänencontroller anzumelden, geben Sie die Eingabetaste ein .\administrator als Benutzername mit dem DSRM-Kennwort, wie in den folgenden Bildern gezeigt. Dadurch werden Sie lokal ohne Zugriff auf Domänenressourcen angemeldet.
Das DSRM-Kennwort ist für jeden Domänencontroller eindeutig, daher müssen Sie den DSRM-Kennwortrücksetzprozess für jeden Domänencontroller in Ihrer Umgebung durchlaufen. Das DSRM-Kennwort kann nicht zurückgesetzt werden, wenn der Domänencontroller in DSRM gestartet wird.
Ich werde Sie nun durch die Schritte zum Zurücksetzen des DSRM-Passworts führen.
NTDSUTIL
Der Befehl NTDSUTIL wird zum Zurücksetzen des DSRM-Kennworts verwendet. Dieses Dienstprogramm kann über die Eingabeaufforderung verwendet werden und funktioniert auch in Windows PowerShell.
Die Schritte in der Eingabeaufforderung oder Windows PowerShell sind wie folgt:
- ntdsutil
- dsrm-Kennwort festlegen
Sie sehen nun die Eingabeaufforderung „DSRM-Administratorkennwort zurücksetzen“.
An dieser Eingabeaufforderung haben Sie die Wahl zwischen zwei Parametern, um das Zurücksetzen des DSRM-Passworts abzuschließen:
- Passwort auf Server zurücksetzen % s
- Vom Domänenkonto synchronisieren %s
Ich werde die Schritte mit jedem dieser Parameter durchgehen, um die Unterschiede zwischen ihnen zu demonstrieren.
Zurücksetzen des Kennworts auf dem Server %s
Ein Remotedomänencontrollername kann angegeben werden, was bedeutet, dass dies von jedem Gerät aus ausgeführt werden kann, auf dem die Active Directory Services-Tools installiert sind. %s ist ein Platzhalter für den Servernamen. Dies kann auch für den lokalen Server abgeschlossen werden, wenn er an einem Domänencontroller angemeldet ist. Hier sind einige Beispiele:
Remote-Server: reset password on server dcs001p01
Local server: reset password on server null
Geben Sie das neue DSRM-Passwort ein und wiederholen Sie den Vorgang, um das neue Passwort zu bestätigen, nachdem Sie reset password on server %s eingegeben haben.
Die Schritte können auch in einer einzigen Zeile eingegeben werden, mit Ausnahme des Passworts, das noch an den Eingabeaufforderungen eingegeben werden muss.
ntdsutil „dsrm-Passwort setzen“ „Passwort auf Server dcs001p01 zurücksetzen“ „q“ „q“
Sync from domain account %s
Eine alternative Option ist die Verwendung des Parameters sync from domain account %s. %s ist ein Platzhalter für ein Domänenbenutzerkonto. Anstatt das DSRM-Kennwort während des Vorgangs anzugeben, synchronisieren Sie das neue DSRM-Kennwort des lokalen Domänencontrollers mit dem Kennwort des angegebenen Domänenbenutzerkontos.
Dies ist eine einmalige Kennwortsynchronisierung Wenn Sie den Reset ausführen, wird das Kennwort nicht mit dem Benutzerkonto synchronisiert. Das DSRM-Kennwort ändert sich nicht, wenn Sie das Kennwort für das Benutzerkonto zurücksetzen. Das DSRM-Kennwort ändert sich nur, wenn Sie den Vorgang zum Zurücksetzen des DSRM-Kennworts abgeschlossen haben.
Ich habe in meiner Domäne ein Konto mit dem Namen svc-dc erstellt, ein komplexes Kennwort festgelegt (das ich für mein DSRM-Kennwort verwenden möchte) und das Konto deaktiviert. Das Konto ist kein Mitglied einer anderen Gruppe als der Standardgruppe „Domänenbenutzer“. Das Konto wird nicht für andere Aufgaben als zum Festlegen des DSRM-Kennworts auf einem Domänencontroller verwendet.
Dies sollte lokal auf dem Zieldomänencontroller abgeschlossen werden. Dieser Parameter setzt nur das DSRM-Kennwort auf dem lokalen Server zurück, Sie können keinen anderen Domänencontroller angeben. Sie erhalten einen Fehler, wenn der Befehl nicht auf einem Domänencontroller ausgeführt wird, wie im folgenden Beispiel beschrieben:
Der Reset-Befehl kann auch mit einer einzigen Zeile eingegeben werden:
ntdsutil „set dsrm password“ „Sync from domain account svc-dc“ „q“ „q“
Die Ausführung des Befehls auf einem Domänencontroller wird ohne weitere Eingabeaufforderungen erfolgreich abgeschlossen. Das DSRM-Kennwort wird nun auf das im Domänenbenutzerkonto konfigurierte Kennwort festgelegt. Das nächste Mal kann ich einfach das Kennwort des Domänenbenutzerkontos ändern und den Kennwortrücksetzvorgang erneut ausführen, um das DSRM-Kennwort auf dem Domänencontroller zu aktualisieren.
Die Anmeldung an jedem Domänencontroller kann jedoch je nach Größe der Umgebung einige Zeit in Anspruch nehmen. Windows PowerShell Remoting bietet die Möglichkeit, Befehle remote auszuführen. Ich kann Invoke-Command , um das Zurücksetzen des DSRM-Kennworts auf einem Remote-Domänencontroller von jedem Gerät aus auszuführen.
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil „dsrm-Kennwort festlegen“ „Synchronisierung vom Domänenkonto svc-dc“ „q“ „q“ }
Wenn Sie für alle Domänencontroller dasselbe Kennwort verwenden möchten, kann der PowerShell-Befehl einfach angepasst werden, um das Kennwort für alle Domänencontroller in der Domäne zu ändern.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
Sie können auch ein separates Benutzerkonto für jeden Domänencontroller verwenden, um sicherzustellen, dass das DSRM-Kennwort auf jedem Domänencontroller unterschiedlich ist. Der Remote-PowerShell-Befehl kann dann für jede Domänencontroller- und Benutzerkontenkombination in separaten Zeilen eingegeben werden. Speichern Sie das Skript zur späteren Verwendung. In diesem Beispiel habe ich für jeden Domänencontroller ein Konto erstellt:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }
Ich kann jetzt den Reset auf allen meinen Domänencontrollern durchführen, indem ich die gespeicherte .PS1-Datei in PowerShell ISE wiederverwende. Bei meiner nächsten Änderung des DSRM-Kennworts muss ich lediglich das Kennwort der Benutzerkonten ändern und das Skript erneut ausführen, um das DSRM-Kennwort auf meinen Domänencontrollern zu aktualisieren.
Geplante Aufgabe
Es ist möglich, geplante Aufgaben auf den Domänencontrollern so zu konfigurieren, dass das DSRM-Kennwort automatisch mit dem Parameter sync from domain account %s zurückgesetzt wird.
Die Aufgabe kann täglich ausgeführt werden, um das DSRM-Kennwort durch Synchronisieren mit einem Domänenbenutzerkonto festzulegen. Das DSRM-Kennwort würde sich effektiv nur ändern, wenn das Kennwort für das Benutzerkonto geändert wird. Bei meinem nächsten DSRM-Kennwortänderungsplan muss ich nur die Kennwörter der Benutzerkonten ändern und die geplante Aufgabe den Rest erledigen lassen.
Verwenden Sie diese Methode mit Vorsicht!
Die geplante Aufgabe wird auf dem Domänencontroller mit den entsprechenden Berechtigungen unbeaufsichtigt ausgeführt. Wenn eine unbefugte Person das Kennwort des Referenzdienstkontos ändern kann, ändert sie effektiv auch das DSRM-Kennwort, ohne dass Domänenadministratorrechte erforderlich sind.
Die Dienstkonten müssen gesichert und geprüft werden, was zusätzlichen Verwaltungsaufwand verursacht, der meiner Meinung nach die Vorteile der Verwendung einer geplanten Aufgabe zum Verwalten der DRSM-Kennwortänderungen überwiegt.
Geplante Aufgaben können fehlschlagen, was dazu führen kann, dass das DSRM-Kennwort nicht wie erwartet geändert wird. Dies kann dazu führen, dass Sie sich nicht am Domänencontroller in DSRM anmelden können. Die geplanten Aufgaben müssen effektiv überwacht werden und können den Verwaltungsaufwand erhöhen.