Directory Services Restore Mode (DSRM) salasana asetetaan ensimmäisen kerran, kun mainostetaan uutta toimialueen ohjainta. Olen kohdannut monia Active Directory-ympäristöjä, joissa toimialueen ohjaimien DSRM-salasanaa ei tunneta tai se on tallennettu turvallisesti haettavaksi tarvittaessa.
toimialueen ohjaimissa ei ole paikallista järjestelmänvalvojatiliä, jota voi käyttää kirjautumiseen paikallisesti milloin tahansa, kuten sinulla on työasemilla ja palvelimilla. Kun Toimialueohjaimessa on Active Directory-vika, et ehkä pysty kirjautumaan palvelimelle toimialuetunnuksillasi Active Directoryn korjaamiseen.
Directory Services Restore Mode (DSRM) on toimialueen ohjaimen käynnistysvaihtoehto, jonka avulla voit kirjautua palvelimelle silloinkin, kun Active Directory on epäonnistunut. Käytät tiliä, joka on samanlainen kuin paikallinen järjestelmänvalvojan tili työasemalla tai palvelimella. Jos haluat kirjautua toimialueen ohjaimeen DSRM: ssä käynnistämisen jälkeen, kirjoita .\järjestelmänvalvoja käyttäjänimenä DSRM-salasanalla, kuten alla olevissa kuvissa näkyy. Tämä kirjaa sinut paikallisesti ilman pääsyä verkkotunnuksen resursseihin.
DSRM-salasana on ainutlaatuinen jokaiselle toimialueen ohjaimelle, joten sinun on käytävä läpi DSRM-salasanan nollausprosessi jokaiselle toimialueen ohjaimelle ympäristössäsi. DSRM: n salasanaa ei voi nollata, kun toimialueen ohjain käynnistetään DSRM: ssä.
vien sinut nyt läpi vaiheet DSRM: n salasanan nollaamiseksi.
NTDSUTIL
Ntdsutil-komentoa käytetään dsrm-salasanan nollaamiseen. Tätä apuohjelmaa voidaan käyttää komentokehotteesta ja se toimii myös Windows Powershellissa.
komentokehotteessa tai Windows Powershellissa noudatettavat vaiheet ovat seuraavat:
- ntdsutil
- set dsrm salasana
näet nyt” Reset DSRM järjestelmänvalvojan salasana ” – kehotuksen.
tällä kehotteella voit valita kahden parametrin välillä, jotta voit suorittaa DSRM: n salasanan palauttamisen:
- Palauta salasana palvelimella %s
- synkronoi verkkotunnustililtä %s
käyn vaiheet läpi kunkin parametrin kanssa osoittaakseni niiden väliset erot.
Palauta salasana palvelimella %s
toimialueen Etäohjaimen nimi voidaan määrittää, mikä tarkoittaa, että tämä voidaan suorittaa millä tahansa laitteella, johon on asennettu Active Directory Services-työkalut. %s On palvelimen nimen paikkamerkki. Tämä voidaan suorittaa myös paikalliselle palvelimelle, kun olet kirjautunut toimialueen ohjaimeen. Tässä muutamia esimerkkejä:
etäpalvelin: Palauta salasana palvelimella dcs001p01
paikallinen palvelin: Palauta salasana palvelimella null
Anna Uusi DSRM-salasana ja toista vahvistaaksesi uuden salasanan syötettyäsi salasanan palvelimelle %s. syötä q kahdesti poistuaksesi Ntdsutil-apuohjelmasta.
vaiheet voidaan syöttää myös yhdellä rivillä, lukuun ottamatta salasanaa, joka on vielä syötettävä kehotteissa.
ntdsutil ”set dsrm password ””reset password on server dcs001p01 ”” q ””q”
synkronoi verkkoaluetililtä %s
toinen vaihtoehto on käyttää parametria synkronointi verkkoaluetililtä %s. %s On verkkotunnuksen käyttäjätilin paikkamerkki. Sen sijaan, että määrittäisit DSRM-salasanan prosessin aikana, synkronoit paikallisen toimialueen ohjaimen uuden DSRM-salasanan määritetyn toimialueen käyttäjätilin salasanan kanssa.
tämä on kertaluonteinen salasanasynkronointi nollausta suoritettaessa, salasanaa ei pidetä synkronoituna käyttäjätilin kanssa. DSRM-salasana ei muutu, kun palautat käyttäjätilin salasanan. DSRM-salasana muuttuu vasta, kun olet suorittanut DSRM-salasanan nollausmenettelyn.
olen luonut verkkotunnukseeni svc-dc-tilin, asettanut monimutkaisen salasanan (jota haluan käyttää DSRM-salasanalleni) ja myös poistanut tilin käytöstä. Tili ei ole minkään muun ryhmän jäsen kuin oletuskäyttäjien ”Domain Users”. Tiliä ei käytetä muihin tehtäviin, joita käytetään Dsrm-salasanan asettamiseen toimialueen ohjaimeen.
tämä tulee suorittaa paikallisesti kohdealueen ohjaimessa. Tämä parametri Nollaa vain DSRM-salasanan paikallisessa palvelimessa, et voi määrittää toista toimialueen ohjainta. Saat virheen, kun komentoa ei suoriteta toimialueen ohjaimessa, kuten alla olevassa esimerkissä:
reset-komento voidaan syöttää myös yhdellä rivillä:
ntdsutil ”set dsrm password ””Sync from domain account svc-dc ”” q ””q”
komennon suorittaminen toimialueen ohjaimessa päättyy onnistuneesti ilman muita kehotuksia. DSRM-salasana on nyt asetettu verkkotunnuksen käyttäjätilillä määritettyyn salasanaan. Seuraavan kerran voin vain vaihtaa verkkotunnuksen käyttäjätilin salasanan ja ajaa salasanan nollausprosessin uudelleen Päivittääkseni DSRM-salasanan verkkotunnuksen ohjaimessa.
kirjautuminen jokaiselle toimialueen ohjaimelle voi kuitenkin viedä aikaa riippuen ympäristön koosta. Windows PowerShell Remoting tarjoaa mahdollisuuden suorittaa komentoja etänä. Voin Invoke-komennon avulla suorittaa DSRM-salasanan nollauksen Etätoimialueohjaimessa mistä tahansa laitteesta.
Invoke-Command-ComputerName DCS001P01-ScriptBlock { ntdsutil ”set dsrm password” ”Sync from domain account svc-dc” ”q” ”q” }
jos aiot käyttää samaa salasanaa kaikille toimialueen ohjaimille, PowerShell-komentoa voidaan helposti muuttaa salasanan vaihtamiseksi kaikilla toimialueen ohjaimilla.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
Voit myös käyttää erillistä käyttäjätiliä jokaiselle toimialueen ohjaimelle varmistaen, että DSRM-salasana on erilainen jokaisessa toimialueen ohjaimessa. Kauko PowerShell-komento voidaan sitten syöttää erillisillä riveillä jokaiselle toimialueen ohjaimelle ja käyttäjätilin yhdistelmälle. Tallenna skripti myöhempää käyttöä varten. Tässä esimerkissä olen luonut tilin jokaiselle toimialueen ohjaimelle:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }
voin nyt nollata kaikki verkkotunnukseni ohjaimet käyttämällä tallennettua PS1-tiedostoa PowerShell ISE: ssä. Seuraavassa DSRM-salasananvaihdossani minun tarvitsee vain vaihtaa käyttäjätilien salasana ja ajaa skripti uudelleen Päivittääkseni DSRM-salasanan Verkkotunnusohjaimissani.
ajoitettu tehtävä
toimialueen ohjaimissa on mahdollista määrittää ajoitetut tehtävät niin, että DSRM-salasana nollataan automaattisesti parametrin %s synkronointi toimialueen tililtä.
tehtävä voidaan suorittaa päivittäin DSRM-salasanan asettamiseksi synkronoimalla verkkotunnuksen käyttäjätilin kanssa. DSRM-salasana muuttuisi käytännössä vasta, kun käyttäjätilin salasana vaihdetaan. Minun seuraava DSRM salasanan muutos aikataulu, kaikki minun tarvitsee vain vaihtaa salasanoja käyttäjätilien ja anna ajoitettu tehtävä hoitaa loput.
käytä tätä menetelmää varoen!
ajoitettu tehtävä suoritetaan toimialueen ohjaimella asianmukaisin oikeuksin, valvomatta. Jos joku luvaton henkilö voi vaihtaa viitepalvelun tilin salasanan, hän vaihtaa tehokkaasti myös DSRM: n salasanan ilman, että tarvitsee verkkotunnuksen ylläpitäjän oikeuksia.
palvelutilit on turvattava ja tarkastettava, mikä lisää hallinnollisia lisäkustannuksia, jotka mielestäni ylittävät drsm: n salasanamuutosten hallitsemiseksi suunnitellun tehtävän käytön hyödyt.
ajoitetut tehtävät voivat epäonnistua, minkä seurauksena DSRM: n salasanaa ei vaihdeta odotetusti. Tämä voi johtaa tilanteeseen, jossa et voi kirjautua Dsrm: n toimialueen ohjaimeen. Suunniteltuja tehtäviä on valvottava tehokkaasti, ja ne voivat lisätä hallinnollisia toimia.