La password della modalità di ripristino dei servizi directory (DSRM) viene impostata per la prima volta quando si promuove un nuovo controller di dominio. Ho incontrato molti ambienti di Active Directory in cui la password DSRM per i controller di dominio non è nota o memorizzata in modo sicuro per il recupero quando necessario.
I controller di dominio non dispongono di un account amministratore locale che può essere utilizzato per accedere localmente in qualsiasi momento, come su workstation e server. Quando si verifica un errore di Active Directory sul controller di dominio, potrebbe non essere possibile accedere al server utilizzando le credenziali del dominio per riparare Active Directory.
Directory Services Restore Mode (DSRM) è un’opzione di avvio per un controller di dominio, che consente di accedere al server anche quando Active Directory ha fallito. Verrà utilizzato un account simile all’account amministratore locale su una workstation o un server. Per accedere al controller di dominio dopo l’avvio in DSRM, immettere .\ administrator come il nome utente con la password DSRM, come mostrato nelle immagini qui sotto. Questo ti registra localmente senza accesso a risorse di dominio.
La password DSRM è unico per ogni Controller di Dominio, quindi, si deve passare attraverso il DSRM processo di reimpostazione della password per ogni Controller di Dominio nel proprio ambiente. La password DSRM non può essere reimpostata quando il controller di dominio viene avviato in DSRM.
Io ora vi porterà attraverso i passaggi per reimpostare la password DSRM.
NTDSUTIL
Il comando NTDSUTIL viene utilizzato per reimpostare la password DSRM. Questa utility può essere utilizzata dal prompt dei comandi e funziona anche in Windows PowerShell.
I passaggi da seguire nel prompt dei comandi o in Windows PowerShell sono i seguenti:
- ntdsutil
- imposta password dsrm
Verrà visualizzato il prompt “Ripristina password amministratore DSRM”.
A questo prompt è possibile scegliere tra due parametri per completare la reimpostazione della password DSRM:
- Reimposta la password sul server %s
- Sincronizza dall’account di dominio %s
Eseguirò i passaggi con ciascuno di questi parametri per dimostrare le differenze tra loro.
Reimposta password sul server %s
È possibile specificare un nome di controller di dominio remoto che significa che questo può essere completato da qualsiasi dispositivo con gli strumenti di Active Directory Services installati. %s è un segnaposto per il nome del server. Questo può essere completato anche per il server locale quando si accede a un controller di dominio. Ecco alcuni esempi:
Server remoto: reimposta password sul server dcs001p01
Server locale: reimposta password sul server null
Immettere la nuova password DSRM e ripetere per confermare la nuova password dopo aver inserito reimposta password sul server %s. Immettere q due volte per uscire dall’utilità NTDSUTIL.
I passaggi possono anche essere inseriti in una singola riga, ad eccezione della password che deve ancora essere inserita nei prompt.
ntdsutil “imposta password dsrm “”reimposta password sul server dcs001p01” “q “”q”
Sincronizzazione dall’account di dominio % s
Un’opzione alternativa è usare il parametro sincronizzazione dall’account di dominio %s. %s è un segnaposto per un account utente di dominio. Invece di specificare la password DSRM durante il processo, si sincronizza la nuova password DSRM del controller di dominio locale con la password dell’account utente del dominio specificato.
Questa è una sincronizzazione della password una tantum quando si esegue il reset, la password non viene mantenuta sincronizzata con l’account utente. La password DSRM non cambia quando si reimposta la password dell’account utente. La password DSRM cambia solo quando si completa la procedura di reimpostazione della password DSRM.
Ho creato un account nel mio dominio chiamato svc-dc, ho impostato una password complessa (che voglio usare per la mia password DSRM) e ho anche disabilitato l’account. L’account non è membro di gruppi diversi dagli “Utenti del dominio”predefiniti. L’account non verrà utilizzato per attività diverse da quelle utilizzate per impostare la password DSRM su un controller di dominio.
Questa operazione deve essere completata localmente sul controller di dominio di destinazione. Questo parametro ripristinerà solo la password DSRM sul server locale, non è possibile specificare un altro controller di dominio. Riceverai un errore quando il comando non viene eseguito su un controller di dominio, come nell’esempio seguente:
L’account di origine sia un account utente nel dominio Active Directory.
L’account di origine non è contrassegnato come che richiede smartcard per l’accesso interattivo.
L’account di origine non è scaduto.
La password dell’account di origine non è scaduta.
WIN32 Codice di errore: 0x32
Messaggio di errore: la richiesta non è supportata.
Il comando reset può essere inserito anche con una singola riga:
ntdsutil “set dsrm password “”Sync from domain account svc-dc” “q “”q”
L’esecuzione del comando su un controller di dominio viene completata correttamente senza ulteriori richieste. La password DSRM è ora impostata sulla password configurata nell’account utente del dominio. La prossima volta posso semplicemente cambiare la password dell’account utente del dominio ed eseguire nuovamente il processo di reimpostazione della password per aggiornare la password DSRM sul controller di dominio.
L’accesso a ogni controller di dominio, tuttavia, potrebbe richiedere del tempo a seconda delle dimensioni dell’ambiente. Windows PowerShell Remoting offre la possibilità di eseguire comandi in remoto. Posso usare Invoke-Command per eseguire la reimpostazione della password DSRM su un controller di dominio remoto da qualsiasi dispositivo.
-ComputerName Comando Richiamare DCS001P01 -ScriptBlock { ntdsutil “set password dsrm” “Sincronizza account di dominio svc-dc” “d” “d” }
Se hai intenzione di usare la stessa password per tutti i Controller di Dominio, quindi il comando PowerShell può essere facilmente adattato per cambiare la password su tutti i Controller di Dominio nel dominio.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
È inoltre possibile utilizzare un account utente separato per ciascun controller di dominio, assicurando che la password DSRM sia diversa su ciascun controller di dominio. Il comando PowerShell remoto può quindi essere inserito su righe separate per ogni combinazione di controller di dominio e account utente. Salvare lo script per un uso successivo. In questo esempio ho creato un account per ogni controller di dominio:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }Ora posso eseguire il reset su tutti i miei controller di dominio riutilizzando il file .PS1 salvato in PowerShell ISE. Alla mia prossima modifica della password DSRM, tutto ciò che devo fare è cambiare la password degli account utente ed eseguire nuovamente lo script per aggiornare la password DSRM sui miei controller di dominio.
Attività pianificata
È possibile configurare le attività pianificate sui controller di dominio per reimpostare automaticamente la password DSRM con il parametro sync from domain account %s.
L’attività può essere eseguita quotidianamente per impostare la password DSRM sincronizzandola con un account utente di dominio. La password DSRM cambierebbe effettivamente solo quando viene modificata la password dell’account utente. Nel mio prossimo programma di modifica della password DSRM, tutto ciò che devo fare è cambiare le password degli account utente e lasciare che l’attività pianificata si occupi del resto.
Usare questo metodo con cautela!
L’attività pianificata verrà eseguita sul controller di dominio con le autorizzazioni appropriate, incustodite. Se una persona non autorizzata può modificare la password dell’account del servizio di riferimento, sta effettivamente cambiando anche la password DSRM, senza richiedere alcun diritto di amministratore del dominio.
Gli account del servizio dovranno essere protetti e controllati, il che aggiunge un sovraccarico amministrativo aggiuntivo che a mio parere supera i vantaggi dell’utilizzo di un’attività pianificata per gestire le modifiche della password DRSM.
Le attività pianificate possono fallire, il che potrebbe comportare la modifica della password DSRM come previsto. Ciò potrebbe comportare una situazione in cui non è possibile accedere al controller di dominio in DSRM. Le attività pianificate dovranno essere monitorate in modo efficace e potrebbero aggiungersi agli sforzi amministrativi.
