Passordet For Katalogtjenestegjenopprettingsmodus (DSRM) angis først når du markedsfører en ny Domenekontroller. Jeg har møtt Mange Active Directory-miljøer der dsrm-passordet for Domenekontrollere ikke er kjent eller trygt lagret for henting når det trengs.
Domenekontrollere har ikke en lokal administratorkonto som kan brukes til å logge på lokalt når som helst, som du har på arbeidsstasjoner og servere. Når Det er En Active Directory-feil På Domenekontrolleren, kan det hende du ikke kan logge på serveren ved hjelp av domenelegitimasjonen til å reparere Active Directory.
Katalogtjenester Gjenopprettingsmodus (Dsrm) er et oppstartsalternativ for En Domenekontroller, som lar deg logge på serveren selv når Active Directory har mislyktes. Du vil bruke en konto som ligner på den lokale administratorkontoen på en arbeidsstasjon eller server. For å logge På Domenekontrolleren etter å ha startet I DSRM, skriv inn .\ administrator som brukernavn MED dsrm-passordet, som vist på bildene nedenfor. Dette logger deg på lokalt uten tilgang til noen domeneressurser.
DSRM-passordet er unikt for Hver Domenekontroller, slik at du må gå gjennom DSRM-tilbakestillingsprosessen for HVER Domenekontroller i ditt miljø. DSRM-passordet kan ikke tilbakestilles når Domenekontrolleren startes I DSRM.
jeg vil nå ta deg gjennom trinnene for å tilbakestille dsrm-passordet.
NTDSUTIL
NTDSUTIL-kommandoen brukes til å tilbakestille dsrm-passordet. Dette verktøyet kan brukes Fra Ledetekst og fungerer også I Windows PowerShell.
trinnene for å følge I Kommandoprompt eller Windows PowerShell er som følger:
- ntdsutil
- angi dsrm-passord
du vil nå se meldingen «Tilbakestill Dsrm-Administratorpassord».
på denne meldingen har du et valg mellom to parametere for å fullføre DSRM passord reset:
- Tilbakestill passord på server %s
- Synkroniser fra domenekonto %s
jeg vil gå gjennom trinnene med hver av disse parameterne for å demonstrere forskjellene mellom dem.
Tilbakestill passord på server %s
et eksternt Domenekontrollernavn kan angis, noe som betyr at Dette kan fullføres fra en hvilken som helst enhet som Har Active Directory Services-verktøyene installert. %s er en plassholder for servernavnet. Dette kan også fullføres for den lokale serveren når du er logget på En Domenekontroller. Her er noen eksempler:
Ekstern server: tilbakestill passord på serveren dcs001p01
Lokal server: tilbakestill passord på serveren null
Skriv inn det nye dsrm-passordet og gjenta for å bekrefte det nye passordet etter at du har angitt tilbakestill passord på serveren %s. Skriv inn q to ganger for å gå ut AV NTDSUTIL-verktøyet.
trinnene kan også skrives inn i en enkelt linje, bortsett fra passordet som fortsatt må skrives inn på instruksjonene.
ntdsutil «sett dsrm passord «»tilbakestill passord på serveren dcs001p01» «q «»q»
Synkroniser fra domenekonto %s
et alternativ er å bruke parameteren synkroniser fra domenekonto %s. %s er en plassholder for en domenebrukerkonto. I stedet for å angi dsrm-passordet under prosessen, synkroniserer du det nye dsrm-passordet til den lokale Domenekontrolleren med passordet til den angitte domenebrukerkontoen.
Dette er en engangspassordsynkronisering når du utfører tilbakestillingen, passordet holdes ikke synkronisert med brukerkontoen. DSRM-passordet endres ikke når du tilbakestiller brukerkontopassordet. DSRM-passordet endres bare når du har fullført PROSEDYREN FOR TILBAKESTILLING AV dsrm-passord.
jeg har opprettet en konto i domenet mitt som heter svc-dc, sett inn et komplekst passord (som jeg vil bruke for DSRM-passordet mitt) og deaktivert også kontoen. Kontoen er ikke medlem av andre grupper enn standard «Domenebrukere». Kontoen vil ikke bli brukt til andre oppgaver som brukes til å angi DSRM-passordet på En Domenekontroller.
dette skal fullføres lokalt på måldomenekontrolleren. Denne parameteren vil bare tilbakestille dsrm-passordet på den lokale serveren, du kan ikke angi en Annen Domenekontroller. Du vil motta en feil når kommandoen ikke utføres på En Domenekontroller, som per eksempel nedenfor:
reset-kommandoen kan også skrives inn med en enkelt linje:
ntdsutil «set dsrm password «»Sync from domain account svc-dc» «q «»q»
Kjører kommandoen på En Domenekontroller fullføres uten ytterligere spørsmål. DSRM-passordet er nå satt til passordet som er konfigurert på domenebrukerkontoen. Neste gang kan jeg bare endre passordet til domenebrukerkontoen og kjøre tilbakestillingsprosessen på nytt for å oppdatere dsrm-passordet på Domenekontrolleren.
Logging på Hver Domenekontroller kan imidlertid ta tid, avhengig av størrelsen på miljøet. Windows PowerShell Remoting gir muligheten til å kjøre kommandoer eksternt. Jeg kan bruke Invoke-Kommandoen til å utføre DSRM-tilbakestillingen på en ekstern Domenekontroller fra en hvilken som helst enhet.
Invoke-Kommando-Datamaskinnavn DCS001P01-ScriptBlock { ntdsutil «angi dsrm-passord» «Synkroniser fra domenekonto svc-dc» «q «»q» }
hvis Du planlegger å bruke samme passord for Alle Domenekontrollere, kan PowerShell-kommandoen enkelt tilpasses for å endre passordet på alle Domenekontrollere i domenet.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
Du kan også bruke en egen brukerkonto for Hver Domenekontroller, slik at DSRM-passordet er forskjellig på Hver Domenekontroller. Den eksterne PowerShell-kommandoen kan deretter legges inn på separate linjer for Hver Domenekontroller og brukerkontokombinasjon. Lagre skriptet for senere bruk. I dette eksemplet har jeg opprettet en konto for Hver Domenekontroller:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }
jeg kan nå utføre tilbakestillingen på alle Mine Domenekontrollere ved å bruke den lagrede. PS1-filen I PowerShell ise. På min neste DSRM passord endring, alt jeg trenger å gjøre er å endre passordet til brukerkontoene og kjøre skriptet på nytt for å oppdatere dsrm passord på Mine Domenekontrollere.
Planlagt Oppgave
det er mulig å konfigurere planlagte oppgaver på Domenekontrollene for å tilbakestille dsrm-passordet automatisk med parameteren sync from domain account %s.
oppgaven kan utføres daglig for å angi dsrm-passordet ved å synkronisere med en domenebrukerkonto. DSRM-passordet vil effektivt bare endres når brukerkontopassordet endres. På min neste dsrm passordendringsplan, alt jeg trenger å gjøre er å endre passordene til brukerkontoene og la den planlagte oppgaven ta seg av resten.
Bruk denne metoden med forsiktighet!
den planlagte oppgaven kjøres på Domenekontrolleren med de nødvendige tillatelsene, uten tilsyn. Hvis en uautorisert person kan endre passordet til referansetjenestekontoen, endrer de effektivt OGSÅ dsrm-passordet uten å kreve Noen Domeneadministratorrettigheter.
tjenestekontoene må sikres og revideres, noe som legger til ekstra administrativ overhead som etter min mening oppveier fordelene ved å bruke en planlagt oppgave til å administrere DRSM-passordendringene.
Planlagte oppgaver kan mislykkes, noe som kan føre TIL AT dsrm-passordet ikke endres som forventet. Dette kan føre til en situasjon der Du ikke kan logge På Domenekontrolleren I DSRM. De planlagte oppgavene må overvåkes effektivt og kan legge til den administrative innsatsen.