hasło trybu przywracania usługi katalogowej (DSRM) jest ustawiane jako pierwsze podczas promowania nowego kontrolera domeny. Napotkałem wiele środowisk Active Directory, w których hasło DSRM do kontrolerów domeny nie jest znane lub bezpiecznie przechowywane do pobrania w razie potrzeby.
kontrolery domeny nie mają lokalnego konta administratora, którego można używać do logowania się lokalnie w dowolnym momencie, tak jak na stacjach roboczych i serwerach. W przypadku awarii kontrolera domeny usługi Active Directory może nie być możliwe zalogowanie się na serwer przy użyciu poświadczeń domeny do naprawy usługi Active Directory.
tryb przywracania usług katalogowych (DSRM) to opcja rozruchowa kontrolera domeny, która pozwala zalogować się na serwer, nawet jeśli usługa Active Directory nie powiodła się. Będziesz używać konta, które jest podobne do lokalnego konta administratora na stacji roboczej lub serwerze. Aby zalogować się do kontrolera domeny po uruchomieniu w DSRM, wpisz .\ administrator jako nazwa użytkownika z hasłem DSRM, jak pokazano na poniższych obrazkach. To loguje Cię lokalnie bez dostępu do zasobów domeny.
hasło DSRM jest unikalne dla każdego kontrolera domeny, dlatego musisz przejść proces resetowania hasła DSRM dla każdego kontrolera domeny w swoim środowisku. Hasła DSRM nie można zresetować, gdy kontroler domeny jest uruchamiany w DSRM.
teraz przeprowadzę Cię przez kroki, aby zresetować hasło DSRM.
Ntdsutil
polecenie NTDSUTIL służy do resetowania hasła DSRM. To narzędzie może być używane z wiersza polecenia, a także działa w Windows PowerShell.
kroki do wykonania w wierszu polecenia lub Windows PowerShell są następujące:
- Ntdsutil
- Ustaw hasło DSRM
Teraz zobaczysz monit „Resetuj hasło administratora DSRM”.
w tym monicie masz do wyboru dwa parametry, aby zakończyć Resetowanie hasła DSRM:
- Zresetuj hasło na serwerze %s
- Synchronizuj z konta domeny %s
przejdę przez kroki z każdym z tych parametrów, aby zademonstrować różnice między nimi.
Resetuj hasło na serwerze %s
można podać nazwę zdalnego kontrolera domeny, co oznacza, że można to wykonać z dowolnego urządzenia z zainstalowanymi narzędziami usługi Active Directory. %s jest symbolem zastępczym dla nazwy serwera. Można to również wykonać dla serwera lokalnego po zalogowaniu na kontrolerze domeny. Oto kilka przykładów:
zdalny serwer: zresetuj hasło na serwerze Dcs001p01
lokalny serwer: zresetuj hasło na serwerze null
wprowadź nowe hasło DSRM i powtórz, aby potwierdzić nowe hasło po wprowadzeniu zresetuj hasło na serwerze %s. wprowadź Q dwa razy, aby wyjść z narzędzia NTDSUTIL.
kroki można również wprowadzić w jednym wierszu, z wyjątkiem hasła, które nadal należy wprowadzić w monitach.
Ntdsutil „Ustaw hasło dsrm „”zresetuj hasło na serwerze dcs001p01 „” q „”q”
synchronizacja z konta domeny %S
alternatywną opcją jest użycie parametru synchronizacja z konta domeny %S. %s jest symbolem zastępczym dla konta użytkownika domeny. Zamiast określać hasło DSRM podczas procesu, synchronizujesz nowe hasło DSRM lokalnego kontrolera domeny z hasłem określonego konta użytkownika domeny.
jest to jednorazowa synchronizacja hasła podczas wykonywania resetu, hasło nie jest synchronizowane z kontem użytkownika. Hasło DSRM nie zmieni się po zresetowaniu hasła do konta użytkownika. Hasło DSRM zmieni się tylko po zakończeniu procedury resetowania hasła DSRM.
utworzyłem konto w mojej domenie o nazwie svc-dc, ustawiłem złożone hasło (które chcę użyć do mojego hasła DSRM), a także wyłączyłem konto. Konto nie jest członkiem żadnej innej grupy niż domyślni „Użytkownicy domeny”. Konto nie będzie używane do żadnych innych zadań, które są używane do ustawiania hasła DSRM na kontrolerze domeny.
należy to wykonać lokalnie na kontrolerze domeny docelowej. Ten parametr zresetuje tylko hasło DSRM na serwerze lokalnym, nie można określić innego kontrolera domeny. Pojawi się błąd, gdy polecenie nie zostanie wykonane na kontrolerze domeny, jak na poniższym przykładzie:
polecenie reset można również wprowadzić pojedynczą linią:
Ntdsutil „Ustaw hasło dsrm „”synchronizacja z konta domeny svc-dc „” q „”q”
Uruchomienie polecenia na kontrolerze domeny zakończy się pomyślnie bez dalszych monitów. Hasło DSRM jest teraz ustawiane na hasło skonfigurowane na koncie użytkownika domeny. Następnym razem mogę po prostu zmienić hasło konta użytkownika domeny i ponownie uruchomić proces resetowania hasła, aby zaktualizować hasło DSRM na kontrolerze domeny.
Logowanie do każdego kontrolera domeny może jednak zająć trochę czasu w zależności od wielkości środowiska. Windows PowerShell Remoting zapewnia możliwość zdalnego uruchamiania poleceń. Mogę użyć Invoke-Command do wykonania resetowania hasła DSRM na zdalnym kontrolerze domeny z dowolnego urządzenia.
Invoke-Command-ComputerName DCS001P01-ScriptBlock { Ntdsutil „Ustaw hasło dsrm „”synchronizacja z konta domeny svc-dc „” q „”q” }
jeśli planujesz używać tego samego hasła do wszystkich kontrolerów domeny, polecenie PowerShell można łatwo dostosować do zmiany hasła we wszystkich kontrolerach domeny w domenie.
Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }
Możesz również użyć osobnego konta użytkownika dla każdego kontrolera domeny, zapewniając, że hasło DSRM jest INNE dla każdego kontrolera domeny. Zdalne polecenie PowerShell można następnie wprowadzić w oddzielnych wierszach dla każdej kombinacji kontrolera domeny i konta użytkownika. Zapisz skrypt do późniejszego wykorzystania. W tym przykładzie utworzyłem konto dla każdego kontrolera domeny:
Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }
mogę teraz wykonać reset na wszystkich kontrolerach mojej domeny, ponownie używając zapisanego pliku. PS1 w PowerShell ISE. Przy następnej zmianie hasła DSRM, wszystko, co muszę zrobić, to zmienić hasło kont użytkowników i ponownie uruchomić skrypt, aby zaktualizować hasło DSRM na kontrolerach mojej domeny.
zaplanowane zadanie
możliwe jest skonfigurowanie zaplanowanych zadań na kontrolerach domeny, aby automatycznie zresetować hasło DSRM za pomocą parametru synchronizacja z konta domeny %S.
zadanie można wykonywać codziennie, aby ustawić hasło DSRM poprzez synchronizację z kontem użytkownika domeny. Hasło DSRM faktycznie zmieni się tylko wtedy, gdy hasło konta użytkownika zostanie zmienione. W moim następnym harmonogramie zmiany hasła DSRM wszystko, co muszę zrobić, to zmienić hasła kont użytkowników i pozwolić zaplanowanemu zadaniu zająć się resztą.
używaj tej metody ostrożnie!
zaplanowane zadanie zostanie uruchomione na kontrolerze domeny z odpowiednimi uprawnieniami, bez nadzoru. Jeśli jakakolwiek nieupoważniona osoba może zmienić hasło do konta usługi referencyjnej, skutecznie zmienia również hasło DSRM, nie wymagając żadnych uprawnień administratora domeny.
konta usług będą musiały zostać zabezpieczone i skontrolowane, co dodaje dodatkowe koszty administracyjne, które moim zdaniem przewyższają korzyści wynikające z użycia zaplanowanego zadania do zarządzania zmianami haseł DRSM.
Zaplanowane zadania mogą się nie powieść, co może spowodować, że hasło DSRM nie zostanie zmienione zgodnie z oczekiwaniami. Może to spowodować, że nie będzie można zalogować się do kontrolera domeny w DSRM. Zaplanowane zadania będą musiały być skutecznie monitorowane i mogą stanowić uzupełnienie wysiłków administracyjnych.