cum se resetează parola Directory Service Restore Mode (DSRM)

parola Directory Services Restore Mode (DSRM) este setată mai întâi la promovarea unui nou controler de domeniu. Am întâlnit multe medii Active Directory în care parola DSRM pentru controlerele de domeniu nu este cunoscută sau stocată în siguranță pentru recuperare atunci când este necesar.

controlerele de domeniu nu au un cont de administrator local care poate fi utilizat pentru a vă conecta local în orice moment, așa cum aveți pe stațiile de lucru și servere. Când există o eroare Active Directory pe controlerul de domeniu, este posibil să nu vă puteți conecta la server utilizând acreditările de domeniu pentru a repara Active Directory.

Directory Services Restore Mode (DSRM) este o opțiune de pornire pentru un controler de domeniu, care vă permite să vă conectați la server chiar și atunci când Active Directory a eșuat. Veți utiliza un cont care este similar cu contul de administrator local pe o stație de lucru sau server. Pentru a vă conecta la controlerul de domeniu după pornirea în DSRM, introduceți .\ administrator ca nume de utilizator cu parola DSRM, așa cum se arată în imaginile de mai jos. Aceasta vă conectează la nivel local, fără acces la orice resurse de domeniu.

ecranul de conectare

logat cu parola DSRM

parola DSRM este unic pentru fiecare controler de domeniu, astfel va trebui să treacă prin procesul de resetare a parolei DSRM pentru fiecare controler de domeniu în mediul dumneavoastră. Parola DSRM nu poate fi resetată atunci când controlerul de domeniu este pornit în DSRM.

acum vă voi parcurge pașii pentru a reseta parola DSRM.

NTDSUTIL

comanda NTDSUTIL este utilizată pentru a reseta parola DSRM. Acest utilitar poate fi utilizat din promptul de comandă și funcționează și în Windows PowerShell.

pașii de urmat în Command Prompt sau Windows PowerShell sunt după cum urmează:

  • ntdsutil
  • setați parola dsrm

veți vedea acum promptul „resetați parola de Administrator DSRM”.

Resetați promptul parolei de Administrator DSRM

la această solicitare aveți de ales între doi parametri pentru a finaliza resetarea parolei DSRM:

  • resetați parola pe serverul %s
  • sincronizare din contul de domeniu %s

voi parcurge pașii cu fiecare dintre acești parametri pentru a demonstra diferențele dintre ei.

resetați parola pe serverul %s

se poate specifica un nume de controler de domeniu la distanță, ceea ce înseamnă că acesta poate fi completat de pe orice dispozitiv care are instrumentele Active Directory Services instalate. %s este un substituent pentru numele serverului. Acest lucru poate fi completat și pentru serverul local atunci când este conectat la un controler de domeniu. Iată câteva exemple:

server de la distanță: resetați parola pe server dcs001p01

server Local: resetați parola pe server null

introduceți noua parolă DSRM și repetați pentru a confirma noua parolă după ce ați introdus resetați parola pe server %s. introduceți q de două ori pentru a ieși din utilitarul NTDSUTIL.

resetați parola pe serverul dcs001p01

resetați parola pe server null

Pașii pot fi, de asemenea, introduși într-o singură linie, cu excepția parolei care trebuie încă introdusă la solicitări.

ntdsutil „setați parola dsrm „”resetați parola pe serverul dcs001p01” „q „”q”

sincronizare din contul de domeniu %s

o opțiune alternativă este utilizarea parametrului sincronizare din contul de domeniu %S. %s este un substituent pentru un cont de utilizator de domeniu. În loc să specificați parola DSRM în timpul procesului, sincronizați noua parolă DSRM a controlerului de domeniu local cu parola contului de utilizator de domeniu specificat.

aceasta este o sincronizare a parolei o singură dată la executarea resetării, parola nu este păstrată sincronizată cu contul de utilizator. Parola DSRM nu se va schimba atunci când resetați parola contului de utilizator. Parola DSRM se va schimba numai atunci când finalizați procedura de resetare a parolei DSRM.

am creat un cont în domeniul meu numit svc-dc, am setat o parolă complexă (pe care vreau să o folosesc pentru parola DSRM) și, de asemenea, am dezactivat contul. Contul nu este membru al altor grupuri decât „utilizatorii domeniului”implicit. Contul nu va fi utilizat pentru alte sarcini care sunt utilizate pentru a seta parola DSRM pe un controler de domeniu.

acest lucru trebuie completat local pe controlerul de domeniu țintă. Acest parametru va reseta doar parola DSRM pe serverul local, nu puteți specifica un alt controler de domeniu. Veți primi o eroare atunci când comanda nu este executată pe un controler de domeniu, conform exemplului de mai jos:

sincronizarea parolei a eșuat. Verificați dacă
contul sursă este un cont de utilizator în domeniul Active Directory.
contul sursă nu este marcat ca necesitând smartcard pentru conectare interactivă.
contul sursă nu a expirat.
parola contului sursă nu a expirat.
WIN32 cod de eroare: 0x32
mesaj de eroare: cererea nu este acceptată.

comanda de resetare poate fi introdusă și cu o singură linie:

ntdsutil „set dsrm password „”Sync from domain account svc-dc „” q „”q”

rularea comenzii pe un controler de domeniu se finalizează cu succes fără alte solicitări. Parola DSRM este acum setată la parola configurată în contul de utilizator de domeniu. Data viitoare pot schimba parola contului de utilizator de domeniu și pot rula din nou procesul de resetare a parolei pentru a actualiza parola DSRM pe controlerul de domeniu.

logare pe fiecare controler de domeniu cu toate acestea, poate dura timp, în funcție de dimensiunea mediului. Windows PowerShell Remoting oferă posibilitatea de a rula comenzi de la distanță. Pot folosi Invoke-Command pentru a executa resetarea parolei DSRM pe un controler de domeniu la distanță de pe orice dispozitiv.

Invoke-Command-ComputerName DCS001P01-ScriptBlock { ntdsutil „set dsrm password „”Sync din contul de domeniu svc-dc” „q „”q” }

Dacă intenționați să utilizați aceeași parolă pentru toate controlerele de domeniu, atunci comanda PowerShell poate fi ușor adaptată pentru a schimba parola pe toate controlerele de domeniu din domeniu.

Get-ADDomainController -Filter * | ForEach-Object { Invoke-Command -ComputerName $_.hostname -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-dc" "q" "q" } write-host $_.hostname }

de asemenea, puteți utiliza un cont de utilizator separat pentru fiecare controler de domeniu, asigurându-vă că parola DSRM este diferită pentru fiecare controler de domeniu. Comanda PowerShell de la distanță poate fi apoi introdusă pe linii separate pentru fiecare controler de domeniu și combinație de cont de utilizator. Salvați scriptul pentru o utilizare ulterioară. În acest exemplu am creat un cont pentru fiecare controler de domeniu:

Invoke-Command -ComputerName DCS001P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS001P01" "q" "q" }Invoke-Command -ComputerName DCS002P01 -ScriptBlock { ntdsutil "set dsrm password" "Sync from domain account svc-DCS002P01" "q" "q" }

acum pot efectua resetarea pe toate controlerele de domeniu prin reutilizarea fișierului .PS1 salvat în PowerShell ISE. La următoarea mea schimbare de parolă DSRM, tot ce trebuie să fac este să schimb parola conturilor de utilizator și să rulez din nou scriptul pentru a actualiza parola DSRM pe controlerele mele de domeniu.

sarcina programată

este posibil să configurați sarcinile programate pe controlerele de domeniu pentru a reseta automat parola DSRM cu parametrul sync from domain account %s.

sarcina poate fi executată zilnic pentru a seta parola DSRM prin sincronizarea cu un cont de utilizator de domeniu. Parola DSRM ar schimba în mod eficient numai atunci când parola contului de utilizator este schimbat. În următorul program de schimbare a parolei DSRM, tot ce trebuie să fac este să schimb parolele conturilor de utilizator și să las sarcina programată să se ocupe de restul.

utilizați această metodă cu precauție!

sarcina programată va rula pe controlerul de domeniu cu permisiunile corespunzătoare, nesupravegheate. Dacă o persoană neautorizată poate schimba parola contului serviciului de referință, schimbă efectiv și parola DSRM, fără a necesita drepturi de administrator de domeniu.

conturile de servicii vor trebui să fie securizate și auditate, ceea ce adaugă cheltuieli administrative suplimentare care, în opinia mea, depășesc beneficiile utilizării unei sarcini programate pentru a gestiona modificările parolei DRSM.

sarcinile programate pot eșua, ceea ce poate duce la modificarea parolei DSRM așa cum era de așteptat. Acest lucru poate duce la o situație în care nu vă puteți conecta la controlerul de domeniu în DSRM. Sarcinile programate vor trebui monitorizate în mod eficient și pot contribui la eforturile administrative.



+