W tym artykule przyjrzymy się scenariuszowi resetowania hasła administratora domeny Active Direcotory. Ta funkcja może być potrzebna w przypadku utraty uprawnień administratora domeny z powodu, na przykład, „zapomnienia” lub umyślnego sabotażu opuszczającego administratora, ataku intruzów lub innych okoliczności siły wyższej. Aby pomyślnie zresetować hasło administratora domeny, musisz mieć fizyczny lub zdalny (ILO, iDRAC lub konsola vSphere, jeśli używasz wirtualnego DC) dostęp do konsoli serwera. W tym przykładzie zresetujemy hasło administratora na kontrolerze domeny w systemie Windows Server 2012. W przypadku, gdy w sieci znajduje się kilka kontrolerów domeny, zaleca się wykonanie procedury na serwerze PDC (główny kontroler domeny) z rolą FSMO (elastyczne operacje pojedynczego mistrza).
Aby zresetować hasło administratora domeny, musisz wejść w tryb przywracania usług katalogowych (DSRM) za pomocą hasła administratora DSRM (jest ustawiane, gdy poziom serwera zostanie podniesiony do kontrolera domeny). Zasadniczo jest to konto lokalnego administratora przechowywane w lokalnej bazie danych SAM na kontrolerze domeny.
Jeśli hasło DSRM nie jest znane, można je zresetować w ten sposób lub jeśli administrator zabezpieczył serwer przed użyciem takich sztuczek, przy użyciu specjalistycznych dysków rozruchowych (takich jak BootCD Hiren, PCUnlocker itp.).
Tak więc ładujemy kontroler domeny w trybie DSRM (serwer uruchamia się z wyłączonymi usługami AD), wybierając odpowiednią opcję w menu zaawansowanych opcji uruchamiania.
Na ekranie logowania wprowadź nazwę lokalnego użytkownika (administratora) i jego hasło (hasło trybu DSRM).
W tym przykładzie nazwa kontrolera domeny to DC01.
Sprawdzimy, u którego użytkownika logowanie jest wykonywane w systemie, w tym celu wykonujemy polecenie:
whoami / użytkownikINFORMACJE DLA UŻYTKOWNIKA
--
Nazwa użytkownika SID
=================== ================================ =============
dc01 \ administrator S-1-5-21-3244332244-383844547-2464936909-500
Jak widać, pracujemy pod lokalnym administratorem.
Następnym krokiem jest zmiana hasła do konta administratora usługi Active Directory (domyślnie to konto jest również nazywane Administratorem). Możesz zresetować hasło administratora domeny, na przykład tworząc oddzielną usługę, która po uruchomieniu kontrolera domeny z konta systemowego zresetuje hasło konta administratora w usłudze Active Directory. Utwórz następującą usługę:
sc tworzenie ResetADPass binPath = "% ComSpec% / k administrator użytkownika sieci P @ ssw0rd" start = autoUwaga. Zauważ, że podczas ustawiania ścieżki w zmiennej binPath wymagana jest spacja między znakiem „=” a jego wartością. Ponadto nowe hasło musi koniecznie spełniać wymagania domeny dotyczące długości i złożoności hasła.
Podane polecenie utworzy usługę o nazwie ResetADPass, która podczas uruchamiania systemu z uprawnieniami LocalSystem wykona polecenie użytkownika sieci i zmieni hasło administratora AD na P @ ssw0rd.
Za pomocą następującego polecenia możemy sprawdzić, czy usługa została poprawnie utworzona:
sc qc ResetADPass[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: ResetADPass
TYP: 10 WIN32_OWN_PROCESS
START_TYPE: 2 AUTO_START
ERROR_CONTROL: 1 NORMAL
BINARY_PATH_NAME: C: \ Windows \ system32 \ cmd.exe / k administrator użytkownika sieci P @ ssw0rd
LOAD_ORDER_GROUP:
TAG: 0
DISPLAY_NAME: ResetADPass
ZALEŻNOŚCI:
SERVICE_START_NAME: system lokalny
Uruchom ponownie serwer w trybie normalnym:
zamknięcie -r -t 0
Podczas pobierania utworzona przez nas usługa zmieni hasło konta aminowego domeny na określone. Zaloguj się do kontrolera domeny przy użyciu tego konta i hasła.
whoami / użytkownikINFORMACJE DLA UŻYTKOWNIKA
--
Nazwa użytkownika SID
==================================================== ================
corp \ administrator S-1-5-21-1737425439-783543262-1234318981-500
Pozostaje usunąć usługę, którą stworzyliśmy (FAQ. Jak usunąć usługę w systemie Windows):
sc usuń ResetADPass[SC] DeleteService SUCCESS
W tym artykule dowiedzieliśmy się, jak zresetować hasło administratora domeny AD, i po raz kolejny zasugerowaliśmy, jak ważna jest koncepcja zapewnienia bezpieczeństwa fizycznego infrastruktury IT w koncepcji bezpieczeństwa informacji.