V tem članku si bomo ogledali scenarij ponastavitve gesla skrbnika domene Active Direcotory. Ta funkcija je morda potrebna v primeru izgube pravic skrbnika domene zaradi, na primer, "pozabljivosti" ali namerne sabotaže odhajajočega skrbnika, napada vsiljivcev ali drugih okoliščin višje sile. Za uspešno ponastavitev gesla skrbnika domene morate imeti fizično ali oddaljeno (ILO, iDRAC ali vSphere konzola, če uporabljate virtualni DC) dostop do konzole strežnika. V tem primeru bomo ponastavili skrbniško geslo na krmilniku domene s sistemom Windows Server 2012. V primeru, da je v omrežju več krmilnikov domen, je priporočljivo, da postopek izvedete na strežniku PDC (primarni krmilnik domene) z vlogo FSMO (fleksibilne enoprostorne operacije).
Če želite ponastaviti geslo za skrbnika domene, morate vstopiti v način obnovitve storitev imenika (DSRM) z skrbniškim geslom DSRM (nastavljeno je, ko se nivo strežnika poveča na krmilnik domene). To je v bistvu lokalni skrbniški račun, shranjen v lokalni bazi podatkov SAM na krmilniku domene.
Če geslo DSRM ni znano, ga je mogoče ponastaviti na ta način ali če je skrbnik strežnik zavaroval pred uporabo takšnih trikov s pomočjo specializiranih zagonskih diskov (kot so Hiren's BootCD, PCUnlocker in podobno).
Torej, naložimo krmilnik domene v načinu DSRM (strežnik se zažene z AD-jevimi storitvami), tako da v meniju naprednih možnosti zagona izberemo ustrezno možnost.
Na prijavnem zaslonu vnesite lokalno uporabniško ime (skrbnik) in njegovo geslo (geslo načina DSRM).
V tem primeru je ime regulatorja domene DC01.
Preverili bomo, pri katerem uporabniku se prijava izvaja v sistemu, in izvedemo ukaz:
whoami / uporabnikPODATKI O UPORABNIKU
--
Uporabniško ime SID
=================== ================================== ==============
dc01 \ administrator S-1-5-21-3244332244-383844547-2464936909-500
Kot vidite, delujemo pod lokalnim skrbnikom.
Naslednji korak je sprememba gesla za skrbniški račun Active Directory (ta račun se privzeto imenuje tudi skrbnik). Geslo skrbnika domene lahko ponastavite na primer tako, da ustvarite ločeno storitev, ki bi ob zagonu krmilnika domene iz sistemskega računa ponastavila geslo skrbniškega računa v Active Directory. Ustvari naslednjo storitev:
sc ustvari ResetADPass binPath = "% ComSpec% / k neto skrbnik uporabnika P @ ssw0rd" start = autoOpomba. Upoštevajte, da je pri nastavitvi poti v spremenljivki binPath potreben presledek med znakom '=' in njegovo vrednostjo. Poleg tega mora novo geslo nujno izpolnjevati domenske zahteve glede dolžine in zapletenosti gesla.
Navedeni ukaz bo ustvaril storitev, imenovano ResetADPass, ki bo ob zagonu sistema s pravicami LocalSystem izvedla ukaz za uporabnika neto in spremenila skrbniško geslo AD v P @ ssw0rd.
Z naslednjim ukazom lahko preverimo, ali je bila storitev pravilno ustvarjena:
sc qc ResetADPass[SC] QueryServiceConfig USPEH
SERVICE_NAME: PonastaviADPass
TIP: 10 WIN32_OWN_PROCESS
START_TYPE: 2 AUTO_START
ERROR_CONTROL: 1 NORMALNO
BINARY_PATH_NAME: C: \ Windows \ system32 \ cmd.exe / k neto skrbnik uporabnika P @ ssw0rd
LOAD_ORDER_GROUP:
TAG: 0
DISPLAY_NAME: PonastaviADPass
OBVEZNOSTI:
SERVICE_START_NAME: LocalSystem
Znova zaženite strežnik v običajnem načinu:
izklop -r -t 0
Med prenosom bo storitev, ki smo jo ustvarili, spremenila geslo domene amine računa v določeno. Prijavite se v krmilnik domene pod tem računom in geslom.
whoami / uporabnikPODATKI O UPORABNIKU
--
Uporabniško ime SID
====================================================== ================
corp \ administrator S-1-5-21-1737425439-783543262-1234318981-500
Ostane nam izbrisati storitev, ki smo jo ustvarili (FAQ. Kako odstraniti storitev v operacijskem sistemu Windows):
sc izbriši ResetADPass[SC] Izbriši USPEH storitve
V tem članku smo torej ugotovili, kako ponastaviti geslo skrbnika domene AD in še enkrat namignili, kako pomemben je koncept informacijske varnosti za zagotavljanje fizične varnosti vaše IT infrastrukture.