V tomto článku sa pozrieme na scenár na obnovenie hesla správcu domény Active Direcotory. Táto funkcia môže byť potrebná v prípade straty práv správcu domény napríklad z dôvodu „zábudlivosti“ alebo úmyselného sabotovania odstupujúceho správcu, útoku narušiteľov alebo iných okolností vyššej moci. Ak chcete úspešne resetovať heslo správcu domény, musíte mať fyzický alebo vzdialený prístup (ku konzole ILO, iDRAC alebo vSphere, ak používate virtuálny DC) do konzoly servera. V tomto príklade resetujeme heslo správcu na radiči domény so systémom Windows Server 2012. V prípade, že je v sieti niekoľko radičov domény, odporúča sa vykonať postup na serveri PDC (primárny radič domény) s úlohou FSMO (flexibilné operácie jedného hlavného servera)..
Ak chcete resetovať heslo pre správcu domény, musíte zadať režim obnovenia adresárových služieb (DSRM) s heslom správcu DSRM (nastavuje sa, keď sa úroveň servera zvýši na radič domény). Toto je v podstate účet miestneho správcu uložený v miestnej databáze SAM v radiči domény.
Ak heslo DSRM nie je známe, môže sa resetovať týmto spôsobom, alebo ak správca zabezpečil server pred použitím takýchto trikov pomocou špecializovaných zavádzacích diskov (napríklad Hiren's BootCD, PCUnlocker a podobne)..
Preto radič domény načítame v režime DSRM (spúšťanie serverov so zablokovanými službami AD) výberom príslušnej možnosti v ponuke rozšírených možností zavádzania.
Na prihlasovacej obrazovke zadajte meno miestneho používateľa (správca) a jeho heslo (heslo režimu DSRM)..
V tomto príklade je názov radiča domény DC01.
Skontrolujeme, pod akým používateľom sa prihlásenie vykonáva v systéme, preto vykonáme príkaz:
whoami / užívateľINFORMÁCIE PRE UŽÍVATEĽA
--
Používateľské meno SID
=================================================== ============
dc01 \ administrator S-1-5-21-3244332244-383844547-2464936909-500
Ako vidíte, pracujeme pod miestnym správcom.
Ďalším krokom je zmena hesla pre účet správcu služby Active Directory (predvolene sa tento účet nazýva aj správca). Heslo správcu domény môžete resetovať napríklad vytvorením samostatnej služby, ktorá pri spustení radiča domény zo systémového účtu resetuje heslo účtu správcu v službe Active Directory. Vytvorte nasledujúcu službu:
sc create ResetADPass binPath = "% ComSpec% / k správca čistého užívateľa P @ ssw0rd" start = autopoznámka. Všimnite si, že pri nastavovaní cesty v premennej binPath je medzi znakom '=' a jej hodnotou potrebná medzera. Nové heslo musí navyše nevyhnutne spĺňať požiadavky domény týkajúce sa dĺžky a zložitosti hesla.
Zadaný príkaz vytvorí službu s názvom ResetADPass, ktorá pri zavádzaní systému s právami LocalSystem vykoná príkaz net user a zmení heslo správcu AD na P @ ssw0rd..
Pomocou nasledujúceho príkazu môžeme overiť, či bola služba vytvorená správne:
sc qc ResetADPass[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: ResetADPass
TYP: 10 WIN32_OWN_PROCESS
START_TYPE: 2 AUTO_START
ERROR_CONTROL: 1 NORMAL
BINARY_PATH_NAME: C: \ Windows \ system32 \ cmd.exe / k správca čistého používateľa P @ ssw0rd
LOAD_ORDER_GROUP:
TAG: 0
DISPLAY_NAME: ResetADPass
závislosti:
SERVICE_START_NAME: LocalSystem
Reštartujte server v normálnom režime:
vypnutie -r -t 0
Počas sťahovania zmeníme službu, ktorú sme vytvorili, heslo k účtu doménového amínu na zadané. Prihláste sa do radiča domény pomocou tohto účtu a hesla.
whoami / užívateľINFORMÁCIE PRE UŽÍVATEĽA
--
Používateľské meno SID
===================== ============================= ===============
corp \ administrator S-1-5-21-1737425439-783543262-1234318981-500
Zostáva nám odstrániť službu, ktorú sme vytvorili (FAQ. Ako odstrániť službu v systéme Windows):
sc odstrániť ResetADPass[SC] DeleteService SUCCESS
V tomto článku sme preto prišli na to, ako obnoviť heslo správcu domény AD, a znova sme naznačili, aký dôležitý je koncept informačnej bezpečnosti na zaistenie fyzickej bezpečnosti vašej IT infraštruktúry..