U ovom ćemo članku pogledati scenarij za poništavanje lozinke administratora domene Active Direcotory. Ova značajka može biti potrebna u slučaju gubitka autorskih prava domene zbog, na primjer, "zaboravnosti" ili namjerne sabotaže administratora koji odlazi, napada uljeza ili drugih okolnosti više sile. Za uspješno resetiranje lozinke administratora domene morate imati fizički ili udaljeni (ILO, iDRAC ili vSphere konzola, ako koristite virtualni DC) na konzoli poslužitelja. U ovom ćemo primjeru resetirati lozinku administratora na kontroleru domene sa sustavom Windows Server 2012. U slučaju da u mreži postoji nekoliko kontrolera domena, preporučuje se postupak provesti na PDC poslužitelju (primarni kontroler domene) s ulogom FSMO (fleksibilne operacije s jednim master-om).
Da biste resetirali lozinku za administratora domene, morate ući u način vraćanja usluge Directory Directory (DSRM) s lozinkom administratora DSRM (postavlja se kada je razina poslužitelja povećana na kontroler domene). Ovo je u osnovi lokalni račun administratora pohranjen u lokalnoj bazi podataka SAM na kontroleru domene.
Ako lozinka za DSRM nije poznata, može se resetirati na ovaj način ili ako je administrator osigurao poslužitelj od korištenja takvih trikova, koristeći specijalizirane diskove za pokretanje (kao što su Hiren's BootCD, PCUnlocker i slično).
Dakle, učitavamo regulator domene u načinu rada DSRM (poslužitelj se pokreće s AD uslugama onemogućen) odabirom odgovarajuće opcije u izborniku naprednih opcija za pokretanje.
Na zaslonu za prijavu unesite lokalno korisničko ime (administrator) i njegovu lozinku (zaporka načina DSRM).
U ovom primjeru naziv kontrolera domene je DC01.
Provjerit ćemo pod kojim se korisnikom prijava izvodi u sustavu, za to izvršimo naredbu:
whoami / korisnikINFORMACIJE ZA KORISNIKA
--
Korisničko ime SID
=================== ================================== ============
dc01 \ administrator S-1-5-21-3244332244-383844547-2464936909-500
Kao što vidite, radimo pod lokalnim administratorom.
Sljedeći je korak promjena lozinke za administratorski račun Active Directory-a (ovaj se račun prema zadanom naziva i Administrator). Na primjer, možete resetirati lozinku administratora domene tako da stvorite zasebnu uslugu koja bi prilikom pokretanja kontrolera domene s sistemskog računa resetirala lozinku administrativnog računa u Active Directoryu. Stvorite sljedeću uslugu:
sc stvori ResetADPass binPath = "% ComSpec% / k neto administrator korisnika P @ ssw0rd" start = autoprimjedba. Imajte na umu da je prilikom postavljanja putanje u varijabli binPath potreban razmak između znaka '=' i njegove vrijednosti. Uz to, nova lozinka nužno mora zadovoljiti zahtjeve domene za duljinu i složenost lozinke.
Navedena naredba stvorit će uslugu nazvanu ResetADPass, koja će, prilikom dizanja sustava s LocalSystem pravima, izvršiti naredbu neto korisnika i promijeniti lozinku administratora AD u P @ ssw0rd.
Pomoću sljedeće naredbe možemo provjeriti je li usluga kreirana ispravno:
sc qc ResetADPass[SC] UpitServiceConfig USPJEH
SERVICE_NAME: PoništiADPass
TIP: 10 WIN32_OWN_PROCESS
START_TYPE: 2 AUTO_START
ERROR_CONTROL: 1 NORMALNO
BINARY_PATH_NAME: C: \ Windows \ system32 \ cmd.exe / k neto korisnik administrator P @ ssw0rd
LOAD_ORDER_GROUP:
TAG: 0
DISPLAY_NAME: PoništiADPass
ovisnosti:
SERVICE_START_NAME: LocalSystem
Ponovno pokrenite poslužitelj u uobičajenom načinu:
isključivanje -r -t 0
Tijekom preuzimanja usluga koju smo stvorili promijenit će lozinku domene amine računa na navedenu. Prijavite se u kontroler domene pod ovim računom i zaporkom.
whoami / korisnikINFORMACIJE ZA KORISNIKA
--
Korisničko ime SID
===================== ============================= ===============
korpus \ administrator S-1-5-21-1737425439-783543262-1234318981-500
Ostaje izbrisati uslugu koju smo stvorili (FAQ. Kako ukloniti uslugu u sustavu Windows):
sc obrišite ResetADPass[SC] Izbriši USPJEH usluge
Dakle, u ovom smo članku smislili kako resetirati lozinku administratora AD domene i još jednom nagovijestili koliko je važan koncept osiguranja fizičke sigurnosti vaše IT infrastrukture u konceptu informacijske sigurnosti..