Hasło DSRM powiązane z użytkownikiem domenowym

Hasło DSRM powiązane z użytkownikiem domenowym

Hasło DSRM (Directory Services Restore Mode) przez wielu administratorów jest (NIESTETY) traktowane po macoszemu. Często sprowadza się to do jego wpisania przy promowaniu kontrolera domeny i zapomnieniu. W niektórych wypadkach wynika to z przekonania, że przecież zawsze owe hasło można zmienić poceniem:

– Zawsze – pod warunkiem, że usługi katalogowe działają prawidłowo i możesz je wystartować! O tym już mało kto pamięta…

W pozostałych przypadkach wynika z przekonania, że AD zawsze będzie działać prawidłowo, że to przecież prosta usługa i nic się z nią złego nie dzieje, a w razie czego odtworzy się z backupu – taa jasne… powodzenia 🙂

Na szczęście już jakiś czas temu Microsoft pomyślał o takich Kamikaze i wydał Hotfix’a umożliwiającego synchronizację hasła DSRM z kontem użytkownika domenowego. (Poprawka dla systemów Windows Server 2008; nowsze mają ją już wbudowaną). Poprawkę można znaleźć pod linkiem: https://support.microsoft.com/en-us/kb/961320

Jak działa ta funkcjonalność?

1. Należy utworzyć dowolnego użytkownika domenowego (bez dodawania do żadnych grup typu Domain Admins, Enterprise Admis etc.)

2. Zainstalować ww. Hotfix’a na kontrolerach domeny po czym je zrestartować. (Jeśli mamy nowsze niż 2008 ten krok pomijamy).

3. Zalogować się interaktywnie na kontrolerze domeny i wprowadzić następujące polecenia:

I gotowe. Nie ma konieczności wprowadzania starego ani nowego hasła – „Magia” na kontrolerze domeny dzieje się sama 🙂

Jest tylko jedno „ale” – po każdej zmianie konta użytkownika domenowego należy powtórzyć synchronizację na każdym kontrolerze domeny. Dla osób leniwych/zapracowanych – oczywiście można to zautomatyzować:

1. Tworzymy nowe GPO, które podpinamy pod jednostkę organizacyjną z kontrolerami domeny/ ewentualnie wykorzystujemy GPO „Default Domain Controllers Policy”

2. Edytujemy ww. GPO

3. Przechodzimy do Preferencji zasad grup (GPP) w gałęzi komputera

Computer Configuration -> Preferences -> Control Panel Settings -> Scheduled Task

i tworzymy nowe zadanie

4. W zakładce „Task” wypełniamy pola:

Action: Update

Name: DSRM Password Sync

Run: %SystemDir%\ntdsutil.exe

Arguments: “SET DSRM PASSWORD” “SYNC FROM DOMAIN ACCOUNT Moj_Uzytkownik” Q Q

Enalbed: – Zaznaczamy

5. Przechodzimy do zakładki „Schedule” i wybieramy dowolną godzinę, o której zadanie wykona się codziennie.

Ustawienia w formie graficznej:

DSRM

Zapisujemy Ustawienia w GPO, czekamy aż się odświeżą na kontrolerach domeny lub wykonujemy na nich gpupdate /force i cieszymy się pełnym powiązaniem haseł DSRM z hasłami ustawionymi na określonym koncie domenowym – mając pewność, że hasło będzie nam znane w razie poważne awarii 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *