Заметки о Windows и других программных продуктах Microsoft...

Как войти на контроллер домена с локальной учетной записью

Как войти на контроллер домена с локальной учетной записью

Войти с локальной учетной записью на контроллер домена в принципе невозможно, поскольку при повышении сервера до контроллера домена локальная база учетных записей становится недоступной. Однако из этого правила есть одно исключение.

На случай неисправности службы каталогов на контроллерах домена есть специальный режим загрузки Directory Services Restore Mode (DSRM). В этом режиме служба каталогов не запускаются, а база данных AD переводится в автономный режим. Для входа в этом режиме используется специальная учетная запись администратора DSRM, которая и является единственной локальной учетной записью на контроллере домена. В связи с этим возникает два вопроса.

Как узнать пароль DSRM

Пароль DSRM указывается в процессе развертывания контроллера домена.

ввод пароля для учетной записи DSRM

 

Впрочем, запоминать или записывать пароль вовсе не обязательно, при необходимости его легко можно сбросить с помощью утилиты ntdsutil. Для сброса пароля DSRM необходимо зайти на контроллер домена и выполнить команды:

ntdsutil
set dsrm password
reset password on server NULL
новый пароль
подтверждение пароля
quit
quit

сброс пароля DSRM

 

С выходом SP2 для Windows Server 2008 появился еще один способ сбросить пароль DSRM-админа — синхронизировать его с паролем доменной учетной записи. Для синхронизации можно выбрать любого пользователя, либо создать нового.

Для примера я создал пользователя Dsrmadmin.

учетная запись для синхронизации с DSRM

 

Для синхронизации опять же заходим на контроллер домена и выполняем команды:

ntdsutil
set dsrm password
sync from domain account dsrmadmin
quit
quit

Либо то же самое одной строкой:

ntdsutil ″set dsrm password″ ″sync from domain account dsrmadmin″ q q

синхронизация учетной записи DSRM с доменной учетной записью

 

После этого можем заходить на контроллер домена, используя пароль от доменной учетной записи. Стоит уточнить, что процедура синхронизации не обеспечивает отслеживание изменений и постоянное соответствие паролей. Для регулярной синхронизации придется придумывать что либо, например добавить команду синхронизации в Startup Scripts, либо создать задание в планировщике.

Можно ли войти под DSRM администратором в обычном режиме

В предыдущих версиях Windows DSRM администратор мог осуществить локальный вход на контроллер домена только загрузившись  в режиме DSRM. Начиная с Windows Server 2008 службы AD могут быть остановлены из оснастки Services, без необходимости перезагрузки. Соответственно у DSRM администратора теперь есть возможность подключиться к контроллеру домена и в обычном (не DSRM) режиме.

Активировать эту возможность можно с помощью правки реестра на контроллере домена. Для изменения отвечает параметр типа DWORD с названием DsrmAdminLogonBehavior, находящийся в разделе HKLM\System\CurrentControlSet\Control\Lsa. Он может иметь значения:

0 — DSRM администратор может войти в систему только в режиме DSRM. Это значение по умолчанию;
1 —  DSRM администратор может войти в систему при остановленной службе AD DS;
2 — DSRM администратор может зайти на контроллер домена в любое время.

Установить необходимое значение можно с помощью утилиты reg.exe, запущенной из командной строки с правами администратора. Для примера установим для параметра значение, равное 1:

REG ADD ″HKLM\System\CurrentControlSet\Control\Lsa″ /v DsrmAdminLogonBehavior /t REG_DWORD /d 1 /F

настройка параметров входа для учетной записи DSRM с помощью reg.exe

 

Либо с помощью PowerShell, например так зададим для параметра значение 2:

New-ItemProperty -Name DsrmAdminLogonBehavior -Path HKLM:\System\CurrentControlSet\Control\Lsa -PropertyType Dword -Value 2 -Force

настройка параметров входа для учетной записи DSRM

 

В заключение напомню, что разрешать локальный вход на контроллере домена без особой необходимости не стоит, так как это снижает безопасность.

 
 
Комментарии
Роман

«Для сброса пароля DSRM необходимо зайти на контроллер домена и выполнить команды»
Как зайти в контроллер домена если пароль DSRM утерян, а доменными учетками зайти не дает?

Сервер в сети? Другие контроллеры домена доступны?

Роман

Доступны. Я просто вспомнил как у меня было. В контроллер после перезагрузки не получалось зайти никакими доменными учетками, видимо потерялось доверие в домене, пришлось вспоминать пароль DSRM. Вот и возник вопрос что если бы не вспомнил)
Правда восстановить доверие все-равно не удалось, пришлось удалять этот контроллер из AD и делать заново, может что не так делал.

Если есть физический доступ к серверу, то пароль DSRM можно сбросить так же, как обычный пароль локального админа. Например тем же ERD Commander-ом.

неадмин

Помогло