Directory Services Restore Mode Passwords: για να μην τα ξεχνάμε…
Το πρόβλημα είναι γνωστό. Κατά την εγκατάσταση του Domain Controller μας ζητείται να δηλώσουμε το username και password για την περίπτωση που θα χρειαστεί να επέμβουμε με το ntdsutil για κάποιο restore του Active Directory. Στις περισσότερες περιπτώσεις, όταν έρχεται η ώρα κάποιου restore, δεν θυμόμαστε αυτό το password.
Υπάρχει τρόπος να συγχρονιστεί αυτό το password με το password κάποιου άλλου λογαριασμού στο domain μας, το οποίο όμως το γνωρίζουμε και δεν το ξεχνάμε. Σε κάθε DC ξεχωριστά πληκτρολογούμε την εντολή:
ntdsutil “set dsrm password” “sync from domain account administrator” q q
Είναι προφανές ότι επιλέξαμε το DSRM password να είναι αυτό του administrator. Θα πρέπει να πάρετε σαν απάντηση μεταξύ των άλλων το μήνυμα “Password has been synchronized succesfully”.
Το παραπάνω χαρακτηριστικό δεν παίζει στους DC με Windows Server 2000 και 2003, ενώ για να το χρησιμοποιήσετε στον Windows Server 2008, πρέπει να εγκαταστήσετε το KB961320 hotfix. Στον Windows Server 2008 R2 παίζει αμέσως χωρίς καμμία ενέργεια.
Ο συγχρονισμός όμως δεν είναι μόνιμος, που σημαίνει ότι αλλάζοντας το password του λογαριασμού, δεν αλλάζει αυτόματα και το DSRM password. Μπορούμε όμως να αυτοματοποιήσουμε όλη την διαδικασία με κάποιο scheduled task και χρησιμοποιώντας τα εκπληκτικά Group Policy Preferences.
Φτιάξτε λοιπόν ένα νέο GPO και συνδέστε το πάνω στο Domain Controllers OU:
Μεταβείτε στο Computer Configuration –> Preferences ---> Control Panel Settings –> Scheduled Tasks και δημιουργήστε ένα νέο scheduled task με τα εξής στοιχεία:
Action: Update
Name: Ότι θέλετε
Run: %SystemDir%\ntdsutil.exe
Arguments: “set dsrm password” “sync from domain account administrator” q q
Μην ξεχάσετε να τσεκάρετε το κουτάκι “Enabled” ώστε να τρέξει το task.
Μεταβείτε στο διπλανό tab για να καθορίσετε το schedule και είστε έτοιμοι.