Jump to content
  • entries
    194
  • comments
    292
  • views
    76993

Directory Services Restore Mode Passwords: για να μην τα ξεχνάμε…


spanougakis

1043 views

 Share

Το πρόβλημα είναι γνωστό. Κατά την εγκατάσταση του Domain Controller μας ζητείται να δηλώσουμε το username και password για την περίπτωση που θα χρειαστεί να επέμβουμε με το ntdsutil για κάποιο restore του Active Directory. Στις περισσότερες περιπτώσεις, όταν έρχεται η ώρα κάποιου restore, δεν θυμόμαστε αυτό το password.

Υπάρχει τρόπος να συγχρονιστεί αυτό το password με το password κάποιου άλλου λογαριασμού στο domain μας, το οποίο όμως το γνωρίζουμε και δεν το ξεχνάμε. Σε κάθε DC ξεχωριστά πληκτρολογούμε την εντολή:

ntdsutil “set dsrm password” “sync from domain account administrator” q q

Είναι προφανές ότι επιλέξαμε το DSRM password να είναι αυτό του administrator. Θα πρέπει να πάρετε σαν απάντηση μεταξύ των άλλων το μήνυμα “Password has been synchronized succesfully”.

Το παραπάνω χαρακτηριστικό δεν παίζει στους DC με Windows Server 2000 και 2003, ενώ για να το χρησιμοποιήσετε στον Windows Server 2008, πρέπει να εγκαταστήσετε το KB961320 hotfix. Στον Windows Server 2008 R2 παίζει αμέσως χωρίς καμμία ενέργεια.

Ο συγχρονισμός όμως δεν είναι μόνιμος, που σημαίνει ότι αλλάζοντας το password του λογαριασμού, δεν αλλάζει αυτόματα και το DSRM password. Μπορούμε όμως να αυτοματοποιήσουμε όλη την διαδικασία με κάποιο scheduled task και χρησιμοποιώντας τα εκπληκτικά Group Policy Preferences.

Φτιάξτε λοιπόν ένα νέο GPO και συνδέστε το πάνω στο Domain Controllers OU:

gpp1

Μεταβείτε στο Computer Configuration –> Preferences ---> Control Panel Settings –> Scheduled Tasks και δημιουργήστε ένα νέο scheduled task με τα εξής στοιχεία:

Action: Update

Name: Ότι θέλετε

Run: %SystemDir%\ntdsutil.exe

Arguments: “set dsrm password” “sync from domain account administrator” q q

Μην ξεχάσετε να τσεκάρετε το κουτάκι “Enabled” ώστε να τρέξει το task.

gpp2 

Μεταβείτε στο διπλανό tab για να καθορίσετε το schedule και είστε έτοιμοι.

 Share

3 Comments


Recommended Comments

τι λες τώρα...πραγματικά χρήσιμο...

το συγκεκριμένο το σκεφτόμουν...οκ ξέρω τι password έχω βάλει, αλλά σκεφτόμουν τι γίνεται αν το ξεχάσω...

 

νομίζω ότι πλέον δεν χρειάζεται να έχω αυτή την σκέψη :)

Link to comment

Επίσης νομίζω ότι υπάρχει τρόπος να κάνεις reset αυτό το password αν το έχεις ξεχάσει και στα 2003. Χρήστο δεν γράφεις και γι αυτο?

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...