Home Hoe u het Active Directory-domeinbeheerderswachtwoord opnieuw instelt

Hoe u het Active Directory-domeinbeheerderswachtwoord opnieuw instelt

In dit artikel bekijken we de scenario's voor het opnieuw instellen van het wachtwoord van de Active Directory-domeinbeheerder. U hebt deze mogelijk nodig in gevallen waarin domeinbeheerdersrechten verloren zijn gegaan als gevolg van vergeetachtigheid of opzettelijke sabotage door een gepensioneerde beheerder, een hackeraanval, enz. Om het wachtwoord van een domeinbeheerder met succes opnieuw in te stellen, moet u fysieke of externe toegang hebben tot de AD-domeincontrollerconsole (iLO-, iDRAC- of VMware vSphere/Hyper-V/Proxmox-console bij gebruik van een virtuele DC).

In dit voorbeeld gaan we het beheerderswachtwoord opnieuw instellen op een domeincontroller waarop Windows Server 2019 wordt uitgevoerd. Als er meer dan één domeincontroller op het netwerk is, kunt u het domeinbeheerderswachtwoord op elk van deze controllers opnieuw instellen.

Inhoud:

Om een ​​domeinbeheerderswachtwoord opnieuw in te stellen, moet u toegang krijgen tot de Directory Services Restore Mode (DSRM) met behulp van het DSRM-beheerderswachtwoord (ingesteld wanneer de Windows Server wordt gepromoveerd tot domeincontroller). In feite is het een lokaal beheerdersaccount dat is opgeslagen in een lokale SAM-database op de domeincontroller. Gebruik methode 1 of 2 als u het DSRM-wachtwoord niet weet.

Hoe kunt u een verloren domeinbeheerderswachtwoord opnieuw instellen als u het DSRM-wachtwoord niet kent?

Start uw server op vanaf elk Windows-installatiemedium (dit kan een Windows-installatie-USB-stick of een ISO-image zijn):

  1. Druk opShift+F10om de opdrachtprompt op het Windows Setup-scherm te openen;
  2. Nu moet u de letter weten die is toegewezen aan de partitie waarop uw Windows Server is geïnstalleerd. Voer de opdracht uit:wmic logicaldisk get volumename,name
    In mijn voorbeeld kun je zien dat mijn offline Windows Server-image is ingeschakeldC:. Dit is de stationsletter die we zullen gebruiken in de volgende opdrachten.U kunt schijven in Windows ook identificeren met diskpart:diskpart->list disk->list vol
  3. Maak een back-up van het originele utilman.exe-bestand:
    copy C:windowssystem32utilman.exe C:windowssystem32utilman.exebak
  4. Vervang vervolgens het bestand utilman.exe door cmd.exe:
    copy c:windowssystem32cmd.exe c:windowssystem32utilman.exe /y
  5. Pak de opstartimage (USB/ISO) uit en start uw host opnieuw op:wpeutil reboot
  6. Nadat de domeincontroller is opgestart, klikt u in het inlogscherm op de knop ‘Easy Access’. Hierdoor wordt een opdrachtprompt geopend;
  7. Voer dewhoamiopdracht om ervoor te zorgen dat de opdrachtprompt wordt uitgevoerd als NT AuthoritySYSTEM;
  8. Lijstinformatie over het beheerdersaccount:net user administrator
  9. In dit voorbeeld ziet u dat deze gebruiker lid is van de groep Domeinbeheerders en nu is uitgeschakeld:
    Account active: No
  10. Schakel het domeinbeheerdersaccount in:
    net user administrator /active:yes
  11. U kunt nu uw domeinbeheerderswachtwoord opnieuw instellen:
    net user administrator *
    Stel een nieuw beheerderswachtwoord in (het nieuwe wachtwoord moet overeenkomen met het domeinwachtwoordbeleid);
  12. Start uw server opnieuw op vanaf de installatiemedia en vervang dezeutilman.exemet het originele bestand (om te voorkomen dat er een beveiligingslek in de server achterblijft):
    copy c:windowssystem32utilman.exebak c:windowssystem32utilman.exe /y
  13. Start uw domeincontroller opnieuw op in de normale modus en zorg ervoor dat u zich nu kunt aanmelden bij uw DC met het nieuwe domeinbeheerderswachtwoord.

Het domeinbeheerderswachtwoord opnieuw instellen op een gevirtualiseerde domeincontroller

Als u een gevirtualiseerde domeincontroller hebt die op een hypervisor (ESXi, Hyper-V, Proxmox) draait, kunt u deDSInternalsPowerShell-module om het beheerderswachtwoord opnieuw in te stellen.
Om het te doen:

  1. Sluit de VM af waarop de AD DS-rol wordt uitgevoerd (domeincontroller) en sluit de virtuele schijf (vhdx, vmdk, enz.) aan op een andere VM met Windows. Wijs er bijvoorbeeld een stationsletter aan toeE:;
  2. Installeer de DSInternals-module vanuit de PowerShell Gallery:
    Install-Module DSInternals –Force
    PowerShell-modules kunnen offline worden geïnstalleerd als er geen internetverbinding beschikbaar is.
  3. Haal een opstartsleutel op die wordt gebruikt om wachtwoord-hashes in uw AD-database (ntds.dit) te coderen:
    $bootkey= Get-BootKey -SystemHiveFilePath "E:WindowsSystem32configSYSTEM"
  4. U kunt nu informatie verkrijgen over elk gebruikersaccount in de AD-database:
    Get-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:WindowsNTDSntds.dit" -BootKey $bootkey
  5. Als het domeinbeheerdersaccount is uitgeschakeld, schakel het dan in en stel een nieuw wachtwoord in:
    Enable-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:WindowsNTDSntds.dit"
    Set-ADDBAccountPassword -SamAccountName 'administrator' -DBPath "E:WindowsNTDSntds.dit" -BootKey $bootkey
  6. Koppel de virtuele schijf los, sluit deze opnieuw aan op de bron-VM en schakel de domeincontroller in;
  7. Daarna wordt het nieuwe domeinbeheerderswachtwoord gerepliceerd naar alle DC's.

Reset het wachtwoord van de domeinbeheerder via DSRM

Als u het DSRM-beheerderswachtwoord kent, kunt u uw DC opstarten in DSRM door de juiste optie te selecteren in het menu Geavanceerde opstartopties.

Aanbevolen leesmateriaal:Hoe kan ik een computer toevoegen aan Windows Server 2008 Active Directory-domein?

Voer de lokale gebruikersnaam (beheerder) en het wachtwoord (DSRM-wachtwoord) in op het aanmeldingsscherm.

In dit voorbeeld is de naam van de domeincontroller DC01.
Laten we controleren welke gebruiker op het systeem is ingelogd door de opdracht uit te voeren:

whoami /user

USER INFORMATION
----------------
User Name          SID
================== ============================================
dc01administrator S-1-5-21-3244332244-312345677-2454632109-500

Zoals u kunt zien, zijn we ingelogd als de lokale admin-gebruiker.

De volgende stap is het wijzigen van het Active Directory-beheerderswachtwoord (standaard wordt het account ook wel Administrator genoemd). Om het wachtwoord van de domeinbeheerder opnieuw in te stellen, gaan we een service maken die het wachtwoord van het beheerdersaccount onder SYSTEEM opnieuw instelt:
sc create ResetADPass binPath= "%ComSpec% /k net user administrator P1SSsw0rd21!" start= auto

Opmerking.Houd er rekening mee dat er een spatie nodig is tussen het teken ‘=’ en de waarde ervan bij het instellen van het pad in de binPath-variabele. Bovendien moet het nieuwe wachtwoord voldoen aan de vereisten van het domein wat betreft wachtwoordlengte en -complexiteit.

Zorg ervoor dat de service is gemaakt:
sc qc ResetADPass

[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: ResetADPass
TYPE               : 10  WIN32_OWN_PROCESS
START_TYPE         : 2   AUTO_START
ERROR_CONTROL      : 1   NORMAL
BINARY_PATH_NAME   : C:Windowssystem32cmd.exe /k net user administrator P@ssw0rd1
LOAD_ORDER_GROUP   :
TAG                : 0
DISPLAY_NAME       : ResetADPass
DEPENDENCIES       :
SERVICE_START_NAME : LocalSystem

Start de domeincontroller opnieuw op in de normale modus:
shutdown -r -t 0
Bij het opstarten verandert de service die we hebben gemaakt het domeinbeheerderswachtwoord in P1SSsw0rd21!. Gebruik dit account en wachtwoord om in te loggen op het DC.
whoami /user

USER INFORMATION
----------------
User Name             SID
===================== ============================================
corpadministrator S-1-5-21-1737425439-23123122-1234318981-500

Verwijder vervolgens de Windows-service die we zojuist hebben gemaakt:
sc delete ResetADPass

[SC] DeleteService SUCCESS

In dit artikel bekijken we hoe u het wachtwoord van een AD-domeinbeheerder opnieuw kunt instellen. Wij willen nogmaals benadrukken hoe belangrijk het is om de fysieke veiligheid van uw IT-infrastructuur te garanderen. Als iemand anders dan geautoriseerd personeel lokale toegang heeft tot uw fysieke host waarop uw domeincontrollers draaien, kan hij/zij eenvoudig elk gebruikers- of beheerderswachtwoord opnieuw instellen. Als u DC op minder vertrouwde locaties moet implementeren, is het raadzaam een ​​RODC-functie (alleen-lezen domeincontroller) te gebruiken.

Related Posts

[2023 Bijgewerkt] Hoe te repareren Screen Time Passcode werkt niet

[2023 Bijgewerkt] Hoe te repareren Screen Time Passcode werkt niet

2025-04-30
Hoe u VirtualBox USB

Hoe u VirtualBox USB

2025-04-15
Windows 10 Fix: deze app is geblokkeerd voor uw bescherming

Windows 10 Fix: deze app is geblokkeerd voor uw bescherming

2025-05-08
Hoe u "uw apparaat op de hoogte kunt brengen, mist belangrijke beveiligings- en kwaliteitsupdates" in Windows

Hoe u "uw apparaat op de hoogte kunt brengen, mist belangrijke beveiligings- en kwaliteitsupdates" in Windows

2025-03-27
Kopieer groepslidmaatschap van de ene gebruiker naar de andere in Microsoft Entra ID

Kopieer groepslidmaatschap van de ene gebruiker naar de andere in Microsoft Entra ID

2025-05-27
Alle ulifi standaard wachtwoord vermeld

Alle ulifi standaard wachtwoord vermeld

2025-02-12
10 beste Android-apps om gratis live sport te streamen

10 beste Android-apps om gratis live sport te streamen

2023-03-16
[repareren] Foutmelding "Uw wachtwoord is verlopen en moet worden gewijzigd" op het inlogscherm in Windows

[repareren] Foutmelding "Uw wachtwoord is verlopen en moet worden gewijzigd" op het inlogscherm in Windows

2023-01-16
Het oplossen van het NYT Mini Crossword: 31 maart 2025 Edition

Het oplossen van het NYT Mini Crossword: 31 maart 2025 Edition

2025-03-31
Hoe ontgrendel ik alle Amazon Prime

Hoe ontgrendel ik alle Amazon Prime

2025-02-10
Gereedschap beoordelingen

Gereedschap beoordelingen

2025-01-09
Hoe virtualisatie in Windows 10 inschakelen

Hoe virtualisatie in Windows 10 inschakelen

2025-09-06
Wifi 7 vs wifi 6 en 6e

Wifi 7 vs wifi 6 en 6e

2025-03-18
Tech nieuws met een mix van deskundige inzichten, oplossingen en meer.

Tech nieuws met een mix van deskundige inzichten, oplossingen en meer.

2025-03-06
Geekbench onthult Samsung Galaxy A25 met Exynos 1280 binnenin

Geekbench onthult Samsung Galaxy A25 met Exynos 1280 binnenin

2023-09-11