În acest articol, ne vom uita la scenariile de resetare a parolei de administrator de domeniu Active Directory. Este posibil să aveți nevoie de el în cazurile în care privilegiile de administrator de domeniu s-au pierdut din cauza uitarii sau a sabotării deliberate de către un administrator care se retrage, un atac de hacker etc. Pentru a reseta cu succes parola de administrator de domeniu, trebuie să aveți acces fizic sau de la distanță la consola controlerului de domeniu AD (iLO, iDRAC sau VMware vSphere/Hyper-V/Proxmox atunci când utilizați o consolă virtuală DC).
În acest exemplu, vom reseta parola de administrator pe un controler de domeniu care rulează Windows Server 2019. Dacă există mai mult de un controler de domeniu în rețea, puteți reseta parola de administrator de domeniu pe oricare dintre ele.
Continut:
- Cum să resetați o parolă de administrator de domeniu pierdută dacă nu știți parola DSRM?
- Resetarea parolei de administrator de domeniu pe un controler de domeniu virtualizat
- Resetați parola administratorului de domeniu din DSRM
Pentru a reseta o parolă de administrator de domeniu, trebuie să accesați Modul de restaurare a serviciilor de director (DSRM) folosind parola de administrator DSRM (setată atunci când Windows Server este promovat la controlerul de domeniu). De fapt, este un cont de administrator local stocat într-o bază de date SAM locală pe controlerul de domeniu. Folosiți metoda 1 sau 2 dacă nu cunoașteți parola DSRM.
Cum să resetați o parolă de administrator de domeniu pierdută dacă nu știți parola DSRM?
Porniți serverul de pe orice mediu de instalare Windows (acesta poate fi un stick USB de instalare Windows sau o imagine ISO):
- Presa
Shift+F10pentru a deschide promptul de comandă pe ecranul de instalare Windows; - Acum trebuie să știți litera atribuită partiției în care este instalat Windows Server. Rulați comanda:
wmic logicaldisk get volumename,name
În exemplul meu, puteți vedea că imaginea mea offline Windows Server este activatăC:. Aceasta este litera de unitate pe care o vom folosi în următoarele comenzi.
De asemenea, puteți identifica discurile în Windows folosind diskpart:diskpart->list disk->list vol
- Faceți o copie de rezervă a fișierului original utilman.exe:
copy C:windowssystem32utilman.exe C:windowssystem32utilman.exebak - Apoi înlocuiți fișierul utilman.exe cu cmd.exe:
copy c:windowssystem32cmd.exe c:windowssystem32utilman.exe /y
- Extrageți imaginea de pornire (USB/ISO) și reporniți gazda:
wpeutil reboot - După ce controlerul de domeniu a fost pornit, faceți clic pe butonul „Acces ușor” de pe ecranul de conectare. Aceasta va deschide un prompt de comandă;
- Rulați
whoamicomandă pentru a vă asigura că promptul de comandă rulează ca NT AuthoritySYSTEM;
- Listați informații despre contul de administrator:
net user administrator
- În acest exemplu, puteți vedea că acest utilizator este membru al grupului de administratori de domeniu și este acum dezactivat:
Account active: No
- Activați contul de administrator de domeniu:
net user administrator /active:yes - Acum puteți reseta parola de administrator de domeniu:
net user administrator *
Setați o nouă parolă de administrator (noua parolă trebuie să se potrivească cu politica privind parola de domeniu);
- Porniți din nou serverul de pe suportul de instalare și înlocuiți-lutilman.execu fișierul original (pentru a evita lăsarea unui gol de securitate în server):
copy c:windowssystem32utilman.exebak c:windowssystem32utilman.exe /y - Reporniți controlerul de domeniu în modul normal și asigurați-vă că vă puteți conecta acum la DC folosind noua parolă de administrator de domeniu.
Resetarea parolei de administrator de domeniu pe un controler de domeniu virtualizat
Dacă aveți un controler de domeniu virtualizat care rulează pe orice hypervisor (ESXi, Hyper-V, Proxmox), puteți utilizaDSInternalsModul PowerShell pentru a reseta parola de administrator.
Pentru a o face:
- Opriți mașina virtuală care rulează rolul AD DS (controler de domeniu) și conectați unitatea sa virtuală (vhdx, vmdk etc.) la orice altă VM care rulează Windows. Atribuiți-i o literă de unitate, de exemplu,
E:; - Instalați modulul DSInternals din Galeria PowerShell:
Install-Module DSInternals –Force
Modulele PowerShell pot fi instalate offline atunci când nu este disponibilă o conexiune la internet. - Obțineți o cheie de pornire folosită pentru a cripta hash-urile parolei în baza de date AD (ntds.dit):
$bootkey= Get-BootKey -SystemHiveFilePath "E:WindowsSystem32configSYSTEM" - Acum puteți obține informații despre orice cont de utilizator din baza de date AD:
Get-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:WindowsNTDSntds.dit" -BootKey $bootkey - Dacă contul de administrator de domeniu este dezactivat, activați-l și setați o nouă parolă:
Enable-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:WindowsNTDSntds.dit"
Set-ADDBAccountPassword -SamAccountName 'administrator' -DBPath "E:WindowsNTDSntds.dit" -BootKey $bootkey
- Deconectați unitatea virtuală, reconectați-o la VM-ul sursă și porniți controlerul de domeniu;
- După aceea, noua parolă de administrator de domeniu va fi replicată tuturor DC-urilor.
Resetați parola administratorului de domeniu din DSRM
Dacă cunoașteți parola de administrator DSRM, puteți porni DC-ul în DSRM selectând opțiunea corespunzătoare din meniul Advanced Boot Options.
Lectură recomandată:Cum să adăugați un computer la domeniul Windows Server 2008 Active Directory?
Introduceți numele de utilizator local (administrator) și parola (parola DSRM) pe ecranul de conectare.
În acest exemplu, numele controlerului de domeniu este DC01.
Să verificăm ce utilizator este conectat la sistem, rulând comanda:
whoami /user
USER INFORMATION ---------------- User Name SID ================== ============================================ dc01administrator S-1-5-21-3244332244-312345677-2454632109-500
După cum puteți vedea, suntem autentificați ca administrator local.
Următorul pas este schimbarea parolei administratorului Active Directory (în mod implicit, contul se mai numește și Administrator). Pentru a reseta parola administratorului de domeniu, vom crea un serviciu care va reseta parola contului de administrator sub SYSTEM:sc create ResetADPass binPath= "%ComSpec% /k net user administrator P1SSsw0rd21!" start= auto
Nota.Rețineți că este necesar un spațiu între semnul „=” și valoarea acestuia atunci când setați calea în variabila binPath. De asemenea, noua parolă trebuie să îndeplinească cerințele domeniului pentru lungimea și complexitatea parolei.
Asigurați-vă că serviciul a fost creat:sc qc ResetADPass
[SC] QueryServiceConfig SUCCESS SERVICE_NAME: ResetADPass TYPE : 10 WIN32_OWN_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : C:Windowssystem32cmd.exe /k net user administrator P@ssw0rd1 LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : ResetADPass DEPENDENCIES : SERVICE_START_NAME : LocalSystem
Reporniți controlerul de domeniu în modul normal:shutdown -r -t 0
La pornire, serviciul pe care l-am creat schimbă parola de administrator al domeniului în P1SSsw0rd21!. Utilizați acest cont și parolă pentru a vă conecta la DC.whoami /user
USER INFORMATION ---------------- User Name SID ===================== ============================================ corpadministrator S-1-5-21-1737425439-23123122-1234318981-500
Apoi ștergeți serviciul Windows pe care tocmai l-am creat:sc delete ResetADPass
[SC] DeleteService SUCCESS
În acest articol, vedem cum puteți reseta parola unui administrator de domeniu AD. Dorim să reiterăm importanța asigurării securității fizice a infrastructurii dumneavoastră IT. Dacă altcineva decât personalul autorizat are acces local la gazda fizică care rulează controlerele dvs. de domeniu, poate reseta cu ușurință orice parolă de utilizator sau administrator. Dacă trebuie să implementați DC în locații mai puțin de încredere, se recomandă să utilizați o caracteristică de control de domeniu (RODC) numai pentru citire.
![[Sfat] Restaurați caseta de dialog Classic Print Preview în Chrome și Microsoft Edge](https://media.askvg.com/articles/images8/New_Modern_Redesigned_Print_Preview_UI_Google_Chrome.png)
