How to control DSRM administrator account password

By Andrei Ungureanu - Last updated: Wednesday, March 10, 2010 - Save & Share - 3 Comments

Care e treaba cu acest DSRM account? Pai este contul folosit sa ne logam pe domain controller atunci cand il restartam in modul Directory Service Restore Mode. Este contul de Administrator stocat in SAM, folosit atunci cand AD-ul este oprit pe un server. In mod normal parola pentru acest cont este setata atunci cand promovam un domain controller si poate fi diferita pe fiecare DC din domeniu; mai exact, contul nu este replicat, ci este stocat local pe fiecare server in parte.

Atunci cand avem mai multe domain controllere si facem greseala sa nu documentam aceasta parola la instalarea fiecarui DC, o sa avem o problema atunci cand vom fi nevoiti sa bootam DC-ul in DSRM mode.

Parola pentru DSRM poate fi schimbata atunci cand serverul este pornit in modul Active Directory din NTDSUTIL folosind urmatoarea secventa de comenzi:

ntdsutil

set dsrm password

reset password on server null

In cazul in care se doreste schimbarea parolei pe un server remote, se poate specifica numele serverului in loc de null. Null se refera la serverul local.

Comanda mai merge scrisa si astfel:

ntdsutil "set dsrm password" "reset password on server null”

Dupa un anumit service pack in Windows 2000 mai exista si comanda setpwd in afara NTDSUTIL, insa aceasta nu mai este folosita in Windows 2008, asa ca nu o sa mai detaliem.

In afara de varianta de mai sus, mai exista ceva mai comod aparut odata cu Windows 2008 R2 si 2008 SP2. Putem sincroniza DSRM password cu un cont de domeniu. Pentru asta folosim:

ntdsutil "set dsrm password" "sync from domain account " "sync from domain account DSRMaccount"

Unde DSRMaccount reprezinta contul de domeniu folosit pentru sincronizare.

image

Recomand ca dupa ce faceti acest cont sa il dezactivati si sa-i setati o parola complexa.

image

Mai departe puteti sa setati taskuri pe fiecare domain controller care sa sincronizeze DSRM password cu acest cont. Pentru task-uri comanda se modifica putin:

ntdsutil "set dsrm password" "sync from domain account " "sync from domain account DSRMaccount" q q

In acest fel scapati de taskurile time consuming de schimbare a acestei parole, distributia ei si storage-ul facandu-se securizat prin Active Directory.

Posted in Active Directory • Tags: , Top Of Page

3 Responses to “How to control DSRM administrator account password”

Comment from Adrian
Time March 10, 2010 at 6:52 pm

Daca dezactivezi acest cont, te mai poti logona in DSRM? Din cate stiu este singurul cont utilizabil DSRM.

Comment from Andrei Ungureanu
Time March 10, 2010 at 7:10 pm

Pai ce am dezactivat eu acolo este un cont stocat in AD folosit pentru sincronizarea parolei. Mai exact, din acel cont isi va lua contul de DSRM parola. Activarea sau dezactivarea lui nu afecteaza in nici un fel functionarea contului de DSRM.

Pingback from DSRM & GPP » RO Windows Administrators Weblog
Time March 24, 2010 at 8:03 am

[…] aici despre DSRM si despre cum ii sincronizezi parola cu un cont din AD. Metode sa pui acele taskuri pe […]

Write a comment