Putem seta taskul care sa sincronizeze parola pentru DSRM la fel ca in imaginile de mai jos:

In felul acesta parola este distribuita foarte simplu fara a fi expusa in GPO sau in vreun script.

Taskul va arata in felul urmator pe domain controllerele aplicate:

Mai exact Active Directory vine sub forma de serviciu, care poate fi oprit pe domain controller, putandu-se efectua astfel operatiuni de mentenanta asupra bazei de date fara a fi necesara rebootarea serverului in modul DSRM (Directory Services Restore Mode).

Din operatiunile de mentenanta, cam singura chestie utila care se poate face si imi vine acum in minte ar fi defragmentarea bazei de date, (poate si mutarea ei in alta parte dar nu am incercat). Asta e util atunci cand mai exista si alte servicii ce ruleaza pe DC (nerecomandat bineinteles) si restartarea serverului le-ar afecta.

Mult mai util ar fi fost sa putem face system state restore fara sa fie nevoie sa intram in DSRM. Doar ca nu s-au gandit la asa ceva, asa ca nu merge. Sper ca foarte curand sa putem face restore fara sa restartam serverul. Poate in urmatorul service pack.

Si acum apropo de contul de DSRM. In momentul in care serviciul AD este oprit, avem un singur DC, sau DC-ul pe care lucram nu mai are conectivitate cu alte DC-uri, si se intampla sa fie nevoie sa ne reautentificam/logam pe server, avem o problema. Asta pentru ca nu are cine sa ne mai autentifice. Mai jos vedem un exemplu.

Serviciul il putem opri si cu net stop ntds.

Iata ce se intampla cand incercam sa ne (re)logam.

Dar, ca o metoda de protectie, daca activam inainte

HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior pe 1 ne vom putea loga cu contul de DRSM pe DC atunci cand serviciul AD este oprit.

Alte valori pentru DSRMAdminLogonBehavior le gasiti aici:

http://technet.microsoft.com/en-us/library/cc732714(WS.10).aspx#BKMK_Mod

(cu 2 contul de DSRM poate folosit oricand pentru logon local pe C)

La logon e nevoie sa specificati numele DC-ului.

Si incheiem prin a porni din nou serviciile AD. Serviciul NTDS porneste automat si celelalte servicii care au fost oprite odata cu el.

PS: inca ma gandesc la scenarii de folosire pentru DSRMAdminLogonBehavior. Ar fi ceva legat de on site support care poate ca are nevoie sa se logheze pe DC, insa nu e sigur deloc si nu prea as recomanda. Sau poate ca e doar un useless feature si imi pierd timpul cu el.

Atunci cand avem mai multe domain controllere si facem greseala sa nu documentam aceasta parola la instalarea fiecarui DC, o sa avem o problema atunci cand vom fi nevoiti sa bootam DC-ul in DSRM mode.

Parola pentru DSRM poate fi schimbata atunci cand serverul este pornit in modul Active Directory din NTDSUTIL folosind urmatoarea secventa de comenzi:

ntdsutil

set dsrm password

reset password on server null

In cazul in care se doreste schimbarea parolei pe un server remote, se poate specifica numele serverului in loc de null. Null se refera la serverul local.

Comanda mai merge scrisa si astfel:

ntdsutil "set dsrm password" "reset password on server null”

Dupa un anumit service pack in Windows 2000 mai exista si comanda setpwd in afara NTDSUTIL, insa aceasta nu mai este folosita in Windows 2008, asa ca nu o sa mai detaliem.

In afara de varianta de mai sus, mai exista ceva mai comod aparut odata cu Windows 2008 R2 si 2008 SP2. Putem sincroniza DSRM password cu un cont de domeniu. Pentru asta folosim:

ntdsutil "set dsrm password" "sync from domain account " "sync from domain account DSRMaccount"

Unde DSRMaccount reprezinta contul de domeniu folosit pentru sincronizare.

Recomand ca dupa ce faceti acest cont sa il dezactivati si sa-i setati o parola complexa.

Mai departe puteti sa setati taskuri pe fiecare domain controller care sa sincronizeze DSRM password cu acest cont. Pentru task-uri comanda se modifica putin:

ntdsutil "set dsrm password" "sync from domain account " "sync from domain account DSRMaccount" q q

In acest fel scapati de taskurile time consuming de schimbare a acestei parole, distributia ei si storage-ul facandu-se securizat prin Active Directory.