Directory Services Restore Mode Passwords: για να μην τα ξεχνάμε…

March 11, 2010 Chris Spanougakis

Το πρόβλημα είναι γνωστό. Κατά την εγκατάσταση του Domain Controller μας ζητείται να δηλώσουμε το username και password για την περίπτωση που θα χρειαστεί να επέμβουμε με το ntdsutil για κάποιο restore του Active Directory. Στις περισσότερες περιπτώσεις, όταν έρχεται η ώρα κάποιου restore, δεν θυμόμαστε αυτό το password.

Υπάρχει τρόπος να συγχρονιστεί αυτό το password με το password κάποιου άλλου λογαριασμού στο domain μας, το οποίο όμως το γνωρίζουμε και δεν το ξεχνάμε. Σε κάθε DC ξεχωριστά πληκτρολογούμε την εντολή:

ntdsutil “set dsrm password” “sync from domain account administrator” q q

Είναι προφανές ότι επιλέξαμε το DSRM password να είναι αυτό του administrator. Θα πρέπει να πάρετε σαν απάντηση μεταξύ των άλλων το μήνυμα “Password has been synchronized succesfully”.

Το παραπάνω χαρακτηριστικό δεν παίζει στους DC με Windows Server 2000 και 2003, ενώ για να το χρησιμοποιήσετε στον Windows Server 2008, πρέπει να εγκαταστήσετε το KB961320 hotfix. Στον Windows Server 2008 R2 παίζει αμέσως χωρίς καμμία ενέργεια.

Ο συγχρονισμός όμως δεν είναι μόνιμος, που σημαίνει ότι αλλάζοντας το password του λογαριασμού, δεν αλλάζει αυτόματα και το DSRM password. Μπορούμε όμως να αυτοματοποιήσουμε όλη την διαδικασία με κάποιο scheduled task και χρησιμοποιώντας τα εκπληκτικά Group Policy Preferences.

Φτιάξτε λοιπόν ένα νέο GPO και συνδέστε το πάνω στο Domain Controllers OU:

gpp1

Μεταβείτε στο Computer Configuration –> Preferences —> Control Panel Settings –> Scheduled Tasks και δημιουργήστε ένα νέο scheduled task με τα εξής στοιχεία:

Action: Update

Name: Ότι θέλετε

Run: %SystemDir%\ntdsutil.exe

Arguments: “set dsrm password” “sync from domain account administrator” q q

Μην ξεχάσετε να τσεκάρετε το κουτάκι “Enabled” ώστε να τρέξει το task.

gpp2

Μεταβείτε στο διπλανό tab για να καθορίσετε το schedule και είστε έτοιμοι.