viernes, 13 de marzo de 2015

Restablecer la contraseña del modo de restauración de Servicios de Directorio (DSRM)

Muchas veces, cuando necesitamos restaurar el estado de sistema nos encontramos con el inconveniente que la contraseña DSRM registrada no es correcta o que directamente no se conoce.

En ese caso un administrador de dominio debe restablecerla

Procedimiento para restablecer una contraseña DSRM

Abrimos CMD o PowerShell elevado y ejecutamos los siguientes comandos


Ntdsutil
Activate Instance NTDS
Set dsrm password
Reset password on server <Nombre_DC>














En nuestro ejemplo <Nombre_DC> es DC01

Para salir de Ntdsutil ejecutar quit dos veces.



Usar una contraseña DSRM única para todos los DC y sincronizarla mediante una cuenta de Active Directory

Esta opción le da a los administradores una forma centralizada de mantener la contraseña DSRM en todos los controladores de dominio.

Consiste en crear una cuenta de usuario y configurarle la contraseña deseada.
Mediante una tarea programada, la contraseña de ese usuario se sincroniza con la contraseña DSRM de todos los controladores de dominio.

Cada vez que un administrador decida cambiar la contraseña de esta cuenta, la tarea programada se encarga de sincronizar el cambio en todos los DCs.


- Crear y configurar la cuenta en Active Directory

  • Creamos una cuenta de usuario  (en nuestro ejemplo la llamamos dsrm_pwd)
  • Configuramos que la contraseña nunca caduque
  • Deshabilitamos la cuenta



















Crear y vincular el GPO

Mediante la consola Group Policy Management (GPMC) Creamos un GPO llamado “Sincronizar DSRM Password” y lo vinculamos a la Unidad Organizativa Domain Controllers
























En el ejemplo se creó y vinculó el GPO en un solo paso debido a que el usuario que realizó la acción (Domain Admin) tiene privilegios para crear y vincular GPOs en cualquier nodo.




















Configurar el GPO para crear la Tarea Programada

Editamos el GPO "Sincronizar DSRM Password" (clic con el botón secundario - Edit)

Expandimos Computer Configuration, Preferences, Control Panel Settings, Scheduled Tasks


Creamos la tarea mediante New, Scheduled Task (At least Windows 7)






















Configuramos la tarea con las siguientes opciones:

General
  • Action: Create
  • Name: Sincronizar DSRM Password
  • Description: Tarea para sincronizar DSRM Password...
  • Runs as: System
  • Runs whether the user is logged on or not: Enabled
  • Do not store password. The task will only have access to local resources: Enabled
  • Run with highest privileges: Enabled

































Trigger
  • Begin de task: On a schedule
  • Settings: Daily
  • Recur every: 1 days
  • Repeat task every: 1 hour




Actions

  • Action: Start a program
  • Program: C:\windows\system32\ntdsutil.exe
  • Arguments: “set dsrm password” “sync from domain account dsrm_pwd” quit quit





























En la siguiente pantalla vemos el GPO finalmente configurado














Una vez configurado el GPO, hay que esperar la actualización para que cada Domain Controller lo reciba (o ejecutar gpupdate /force para actualizar manualmente)

En el servidor DC01 podemos ver la tarea programada que fue creada por el GPO recientemente configurado. 










NOTA: Esta tarea programada también se creará en el resto de los DCs porque el GPO fue vinculado a la OU Domain Controllers.

Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)