Reset Kata Sandi Administrator Direktori Aktif

Pada artikel ini, kita akan melihat skenario reset kata sandi administrator domain Direcotory Aktif. Fitur ini mungkin diperlukan dalam kasus kehilangan hak administrator domain karena, misalnya, “pelupa” atau sabotase yang disengaja dari administrator yang pergi, serangan oleh penyusup atau keadaan force majeure lainnya. Agar berhasil mereset kata sandi administrator domain, Anda harus memiliki akses fisik atau jarak jauh (ILO, iDRAC atau vSphere, jika menggunakan virtual DC) akses ke konsol server. Dalam contoh ini, kami akan mengatur ulang kata sandi administrator pada pengontrol domain dengan Windows Server 2012. Jika ada beberapa pengontrol domain dalam jaringan, disarankan untuk melakukan prosedur pada server PDC (pengontrol domain primer) dengan peran FSMO (operasi master tunggal fleksibel).

Untuk mengatur ulang kata sandi untuk admin domain, Anda harus memasukkan Mode Pemulihan Layanan Direktori (DSRM) dengan kata sandi administrator DSRM (ditetapkan ketika tingkat server dinaikkan ke pengontrol domain). Ini pada dasarnya adalah akun administrator lokal yang disimpan dalam database SAM lokal pada pengontrol domain.

Jika kata sandi DSRM tidak dikenal, kata sandi dapat direset dengan cara ini, atau jika administrator mengamankan server dari menggunakan trik seperti itu, menggunakan disk boot khusus (seperti Boot Hiren's, PCUnlocker dan sejenisnya).

Jadi, kami memuat pengontrol domain dalam mode DSRM (server melakukan booting dengan layanan AD dinonaktifkan) dengan memilih opsi yang sesuai di menu opsi boot lanjutan.

Pada layar login, masukkan nama pengguna lokal (administrator) dan kata sandinya (kata sandi mode DSRM).

Dalam contoh ini, nama pengontrol domain adalah DC01.

Kami akan memeriksa di mana pengguna masuk dilakukan dalam sistem, untuk ini kami menjalankan perintah:

whoami / pengguna
INFORMASI PENGGUNA
--
Nama Pengguna SID
=================== ================================ =============
dc01 \ administrator S-1-5-21-3244332244-383844547-2464936909-500

Seperti yang Anda lihat, kami bekerja di bawah admin lokal.

Langkah selanjutnya adalah mengubah kata sandi untuk akun administrator Direktori Aktif (secara default, akun ini juga disebut Administrator). Anda dapat mengatur ulang kata sandi administrator domain, misalnya, dengan membuat layanan terpisah yang, ketika memulai pengontrol domain dari akun sistem, akan mengatur ulang kata sandi akun Administrator di Active Directory. Buat layanan berikut:

sc buat ResetADPass binPath = "% ComSpec% / k administrator pengguna net P @ ssw0rd" start = otomatis
Catatan. Perhatikan bahwa ketika mengatur path dalam variabel binPath, diperlukan spasi antara tanda '=' dan nilainya. Selain itu, kata sandi baru harus memenuhi persyaratan domain untuk panjang dan kompleksitas kata sandi.

Perintah yang ditentukan akan membuat layanan yang disebut ResetADPass, yang, ketika mem-boot sistem dengan hak Sistem Lokal, akan mengeksekusi perintah pengguna bersih dan mengubah kata sandi administrator AD menjadi P @ ssw0rd.

Dengan menggunakan perintah berikut, kami dapat memverifikasi bahwa layanan ini dibuat dengan benar:

sc qc ResetADPass
[SC] QueryServiceConfig SUKSES
SERVICE_NAME: ResetADPass
TYPE: 10 WIN32_OWN_PROCESS
START_TYPE: 2 AUTO_START
ERROR_CONTROL: 1 NORMAL
BINARY_PATH_NAME: C: \ Windows \ system32 \ cmd.exe / k administrator pengguna net P @ ssw0rd
LOAD_ORDER_GROUP:
TAG: 0
DISPLAY_NAME: ResetADPass
DEPENDENSI:
SERVICE_START_NAME: Sistem Lokal

Reboot server dalam mode normal:

shutdown -r -t 0

Selama pengunduhan, layanan yang kami buat akan mengubah kata sandi akun domain amine menjadi yang ditentukan. Masuk ke pengontrol domain di bawah akun dan kata sandi ini.

whoami / pengguna
INFORMASI PENGGUNA
--
Nama Pengguna SID
==================================================== ================
corp \ administrator S-1-5-21-1737425439-783543262-1234318981-500

Tetap menghapus layanan yang kami buat (FAQ. Cara menghapus layanan di Windows):

sc hapus ResetADPass
[SC] DeleteService SUCCESS

Jadi, dalam artikel ini kami menemukan cara mengatur ulang kata sandi administrator domain AD, dan sekali lagi mengisyaratkan betapa pentingnya konsep memastikan keamanan fisik infrastruktur TI Anda dalam konsep keamanan informasi.