Как да влезете в контролер на домейн с локален акаунт

Влизането с локален акаунт на контролер на домейн е по същество невъзможно, тъй като когато сървърът се повиши до контролер на домейн, базата данни на локалния акаунт става недостъпна. Има обаче едно изключение от това правило.

Как да разберете DSRM паролата

DSRM парола, посочена по време на разполагането на контролера на домейн.

Въпреки това изобщо не е необходимо да запомняте или записвате паролата; ако е необходимо, можете лесно да я нулирате с помощта на помощната програма ntdsutil. За да нулирате DSRM паролата, трябва да отидете до контролера на домейна и да изпълните командите:

ntdsutil
задайте dsrm парола
нулиране на паролата на сървъра
Нова парола
Потвърждение на парола
напуснете
напуснете

С пускането на SP2 за Windows Server 2008 има и друг начин да нулирате администраторската парола на DSRM - да я синхронизирате с паролата за акаунта на домейна. Можете да изберете всеки потребител за синхронизация или да създадете нов.

Например създадох потребителя Dsrmadmin.

За да синхронизирате отново, отидете на контролера на домейна и изпълнете командите:

ntdsutil
задайте dsrm парола
синхронизиране от акаунт на домейн dsrmadmin
напуснете
напуснете

Или едно и също нещо в един ред:

ntdsutil ″ задайте dsrm парола ″ ″ синхронизирайте от акаунт на домейн dsrmadmin ″ q q

След това можем да влезем в контролера на домейна, като използваме паролата от акаунта на домейна. Струва си да се изясни, че процедурата за синхронизация не осигурява проследяване на промените и постоянно съвпадение на паролите. За редовна синхронизация ще трябва да измислите нещо, например да добавите команда за синхронизация към скриптове за стартиране или да създадете задача в графика.

Възможно ли е да влезете като администратор на DSRM в нормален режим

В предишните версии на Windows DSRM администраторът можеше да влезе локално в контролер на домейн само чрез зареждане в режим DSRM. От Windows Server 2008, AD Services може да бъде спрян от добавката на услугите, без да е необходимо рестартиране. Съответно администраторът на DSRM вече има възможността да се свързва с контролера на домейна в нормален (не DSRM) режим.

Можете да активирате тази функция, като редактирате системния регистър на домейн контролер. Параметър от тип DWORD с името DsrmAdminLogonBehavior, намира се в HKLM \ System \ CurrentControlSet \ Control \ Lsa. Това може да означава:

0 - Администраторът на DSRM може да влиза само в режим DSRM. Това е по подразбиране;
1 - Администраторът на DSRM може да влезе, докато AD DS е спрян;
2 - Администраторът на DSRM може да влезе в контролера на домейна по всяко време.

Можете да зададете необходимата стойност с помощта на помощната програма reg.exe, стартирана от командния ред с права на администратор. Например, нека зададем параметъра на 1:

REG ADD ″ HKLM \ System \ CurrentControlSet \ Control \ Lsa ″/v DsrmAdminLogonBehavior/t REG_DWORD/d 1/F

Или като използвате PowerShell, например, задайте параметъра на 2:

New-ItemProperty -Name DsrmAdminLogonBehavior -Path HKLM: \ System \ CurrentControlSet \ Control \ Lsa -PropertyType Dword -Value 2 -Force

В заключение нека ви напомня, че не бива да разрешавате ненужно локално влизане на контролер на домейн, тъй като това намалява сигурността.