Iniciar sesión con una cuenta local en el controlador de dominio es básicamente imposible, ya que entonces está promoviendo un servidor miembro al controlador de dominio (DC), la base de datos de cuentas locales (SAM) se vuelve inaccesible. Sin embargo, esta regla tiene una excepción. En caso de problemas con los servicios de directorio en los controladores de dominio, hay un modo de arranque especial: Modo de restauración de servicios de directorio (DSRM).
Este modo se utiliza para realizar la operación de recuperación de Active Directory en los siguientes casos: cuando la base de datos de Active Directory está dañada y debe repararse, las tareas de mantenimiento de la base de datos de AD (Compresión de base de datos ADanálisis de errores, etc.), la reversión de AD desde la copia de seguridad/instantánea, la restauración de objetos individuales o el restablecimiento de la contraseña del administrador del dominio.
Para acceder a este modo, se utiliza una cuenta especial de administrador DSRM, que es la única cuenta local en el controlador de dominio.
¿Cómo establecer la contraseña de DSRM?
La contraseña de DSRM se especifica en el proceso de implementación (promoción) de un servidor miembro a un controlador de dominio.
Sin embargo, no es necesario recordar o anotar las contraseñas de DSRM para todos los DC. Si es necesita, puede restablecer fácilmente la contraseña usando ntdsutil utilidad. Para restablecer la contraseña de DSRM, debe iniciar sesión en el controlador de dominio (por supuesto, como administrador de dominio) y ejecutar los comandos:
ntdsutil set dsrm password reset password on server NULL [new_dsrm_super_password] [confirm_new_dsrm_password] quit quit
Si necesita cambiar la contraseña de administrador de DSRM en un controlador de dominio remoto, puede especificar el nombre del servidor de esta manera:
reset password on server DC3-name
En Windows Server 2008 SP2 (o superior), hay otra forma de configurar la contraseña para DSRM-admin: copiando (sincronizando) la contraseña con la cuenta del dominio. Para sincronizar puede elegir cualquier usuario existente o crear uno nuevo.
Por ejemplo, creamos un nuevo usuario: DSRMsync.
Para sincronizar una contraseña, ejecute el siguiente comando en un controlador de dominio:
ntdsutil set dsrm password sync from domain account DSRMsync q q
El mismo comando en una sola línea:
ntdsutil ″set dsrm password″ ″sync from domain account DSRMsync″ q q
Luego, puede acceder localmente al controlador de dominio utilizando la contraseña de la cuenta de dominio. Es necesario aclarar que el procedimiento de sincronización no proporciona seguimiento de los cambios de contraseña del usuario en AD. Para una sincronización regular, debe agregar el comando de sincronización a los scripts de inicio o al Programador de tareas.
¿Puedo iniciar sesión en el DC bajo el administrador de DSRM en modo normal?
En versiones anteriores de Windows, el administrador de DSRM puede iniciar sesión en el controlador de dominio solo iniciando en modo DSRM. A partir de Windows Server 2008, los servicios de dominio de Active Directory se pueden detener desde el complemento de servicios (servicios.msc), sin necesidad de reiniciar. En consecuencia, el administrador de DSRM ahora tiene la capacidad de conectarse al controlador de dominio en modo normal (no DSRM).
Para activar esta función, puede usar un pequeño truco de registro en el controlador de dominio. Estamos interesados en el parámetro DWORD DsrmAdminLogonBehaviorubicado en la rama de registro HKLMSystemCurrentControlSetControlLsa. DsrmAdminLogonBehavior puede tener uno de los siguientes valores:
- 0: el administrador de DSRM puede iniciar sesión en el DC solo en modo DSRM
- 1: el administrador de DSRM puede iniciar sesión cuando se detiene el servicio ADDS
- 2: el administrador de DSRM puede acceder a DC en cualquier momento
Puedes cambiar el DsrmAdminLogonBehavior valor utilizando la GUI del Editor del Registro o desde el símbolo del sistema:
REG ADD ″HKLMSystemCurrentControlSetControlLsa″ /v DsrmAdminLogonBehavior /t REG_DWORD /d 2 /F
O usando PowerShell:
New-ItemProperty -Name DsrmAdminLogonBehavior -Path HKLM:SystemCurrentControlSetControlLsa -PropertyType Dword -Value 1 -Force
En conclusión, permítanos recordarle que si permite iniciar sesión localmente en un controlador de dominio, esto disminuirá la seguridad del controlador de dominio.
