En ciertas ocasiones ya sea por haber olvidado una contraseña o por un error durante la promoción de un servidor podemos vernos en la situación de no poder logearnos en nuestro controlador de dominio. Con este Cybertruco vamos a ver como utilizar DSRM para poder acceder a nuestro DC y/o gestionar el acceso al mismo.

dsrm

 

Acabamos de montar un nuevo Active Directory sobre un nuevo dominio, utilizando dcpromo sobre un servidor con ciertos servicios importantes en ejecución y al reiniciar nuestro servidor no acepta nuestro login...entramos en pánico! En este caso posiblemente no hemos tenido en cuenta que al promocionar a DC un servidor en un nuevo dominio de Active Directory, la cuenta de administrador local pasa a ser la de administrador del AD y aún en ese caso puede ser que no dispongamos de la contraseña por x motivos.

En este caso entra en escena DSRM (Directory Services Restore Mode). DSRM es una herramienta presente únicamente en controladores de dominio (DC) para desactivar el Active Directory y poder trabajar ciertos parámetros sobre el mismo. para el cual habremos tenido que definir una contraseña durante el proceso de dcpromo.

Como deciamos nuestra mayor preocupación en ese momento es recuperar acceso a la máquina para lo cual seguiremos estos pasos:

  • Arrancar el servidor en modo DSRM, simplemente pulsamos F8 al inicio del sistema para que aparezcan las opciones de arrranque (modo seguro...) y entre ellas la de DSRM.
  • En la pantalla de login escribiremos la contraseña de DSRM (que habremos especificado durante el dcpromo)
  • Abrimos CMD y tipeamos el siguiente comando para poder especificar una nueva contraseña
    net user administrador *
  • Reiniciamos el servidor y ya podremos entrar a nuestro nuevo DC para comenzar a trabajar sobre el.

La importancia de la contraseña de DSRM y como cambiarla

Solo un último inciso para remarcar la tremenda importancia de securizar el acceso a DSRM. En DSRM un atacante podría copiar y/o modificar nuestra base de datos de Active Directory sin dejar rastro alguno en los registros. Por lo que cambiarlo regularmente es siempre una buena opción. Para cambiar esta contraseña, que en entornos con servidores antiguos posiblemente no esté ni documentada, podemos usar los siguientes comandos:

  • Ejecutamos CMD como administrador y ponemos los siguientes comandos
    ntdsutil
    Set DSRM Password
  • Ahora tenemos algunas opciones, para escribir una nueva contraseña ejecutamos el siguiente comando (reemplazando %s por el nombre del servidor)
    Reset Password on server %s
  • Para importar la contraseña de un usuario de dominio ejecutamos el siguiente comando (reemplazando %s por el nombre de un usuario de dominio)
    Sync from domain account %s
  • Y salimos de ntdsutil con
    quit
    quit