Domain Service Restore Mode – Manutenção da Senha

Chega um dia na vida de quase todo o administrador de domínio, onde será necessário iniciar um controlador de domínio no modo de restauração de DS. Seja para executar uma restauração autoritativa ou corrigir problemas de banco de dados, você precisará da senha do administrador local. Muitas vezes, nós trabalhamos com clientes que não mantém esta senha e não têm nenhuma maneira de obtê-la do DC. Muitas vezes, isso ocorre porque a senha foi definida por outro administrador que não está disponível ou já não faz mais parte do quadro de funcionários da empresa. Outras vezes, porque a senha foi definida no momento de promoção do DC, há anos atrás e ninguém lembra mais. Uma vez que a senha só pode ser definida quando o DC é executado no modo normal, você pode ter uma surpresa desagradável e não conseguir iniciar o serviço de diretório corretamente.

Neste post falaremos sobre alguns métodos para manter esta senha sob controle.

Como é feito do modo antigo:

Todos os controladores de domínio têm embutido uma conta de Administrador local, armazenada em seu banco de dados SAM. Esta conta e o banco de dados local não são utilizados ou geralmente estão disponíveis apenas quando o DC está funcionando normalmente. Você provavelmente lembra-se de ter configurado esta senha durante a execução do DCPROMO:

clip_image002

Além disso, a senha pode ser redefinida mais tarde enquanto o DC estiver rodando, usando a ferramenta NTDSUTIL:

clip_image004

Se você souber a senha, você pode iniciar o controlador de domínio no modo de restauração usando a tecla F8 ou via as opções de inicialização expostas no MSCONFIG.

Mas quais são as opções para manter esta senha, especialmente quando seu ambiente possui centenas ou milhares do DC?

Solicitação de senha com NTDSUTIL

Começando com o hotfix KB961320 no Windows Server 2008, você agora tem a opção para sincronizar a senha DSRM de um DC com uma conta de domínio específica. Você deve executar o procedimento, cada vez que a senha for alterada; ele não cria uma sincronização automática.

1. Crie uma conta de usuário de domínio padrão e configure-o com uma senha complexa. Não é necessário ser um membro do grupo Admins do domínio ou de quaisquer grupos especiais.

2. Instale o hotfix em seu domínio e faça um restart.

3. Faça o logon no DC normalmente.

4. Em um prompt de comando elevado, como um administrador de domínio, execute:

NTDSUTIL
SET DSRM PASSWORD
SYNC FROM DOMAIN ACCOUNT <seu usuário>
Q
Q

Caso, por exemplo, queira usar a capacidade do NTDSUTIL para passar todos os parâmetros em uma única linha de comando:

clip_image006

Observe como não há nenhuma necessidade de fornecer a senha atual ou fornecer a senha antiga. Esse recurso também será incluído no Service Pack 2 para Windows Server 2008.

Automação das preferências de Group Policy do NTDSUTIL

Assim, se queremos automatizar este comando NTDSUTIL para ser executado através de uma tarefa agendada, isto pode ser feito facilmente usando as preferências de Group Policy.

Nota: Senha de usuário local GPP não funciona com as senhas DSRM em controladores de domínio. Você não pode usá-lo para colocar uma nova senha para o administrador local do DC; funciona apenas com computadores membros.

O interessante desta solução é que não existe nenhuma senha armazenada em qualquer lugar, exceto no próprio Active Directory que o sistema efetivamente auto mantém – a intervenção do administrador apenas é necessária para alterar periodicamente a senha do usuário especial e certificar-se de que a tarefa agendada está rodando em um controlador de domínio. Da mesma maneira você deve fazer verificações para certificar que os backups funcionarão de maneira efetiva para uma eventual restauração onde você precisar usar esta senha.

Como configurá-lo:

1. Inicie o GPMC num computador Windows Server 2008 ou o Windows Vista executando RSAT.

2. Crie e faça o link de uma nova GPO na OU de controladores de domínio (recomendo que você faça tudo isso em um domínio de teste em primeiro lugar, ok?).

clip_image008

3. Crie as definições de tarefa agendada GPP.

clip_image010

Observe aqui o que foi definido:

A) selecione a ação de ‘ Update ’ (isto irá criar a tarefa, se ele não existir).

B) execute o comando GPP interno para criar a variável %SystemDir % especificando o diretório System32, juntamente com o ntdsutil.exe que será executado.

C) digite a linha de comando exatamente como ele iria ser feito à mão com ntdsutil, incluindo as aspas:

“SET DSRM PASSWORD” “SYNC FROM DOMAIN ACCOUNT DsrmUser” Q Q

D) A tarefa será executada após a sua ativação (quando você clicar no checkbox Enabled), não apenas a será criada.

clip_image012

E) em seguida, definimos para ser executado como uma tarefa diária no 9 AM (é muito provável que o DC estará rodando nesse momento). Também, poderia executá-la semanalmente, mensalmente, etc – o que você preferir.

4. Após ter criado a política e deixar que ela se aplique ao DC, podemos ver que agora ela está rodando, examinando as tarefas agendadas em um dos DCs. Aí esta (eu adicionei outro para executar todas as noites também – não precisa ser tão cuidadoso):

clip_image014

5. Para fazer o teste, efetue um boot no DC e acesse a opção de DS Repair mode.

É isso ! espero que ajude…

Abraços,

Eduardo Zarpelão