Compartir a través de

Reset Password DSRM con NTDSUTIL (es-ES)

  • Artículo

En esta oportunidad, les quiero dejar como realizar el reset del usuario para podernos logear en el Domain Controller cuando necesitamos por algún motivo iniciar a modo de DSRM (Directory Services Restore Mode).

La clave de DSRM, la configuramos cuando promovemos el Domain Controller y es una clave del usuario "Administrator" individual para cada DC, con lo que al modificarla en uno, no impacta al resto de los DCs que tengamos en nuestra estructura. Un buena practica, es configurar la misma clave de DSRM en todos los Domain Controllers de nuestra estructura de Active Directory, pero a veces, por varios factores, puede pasar que tengamos distintas claves y en algún caso, no la recordemos y para estos casos, es practico el procedimiento que les dejare a continuación.

Este procedimiento, aplica tanto para Domain Controllers Windows Server 2003/2008 y también 2012 (en cada uno de sus versiones en Release 2), si bien los comandos que verán a continuación fueron ejecutados desde PowerShell, también los pueden correr desde un CMD sin inconveniente.

Modificar Password DSRM en el Domain Controller local:

  1. Nos logeamos con permisos de Domain Admins en el Domain Controller que deseamos modificar la clave de DSRM y desde línea de comando, ejecutamos la herramienta NTDSUTIL:

http://leoponti.com.ar/blog/20121111/02/01.png

  1. Luego que entramos a la misma, ejecutamos set dsrm password:

http://leoponti.com.ar/blog/20121111/02/02.png

  1. Entrando ya en la opción de la herramienta para modificar la clave de DSRM, correremos el comando reset password on server null:

http://leoponti.com.ar/blog/20121111/02/03.png

  1. A continuación, ya podremos escribir la nueva clave de DSRM y confirmarla para que ya quede aplicada en el Domain Controller que estamos logeados, dicho proceso queda confirmado con el mensaje final que el cambio se realizo en forma correcta:

http://leoponti.com.ar/blog/20121111/02/04.png

Finalmente, con la letra "q" podremos salir de la herramienta de ntdsutil.

Modificar Password DSRM en un Domain Controller remoto:
También podemos modificar desde la misma herramienta ntdsutil, la clave DSRM de un Domain Controller remoto del que estamos logeado, para ello, correremos los siguientes comandos:

  1. Nos logeamos con permisos de Domain Admins en un Domain Controller y desde línea de comando, ejecutamos la herramienta NTDSUTIL:

http://leoponti.com.ar/blog/20121111/02/01.png

  1. Luego que entramos a la misma, ejecutamos set dsrm password:
    **
    **http://leoponti.com.ar/blog/20121111/02/02.png

  2. Entrando ya en la opción de la herramienta para modificar la clave de DSRM, correremos el comando reset password on server servername (donde servername, corresponde al nombre DNS del Domain Controller remoto pero del mismo dominio, que deseamos realizar el reset de clave DSRM), en el ejemplo que les estoy mostrando, el Domain Controller remoto se llama "DC2012_LAB2":

http://leoponti.com.ar/blog/20121111/02/05.png

  1. A continuación, ya podremos escribir la nueva clave de DSRM y confirmarla para que ya quede aplicada en el Domain Controller remoto que detallamos, dicho proceso queda confirmado con el mensaje final que el cambio se realizo en forma correcta:

http://leoponti.com.ar/blog/20121111/02/06.png

Finalmente, con la letra "q" podremos salir de la herramienta de ntdsutil.

De esta forma, aplicaron el procedimiento de distintas maneras (remoto o local) para poder iniciar en caso de necesitar, el Domain Controller a modo de DSRM y poderse logear sin problema.