V tomto článku se podíváme na scénář resetování hesla správce domény Active Direcotory. Tato funkce může být potřebná v případě ztráty administrátorských práv domény, například z důvodu „zapomnění“ nebo úmyslného sabotování odstupujícího správce, útoku vetřelců nebo jiných okolností vyšší moci. Chcete-li úspěšně obnovit heslo správce domény, musíte mít fyzický nebo vzdálený (ILO, iDRAC nebo vSphere konzole, pokud používáte virtuální DC) přístup k serverové konzoli. V tomto příkladu obnovíme heslo správce v řadiči domény se systémem Windows Server 2012. V případě, že je v síti několik řadičů domény, doporučuje se provést postup na serveru PDC (primární řadič domény) s rolí FSMO (flexibilní operace typu single-master)..
Chcete-li resetovat heslo správce domény, musíte zadat režim obnovení adresářových služeb (DSRM) s heslem správce DSRM (nastavuje se, když se úroveň serveru zvýší na řadič domény). Toto je v podstatě účet místního správce uložený v místní databázi SAM v řadiči domény.
Pokud heslo DSRM není známo, může být resetováno tímto způsobem, nebo pokud administrátor zabezpečil server před použitím takových triků pomocí specializovaných spouštěcích disků (jako je Hiren's BootCD, PCUnlocker apod.).
Načteme tedy řadič domény v režimu DSRM (spouštění serveru se zakázanými službami AD) výběrem příslušné možnosti v nabídce rozšířených možností spuštění.
Na přihlašovací obrazovce zadejte místní uživatelské jméno (správce) a jeho heslo (heslo režimu DSRM). 
V tomto příkladu je název řadiče domény DC01.
Prověříme, pod jakým uživatelem je přihlášení provedeno v systému, proto provedeme příkaz:
whoami / uživatelINFORMACE PRO UŽIVATELE
--
Uživatelské jméno SID
=================================================== ==============
dc01 \ administrator S-1-5-21-3244332244-383844547-2464936909-500
Jak vidíte, pracujeme pod místním správcem.
Dalším krokem je změna hesla pro účet správce služby Active Directory (ve výchozím nastavení se tento účet také nazývá správce). Heslo správce domény můžete resetovat například vytvořením samostatné služby, která by při spuštění řadiče domény ze systémového účtu resetovala heslo účtu správce ve službě Active Directory. Vytvořte následující službu:
sc create ResetADPass binPath = "% ComSpec% / k správce čistého uživatele P @ ssw0rd" start = autoPoznámka:. Pamatujte, že při nastavování cesty v proměnné binPath je mezi znaménkem '=' a jeho hodnotou zapotřebí mezera. Nové heslo musí navíc nutně splňovat požadavky domény na délku a složitost hesla.
Zadaný příkaz vytvoří službu nazvanou ResetADPass, která při spuštění systému s právy LocalSystem provede příkaz net user a změní heslo správce AD na P @ ssw0rd.
Pomocí následujícího příkazu můžeme ověřit, že služba byla vytvořena správně:
sc qc ResetADPass[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: ResetADPass
TYP: 10 WIN32_OWN_PROCESS
START_TYPE: 2 AUTO_START
ERROR_CONTROL: 1 NORMAL
BINARY_PATH_NAME: C: \ Windows \ system32 \ cmd.exe / k správce čistého uživatele P @ ssw0rd
LOAD_ORDER_GROUP:
TAG: 0
DISPLAY_NAME: ResetADPass
ZÁVISLOSTI:
SERVICE_START_NAME: LocalSystem
Restartujte server v normálním režimu:
vypnutí -r -t 0
Během stahování bude služba, kterou jsme vytvořili, změnit heslo účtu aminového účtu domény na zadaný. Přihlaste se k řadiči domény pomocí tohoto účtu a hesla.
whoami / uživatelINFORMACE PRO UŽIVATELE
--
Uživatelské jméno SID
=================================================== =================
corp \ administrator S-1-5-21-1737425439-783543262-1234318981-500
Zbývá odstranit službu, kterou jsme vytvořili (FAQ. Jak odstranit službu v systému Windows):
sc odstranit ResetADPass[SC] DeleteService SUCCESS
V tomto článku jsme tedy přišli na to, jak obnovit heslo správce domény AD, a znovu jsme naznačili, jak důležitý je koncept zajištění fyzické bezpečnosti vaší IT infrastruktury v konceptu informační bezpečnosti..
