In deze video wordt een korte uitleg gegeven van de Directory Services Restore Mode (DSRM) op een Active Directory-domeincontroller en wordt gedemonstreerd hoe u het DSRM-beheerderswachtwoord instelt. Het wachtwoord kan handmatig worden ingevoerd of worden gesynchroniseerd met het wachtwoord van een bestaand domeingebruikersaccount.
Hallo, mijn naam is David. Ik ben hoofdingenieur bij Dell en vandaag ga ik demonstreren hoe u het wachtwoord voor de herstelmodus van Directory Services instelt op een Active Directory Domain Controller. De herstelmodus voor directoryservices, ook wel bekend als Directory Services Repair Mode en ook wel afgekort tot DSRM, is een speciale modus die alleen door domeincontrollers kan worden uitgevoerd. Het is vergelijkbaar met de veilige modus op een gewone Windows-machine, maar in DSRM worden Active Directory-services zoals de ADDS-service niet uitgevoerd.
Om die reden is er maar één gebruikersaccount waarop kan worden aangemeld wanneer u DSRM opstart en dat is de Directory Services Restore Mode-administratoraccount. Het wachtwoord voor dat account wordt ingesteld wanneer een domeincontroller voor het eerst wordt gepromoveerd. Dat wachtwoord verloopt nooit of wordt nooit automatisch bijgewerkt. Omdat je het wachtwoord alleen nodig hebt als je naar DSRM moet opstarten, wat je normaal niet hoeft te doen, is het gemakkelijk om het te vergeten.
Als dat gebeurt, bevindt u zich mogelijk in de onaangename situatie dat u een domeincontroller moet opstarten naar DSRM en niet kunt inloggen. Als u niet zeker bent van het DSRM-wachtwoord op een domeincontroller in uw omgeving, is het een goed idee om dit in te stellen met behulp van de procedure die ik u ga laten zien. Houd er rekening mee dat het wijzigen van het wachtwoord alleen in normale Windows kan worden gedaan, u kunt dit niet echt wijzigen terwijl u in DSRM bent. Om het wachtwoord in te stellen gebruiken we de tool 'ntdsutil' en zodra we die openen, typen we 'set dsrm password', nu lijkt dit de plaats te zijn waar u het wachtwoord typt, maar dat is het niet.
Dit is slechts de prompt 'Reset DSRM Administrator Password'. Om het wachtwoord in te stellen typen we 'reset password on server' en vervolgens de naam van de domeincontroller, en dan wordt u daadwerkelijk om het wachtwoord gevraagd. Dus hier typt u het wachtwoord dat u wilt gebruiken, en typt het vervolgens opnieuw om te bevestigen, en dat stelt het wachtwoord met succes in. Nu hoeven we alleen maar 'q' te typen en op enter te drukken en nogmaals 'q' te typen om uit ntdsutil te komen. In plaats van het wachtwoord handmatig in te stellen, kunt u het nu synchroniseren met het wachtwoord van een bestaand domeinaccount.
Om dit te doen, ga je opnieuw naar ntdsutil en typ je opnieuw 'reset dsrm password', maar in dit geval in plaats van 'reset password on server' en vervolgens de servernaam te typen, gaan we het wachtwoord synchroniseren met een bestaand domeinaccount. We typen dus 'sync from domain account' en vervolgens de naam van een domeingebruikersaccount - in dit geval 'delladmin' en daarmee wordt het DSRM-wachtwoord ingesteld om hetzelfde te zijn als het wachtwoord voor dat account. Het enige wat dit nu nog doet, is een eenmalige synchronisatie uitvoeren.
Dat wachtwoord wordt niet gesynchroniseerd. Als het wachtwoord van het bijbehorende domeinaccount wordt gewijzigd, moet u dezelfde opdracht uitvoeren om het opnieuw te synchroniseren als u dat wilt. Houd er rekening mee dat elke domeincontroller een eigen DSRM-beheerdersaccount heeft. Dit account en het bijbehorende wachtwoord worden niet gerepliceerd in Active Directory, dus het instellen van het DSRM-beheerderswachtwoord op de ene domeincontroller heeft geen invloed op het DSRM-beheerdersaccount op andere domeincontrollers. Ik hoop dat deze video nuttig is geweest. Mijn naam is David, ik ben Principal Engineer bij Dell en bedankt voor het kijken.
