Acceso al controlador de dominio desde una cuenta DSRM local – TrucosInformaticos

@trucosinformaticos.com
Powershell

El modo de restauración de servicios de directorio (DSRM) es un modo de inicio especial en los sistemas operativos Microsoft Windows Server que se utiliza para realizar tareas de mantenimiento en los servicios de dominio de Active Directory (AD), como restaurar o reparar un controlador de dominio fallido.

Cuando un controlador de dominio falla o experimenta problemas críticos, es posible que no sea posible iniciar en modo normal. En tales casos, se puede utilizar DSRM para iniciar el controlador de dominio en un modo en el que la base de datos de AD pueda repararse o restaurarse desde una copia de seguridad.

En DSRM, el controlador de dominio se inicia en un modo en el que solo se cargan los servicios esenciales y no se inicia ningún servicio de Active Directory. Esto permite a los administradores acceder a la base de datos de AD y realizar tareas de mantenimiento, como ejecutar operaciones de copia de seguridad y restauración, restablecer contraseñas y reparar la base de datos de AD.

Nota. Consulta nuestra guía sobre cómo iniciar sesión con una cuenta local de Windows en lugar de una cuenta de dominio.

¿Qué puedes hacer en DSRM?

Cuando se inicia un controlador de dominio en el modo de restauración de servicios de directorio (DSRM), los administradores pueden realizar varias tareas de mantenimiento relacionadas con los servicios de dominio de Active Directory (AD). Algunas de las tareas comunes que se pueden realizar en DSRM incluyen:

  • Restauración de datos de Active Directory: DSRM se puede utilizar para restaurar datos de AD a partir de copias de seguridad en caso de falla o corrupción.
  • Reparación de la base de datos de AD: DSRM permite a los administradores realizar operaciones de reparación en la base de datos de AD en caso de corrupción.
  • Gestión de servicios relacionados con AD: DSRM se puede utilizar para gestionar servicios relacionados con AD, como DNS, DHCP y política de grupo.
  • Realizar una desfragmentación sin conexión: DSRM se puede utilizar para realizar una desfragmentación sin conexión de la base de datos de AD para mejorar el rendimiento.

Restablecer la contraseña de DSRM

DSRM requiere una contraseña especial establecida durante la instalación de los Servicios de dominio de Active Directory.

Esta contraseña debe mantenerse segura y solo la debe conocer el administrador del dominio o el personal de TI designado responsable del mantenimiento de los controladores de dominio.

Pero no se preocupe si perdió u olvidó la contraseña de DSRM. Aún puedes restablecerlo usando el ntdsutil utilidad, y así es como se hace.

Publicación relacionada. Consulta nuestro tutorial sobre usando la herramienta Ntdsutil para administrar Active Directory.

  1. Abra una ventana de CMD como administrador y ejecute ntdsutil.
  2. Tipo establecer contraseña dsrm y presione Entrar.
  3. Escriba **restablecer contraseña en el servidor NULL** y presione Entrar. La parte NULL supone que está restableciendo la contraseña de DSRM en la máquina local. Si restablece la contraseña DSRM en un servidor remoto, reemplace NULO con el nombre del servidor remoto.
  4. Ingrese la nueva contraseña DSRM y presione Enter.
  5. Vuelva a ingresar la contraseña y presione Enter.
  6. Tipo abandonar y presione Entrar para salir del contexto Restablecer contraseña de administrador de DSRM.
  7. Tipo abandonar y presione Enter para salir ntdsutil.
    cuenta dsrm

Nota. Comprobar el Artículo Únase al dominio e inicie sesión a través de una conexión VPN.

Arrancar en DSRM

En los antiguos sistemas operativos Windows Server, podía presionar F8 inmediatamente después de la autoprueba de encendido (POST) y aparecerían las Opciones de arranque avanzadas. Pero desde Windows 2012, el proceso de arranque se ha vuelto más rápido y la técnica de la tecla F8 ya no es viable.

Entonces, ¿cómo se accede a las Opciones de arranque avanzadas? Aquí tienes las diferentes formas.

Método 1: MAYÚS+Reiniciar

Hacer clic Comenzar > Fuerza > Mantener CAMBIO y haga clic Reanudar.

iniciar sesión dsrm

Método 2: comando de apagado

Abra el cuadro de diálogo Ejecutar y ejecute el apagar /r /o dominio. El indicador /o se introdujo en Windows Server 2012 y solo se puede usar con el /r bandera.

dsrm

Método 3: aplicación de configuración del sistema

Abre las ventanas Ajustes aplicación. Hacer clic Actualización y seguridad > Recuperación > Inicio avanzado> Reiniciar ahora.

contraseña dsrm

Cuando la computadora se reinicie, haga clic en Solucionar problemas.

nombre de usuario dsrm

Hacer clic Configuración de inicio.

modo de restauración de servicios de directorio

Hacer clic Reanudar.

restablecer contraseña dsrm

Una vez que veas el Opciones de arranque avanzadas menú, resaltar Modo de reparación de servicios de directorio y presione Entrar.

anuncio dsrm

Haga clic en «Otro usuario”en la pantalla de inicio de sesión. Tipo administrador como nombre de usuario e ingrese la contraseña DSRM.

contraseña del modo de restauración de servicios de directorio

Y ahora puedes solucionar los problemas del DC.

servidor de modo de restauración de servicios de directorio 2019

¿Puedo iniciar sesión en modo normal utilizando la cuenta de administrador DSRM?

Sí tu puedes. A partir de Windows Server 2008, la cuenta de administrador local se puede utilizar para iniciar sesión en el servidor sin iniciar DSRM.

Todo lo que necesita hacer es modificar el siguiente valor de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] 
"DsrmAdminLogonBehavior"=dword:00000000

El DsrmAdminLogonBehavior puede tener uno de estos tres valores.

Valor

Significado

0

El administrador de DSRM puede iniciar sesión en el DC solo en modo DSRM.

1

El administrador de DSRM puede iniciar sesión cuando se detiene el servicio NTDS.

2

El administrador de DSRM puede acceder a DC en cualquier momento. Este valor es el menos seguro.

Teniendo en cuenta el nivel de seguridad de cada uno, puede cambiar el valor del registro según sea necesario.

Habilite el inicio de sesión del administrador DSRM en modo normal cuando se detiene el servicio Adds

  1. Para habilitar el inicio de sesión del administrador DSRM en modo normal cuando el servicio ADDS está detenido: 
    New-ItemProperty ` 
    -Name DsrmAdminLogonBehavior ` 
    -Path HKLM:\System\CurrentControlSet\Control\Lsa ` 
    -PropertyType Dword ` 
    -Value 1 ` 
    -Force

    contraseña del modo de restauración del directorio activo

  2. Para el Servicios de dominio de Active Directory servicio y cerrar sesión en la sesión actual: 
    Stop-Service NTDS

    modo de restauración del directorio activo

  3. Inicie sesión con la cuenta de administrador de DSRM.
    restablecer contraseña dsrm
    probar la contraseña dsrm

Conclusión

Acceder a un controlador de dominio desde una cuenta DSRM local puede resultar útil y necesario para los administradores de red, especialmente en emergencias. Requiere una comprensión cuidadosa y exhaustiva de las tecnologías subyacentes, incluido Active Directory.

Los pasos descritos en este blog pueden servir como una guía útil para realizar esta tarea, pero es importante tener en cuenta que este proceso sólo debe usarse en circunstancias limitadas y con precaución. Siempre es mejor seguir los protocolos y pautas de seguridad establecidos y consultar con profesionales de TI siempre que sea posible.

4/5 - (110 votos)

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *