Gérer automatiquement le mot de passe administrateur DSRM à partir de Windows Server 2008

Envoyer

Sommaire

 

 

Introduction

Nous allons voir dans cet article comment gérer de manière centralisée le mot de passe du mode DSRM sur l’ensemble de vos contrôleurs de domaine à partir de Windows Server 2008.

Cet article fait écho à l’article de l’équipe Ask the Directory Services Team suivant : http://blogs.technet.com/b/askds/archive/2009/03/11/ds-restore-mode-password-maintenance.aspx.

 


Qu'est-ce que le mot de passe administrateur DSRM ?

Le mode DSRM (Directory Services Restore Mode) est un mode de démarrage disponible sur vos contrôleurs de domaine afin de réaliser une restauration Active Directory. Il est accessible depuis les options de démarrage avancées (menu disponible au démarrage du serveur à l’aide de la touche « F8 »).

 

 

 

 

 

 

 

Lorsque vous démarrez sur un contrôleur de domaine avec le « mode de restauration des services d’annuaire », l’état du contrôleur de domaine ne permet pas de se connecter avec un compte du domaine. Sachant qu’un contrôleur de domaine ne dispose pas d’une base locale de comptes, il faut donc passer par un compte spécifique, une sorte de compte administrateur local pour les contrôleurs de domaine. D’ailleurs, lors de la promotion d’un serveur en tant que nouveau contrôleur de domaine, l’assistant de promotion vous propose de définir le mot de passe DSRM.

 

 

 

 

 

 


 

 

Il faut donc que les personnes responsables de la promotion de nouveaux contrôleurs de domaine aient connaissance du mot de passe à définir. Afin d’éviter cela, il est également possible de passer par un fichier de réponse mais là encore le mot de passe DSRM sera stocké en clair.

L’outil en ligne de commande NTDSUTIL permet également de modifier le mot de passe DSRM.

 

Du coup, vous pourriez définir facilement le mot de passe DSRM et à intervalle régulier grâce à un script sur tous les contrôleurs de domaine. Toutefois, là encore, le problème du stockage du mot de passe va poser problème.

 

 

 

Utilisation d'un compte de domaine pour définir le mot de passe administrateur DSRM

Dès Windows Server 2008 et avec l’application du hotfix KB961320 (http://support.microsoft.com/kb/961320), NTDSUTIL permet d’être défini à partir d’un compte utilisateur du domaine. Il suffit simplement de spécifié « SYNC FROM DOMAIN ACCOUNT <mon compte> » lorsque NTDSUTIL nous demande de redéfinir le mot de passe administrateur DSRM.

Par exemple, sur votre annuaire Active Directory, créez un compte utilisateur « Administrateur DSRM » avec comme nom d’ouverture de session « adminDSRM ».

 

 

 

 


Ouvrez ensuite une invite de commandes et tapez les commandes suivantes :

  • ntdsutil
  • Set DSRM Password
  • Sync from domain account adminDSRM
  • q
  • q

 

Le mot de passe administrateur DSRM est désormais défini sans avoir à le connaitre en spécifiant tout simplement le compte de domaine vers lequel se synchroniser. Par contre, il ne s’agit que d’une synchronisation sur demande. Du coup, si vous changez le mot de passe du compte du domaine, le mot de passe administrateur DSRM ne sera pas synchroniser automatiquement.

 

 

Synchroniser automatiquement le mot de passe administrateur DSRM

Afin de garantir que le mot de passe administrateur DSRM sur chaque contrôleur de domaine et identique à votre compte utilisateur du domaine l’idéal sera de lancer de manière automatique et à intervalle régulier la commande NTDSUTIL « sync from domain account … ».

Pour cela, nous allons déployé une tâche planifiée via une stratégie de groupe.

Commençons par ouvrir la console « Gestion de stratégie de groupe » en lançant la commande « gpmc.msc » depuis « Démarrer | Exécuter ».

 

Nous allons créer la nouvelle stratégie de groupe « Synchronisation du mot de passe DSRM » et la lier directement au conteneur « Domain Controllers ». Pour cela fait un clic droit sur le conteneur et sélectionnez « Créer un objet GPO dans ce domaine, le lier ici… ».

 

 

 

 

 

 

 

La GPO étant créée, faites un clic droit dessus et sélectionnez « Modifier… » pour accéder à la console « Editeur de gestion des stratégies de groupe ».

 

 

 


 

 

Naviguez ensuite vers « Configuration ordinateur | Préférences | Tâches planifiées » et, l’aide d’un clic droit sur « Tâches planifiées », choisissez « Nouveau => Tâche planifiée ».

 

 


 

 

 

 

 

Dans les propriétés de la tâche planifiée :

  • Choisissez l’action « Mettre à jour »
  • Donnez-lui un nom
  • Spécifiez le chemin d’accès « %systemRoot%\system32\ntdsutil.exe » dans le champ « Exécuter »
  • Ajouter les arguments suivant : « "SET DSRM PASSWORD" "SYNC FROM DOMAIN ACCOUNT adminDSRM" Q Q »

 

 

 

 

 

 

 

 

 

Depuis l’onglet « Planifier », définissez l’intervalle d’exécution qui vous conviendra le mieux.

 

 

 

 

 

 

 

 

 

 

Pour aller plus loin...

Pour les quelques idées à développer… vous avez, par exemple, la possibilité de dédier un compte de domaine pour les RODC et les RWDC ou empêcher l'ouverture de session interactive pour ces comptes de domaine.

Autre point intéressant sera de mettre un filtre WMI sur votre GPO ou activer le « ciblage au niveau de l’élément » au sein même de la GPP pour exclure les éventuels contrôleurs de domaine encore en version Windows Server 2003.

 

How to Find Active Directory Schema Update History by Using PowerShell

Mise à jour le Vendredi, 02 Août 2013 08:30