Modifier le mot de passe du compte administrateur de restauration des services active directory (DSRM) via l'invite de commande :
Pour modifier le mot de passe administrateur de restauration active directory sur un contrôleur de domaine ,ouvrir l'invite de commande et taper la commande suivante :ntdsutil "set dsrm password" "reset password on server NULL"
Ensuite saisir le nouveau mot de passe deux fois et et taper Q pour quitter:
Utiliser un compte de domaine pour modifier le mot de passe du compte administrateur de restauration des services active directory (DSRM) :
A partir du Windows 2008, il est possible de synchroniser le mot de passe du compte administrateur de restauration des services active directory avec un compte utilisateur du domaine.
Pour lancer la synchronisation, il suffit de lancer la commande ci-dessous (dsrm-account est le nom du compte utilisateur de domaine):
ntdsutil "set dsrm password" "Sync from domain account DSRM-account" quit quit
Synchroniser le mot de passe du compte administrateur de restauration des services active directory (DSRM) de tous les contrôleur de domaine avec un seul compte de domaine via Group Policy Preferences:
Si vous avez plusieurs contrôleurs de domaine, la gestion du compte DSRM via la commande ntdsutil devient compliquée .
Pour simplifier la gestion du mot de passe DSRM de tous les contrôleurs de domaine, vous pouvez déployer une tâche planifiée via GPP sur tous les contrôleurs de domaine, pour forcer la synchronisation du mot de passe DSRM avec un seul compte utilisateur active directory.
Si vous gérer plusieurs domaines, il faut créer un compte active directory et une GPO par domaine.
Si vous gérer plusieurs domaines, il faut créer un compte active directory et une GPO par domaine.
Dans l'exemple ci-dessous,nous allons montrer comment centraliser et simplifier la gestion du mot de passe DSRM de tous les contrôleurs de domaine à travers un seul compte utilisateur de domaine:
2. Créer une nouvelle GPO nommé DSRM et l'attacher à l'OU Domain Controllers:
3. Editer le GPO, et aller vers Computer Configuration => Preferences => Control Panel Settings , puis cliquer sur le bouton droit sur Scheduled Tasks =>New => Scheduled Task (At least Windows 7) comme indiqué dans la figure ci-dessous:
Remarque:
Si vous choisissez l'option Scheduled Task , la tâche planifiée sera créée que sur les contrôleurs de domaine installés sous Windows 2008 et Windows 2008R2.
Si vous avez des contrôleurs de domaine sous Windows 2012 R2 ou plus , il faut choisir l'option Scheduled Task (At least Windows 7).
4. Configurer la tâche planifiée en indiquant le nom de tâche et le compte NT AUTHORITY\SYSTEM pour l'exécuter et cocher l'option Run whether user is logged on or not:
5. Définir la fréquence de l'exécution de la tâche depuis l'onglet Triggers:
6. Dans l'onglet Actions, cliquer sur new pour créer une nouvelle action:
Dans la fenêtre New Action , il faut définir les valeurs mentionnées dans la figure ci-dessous :
Action => Start a program
Action => Start a program
Program/script => ntdsutil
Add arguments (optional) => "Set DSRM Password" "Sync from domain account dsrm" quit quit
Aucun commentaire:
Enregistrer un commentaire