увійти з локальної обліковим записом на контролер домену в принципі неможливо, оскільки при підвищенні сервера до контролера домену локальна база облікових записів стає недоступною. Однак з цього правила є один виняток.

На випадок несправності служби каталогів на контролерах домену є спеціальний режим завантаження Directory Services Restore Mode (DSRM).В цьому режимі служба каталогів не запускаються, а база даних AD перекладається в автономний режим. Для входу в цьому режимі використовується спеціальна обліковий запис адміністратора DSRM, яка і є єдиною локальної обліковим записом на контролері домену. У зв'язку з цим виникає два питання.

Як дізнатися пароль DSRM

Пароль DSRM вказується в процесі розгортання контролера домену.

Втім, запам'ятовувати або записувати пароль зовсім не обов'язково, при необхідності його легко можна скинути за допомогою утиліти ntdsutil. Для скидання пароля DSRM необхідно зайти на контролер домену і виконати команди:

ntdsutil
set dsrm password
reset password on server NULL
новий пароль
підтвердження пароля
quit
quit

З виходом SP2 для Windows Server 2008 з'явився ще один спосіб скинути пароль DSRM-адміна - синхронізувати його з паролем доменної облікового запису.Для синхронізації можна вибрати будь-якого користувача, або створити нового.

Для прикладу я створив користувача Dsrmadmin.

Для синхронізації знову ж заходимо на контролер домену і виконуємо команди:

ntdsutil
set dsrm password
sync from domain account dsrmadmin
quit
quit

Або те ж саме одним рядком:

ntdsutil "set dsrm password" "sync from domain account dsrmadmin" qq

Після цього можемо заходити на контролер домену, використовуючи пароль від доменної облікового запису.Варто уточнити, що процедура синхронізації не забезпечує відстеження змін і постійне відповідність паролів. Для регулярної синхронізації доведеться придумувати або, наприклад додати команду синхронізації в Startup Scripts, або створити завдання в планувальнику.

Чи можна увійти під DSRM адміністратором в звичайному режимі

В попередніх версіях Windows DSRM адміністратор міг здійснити локальний вхід на контролер домену тільки завантажившись в режимі DSRM.Починаючи з Windows Server 2008 служби AD можуть бути зупинені з оснащення Services, без необхідності перезавантаження. Відповідно у DSRM адміністратора тепер є можливість підключитися до контролера домену та в звичайному (НЕ DSRM) режимі.

Активувати цю можливість можна за допомогою редагування реєстру на контролері домену.Для зміни відповідає параметр типу DWORD з назвою DsrmAdminLogonBehavior, що знаходиться в розділі HKLM \ System \ CurrentControlSet \ Control \ Lsa. Він може мати значення:

0 - DSRM адміністратор може увійти в систему тільки в режимі DSRM. Це значення за замовчуванням;
1 - DSRM адміністратор може увійти в систему при зупиненій службі AD DS;
2 - DSRM адміністратор може зайти на контролер домену в будь-який час.

Встановити необхідне значення можна за допомогою утиліти reg.exe, запущеної з командного рядка з правами адміністратора. Для прикладу встановимо для параметра значення, рівне 1:

REG ADD "HKLM \ System \ CurrentControlSet \ Control \ Lsa"/v DsrmAdminLogonBehavior/t REG_DWORD/d 1/F

Або за допомогою PowerShell, наприклад так поставимо для параметра значення 2:

New-ItemProperty -Name DsrmAdminLogonBehavior - Path HKLM: \ System \ CurrentControlSet \ Control \ Lsa -PropertyType Dword -Value 2 -Force

на закінчення нагадаю, що дозволяти локальний вхід на контролері домену без особливої ​​необхідності не варто, так як це знижує безпеку..