So setzen Sie Ihr Active Directory-Domänenadministratorkennwort zurück

Der Umgang mit verlorenen oder vergessenen Active Directory (AD)-Domänenadministratorpasswörtern kann zum Albtraum werden, insbesondere wenn man ausgesperrt ist und das DSRM-Passwort nicht zur Hand hat. Ob aufgrund von Pensionierungen, Sicherheitslücken oder einfach nur Vergesslichkeit – zu wissen, wie man den Zugriff wiedererlangt, ist extrem wichtig. Es mag etwas ungewöhnlich klingen, aber der Prozess beinhaltet in der Regel das Starten im Wiederherstellungsmodus oder die Bearbeitung von Systemdateien – etwas, das nicht ganz einfach ist, aber mit den richtigen Schritten machbar. Dieser Leitfaden soll Klarheit schaffen und bietet verschiedene Methoden, je nach Ihrer Situation. Sie finden darin Befehlszeilenbefehle, Schritte zur Datensicherung und -wiederherstellung sowie einige Tricks, mit denen Sie das Passwort mit oder ohne DSRM-Passwort zurücksetzen können.

So setzen Sie ein verlorenes Domänenadministratorkennwort zurück, wenn Sie das DSRM-Kennwort nicht kennen

Starten Sie von den Windows-Installationsmedien.

Diese Methode ist zwar klassisch, erfordert aber physischen Zugriff auf den Server oder zumindest Fernzugriff auf die Konsole in einer virtuellen Umgebung. Die Idee ist, das Tool „utilman.exe“ (Erleichterte Bedienung) durch „cmd.exe“ zu ersetzen und beim Anmelden eine Eingabeaufforderung mit SYSTEM-Rechten zu öffnen. Der Vorteil? Sobald man Zugriff auf die SYSTEM-Shell hat, lassen sich Passwörter problemlos zurücksetzen oder Konten aktivieren. Allerdings birgt diese Methode Risiken – es dürfen keine Sicherheitslücken entstehen. Daher ist es unerlässlich, die Originaldateien anschließend wiederherzustellen. Bei manchen Systemen kann dies beim ersten Mal fehlschlagen, nach einem Neustart aber funktionieren – Windows ist manchmal etwas knifflig.

  • Halten Sie eine Windows Server-ISO-Datei oder einen bootfähigen USB-Stick bereit. Sie können diese über das BIOS/UEFI einbinden oder davon booten. Bei einer virtuellen Maschine können Sie die ISO-Datei als virtuelles Laufwerk einbinden.
  • Sobald Sie im Windows-Setup-Bildschirm sind, drücken Sie Shift + F10die entsprechende Taste, um die Eingabeaufforderung zu öffnen.
  • Ermitteln Sie die Partition, auf der Windows installiert ist. Führen Sie folgenden Befehl aus: wmic logicaldisk get volumename, name. Normalerweise ist es C:, kann aber variieren. Alternativ können Sie diskpart verwenden: diskpart-> list vol.
  • Sichern Sie utilman.exe vorsichtshalber: copy C:\windows\system32\utilman.exe C:\windows\system32\utilman.exbakDenn natürlich muss Windows es unnötig kompliziert machen.
  • Ersetzen Sie utilman.exe durch cmd.exe, um eine Hintertür zu erstellen copy c:\windows\system32\cmd.exe c:\windows\system32\utilman.exe /y. Wenn Sie sich anmelden und auf die Schaltfläche „Erleichterte Bedienung“ klicken, öffnet sich stattdessen die Eingabeaufforderung.
  • Starten Sie Ihr System neu und kehren Sie in Ihre normale Windows-Umgebung zurück wpeutil reboot(oder starten Sie es einfach neu).
  • Klicken Sie auf dem Anmeldebildschirm auf das Symbol für erleichterte Bedienung. Daraufhin sollte sich eine Eingabeaufforderung mit SYSTEM-Rechten öffnen.
  • Führen Sie den Befehl aus whoami, um die SYSTEM-Rechte zu überprüfen. Anschließend werden die Informationen zum Administratorkonto angezeigt: net user administrator. Sie sehen, ob es aktiv oder deaktiviert ist. Falls deaktiviert, aktivieren Sie es: net user administrator /active:yes.
  • Legen Sie ein neues Passwort fest: net user administrator *Sie werden aufgefordert, ein neues Passwort einzugeben. Stellen Sie sicher, dass es den Passwortrichtlinien Ihrer Domäne entspricht. In manchen Konfigurationen wird das Passwort möglicherweise als fehlerhaft markiert, wenn es die Komplexitätsregeln nicht erfüllt.
  • Nach dem Zurücksetzen muss utilman.exe auf den Originalzustand zurückgesetzt werden copy c:\windows\system32\utilman.exbak c:\windows\system32\utilman.exe /y. Dieser Schritt ist entscheidend, da sonst eine Sicherheitslücke entsteht.
  • Starten Sie Ihr Gerät normal neu und versuchen Sie, sich mit dem neuen Passwort anzumelden.

Zurücksetzen des Kennworts auf einem virtualisierten Domänencontroller

Wenn Ihr Domänencontroller in einer virtuellen Maschine (VM) läuft – beispielsweise auf VMware, Hyper-V oder Proxmox – ist die Vorgehensweise etwas anders. Sie können das PowerShell-Modul Winhance von GitHub oder das DSInternals -Modul verwenden, um die AD-Datenbank direkt zu bearbeiten. Das ist zwar etwas umständlich, aber wenn Sie die VM herunterfahren, ihre Festplatte an eine andere Windows-VM anschließen und die Festplatte laden, können Sie das Kennwort problemlos zurücksetzen.

  • Fahren Sie die DC-VM herunter und schließen Sie deren Festplatte an einen anderen Windows-Rechner an. Binden Sie sie als Laufwerk E: oder mit einem anderen Laufwerksbuchstaben ein.
  • Installieren Sie das DSInternals-Modul: Install-Module DSInternals –Force. Falls keine Internetverbindung besteht, können Sie es vorab herunterladen und offline installieren.
  • Sie erhalten Ihren Verschlüsselungsschlüssel (Boot-Schlüssel) mit: $bootkey = Get-BootKey -SystemHiveFilePath "E:\Windows\System32\config\SYSTEM". Dieser Schlüssel wird benötigt, um die Passwort-Hashes zu entschlüsseln.
  • Rufen Sie Informationen zum Administratorkonto ab: Get-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:\Windows\NTDS\ntds.dit" -BootKey $bootkeyDadurch erfahren Sie, ob das Konto deaktiviert ist.
  • Falls deaktiviert, aktivieren Sie es: Enable-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:\Windows\NTDS\ntds.dit". So setzen Sie das Passwort zurück: Set-ADDBAccountPassword -SamAccountName 'administrator' -DBPath "E:\Windows\NTDS\ntds.dit" -BootKey $bootkey. Es ist etwas technisch, aber es funktioniert.
  • Trennen Sie das Laufwerk, stellen Sie die Verbindung zur ursprünglichen VM wieder her und starten Sie diese. Das neue Passwort sollte das von Ihnen festgelegte sein.

Zurücksetzen aus dem DSRM-Modus, falls das Passwort bekannt ist

Wenn Sie das DSRM-Kennwort gespeichert haben, starten Sie den Computer im DSRM-Modus – starten Sie ihn einfach neu, drücken Sie F8 oder wählen Sie die entsprechende Startoption (abhängig von Ihrer Konfiguration).Melden Sie sich als DSRM-Administrator an. Anschließend können Sie das Domänenadministratorkennwort direkt in „Active Directory-Benutzer und -Computer“ oder über die Befehlszeile ändern.

Um zu überprüfen, mit welchem ​​Benutzerkonto Sie angemeldet sind: whoami /user. Um das eigentliche Passwort zu ändern, verwenden Sie üblicherweise:

net user administrator *

Sie werden dann zur Eingabe eines neuen Passworts aufgefordert. Sobald dieses festgelegt ist, können Sie sich damit wie gewohnt am Domänencontroller anmelden. Falls Sie es etwas unauffälliger gestalten möchten, können Sie einen Dienst erstellen, der das Passwort beim Systemstart zurücksetzt – wie im bereitgestellten Beispielcode – indem Sie einen temporären Windows-Dienst erstellen sc create.

Denken Sie daran: Physische Sicherheit und eine angemessene Zugriffskontrolle sind Ihre erste Verteidigungslinie. Wer physisch in Ihr System eindringen kann, kann praktisch alles anstellen. Der Einsatz eines schreibgeschützten Domänencontrollers (RODC) kann dazu beitragen, einige Risiken an weniger vertrauenswürdigen Standorten zu minimieren.