Het omgaan met verloren of vergeten Active Directory (AD) domeinbeheerderswachtwoorden kan een nachtmerrie zijn, vooral als u bent buitengesloten en het DSRM-wachtwoord niet bij de hand hebt. Of het nu komt door pensionering, beveiligingslekken of gewoon vergeetachtigheid, weten hoe u weer toegang krijgt, is cruciaal. Het is misschien wat vreemd, maar het proces omvat meestal opstarten in de herstelmodus of het manipuleren van systeembestanden – dingen die niet bepaald eenvoudig zijn, maar wel mogelijk als u de juiste stappen volgt. Deze handleiding zou u moeten helpen de zaken te verduidelijken, met verschillende methoden afhankelijk van uw situatie. Verwacht wat trucjes met de opdrachtregel, stappen voor back-up en herstel, en een paar handige tips waarmee u het wachtwoord kunt resetten met of zonder het DSRM-wachtwoord.
Hoe u een verloren wachtwoord voor de domeinbeheerder kunt resetten als u het DSRM-wachtwoord niet weet
Opstarten vanaf Windows-installatiemedia
Deze methode is een klassieker, maar vereist fysieke toegang tot de server of in ieder geval toegang tot de console op afstand als u zich in een virtuele omgeving bevindt. Het idee is om het hulpprogramma utilman.exe (Toegankelijkheid) te vervangen door cmd.exe en vervolgens bij het inloggen een opdrachtprompt te starten die met SYSTEM-rechten wordt uitgevoerd. Waarom is dit handig? Omdat het resetten van wachtwoorden of het inschakelen van accounts kinderspel wordt zodra u een SYSTEM-shell hebt. Het is echter niet zonder risico’s: er mogen geen beveiligingslekken achterblijven, dus het is cruciaal om de originele bestanden achteraf te herstellen. In sommige configuraties kan dit de eerste keer mislukken, maar na een herstart wel lukken – Windows speelt graag een lastig spelletje.
- Zorg dat u een Windows Server ISO-bestand of een opstartbare USB-stick bij de hand hebt. U kunt deze via BIOS/UEFI koppelen of ervan opstarten, of in het geval van een virtuele machine de ISO als virtuele schijf koppelen.
- Zodra het Windows-installatiescherm is opgestart, drukt u op Shift + F10om een opdrachtprompt te openen.
- Identificeer de partitie waarop Windows is geïnstalleerd. Voer het volgende commando uit:
wmic logicaldisk get volumename, name. Meestal is dit C:, maar dit kan variëren. U kunt ook diskpart gebruiken:diskpart->list vol. - Maak voor de zekerheid een back-up van utilman.exe:
copy C:\windows\system32\utilman.exe C:\windows\system32\utilman.exbak. Want natuurlijk moet Windows het altijd ingewikkelder maken dan nodig. - Vervang utilman.exe door cmd.exe om een backdoor te creëren:
copy c:\windows\system32\cmd.exe c:\windows\system32\utilman.exe /y. Wanneer je inlogt en op de knop Toegankelijkheid klikt, wordt er in plaats daarvan een opdrachtprompt geopend. - Start Windows opnieuw op in uw normale omgeving:
wpeutil reboot(of herstart de computer). - Klik op het inlogscherm op het pictogram Toegankelijkheid. Er verschijnt een opdrachtprompt met SYSTEM-rechten.
- Voer dit commando uit
whoamiom de SYSTEM-rechten te controleren. Geef vervolgens informatie over het beheerdersaccount weer:net user administrator. Je ziet dan of het actief of uitgeschakeld is. Als het is uitgeschakeld, schakel het dan in:net user administrator /active:yes. - Stel een nieuw wachtwoord in:
net user administrator *. U wordt gevraagd een nieuw wachtwoord in te voeren. Zorg ervoor dat het voldoet aan het wachtwoordbeleid van uw domein. In sommige configuraties kan het wachtwoord worden geblokkeerd als het niet voldoet aan de complexiteitsregels. - Na het resetten moet u utilman.exe terugzetten naar de oorspronkelijke staat:
copy c:\windows\system32\utilman.exbak c:\windows\system32\utilman.exe /y. Deze stap is cruciaal, anders laat u een beveiligingslek achter. - Start de computer normaal opnieuw op en probeer in te loggen met het nieuwe wachtwoord.
Het wachtwoord van een gevirtualiseerde domeincontroller opnieuw instellen.
Als uw domeincontroller in een virtuele machine draait – bijvoorbeeld op VMware, Hyper-V of Proxmox – werkt het iets anders. U kunt de PowerShell-module Winhance op GitHub of de DSInternals -module gebruiken om de Active Directory-database rechtstreeks te manipuleren. Het is wat omslachtig, maar als u de virtuele machine afsluit, de schijf ervan koppelt aan een andere Windows-VM en de schijf laadt, kunt u het wachtwoord zonder al te veel moeite opnieuw instellen.
- Sluit de DC VM af en koppel de schijf ervan aan een andere Windows-computer. Wijs deze toe als station E: of een andere letter.
- Installeer de DSInternals-module:
Install-Module DSInternals –Force. Als er geen internetverbinding is, kunt u deze vooraf downloaden en offline installeren. - Verkrijg uw encryptiesleutel (opstartsleutel) met:
$bootkey = Get-BootKey -SystemHiveFilePath "E:\Windows\System32\config\SYSTEM". Deze sleutel is nodig om de wachtwoordhashes te decoderen. - Informatie over het beheerdersaccount opvragen:
Get-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:\Windows\NTDS\ntds.dit" -BootKey $bootkey. Dit laat u zien of het account is uitgeschakeld. - Als het is uitgeschakeld, schakel het dan in:
Enable-ADDBAccount -SamAccountName 'Administrator' -DBPath "E:\Windows\NTDS\ntds.dit". Om het wachtwoord opnieuw in te stellen:Set-ADDBAccountPassword -SamAccountName 'administrator' -DBPath "E:\Windows\NTDS\ntds.dit" -BootKey $bootkey. Het is een beetje technisch, maar het werkt. - Koppel de schijf los, sluit deze opnieuw aan op de oorspronkelijke virtuele machine en start deze op. Het nieuwe wachtwoord zou hetzelfde moeten zijn als het wachtwoord dat u hebt ingesteld.
Reset vanuit DSRM-modus als het wachtwoord bekend is.
Als u het DSRM-wachtwoord ergens hebt opgeslagen, start u de computer op in DSRM-modus. Dit kan door de computer opnieuw op te starten, op F8 te drukken of de juiste opstartoptie te selecteren (afhankelijk van uw configuratie).Meld u aan als de DSRM-beheerder. Van daaruit kunt u het wachtwoord van de domeinbeheerder rechtstreeks wijzigen in Active Directory Gebruikers en Computers of via de opdrachtregel.
Om te controleren met welk account je bent ingelogd: whoami /user. Om vervolgens het daadwerkelijke wachtwoord te wijzigen, gebruik je vaak:
net user administrator *Hierdoor wordt u gevraagd een nieuw wachtwoord in te stellen. Zodra dit is ingesteld, kunt u het gebruiken om normaal in te loggen op de domeincontroller. Houd er rekening mee dat u, als u het wat stiekemer wilt aanpakken, een service kunt maken die het wachtwoord bij het opstarten opnieuw instelt – zoals in de meegeleverde voorbeeldcode – door een tijdelijke Windows-service te maken met sc create.
Onthoud goed dat fysieke beveiliging en een goede toegangscontrole uw eerste verdedigingslinie vormen: als iemand fysiek toegang krijgt tot uw systeem, kan diegene vrijwel alles doen. Het gebruik van een alleen-lezen domeincontroller (RODC) kan bepaalde risico’s in minder vertrouwde omgevingen helpen beperken.