Microsoft
Active Directory (Domain Controller) Sunucusunun Şifresi Unutulunca Ne Yapılmalıdır?
Active Directory ortamında Domain Controller (DC), tüm domain yapısının kalbidir. Bu sunucu üzerindeki Administrator veya yetkili bir hesabın şifresinin unutulması, ciddi erişim problemlerine yol açabilir. Ancak doğru adımlar izlenirse bu durum güvenli şekilde çözülebilir.
- Öncelikle Hangi Şifrenin Unutulduğu Netleştirilmelidir
Domain ortamlarında birden fazla “administrator” kavramı vardır:
Domain Administrator (Domain Admins grubundaki hesap)
Local Administrator (DC’de local hesap yoktur, ancak DSRM hesabı vardır)
DSRM (Directory Services Restore Mode) Administrator
Unutulan şifrenin hangisi olduğu çözüm yolunu belirler. - Domain Admin Şifresi Unutulduysa (Başka DC Varsa)
Eğer ortamda birden fazla Domain Controller bulunuyorsa:
Diğer DC’lerden birine, domain admin yetkisine sahip başka bir hesapla giriş yapılır.
Active Directory Users and Computers üzerinden ilgili Domain Admin hesabının şifresi sıfırlanır.
Replikasyon tamamlandıktan sonra sorunlu DC’ye erişim sağlanır.
Bu senaryo en risksiz ve önerilen çözümdür. - Tek Domain Controller Varsa ve Domain Admin Şifresi Unutulduysa
Bu durum daha kritiktir. En güvenli yöntem DSRM (Directory Services Restore Mode) kullanmaktır.
Adımlar:
Tek Domain Controller Varsa ve Domain Admin Şifresi Unutulduysa” başlığında teknik bir yanlış var. DSRM parolası yalnızca DSRM boot context’i içinde geçerlidir ve domain security context üretmez. Domain Controller normal moda alındığında bu parola hiçbir yetki sağlamaz.DSRM ile NTDS.dit dosyasına teknik erişim mümkün olsa da bu durum Domain Admin parolalasının değiştirilebileceği anlamına gelmez. Domain parola reset işlemleri LSASS ve replikasyon farkındalığı olan mekanizmalarla gerçekleştirilir ve bu akışlar DSRM modunda çalışmaz. Bu nedenle DSRM ile oturum açıp normal moda dönerek Domain Admin parolası sıfırlanamaz.DSRM, bilinçli olarak domain güvenlik sınırının dışında konumlandırılmıştır. Aksi durumda fiziksel erişimi olan herkes domain güvenliğini aşabilirdi. Microsoft’un desteklediği senaryolarda DSRM, parola reseti için değil System State restore ve veritabanı bütünlüğü için kullanılır. Tek DC ortamında Domain Admin parolasının kaybında desteklenen çözüm parola reset değil, System State restore veya domain’in yeniden kurulmasıdır.
Açılış sırasında F8 ile gelişmiş seçeneklere girilir.
Directory Services Restore Mode (DSRM) seçilir.
DSRM Administrator şifresi ile oturum açılır.
Sunucu normal moda alındıktan sonra:
ntdsutil veya
yetkili bir PowerShell/AD aracı
kullanılarak Domain Admin şifresi sıfırlanır.
Not: DSRM şifresi de unutulmuşsa, Microsoft tarafından desteklenmeyen yöntemler (offline password reset) ciddi risk taşır ve önerilmez. - DSRM Şifresi Unutulduysa
Eğer Domain Admin erişimi varsa, DSRM şifresi aşağıdaki komutla yeniden ayarlanabilir:
ntdsutil
set dsrm password
reset password on server null
Bu işlemden sonra yeni bir DSRM şifresi belirlenir.
- Snapshot, Backup veya System State Geri Yükleme
Hiçbir hesaba erişim yoksa:
System State Backup alınmışsa, geri yükleme yapılabilir.
Bu işlem dikkatli yapılmalıdır çünkü:
AD replikasyon sorunlarına
USN rollback gibi ciddi problemlere yol açabilir.
Bu aşamada mutlaka dokümantasyon ve test ortamı önerilir. - Güvenlik ve Önleyici Tedbirler
Bu tür durumların tekrar yaşanmaması için:
En az iki Domain Controller kullanılmalıdır.
Birden fazla Domain Admin hesabı tanımlanmalıdır.
DSRM şifresi güvenli bir kasada (password vault) saklanmalıdır.
Düzenli System State Backup alınmalıdır.
Yetkiler kişilere değil, rollere atanmalıdır.
Sonuç
Active Directory sunucusunun şifresinin unutulması kritik bir durumdur ancak doğru bilgi ve yöntemlerle çözülebilir. Özellikle tek Domain Controller bulunan ortamlarda, bu tür risklere karşı önceden planlama ve yedekleme yapılması hayati önem taşır.
