Les dangers d’Active Directory

Les mots de passe DSRM (Directory Services Restore Mode) de votre contrôleur de domaine constituent probablement les « grands oubliés » parmi les mots de passe de votre domaine. Ceux-ci sont définis lorsque vous créez un nouveau contrôleur de domaine, mais ils sont rarement réexaminés après cet événement initial.

Les mots de passe DSRM sont nécessaires lors du redémarrage d’un contrôleur de domaine en mode DSRM, lequel est requis uniquement après une perte de données. Histoire de compliquer leur administration, ils ont aussi été définis à l’origine par contrôleur de domaine, de sorte que différents contrôleurs de domaine peuvent avoir différents mots de passe. Le fait de ne pas avoir les informations de mots de passe DSRM correctes transforme un petit problème en un problème majeur au moment où on en a le plus besoin.

Il est possible de réinitialiser les mots de passe DSRM de la manière traditionnelle avec NTDSUTIL, ce au moyen de la commande « set DSRM password ». Ce processus doit être exécuté sur chaque contrôleur de domaine individuel de votre forêt. Autre possibilité, avec la publication de l’article de base de connaissances 961320 pour Windows Server 2008, Microsoft a ajouté un mécanisme de synchronisation des mots de passe DSRM avec un compte de domaine. Ce processus fait en sorte que tous les mots de passe DSRM soient équivalents à l’échelle globale, ce qui facilite nettement le travail d’administration. Vous trouverez plus d’informations sur ce processus à l’adresse http://tinyurl.com/ybyb8j7.