Si por un fallo del sistema, porque nos han hackeado o habéis perdido la contraseña del administrador de dominio en un servidor Windows 2008-2003-2000 que sea controlador de dominio con directorio activo podemos recuperarla o mejor dicho restearla con una nueva de forma muy sencilla.
Las siguientes instrucciones sirven para resetear la contraseña en Windows 2000, 2003 y 2008 Server con Directorio Activo.
La contraseña se resetea a través del Modo de restauración de servicios de directorio (Active Directory Service Restore Mode, DSRM) en el accederemos utilizando la cuenta del administrador local del servidor, sin poder usar el dominio. La contraseña de esta cuenta se nos solicita que la creemos cuando realizamos la instalación del Directorio Activo con dcpromo. Es totalmente independiente de la del administrador del dominio y es almacenada como en cualquier equipo Windows, dentro del Security Accounts Manager (SAM) en la carpeta %SystemRoot%\System32\Config
Si tampoco disponéis de la contraseña del administrador local del servidor para el modo restauración utilizar cualquiera de la multitud de LiveCDs que existen que contienen programas para resetear contraseñas en Windows 2000, XP, Vista y 7, como el Offline NT Password & Registry Editor que también se puede usar a través del Ultimate Boot CD for Windows
Windows Server 2003 y 2008
- Reiniciamos y presionamos la tecla “F8” para que nos aparezca el menú de opciones de recuperación y seleccionamos “Modo de restauración de servicios de directorio”. El equipo se iniciara normalmente pero sin los servicios de dominio del Directorio Activo.
- Iniciamos sesión con el usuario administrador local.
- Previamente tenemos que descargarnos este archivo 7-Zip que contiene todo lo necesario y un excelente script realizado por Robert Strom para automatizar el proceso:
ARCHIVO NECESARIO: dc_pass_reset.7z
- Descomprimiremos el archivo y vemos que contiene varias aplicaciones y script cmd, antes de nada tenemos que editar el archivo resetpass.cmd dentro tiene una línea que pone:
net user administrator P@ssw0rd1! /domain
Tenemos que cambiar administrator por el nombre del usuario administrador de dominio que tengamos que cambiar la clave y cambiaremos P@ssw0rd1! por la clave que queremos poner. Tener cuidado con la política de seguridad de contraseñas que tenéis establecida en el servidor, normalmente la contraseña nueva tiene que ser de al menos 8 caracteres, que al menos uno sea mayúsculas, que al menos uno sea minúsculas y que contenga por lo menos un numero.
- Para proceder a cambiar la contraseña ejecutamos el script: change-admin-passwd.cmd
- Reiniciamos el servidor en modo normal e iniciamos sesión en el dominio con la contraseña que hemos puesto en el script.
Aunque en el script ponga que es para Windows 2003 sirve perfectamente para Windows 2008, lo he comprobado con éxito.
Windows Server 2000
- Reiniciamos y presionamos la tecla “F8” para que nos aparezca el menú de opciones de recuperación y seleccionamos “Modo de restauración de servicios de directorio”. El equipo se iniciara normalmente pero sin los servicios de dominio del Directorio Activo.
- Iniciamos sesión con el usuario administrador local.
- Ejecutamos "regedit" desde el comando ejecutar y no dirigimos hasta HKEY_USERS\.Default\Control Panel\Desktop en donde cambiamos:
SCRNSAVE.EXE cambiamos el logon.scr por cmd.exe ScreenSaveTimeout cambiamos el valor 900 por 15 ScreenSaveActive puede estar en 0 o en 1 lo ponemos en 1
- Reiniciamos normalmente. Cuando lleguemos a la pantalla de inico de session, CTRL-ALT-DEL, esperamos 15-30 segundos y nos aparece la línea de comandos.
En ella escribimos: MMC DSA.MSC
Dsa.msc es el archivo que inicia la consola de administración de usuarios y equipos del directorio activo.
- Ahora podemos cambiar la contraseña de cualquier usuario, incluido la del administrador del dominio.
- Una vez cambiada la contraseña cerramos la consola de administración y salimos de la línea de comando escribiendo EXIT, luego ya podemos iniciar sesión con el usuario administrador y la nueva contraseña. NO TE OLVIDES de cambiar las modificaciones que hemos hecho en el registro a como estaban antes.