Cómo cambiar la contraseña de DSRM en Windows Server

Cuando se trata de contraseñas y seguridad de contraseñas, la mayoría de las organizaciones han tomado medidas para implementar contraseñas complejas y procedimientos sólidos de cambio de contraseña. Sin embargo, una de las contraseñas más pasadas por alto y más importantes en tu red de Windows es la contraseña de Restauración de Servicios de Directorio (DSRM) en tus controladores de dominio.

Esta contraseña es única para cada controlador de dominio, y se utiliza para iniciar sesión en un controlador de dominio que has reiniciado en modo DSRM para poner su copia de Active Directory offline. Para reiniciar en modo DSRM, reinicia tu controlador de dominio y presiona [F8] durante la secuencia de inicio. Verás las siguientes opciones:

• Modo seguro
• Modo VGA
• Última configuración válida conocida
• Restauración de Servicios de Directorio

¿Por qué deberías actualizar la contraseña DSRM?

Esta es una contraseña tremendamente poderosa y deberías cambiarla regularmente, junto con todas tus demás contraseñas de cuenta de administrador. Cualquier persona con acceso local al controlador de dominio puede reiniciar esta máquina, copiar o modificar el archivo NTDS.DIT (la base de datos de Active Directory) y reiniciar el servidor sin dejar ningún rastro de la actividad.

Si tu red de Windows utiliza Windows 2000 Server, cuando utilizaste el Asistente de Configuración de Tu Servidor para promover el primer controlador de dominio en tu bosque, la contraseña DSRM era un valor nulo (es decir, en blanco). Esta también es la contraseña para la Consola de Recuperación. Tener contraseñas en blanco tanto para DSRM como para la Consola de Recuperación agrega una enorme vulnerabilidad a tu controlador de dominio de Windows 2000.

¿Y si estás ejecutando Windows Server 2003 en tu controlador de dominio? Habrías tenido que ingresar una contraseña DSRM cuando ejecutaste DCPromo o el Asistente de Configuración de Tu Servidor de Windows Server 2003. Entonces tiene una contraseña, pero es posible que no la recuerdes.

Independientemente del sistema operativo que estés ejecutando, sin embargo, debes saber cómo actualizar esta contraseña importante. Veamos cómo puedes cambiarla.

Cómo cambiar la contraseña de DSRM en Windows Server

Actualizar la contraseña DSRM

Puedes cambiar la contraseña DSRM desde un símbolo del sistema, pero el proceso es diferente dependiendo de si estás ejecutando Windows 2000 Server o Windows Server 2003.

En Windows 2000 Server, puedes usar el comando SETPWD. Para hacerlo, sigue estos pasos:

1. Inicia sesión en el controlador de dominio utilizando una cuenta con derechos de administrador.
2. Ve a Inicio | Ejecutar, escribe cmd y presiona [Enter].
3. En el símbolo del sistema, escribe cd %SystemRoot%\System32 y presiona [Enter].
4. Escribe setpwd [/s:<nombre_del_servidor>] y presiona [Enter]. Agregar el nombre del servidor es opcional; puedes usar este parámetro para cambiar la contraseña DSRM de forma remota en un controlador de dominio.
5. Cuando se te solicite "Ingrese la contraseña para la Cuenta de Administrador del Modo de Restauración de DS", ingresa la nueva contraseña.

En Windows Server 2003, puedes usar la utilidad NT Directory Services (Ntdsutil.exe). Para hacerlo, sigue estos pasos:

1. Inicia sesión en el controlador de dominio utilizando una cuenta con derechos de administrador.
2. Ve a Inicio | Ejecutar, escribe cmd y presiona [Enter].
3. En el símbolo del sistema, escribe cd %SystemRoot%\System32 y presiona [Enter].
4. Escribe ntdsutil y presiona [Enter].
5. Escribe set dsrm password y presiona [Enter].
6. En el símbolo del comando de DSRM, puedes restablecer la contraseña tanto para el servidor en el que estás trabajando como para otro servidor. Para el primero, escribe reset password on server null e ingresa la nueva contraseña cuando se solicite. (No aparecerán caracteres cuando ingreses la contraseña). Para restablecer la contraseña para otro servidor, escribe reset password on server <nombre_del_servidor> (donde <nombre_del_servidor> es el nombre DNS del servidor en cuestión) e ingresa la nueva contraseña cuando se te solicite. (No aparecerán caracteres cuando ingreses la contraseña).
7. En el símbolo del comando de DSRM, escribe q para salir.
8. En el símbolo del comando de Ntdsutil, escribe q para salir de la utilidad y volver al símbolo del sistema.

Conclusiones finales

La contraseña DSRM es una contraseña poderosa que es clave para toda tu estructura de Active Directory. Esta no es una contraseña de cuenta de servicio que puedes configurar una vez y olvidar. Es muy probable que necesites usar esta contraseña para corregir un problema con Active Directory. Por lo tanto, debes conocerla y tomar medidas para mantenerla segura.

¿Te perdiste alguna columna?

Visita el Archivo de Soluciones de Seguridad para ponerte al día con las ediciones más recientes de la columna de Mike Mullins.

¿Preocupado por problemas de seguridad? ¿Quién no lo está? Inscríbete automáticamente en nuestro boletín gratuito de Soluciones de Seguridad, que se entrega todos los viernes, y obtén consejos prácticos para proteger tus sistemas.

Diferencias entre los permisos de NTFS antiguos y actuales

Mike Mullins ha trabajado como administrador de red asistente y administrador de seguridad de red para el Servicio Secreto de los Estados Unidos y la Agencia de Sistemas de Información de Defensa. Actualmente es el director de operaciones del Centro de Operaciones y Seguridad de Red del Teatro Sur.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Microsoft, allí encontraras muchos artículos similares a Cómo cambiar la contraseña de DSRM en Windows Server , tenemos lo ultimo en tecnología 2023.