Das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) wird zur Anmeldung bei einem Domänencontroller benötigt, wenn die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) nicht ausgeführt werden, entweder weil AD DS beendet wurde oder weil der Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus gestartet wurde.
 | Hinweis |
|
Das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus ist nicht dasselbe wie das Kennwort für das Administratorkonto der Domäne. |
Wenn Sie den ersten Domänencontroller in der Gesamtstruktur erstellen, wird die Anwendung der auf dem lokalen Server geltenden Kennwortrichtlinie vom Assistenten zum Installieren von Active Directory-Domänendiensten erzwungen.
Bei allen anderen Domänencontrollerinstallationen erzwingt der Assistent zum Installieren von Active Directory-Domänendiensten die Anwendung der Kennwortrichtlinie, die auf dem Domänencontroller wirksam ist, der als Installationspartner verwendet wird. Dies bedeutet, dass das angegebene Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus die Mindestlängenanforderungen für Kennwörter sowie die Verlaufs- und Komplexitätsanforderungen für die Domäne erfüllen muss, die den Installationspartner enthält. Standardmäßig muss ein sicheres Kennwort verwendet werden, das eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen enthält.
Stellen Sie sicher, dass das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus geschützt ist. Die Preisgabe des Kennworts für den Verzeichnisdienst-Wiederherstellungsmodus gegenüber unbefugten Personen stellt ein Sicherheitsrisiko dar. Ein böswilliger Benutzer kann dieses Kennwort verwenden, um den Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus zu starten, und in der Folge Probleme in der Gesamtstruktur verursachen. Beispielsweise kann ein böswilliger Benutzer den Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus starten und dann das Entfernen von AD DS vom Server erzwingen.