Пароль режима восстановления служб каталога (DSRM) требуется для входа на контроллер домена, если служба AD DS (Active Directory Domain Services) не запущена, либо потому что она была остановлена, либо потому что контроллер домена был запущен в режиме DSRM.
Примечание | |
Пароль DSRM не совпадает с паролем учетной записи администратора домена. |
При создании первого контроллера домена в лесу мастер установки службы AD DS применяет политику паролей, действующую на локальном сервере.
Для всех других установок контроллера домена мастер установки службы AD DS применяет политику паролей, действующую на контроллере домена, используемом в качестве партнера по установке. Это означает, что заданный пароль DSRM должен соответствовать требованиям к минимальной длине паролей, их неповторяемости и сложности, определенным для домена, в который входит партнер по установке. По умолчанию должен быть введен надежный пароль, содержащий комбинацию прописных и строчных букв, цифр и знаков.
Обеспечьте безопасность пароля DSRM. Разглашение после установки пароля DSRM не обладающему соответствующими правами персоналу представляет собой угрозу для безопасности. Пользователь-злоумышленник может использовать пароль для запуска контроллера домена в режиме DSRM и затем создать проблемы в лесу. Например, злоумышленник может запустить контроллер домена в режиме DSRM, а затем удалить службу AD DS с сервера.