由於 AD DS 已經停止或是網域控制站已經在 DSRM 下啟動而造成 Active Directory 網域服務 (AD DS) 未執行時,就需要目錄服務還原模式 (DSRM) 密碼,才能登入網域控制站。
附註 | |
DSRM 密碼與網域 Administrator 帳戶的密碼不同。 |
如果您正在建立樹系中的第一個網域控制站,則會透過 Active Directory 網域服務安裝精靈強制本機伺服器上生效的密碼原則。
對於所有其他網域控制站的安裝,Active Directory 網域服務安裝精靈則會強制在做為安裝夥伴的網域控制站上生效的密碼原則。這表示您指定的 DSRM 密碼,必須在密碼長度下限、歷程記錄以及複雜性需求等方面符合內含安裝夥伴之網域的要求。根據預設值,必須提供強式密碼,其中包含大寫與小寫字母、數字及符號的組合。
請務必妥善保護 DSRM 密碼。安裝之後對未經授權的人員洩漏 DSRM 密碼,會帶來安全性風險。惡意使用者會使用密碼以 DSRM 啟動網域控制站,進而造成樹系中的問題。例如,惡意使用者可能會以 DSRM 啟動網域控制站,然後強制從伺服器中移除 AD DS。