Найти в Дзене
Сисадмин
2918 подписчиков

Как включить всех отключенных админов в домене AD

36
3 мин
Это будет летопись великого падения домена, где безопасники “чуть-чуть подкрутили политики”, а потом в домене не осталось НИ ОДНОГО админа. Ни локального, ни доменного.
Кроме....
Очень злого...
У которого от этого седина вылезла, а в должностных инструкция обязанности разгребать такое... Всё началось с фразы: “У нас тут сроки поджимают. Мы тут внедрили best practices.” Эта фраза в переводе с безопасничьего означает: “Мы нажали галочки, смысл которых понимаем приблизительно.” И вот: Безопасники довольны.
Контроллеры — живы, но теперь без обслуги и живут своей жизнью. Ты смотришь на DC.
Он смотрит на тебя.
Между вами — GPO. Попытка логина: “The account is disabled.” Ты: “Я ЖЕ АДМИН.” AD: “БЫЛ.” И тут приходит понимание:
в домене больше нет никого, кто может включить админа. Поздравляю.
Ты достиг состояния Absolute Zero Trust. Единственный путь — DSRM.
Тот самый режим, про который некоторые знают, но крайне редко использует и почти никогда с таким не сталкивался в реале…
…пока домен н
Оглавление
Как включить всех отключенных админов в домене AD
Как включить всех отключенных админов в домене AD

Это будет летопись великого падения домена, где безопасники “чуть-чуть подкрутили политики”, а потом в домене не осталось НИ ОДНОГО админа. Ни локального, ни доменного.

Кроме....
Очень злого...
У которого от этого седина вылезла, а в должностных инструкция обязанности разгребать такое...

Глава 1. День, когда безопасники победили… всех

Всё началось с фразы:

“У нас тут сроки поджимают. Мы тут внедрили best practices.”

Эта фраза в переводе с безопасничьего означает:

“Мы нажали галочки, смысл которых понимаем приблизительно.”

И вот:

  • Все Domain Admin — Disabled
  • Все Enterprise Admin — Disabled
  • Делегированных прав — нет
  • Документации, что меняли — не существует

Безопасники довольны.

Контроллеры — живы, но теперь без обслуги и живут своей жизнью.

Глава 2. Осознание

Ты смотришь на DC.
Он смотрит на тебя.
Между вами — GPO.

Попытка логина:

“The account is disabled.”

Ты:

“Я ЖЕ АДМИН.”

AD:

“БЫЛ.”

И тут приходит понимание:

в домене больше нет никого, кто может включить админа.

Поздравляю.
Ты достиг состояния Absolute Zero Trust.

Глава 3. План спасения (когда Google уже не помогает)

Единственный путь — DSRM.
Тот самый режим, про который некоторые знают, но крайне редко использует и почти никогда с таким не сталкивался в реале…
…пока домен не превращается в тыкву.

Шаг 1. Зайти в DSRM

Перезагружаем DC.

Жмём F8 (или Shift+F8, или молимся — зависит от версии Windows и настроения сервера).

Загружаемся в Directory Services Restore Mode.

Логин:

.\Administrator

Пароль:

тот самый DSRM-пароль, который задавался 5 лет назад и “где-то записан”.

Если пароль найден — ты уже герой.
Если нет — это другая статья. Очень грустная. Намного грустнее этой...

Шаг 2. Создать скрипт (потому что руками нельзя)

В DSRM:

  • AD не поднят
  • GPO не работают
  • но PowerShell — жив (если весельчаки из соседнего отдела его не прибили на корню)

Создаём скрипт, который включит администратора, когда AD оживёт.

Например:

C:\EnableAdmin.ps1

Содержимое:

Import-Module ActiveDirectory
Enable-ADAccount -Identity "Administrator"

Если включать другого пользователя — просто заменить имя.
Да, так просто.
Да, безопасники ненавидят эту простоту.

Опционально можно из SYSVOL удалить "вредный" GPO, если известна дата его создания, чтобы он не активировался вновь и снова не отключил админа.

Шаг 3. Scheduled Task — оружие богов

Теперь главный хак.

В DSRM выполняем:

schtasks /create /tn "EnableDomainAdmin" ^
/tr "powershell.exe -ExecutionPolicy Bypass -File C:\EnableAdmin.ps1" ^
/sc onstart /ru SYSTEM

Почему SYSTEM — важно

Потому что:

  • SYSTEM запускается до логина
  • SYSTEMу плевать на отключённых пользователей
  • SYSTEM — это локальный бог DC

SYSTEM:

“Мне всё равно, что вы натворили. Я выполню задачу.”

Шаг 4. Перезагрузка в обычный режим

Перезагружаемся.

Что происходит:

  • AD сервис поднимается
  • Scheduled Task срабатывает
  • скрипт выполняется
  • аккаунт администратора включается

Ты логинишься.
Domain Admin снова жив.
Безопасники внезапно вспоминают, что “это был пилот”.

Альтернативный путь — для любителей путей посложнее

Если хочется максимального шаманства.

1️⃣ Загружаемся в DSRM

Логинимся:

.\Administrator

2️⃣ Ставим модуль DSInternals PowerShell

3️⃣ Включаем отключенную учётку администратора напрямую в базе AD

Enable-ADDBAccount -SamAccountName Administrator `
-DatabasePath C:\windows\ntds\ntds.dit

4️⃣ Получаем BootKey

Get-BootKey -online

Этот ключ нужен, чтобы внедрить новый пароль прямо в NTDS.dit.

Да, именно так.
Без GPO. Как кулхацкер.
Без логинов.
Без вопросов.

5️⃣ Сбрасываем пароль администратора

$newpassword = Read-Host -AsSecureString
Set-ADDBAccountPassword -SamAccountName Administrator `
-NewPassword $newpassword `
-DatabasePath C:\windows\ntds\ntds.dit `
-BootKey <boot key>

6️⃣ Перезагрузка

Перезагружаемся в обычный режим.

И — вуаля.
Ты снова админ.

Важное примечание, от которого безопасники бледнеют

Администратор может войти в систему, даже если учетная запись заблокирована.

Да.
Всегда.
Потому что:

  • если админ не может войти — домена больше нет
  • Windows это знает
  • и оставляет лазейку

Это не баг.
Это инстинкт самосохранения инфраструктуры.

Эпилог: мораль истории

Безопасники хотели:

“Максимальную безопасность.”

Получили:

“Максимальный простой.”

Сисадмин:

  • вошёл
  • починил
  • вернул доступ
  • теперь красавчик-супермен!

А потом сказал сакральную фразу:.
Культяпки убрали от домена!

До следующего “best practice”.

1
Гаджеты и электроника
5,73 млн интересуются