Windows: Reset password administrador del dominio

Especialmente en sistemas heredados, nos podemos encontrar con la necesidad de tener que cambiar el password de administrador del dominio sin poder iniciar sesión previamente en el controlador o controladores de dominio.

Veamos la ubicación donde se guarda la contraseña:

- En entornos de Active Directory, el password de administrador del dominio queda guardado en la base de datos de Active Directory, por defecto en: C:\Windows\NTDS\NTDS.dit. La ruta de la base de datos es definida en el proceso de promoción del equipo a controlador de dominio.

- En entornos de workgroup o cuentas locales, el password de administrador queda guardado en el registro de Windows en la rama de seguridad.

Existen herramientas de terceros de Windows para realizar un reset del password.

Este tipo de herramientas puede que no funcionen sobre sistemas con Active Directory, ya que estas herramientas, conectan con el registro de Windows y eliminan el hash correspondiente al password de una cuenta de usuario.

De todas formas, como norma general: Hemos de entender que cualquier sistema operativo donde disponemos de acceso local al mismo, siempre podremos restablecer el acceso de una forma o de otra.

Veamos un procedimiento para realizar un reset del password de administrador del dominio:


* Este procedimiento será valido tanto para realizar un reset del password de cuentas de usuario locales como para cuentas de usuario de dominio, incluida la cuenta de administrador.

Idea: Acceder al sistema de ficheros NTFS de un controlador de dominio (DC), substituir el fichero de la lupa (magnify.exe): "opciones de accesibilidad" por el cmd.exe, reiniciar normalmente y antes de iniciar sesión, ejecutar la lupa. 

Dispondremos de una shell de CMD con permisos de SYSTEM, con los servicios de Active Directory levantados. A partir de aquí, podremos hacer un reset del password de administrador del dominio.

1) Accedemos al sistema de ficheros NTFS:

Una de las formas para acceder al sistema de ficheros NTFS es iniciar el equipo desde un DVD/ISO de Windows Server o Windows cliente.

No es necesario que el DVD/ISO sea la misma versión de sistema Windows que la que tenemos instalada en el controlador de dominio (DC), ya que tan solo necesitamos poder escribir en el sistema de ficheros NTFS.

Veamos como iniciar desde el DVD/ISO de Windows Server 2012 R2 y obtener una consola de CMD:

Iniciamos el DVD, seleccionamos idioma, seleccionamos "Reparar equipo", "Solucionar problemas", "Símbolo del sistema":

Windows: Administrador del dominio reset password

Una vez disponemos de una ventana de CMD, accederemos a la unidad donde está instalado Windows Server.

La unidad asignada no tiene por que ser la unidad C:

El bootCD asignará de forma secuencial, las letras de unidad a todos los volúmenes NTFS que encuentre.

Recordemos que el volumen "Reservado para el sistema", también dispone del sistema de ficheros NTFS.

Por ejemplo: Si disponemos de la instalación por defecto que realiza Windows Server (a partir de Windows Server 2008), la unidad donde residirá la instalación de Windows, corresponderá a la unidad D:

Ejemplo, vista del administrador de discos (diskmgmt.msc):

Vista administrador de discos

2) Substituimos el fichero de lupa por un cmd.exe

Realizamos el procedimiento descrito a continuación, suponiendo que los ficheros donde está instalado Windows Server están ubicados en la unidad D:

Nos situamos en el directorio, realizamos una copia de seguridad del fichero magnify.exe y lo substituimos por el fichero cmd.exe

cd d:\windows\system32
D:
copy magnify.exe magnify.old
copy cmd.exe magnify.exe /y

backup del fichero y substituir

Apagamos el equipo, e iniciamos normalmente Windows Server.

3) Abrimos un CMD antes de iniciar sesión:

Al iniciar Windows Server, en la pantalla de inicio de sesión, abrimos la lupa.

Vemos que obtenemos una ventana de CMD con permisos de SYSTEM:

Shell con SYSTEM

4) Realizamos el reset del password de administrador del dominio:

Net User Administrador * /domain

Cambio de password

* Si no se tratase de un equipo controlador de dominio (DC) de Active Directory y quisiéramos cambiar el password de una cuenta local, bastaría con ejecutar:

Net User Administrador *

5) Cerramos la ventana de CMD, e iniciamos sesión en el dominio con normalidad.

6) Dejamos los ficheros como estaban: Recordemos volver a realizar el procedimiento de iniciar con el DVD/ISO y volver a restaurar el fichero magnify.exe por el original:

cd d:\windows\system32
D:
copy magnify.old magnify.exe /y

17 comentarios:

  1. Excelente truco, pero que muy bueno.

    Gracias por compartirlo.

    ResponderEliminar
    Respuestas
    1. ¡Muchas gracias!

      Me alegro que te haya resultado útil! Un saludo!

      Eliminar
  2. Interesante me gustó el artificio de la lupa...genial

    ResponderEliminar
  3. Esa es una falla de seguridad de Windows: ese sistema operativo debería tener un "hash" predeterminado de cada ejecutable para que "cmd.exe" no pase por "magnify.exe", pero mientras tanto aprovechamos para un buen uso 8-) .

    ResponderEliminar
  4. Necesito cambiar la contraseña de administrador de dominio, por cambio de administrador de sistemas. La idea es des de AD, buscar la cuenta administrador botón derecho restablecer contraseña, ¿es correcto el procedimiento? ¿Tenemos que tener algo en cuenta? ¿Existe la posibilidad de que afecte a algunos servicios el cambio?
    Muchas Gracias.

    ResponderEliminar
    Respuestas
    1. Hola,

      Respondo a tus preguntas:

      1)

      Buscar la cuenta administrador botón derecho restablecer contraseña: ¿Es correcto el procedimiento?

      Respuesta: Depende. Si la cuenta con la que estás validado tiene derechos de administrador del dominio, no tendrás problema en reestablecer la contraseña. Si la cuenta no tiene derechos de administrador del dominio, no podrás reestablecer la contraseña y tendrás que utilizar el procedimiento descrito en este post.

      2)

      ¿Tenemos que tener algo en cuenta? ¿Existe la posibilidad de que afecte a algunos servicios el cambio?

      Respuesta: Depende. Si hay servicios situados en algún equipo añadido al dominio que funcionan sobre esta cuenta ya que alguien lo ha configurado así, a la que cambies el password, dejarán de funcionar y deberás asignar el password nuevo.

      Un saludo,

      Xavi.

      Eliminar
  5. Muchas gracias por tu respuesta.
    Y felicidades pot el blog.
    Saludos.

    ResponderEliminar
  6. Estimado, en caso de tener varios DC? como se realiza el proceso? en el primero de todos y luego se actualiza o debo realizarlo de manera independiente en todos los DC que tenga?

    Excelente Blog.

    Saludos!

    ResponderEliminar
    Respuestas
    1. ¡Muchas gracias! Me alegro que te haya gustado el blog.

      Respecto a tu pregunta: Si la réplica entre los controladores de dominio (DC) está funcionando de forma correcta basta con hacer el reset del password en uno de ellos y se replicará el password nuevo en el resto de DCs.

      ¡Un saludo!

      Xavi.

      Eliminar
  7. muy buen post amigo solo me faltaba el /domain. Tambien en otros SO se puede utilizar el sethc ke son las teclas especiales apretando 5 veces Shift

    ResponderEliminar
  8. Excelente aporte estimado... muchas gracias. Sin embargo, yo estoy atascado ya que no puedo cambiar el password del administrador local (manejo AD-DS) y efectivamente con este método lo puedo cambiar... pero no me permite cambiar el del administrador local... alguna sugerencia? Gracias de antemano

    ResponderEliminar
    Respuestas
    1. Hola,

      ¿Te refieres a cambiar el password de administrador local de un equipo añadido al dominio?

      Si es así, en el post lo tienes explicado, el procedimiento es el mismo, solo que cambia lo siguiente:

      * Si no se tratase de un equipo controlador de dominio (DC) de Active Directory y quisiéramos cambiar el password de una cuenta local, bastaría con ejecutar:

      Net User Administrador *

      Un saludo,

      Xavi.

      Eliminar
    2. Saludos de nuevo.. y gracias por responder!! Es mi servidor de Active Directory... después de promover al dominio y todo lo subsecuente... me he olvidado de anotar en la bitácora el password de administrador local... lo puedes creer?

      Eliminar
    3. Hola,

      En un controlador de dominio (DC), no puedes entrar como administrador local.

      En el proceso de promoción a DC, te pidió la contraseña DSRM (Directory Services Restore Mode).

      La contraseña DSRM la puedes utilizar iniciando el DC en este modo y sirve para acceder al equipo sin que Active Directory esté iniciado.

      Puedes hacer un reset del password de DSRM con la herramienta: ntsdsutil

      Ejemplo:

      ntdsutil
      set dsrm password
      reset password on server null

      Saludos,

      Xavi.

      Eliminar