Giriş: Krallığın Anahtarı Kaybolursa

Active Directory (AD), bir kurumun dijital omurgasıdır. Tüm kullanıcılar, bilgisayarlar ve yetkiler buradan yönetilir. Dolayısıyla, Domain Controller (DC) sunucusunun “Administrator” şifresinin unutulması veya kaybedilmesi, basit bir erişim sorunundan öte, tüm operasyonun durma riskini taşır.

Ancak panik yapmayın. Doğru strateji ve soğukkanlılık ile bu “dijital kilit” açılabilir. İşte senaryoya göre izlemeniz gereken kurtarma yolları.

1. Durum Analizi: Hangi Anahtarı Kaybettiniz?

Çözüme başlamadan önce, neyle karşı karşıya olduğunuzu netleştirmelisiniz. DC dünyasında “Administrator” kavramı farklılık gösterir:

Domain Administrator: Domain yapısının en yetkili hesabıdır. (Genellikle unutulan budur).
Local Administrator: DİKKAT! Bir sunucu DC’ye yükseltildiğinde (Promote), yerel kullanıcı hesapları (SAM) devre dışı kalır. DC üzerinde standart bir “Local Admin” yoktur.
DSRM Administrator: Sadece “Directory Services Restore Mode” (Kurtarma Modu) açıldığında kullanılabilen yerel “acil durum” hesabıdır.

2. Senaryo A: Ortamda Birden Fazla DC Var (En Kolay Çözüm)

Eğer yapınızda “Additional Domain Controller” (Yedek DC) varsa şanslısınız. Kriz dakikalar içinde çözülür.

Diğer Sunucuya Geçin: Şifresini bildiğiniz diğer Domain Controller sunucusuna veya RSAT yüklü bir yönetim makinesine, yetkili başka bir hesapla giriş yapın.
Şifreyi Sıfırlayın: “Active Directory Users and Computers” (ADUC) konsolunu açın.
Hesabı Bulun: Şifresini unuttuğunuz “Administrator” hesabını bulun > Sağ Tık > Reset Password.
Replikasyon: Değişikliğin diğer DC’lere replike olmasını bekleyin (veya repadmin /syncall ile tetikleyin). Sorunlu sunucuya yeni şifre ile giriş yapabilirsiniz.

3. Senaryo B: Tek DC Var ve Şifre Unutuldu (Kritik Durum)

Eğer ortamda tek bir DC varsa ve Domain Admin şifresi yoksa, “Arka Kapı”yı yani DSRM‘yi kullanma vakti gelmiştir.

Adım Adım DSRM ile Kurtarma:

Yeniden Başlatma: Sunucuyu yeniden başlatın.
Gelişmiş Başlangıç: Açılış sırasında (Windows sürümüne göre F8 veya Boot Menüsü üzerinden) “Directory Services Restore Mode” seçeneği ile sistemi başlatın.
Giriş: Bu modda Active Directory servisleri çalışmaz. Karşınıza gelen ekranda DSRM Şifresi ile giriş yapın (Domain Admin şifresi ile değil).
- Kullanıcı adı genellikle: .\Administrator
Müdahale: Sisteme girdikten sonra, üçüncü parti şifre sıfırlama araçları veya komut satırı yöntemleri ile kilitli hesabı açmayı deneyebilirsiniz.

Not: Eğer DSRM şifresini de bilmiyorsanız, Microsoft tarafından resmi olarak desteklenmeyen “Offline Password Reset” (Utilman.exe vb.) yöntemleri denenebilir ancak bu yöntemler veritabanı bütünlüğü için risk taşır.

4. Önleyici Müdahale: DSRM Şifresini Sıfırlamak

Eğer şu an sisteme erişebiliyorsanız ancak DSRM şifresini hatırlamıyorsanız, gelecekteki bir felaketi önlemek için hemen şu komutları uygulayın:

Komut Satırını (CMD) Yönetici olarak açın ve sırasıyla yazın:

ntdsutil
set dsrm password
reset password on server null
<YENİ ŞİFREYİ GİRİN>
<YENİ ŞİFREYİ TEKRAR GİRİN>
quit
quit

Bu işlem, mevcut Domain Admin şifrenizi değiştirmez, sadece kurtarma modu şifresini günceller.

5. Son Çare: “System State” Geri Yükleme

Hiçbir şifre çalışmıyorsa ve DSRM ile de giriş yapamıyorsanız, elinizdeki yedeklere (Backup) dönmeniz gerekir.

Yöntem: “System State” yedeğini geri yükleyin.
Risk Uyarısı (USN Rollback): Eğer ortamda başka DC’ler varsa ve yanlış bir geri yükleme yaparsanız, USN Rollback denilen ve AD veritabanını tutarsız hale getiren ciddi bir sorun yaşayabilirsiniz. Bu işlem öncesinde mutlaka dokümantasyonunuzu kontrol edin.

🛠️ Teknik Özet

Senaryo	Çözüm Yolu
Çoklu DC Ortamı	Diğer DC üzerinden şifre sıfırla + Replikasyon bekle.
Tek DC (Domain Admin Unutuldu)	DSRM Modunda aç ve yerel admin ile kurtarmayı dene.
DSRM Şifresi Unutuldu	Erişim varken `ntdsutil` ile hemen yenile.
Hiçbir Erişim Yok	System State Backup’tan geri dön (Restore).

🛡️ “Bir Daha Asla” Listesi (Best Practices)

Bu stresi tekrar yaşamamak için şu kuralları altın harflerle yazın:

Yedeklilik: Asla tek DC ile çalışmayın. En az iki adet Domain Controller (DC + ADC) bulundurun.
Acil Durum Hesabı: Yetkileri kısıtlanmamış, şifresi karmaşık ve fiziksel kasada saklanan yedek bir “Break Glass” (Acil Durum) Domain Admin hesabı oluşturun.
DSRM Güvenliği: DSRM şifresini kurulumda “1234” yapıp geçmeyin; güvenli bir yerde saklayın.
Düzenli Yedek: Veeam veya Windows Server Backup ile düzenli “System State” yedeği alın.

İlgili Yazılar

CUMBUR.NET sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

Kategoriler

IT Yönetimi · Aralık 19, 2025 0

Active Directory (Domain Controller) Şifresi Unutulunca Ne Yapılmalı?

Giriş: Krallığın Anahtarı Kaybolursa

1. Durum Analizi: Hangi Anahtarı Kaybettiniz?

2. Senaryo A: Ortamda Birden Fazla DC Var (En Kolay Çözüm)

3. Senaryo B: Tek DC Var ve Şifre Unutuldu (Kritik Durum)

Adım Adım DSRM ile Kurtarma:

4. Önleyici Müdahale: DSRM Şifresini Sıfırlamak

5. Son Çare: “System State” Geri Yükleme

🛠️ Teknik Özet

🛡️ “Bir Daha Asla” Listesi (Best Practices)

Bunu beğen:

İlgili Yazılar

CUMBUR.NET sitesinden daha fazla şey keşfedin

Bu konu da dikkatinizi çekebilir.

Bir Cevap YazınCevabı iptal et

IT Yönetimi · Aralık 19, 2025 0

Giriş: Krallığın Anahtarı Kaybolursa

1. Durum Analizi: Hangi Anahtarı Kaybettiniz?

2. Senaryo A: Ortamda Birden Fazla DC Var (En Kolay Çözüm)

3. Senaryo B: Tek DC Var ve Şifre Unutuldu (Kritik Durum)

Adım Adım DSRM ile Kurtarma:

4. Önleyici Müdahale: DSRM Şifresini Sıfırlamak

5. Son Çare: “System State” Geri Yükleme

🛠️ Teknik Özet

🛡️ “Bir Daha Asla” Listesi (Best Practices)

Bunu paylaş:

Bunu beğen:

İlgili Yazılar

CUMBUR.NET sitesinden daha fazla şey keşfedin

Bu konu da dikkatinizi çekebilir.

Microsoft Entra’da Supply Chain Seviyesinde Güvenlik Açığı: Global Admin Yetkisi Tehlikede

KB5063878 Sorunları: SSD/HDD İçin Koruma Stratejileri

NetExec (nxc) LDAP Modülünde “PyAsn1UnicodeEncodeError” ve Karakter Sorunu

Bir Cevap YazınCevabı iptal et

CUMBUR.NET sitesinden daha fazla şey keşfedin