No es muy común, pero a veces sucede, y no sólo a un usuario hogareño, sino que hasta lo he visto más de una vez con el administrador de un Dominio
Todo se puede solucionar, pero primero hablemos de lo que en realidad es importante: la seguridad física
Si no hay seguridad física en cuanto al acceso a una máquina, todo lo demás que se pueda hacer se puede volver inservible
Si el problema le sucede a un usuario normal de Dominio es muy fácil de resolver con el procedimiento normal, pero si en cambio le sucede a un usuario hogareño que tiene un único usuario administrador, estará en problemas, hasta ahora :-)
Como comentaba antes, también le sucede a algún administrador de Dominio que no sigue las buenas prácticas, como son no usar la cuenta predefinida de administrador, o tener una única cuenta con privilegios administrativos sobre el Dominio
Mostraré el proceso en el caso más grave como es la del administrador de Dominio, pero con una pequeña modificación sirve para administradores locales de máquina
Mencionaba la importancia de la seguridad física sobre los equipos, porque lo único que necesitaremos es poder arrancar desde un DVD del sistema operativo, ni siquiera es necesario que sea exactamente la misma versión
Una vez que arrancamos la máquina desde el DVD como si fuéramos a hacer una instalación, en realidad nos interesa otra cosa, lo usamos sólo como medio para ejecutar el WinPE («Windows Pre-Execution Environment»)
Ya en la primera pantalla que permite la instalación, debemos pulsar las teclas “Mayúsculas + F10” para acceder a una línea de comandos (CMD.EXE), que como veremos más adelante tiene todos los privilegios necesarios
El disco X:\ es en realidad un “RAM-Disk” que utiliza el sistema y desde donde se ejecuta el WinPE, y como el sistema renumera los discos y particiones en cada arranque de acuerdo a lo conectado, lo primero a conocer es qué letra corresponde a nuestro disco y volumen original C:\
Esto lo podemos hacer fácilmente con DISKPART.EXE. Debemos primero listar los discos, e identificar la partición dentro del disco correspondiente
El ejemplo que muestro es sencillo, un único disco, con un único volumen, pero cada uno debe ver y seleccionar de acuerdo a su propia configuración, ya que aunque en mi caso coincide, no siempre es así
Los comandos son:
- DISKPART
- LIST DISK
- SELECT DISK
- LIST VOLUME
A qué letra corresonde nuestro volumen con Windows lo podemos sacar por el tamaño, y si así no fuera posible porque, por ejemplo, hay dos volúmenes con la misma capacidad será cuestión de prueba y error, hasta encontrar la carpeta correspondiente a Windows
Una vez que sabemos qué letra tiene el volumen que nos interesa habrá que cambiarse a dicho volumen y a la carpeta “\Windows\System32\
Como se hacía con versiones anteriores del sistema operativo, el truco consiste en reemplazar alguno de los archivos de facilidad de acceso, accesibilidad, por un CMD.EXE. En este caso elegí la lupa (MAGNIFY.EXE). Esto se hace así porque estos ejecutables son accesibles desde la pantalla de inicio de sesión, aún antes de iniciarla. Luego volveremos a dejar todo como debe ser
Entonces lo que he hecho, es guardar una copia de MAGNIFY.EXE, y reemplazar el original con CMD.EXE. Los comandos usados son:
- C:\
- CD \Windows\System32
- REN MAGNIFY.EXE MAGNIFY.BAK
- COPY CMD.EXE MAGNIFY.EXE
Hecho lo anterior, reiniciamos la máquina, y en la pantalla de inicio de sesión pulsamos el icono de accesibilidad y seleccionamos la lupa
Y aparecerá un CMD ejecutándose con los privilegios de “nt authority\system” desde donde podremos cambiar la contraseña de cualquier usuario, inclusive el administrador del Dominio
La única diferencia entre un usuario local o uno de Dominio es la inclusión del modificador “/Domain”
En mi caso como estoy cambiando la contraseña del usuario Administrator del Dominio, el comando es:
- NET USER ADMINISTRATOR * /DOMAIN
Debemos ingresar la contraseña dos veces (no se ve lo que se teclea) para confirmar que es correcta
Reiniciamos la máquina y ya podemos iniciar sesión con la cuenta de la contraseña cambiada
Para poder volver a dejar todo correctamente, debemos borrar el archivo MAGNIFY.EXE, y renombrar MAGNIFY.BAK a MAGNIFY.EXE
Lo primero lo podemos hacer sin problema, pero lo segundo no, ya que aunque seamos administradores del Dominio, ni aún desde un CMD ejecutado como administrador lo permitirá, dará acceso denegado
Debemos hacerlo con el mismo procedimiento que hicimos al principio, iniciando con el DVD. No muestro los pasos ya que serían lo mismo, sólo muestro la pantalla para verificar que de esta forma el comando funciona perfectamente
Aunque la nota está enfocada a cómo cambiar una contraseña olvidada o perdida, lo más importante que nos enseña, es la importancia de la seguridad física sobre los equipos
WindowServer 
Comentarios
Excelente articulo como siempre.Tambien deja entrever que accediendo fisicamente al controlador de dominio uno puede apoderarse de el sin necesidad de saber la contraseña original,por eso la importancia de aislarlo fisicamente.
Hola Alejandro, tal como está expuesto al principio de la nota, ese es justamente un concepto muy importante: la seguridad física de las máquinas
La seguridad es en realidad una «cadena» de configuraciones, procedimientos, etc. y como todos sabemos «una cadena es tan fuerte como el más débil de los eslabones» :)
Guillermo, un tiempo sin «hablarnos». Espero te encuentres bien.
Excelente guía, muy útil para tener en cuenta.
Hola Federico, me alegro te guste la nota :)
¿Recibiste mi cambio de correo? no recuerdo si te lo envié
¡Excelente artículo! otra evidencia más para que tengamos en cuenta la revisión periódica de las medidas físicas de protección de los equipos de la red que administramos, aún más de los equipos vitales de la misma. Muchas gracias.
Hay una frase por acá que dice algo así como «Una cadena es tan fuerte como el más débil de sus eslabones»
Alcanza con que una sola de las posibilidades, incluyendo la seguridad física en este caso, para que todo lo demás sea inútil :)
Lo que explicas no es para un usuario hogareño como lo has llamado tú. Ese usuario no tiene el DVD, solamente ha creado un usuario y ha dado un pin o contraseña en una autoinstalación. Ha ido llenando los campos que le pedían y si ha olvidado la contraseña no sabe que hacer. Sería bueno una nota para este caso. Yo recomiendo tener 2 usuarios uno personal y otro administrador para estos casos, pero si no tiene 2 usuarios, ni tiene el DVD ¿Qué hace?
Hola Gonzalo, primero, todo depende de los conocimientos y lo que pueda hacer siguiendo procedimientos paso a paso; algunos lo podrán hacer y otros tendrán que llevar la máquina a un servicio que haga el procedimiento
En cuanto a que no tenga el DVD, dependiendo de la marca lo puede solicitar al fabricante, o más rápido descarga la imagen del sistema operativo del centro de evaluaciones, crea el DVD y asunto solucionado
Además en el procedimiento está demostrado sin tener ningún usuario o administrador adicional
Resumiendo a tu última pregunta: no necesita para nada dos usuarios, y el DVD lo consigue fácilmente
Y por cierto, este blog está orientado a servidores, no a sistemas operativos de escritorio, ni usuarios finales, simplemente cuando veo algo que puede ser útil en un sistema operativo de escritorio, lo aclaro. Fíjate que la nota está hecha sobre un Controlador de Dominio y la cuenta sobre la que trabajo es la cuenta predefinida de administrador del Dominio
hola, si tengo los discos en RAID funciona este procedimiento??.
saludos.
Hola Antonio, todo depende de si el sistema lo reconoce nativamente por tener incluido el controlador, de otra forma no podrá ver el arreglo de disco
Lo que quizás se pueda hacer, no puedo probarlo yo, es seguir como si se instalara hasta llegar a la selección de disco, cargar los drivers, y recién ahí acceder con el May+F10
Es correcto, ese metodo funciona, lo he probado en disco Virtio donde es requerido la carga de los drivers ….
¡Gracias por la confirmación! :)
Estimados Antonio y Guillermo mi servidor tiene configuracion Raid no me aparece la carpeta Window ni system 32 como puedo romper la conntraseña agradeceria muho su respuesta gracias.
Prueba seguir un poco más con el proceso de instalación hasta que muestre los discos, que es donde se pueden cargar los controladores de disco que deberías tener disponibles. Si los carga, a partir de ahí el MAY+F10. No vayas a seguir ningún paso más porque una vez que seleccionas el disco ya el paso siguiente ya te puede inutilizar la instalación actual
Si lo puedes probar primero en una virtual para estar seguro de los pasos, mejor
hola buenas noches… estoy suprema mente preocupado ya que a pesar de seguir tus indicaciones cuando ingreso el comando list volume solo lista la memoria USB desde donde lo arranco, no me deja ver ni me lista el disco donde se encuentra instalado Windows server y poder seguir los pasos que indicas, no se si me puedas ayudar con esto o que error estaré cometiendo
Hola Juan, evidente el arreglo de discos necesita los drivers para ser reconocido, porque no vienen con el sistema operativo. Deberías seguir con el asistente hasta el paso de cargar los drivers para ver los discos, y recién luego salir al CMD. No te pases de largo y continues con la instalación