Bei der Installation eines Domänencontrollers für Active Directory muss man ein Recovery-Kennwort angeben. Dieses dient dazu, den DC im Notfall ohne Active Directory starten und sich trotzdem anmelden zu können. Zu diesem Zweck wird dieses Kennwort lokal gespeichert, es hat nichts mit einem AD-Konto zu tun.
Das bedeutet natürlich auch, dass jeder DC sein eigenes Recovery-Kennwort hat (bzw. haben sollte). Dies wiederum heißt, dass man das Kennwort gut und sicher dokumentieren sollte.
Ein wenig bekanntes Feature erlaubt es, dieses Kennwort zentral über das AD zu verwalten, solange die Domäne und die DCs ordnungsgemäß laufen. Die Funktion erlaubt die Angabe eines Kontos als “Vorlage”, dessen Kennwort dann auf das Recovery-Konto übertragen wird.
Der folgende Artikel beschreibt das Verfahren.
[DS Restore Mode Password Maintenance | Ask the Directory Services Team]
https://blogs.technet.microsoft.com/askds/2009/03/11/ds-restore-mode-password-maintenance/
http://faq-o-matic.net/?p=7380