Active Directory: "Zugriff verweigert" bei Ändern von Kontoinformationen
Hallo Administratoren,
Ich habe ein Problem mit Active Directory, bei dem ich Hilfe benötige. Wenn ich als Administrator versuche, Eigenschaften auf der Registerkarte "Konto" innerhalb der Benutzereigenschaften im AD zu ändern, erhalte ich beim Speicherversuch die Fehlermeldung "Active Directory-Domänendienste-Fehler: Zugriff verweigert". An anderen Registerkarten, wie z.B. "Allgemein" kann ich jedoch problemlos Änderungen durchführen.
Unsere letzte Änderung war die Installation von LAPS und die damit verbundenen Skripte zur Veränderung der Zugriffrechte, sowie die Umsetzung des BSI-Grundschutzes über GPO's. Vielleicht ist dies damit begründet. Mir fehlt allerdings bereits eine Idee, wie ich herausfinde, woran es liegt.
Auf dem betroffenen DC ist Windows Server 2019 installiert.
Kann jemand helfen?
Liebe Grüße,
Lindner
Ich habe ein Problem mit Active Directory, bei dem ich Hilfe benötige. Wenn ich als Administrator versuche, Eigenschaften auf der Registerkarte "Konto" innerhalb der Benutzereigenschaften im AD zu ändern, erhalte ich beim Speicherversuch die Fehlermeldung "Active Directory-Domänendienste-Fehler: Zugriff verweigert". An anderen Registerkarten, wie z.B. "Allgemein" kann ich jedoch problemlos Änderungen durchführen.
Unsere letzte Änderung war die Installation von LAPS und die damit verbundenen Skripte zur Veränderung der Zugriffrechte, sowie die Umsetzung des BSI-Grundschutzes über GPO's. Vielleicht ist dies damit begründet. Mir fehlt allerdings bereits eine Idee, wie ich herausfinde, woran es liegt.
Auf dem betroffenen DC ist Windows Server 2019 installiert.
Kann jemand helfen?
Liebe Grüße,
Lindner
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7580089490
Url: https://administrator.de/forum/active-directory-zugriff-verweigert-bei-aendern-von-kontoinformationen-7580089490.html
Ausgedruckt am: 15.05.2025 um 04:05 Uhr
8 Kommentare
Neuester Kommentar
Du kannst ja prüfen, welche Berechtigungen dein Adminkonto auf dem AD-Objekt hat. Über die Registerkarte "Sicherheit" => Erweitert => Effektiver Zugriff.
Vermutlich sind nicht alle Rechte für die Verwaltung von AD-Userkonten in der GPO aufgeführt?
Vermutlich sind nicht alle Rechte für die Verwaltung von AD-Userkonten in der GPO aufgeführt?
Zitat von @DerMaddin:
Du kannst ja prüfen, welche Berechtigungen dein Adminkonto auf dem AD-Objekt hat. Über die Registerkarte "Sicherheit" => Erweitert => Effektiver Zugriff.
Vermutlich sind nicht alle Rechte für die Verwaltung von AD-Userkonten in der GPO aufgeführt?
Du kannst ja prüfen, welche Berechtigungen dein Adminkonto auf dem AD-Objekt hat. Über die Registerkarte "Sicherheit" => Erweitert => Effektiver Zugriff.
Vermutlich sind nicht alle Rechte für die Verwaltung von AD-Userkonten in der GPO aufgeführt?
Dort wird mir jedoch "Vollzugriff" und dann natürlich auch alle einzelnen Einstellungen zugesichert. Ist das nicht seltsam?
Und das passiert auch über PowerShell?
Set-ADUserJa, wenn ich die Operation über Powershell ausführe, erhalte ich ebenfalls "Zugriff verweigert".
Und auch hier kann ich Eigenschaften anderer Registerkarten (z.B: die Beschreibung auf "Allgemein") erfolgreich bearbeiten.
Wenn du irgendwo anders (andere OU) ein AD-User erstellst, kannst du dann alle Attribute ändern?
Zitat von @DerMaddin:
Wenn du irgendwo anders (andere OU) ein AD-User erstellst, kannst du dann alle Attribute ändern?
Wenn du irgendwo anders (andere OU) ein AD-User erstellst, kannst du dann alle Attribute ändern?
Ich habe testweise eine neue OU angelegt und darin dann einen Test-User. Hier zeigt sich leider das gleiche Fehlerbild :/
Dann scheint es generell ein Fehler in der LAPS/GPO Konfiguration zu geben. Es fehlt an irgendeiner Stelle eine Berechtigung. Je nachdem was für Rechte via LAPS vergeben werden, es scheinen zumindest keine vollständigen AD-Admin-Rechte zu sein.
Zitat von @DerMaddin:
Dann scheint es generell ein Fehler in der LAPS/GPO Konfiguration zu geben. Es fehlt an irgendeiner Stelle eine Berechtigung. Je nachdem was für Rechte via LAPS vergeben werden, es scheinen zumindest keine vollständigen AD-Admin-Rechte zu sein.
Dann scheint es generell ein Fehler in der LAPS/GPO Konfiguration zu geben. Es fehlt an irgendeiner Stelle eine Berechtigung. Je nachdem was für Rechte via LAPS vergeben werden, es scheinen zumindest keine vollständigen AD-Admin-Rechte zu sein.
Hört sich schlüssig an. Wie kontrolliere ich das? Beim "effektiven Zugriff" bekam ich ja Vollzugriff angezeigt und daunter auch eine ganze Nase lang Berechtigungen, allesamt grün. Mich irritiert, dass mir da wohl ein Recht fehlt, ich dieses dann aber gar nicht sehe - sollte dort in der Liste nicht irgendein Recht rotes Kreuz erscheinen?
