AD User - lokaler Server Passwort
Hallo Zusammen,
wir haben einen Server auf dem 2 VM's laufen; die eine ist DC und da ist auch das AD drauf.
Gibt es eine Möglichkeit, dass ich am lokalen Server mit dem lokalen Adminaccount das Passwort
der User - insbesondere auch das vom Domäne Admin - ändere? Ich finde dazu nichts und hab
auch nur Basiswissen Hintergrund ist, dass ich das Kennwort vom DC Admin ändern musste,
dies aber schiefgelaufen ist und dann das Konto gesperrt wurde... Konnte zwar über Umwege
mit meinem User der auch Adminrechte hat das PW ändern bzw. Sperre zurücksetzten, hätte
aber trotzdem gerne gewusst, ob es auch eine Möglichkeit gibt das vom Lokalen Server
zu machen irgendwie. Wenn mal mein User und der DC Admin gesperrt sind, habe ich sonst
gar keinen Zugriff mehr - zumindest wüsste ich dann nicht mehr weiter...
LG
Christian
wir haben einen Server auf dem 2 VM's laufen; die eine ist DC und da ist auch das AD drauf.
Gibt es eine Möglichkeit, dass ich am lokalen Server mit dem lokalen Adminaccount das Passwort
der User - insbesondere auch das vom Domäne Admin - ändere? Ich finde dazu nichts und hab
auch nur Basiswissen Hintergrund ist, dass ich das Kennwort vom DC Admin ändern musste,
dies aber schiefgelaufen ist und dann das Konto gesperrt wurde... Konnte zwar über Umwege
mit meinem User der auch Adminrechte hat das PW ändern bzw. Sperre zurücksetzten, hätte
aber trotzdem gerne gewusst, ob es auch eine Möglichkeit gibt das vom Lokalen Server
zu machen irgendwie. Wenn mal mein User und der DC Admin gesperrt sind, habe ich sonst
gar keinen Zugriff mehr - zumindest wüsste ich dann nicht mehr weiter...
LG
Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4956567858
Url: https://administrator.de/contentid/4956567858
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
VG
DC und da ist auch das AD
Meistens soKennwort vom DC Admin ändern musste, dies aber schiefgelaufen ist
Wie geht denn sowas!?meinem User der auch Adminrechte hat
Ohje, klingt nicht gut!habe ich sonst gar keinen Zugriff mehr
Darum grundsätzlich mindestens einen BackupAdmin anlegen, für exakt solche Fällelokalen Server mit dem lokalen Adminaccount
eher nicht, da der lokale Admin vermutlich kein Domänenadmin ist (und sein sollte).VG
Moin Christian,
sei mir nicht böse:
Wenn es sich nicht um eine Testinstallation handelt, dann lass dir von jemanden helfen, der zumindest ein Handbuch lesen kann oder schon mal irgendwas von Active Directory gehört hat.
Du sprichst von einem "DC Admin". Anscheinend weißt du von Active Directory und zentraler Benutzerverwaltung so rein gar nichts.
Es gibt keinen DC Admin in der Standardkonfiguration eines MS Active Directory.
Das was du meinst ist ein Domänen-Administrator. Von diesem sollte es mindestens mal 2 geben. Du weißt ja jetzt auch schon einen Grund, warum.
Ein Domänenadministrator ist auch nicht nur am DC Admin, sondern an jedem Domänen-PC/Server.
Die Benutzer (auch die Kennwörter) kannst du im Snap-In "Active Directory Benutzer und Computer" verwalten und ändern. Das geht auch auf einem Domänen-Clinet, wenn die RSAT-Tools installiert sind.
sei mir nicht böse:
Wenn es sich nicht um eine Testinstallation handelt, dann lass dir von jemanden helfen, der zumindest ein Handbuch lesen kann oder schon mal irgendwas von Active Directory gehört hat.
Du sprichst von einem "DC Admin". Anscheinend weißt du von Active Directory und zentraler Benutzerverwaltung so rein gar nichts.
Es gibt keinen DC Admin in der Standardkonfiguration eines MS Active Directory.
Das was du meinst ist ein Domänen-Administrator. Von diesem sollte es mindestens mal 2 geben. Du weißt ja jetzt auch schon einen Grund, warum.
Ein Domänenadministrator ist auch nicht nur am DC Admin, sondern an jedem Domänen-PC/Server.
Die Benutzer (auch die Kennwörter) kannst du im Snap-In "Active Directory Benutzer und Computer" verwalten und ändern. Das geht auch auf einem Domänen-Clinet, wenn die RSAT-Tools installiert sind.
Moin,
du authentifizierst dich bei der AD mit einem Benutzer, der in der AD bekannt ist.
Sobald du versuchst mit deinem lokalen Server und seinen LOKALEN Benutzern auf die AD zuzugreifen, um ggfs. Passwörter o.Ä. zu ändern wirst du immer auf einen Fehler laufen. Denn die AD kennt ja deinen LOKALEN Benutzer nicht.
Das ist als wenn irgendeine zufällige Person die du nicht kennst zu dir, einem IT-Admin geht, und fragt: könntest du mal bitte dein Passwort für mich ändern und mir das Passwort geben.
Macht man nicht, weil dieser Person nicht vertraut wird.
VG C.
du authentifizierst dich bei der AD mit einem Benutzer, der in der AD bekannt ist.
Sobald du versuchst mit deinem lokalen Server und seinen LOKALEN Benutzern auf die AD zuzugreifen, um ggfs. Passwörter o.Ä. zu ändern wirst du immer auf einen Fehler laufen. Denn die AD kennt ja deinen LOKALEN Benutzer nicht.
Das ist als wenn irgendeine zufällige Person die du nicht kennst zu dir, einem IT-Admin geht, und fragt: könntest du mal bitte dein Passwort für mich ändern und mir das Passwort geben.
Macht man nicht, weil dieser Person nicht vertraut wird.
VG C.
Zitat von @christian295:
wenn ich wüsste wie hätte ich kaum gefragt und wir haben jemand, der hat auch im Notfall Zugriff (ist somit der zweite Domänenadministrator und nicht ein DC Admin; sorry mein Wording ist falsch bin halt Laie).
Warum fragst du eigentlich nicht zuerst mal euren externen Dienstleister?wenn ich wüsste wie hätte ich kaum gefragt und wir haben jemand, der hat auch im Notfall Zugriff (ist somit der zweite Domänenadministrator und nicht ein DC Admin; sorry mein Wording ist falsch bin halt Laie).
Nur musste es schnell gehen, die sind auch nicht 24h sofort erreichbar natürlich - daher meine Frage wie ich im Notfall das selbst lösen kann.
Mir wird gerade ganz anders. Bist du die ABM (Arbeitsbeschaffungsmaßnahme) für den externen Dienstleister?
Sonst mache ich eh nichts - nur User hinzufügen, deaktivieren oder halt PW ändern wenn nötig.
Alles andere machen Fachleute, also keine Sorge
Hinterher müssen Fachleute es eh wieder richten, was Laien wie du "angepasst" haben. Alles andere machen Fachleute, also keine Sorge
Das Snap-In kenne ich, nur habe ich das natürlich nicht auf dem lokalen Server - aber danke für den Hinweis mit den RSAT Tools; schaue ich mir an. Damit kann ich sicherlich auch neue Benutzer hinzufügen oder mal ein Kennwort zurücksetzten ohne mich auf dem Server anzumelden.
Das wird nicht klappen, wenn du es von einem Nicht-AD-Member aus versuchst.Es gibt folgende Varianten, Benutzer und Computer in AD zu verwalten:
- An einem DC anmelden und dort AD Benutzer und Computer starten. Wer Domänenadmin ist, sollte sich auch an einem DC anmelden können.
- An einem administrativen Client (Domänenmitglied) mit den RSAT-Tools AD Benutzer und Computer starten
- Active Directory Verwaltungscenter (auf dem DC)
- AD Modul für Windows Powershell
Moin,
warum sind eigentlich die Kollegen immer gleich so unfreundlich? Aber das nur nebenbei.
Das wäre ja auch komisch, wenn es anders wäre.
Gibt es eine Möglichkeit, dass ich am lokalen Server mit dem lokalen Adminaccount das Passwort
der User - insbesondere auch das vom Domäne Admin - ändere?
Nein, da es auf einem DC kein lokales Adminkonto gibt.
Und deshalb findest Du dazu auch nichts.
Das Konto administrator@domain.tld? Wie hast Du das denn geschafft?
Zu dem Zweck, sofern man nicht sowieso mehrere Kollegen mit den entsprechenden Rechten hat, hat man einen Backup-Admin mit einem sehr, sehr langen PW, das im Firmentresor liegt.
hth
Erik
warum sind eigentlich die Kollegen immer gleich so unfreundlich? Aber das nur nebenbei.
Zitat von @christian295:
wir haben einen Server auf dem 2 VM's laufen; die eine ist DC und da ist auch das AD drauf.
wir haben einen Server auf dem 2 VM's laufen; die eine ist DC und da ist auch das AD drauf.
Das wäre ja auch komisch, wenn es anders wäre.
Gibt es eine Möglichkeit, dass ich am lokalen Server mit dem lokalen Adminaccount das Passwort
der User - insbesondere auch das vom Domäne Admin - ändere?
Nein, da es auf einem DC kein lokales Adminkonto gibt.
Ich finde dazu nichts und hab
Und deshalb findest Du dazu auch nichts.
auch nur Basiswissen Hintergrund ist, dass ich das Kennwort vom DC Admin ändern musste,
dies aber schiefgelaufen ist und dann das Konto gesperrt wurde...
dies aber schiefgelaufen ist und dann das Konto gesperrt wurde...
Das Konto administrator@domain.tld? Wie hast Du das denn geschafft?
zu machen irgendwie. Wenn mal mein User und der DC Admin gesperrt sind, habe ich sonst
gar keinen Zugriff mehr - zumindest wüsste ich dann nicht mehr weiter...
gar keinen Zugriff mehr - zumindest wüsste ich dann nicht mehr weiter...
Zu dem Zweck, sofern man nicht sowieso mehrere Kollegen mit den entsprechenden Rechten hat, hat man einen Backup-Admin mit einem sehr, sehr langen PW, das im Firmentresor liegt.
hth
Erik