christian295
Goto Top

AD User - lokaler Server Passwort

Hallo Zusammen,

wir haben einen Server auf dem 2 VM's laufen; die eine ist DC und da ist auch das AD drauf.

Gibt es eine Möglichkeit, dass ich am lokalen Server mit dem lokalen Adminaccount das Passwort
der User - insbesondere auch das vom Domäne Admin - ändere? Ich finde dazu nichts und hab
auch nur Basiswissen face-smile Hintergrund ist, dass ich das Kennwort vom DC Admin ändern musste,
dies aber schiefgelaufen ist und dann das Konto gesperrt wurde... Konnte zwar über Umwege
mit meinem User der auch Adminrechte hat das PW ändern bzw. Sperre zurücksetzten, hätte
aber trotzdem gerne gewusst, ob es auch eine Möglichkeit gibt das vom Lokalen Server
zu machen irgendwie. Wenn mal mein User und der DC Admin gesperrt sind, habe ich sonst
gar keinen Zugriff mehr - zumindest wüsste ich dann nicht mehr weiter...

LG
Christian

Content-ID: 4956567858

Url: https://administrator.de/forum/ad-user-lokaler-server-passwort-4956567858.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

141986
Lösung 141986 14.12.2022 um 09:52:43 Uhr
Goto Top
Moin,

DC und da ist auch das AD
Meistens so

Kennwort vom DC Admin ändern musste, dies aber schiefgelaufen ist
Wie geht denn sowas!?

meinem User der auch Adminrechte hat
Ohje, klingt nicht gut!

habe ich sonst gar keinen Zugriff mehr
Darum grundsätzlich mindestens einen BackupAdmin anlegen, für exakt solche Fälle

lokalen Server mit dem lokalen Adminaccount
eher nicht, da der lokale Admin vermutlich kein Domänenadmin ist (und sein sollte).

VG
goscho
Lösung goscho 14.12.2022 um 10:00:13 Uhr
Goto Top
Moin Christian,

sei mir nicht böse:

Wenn es sich nicht um eine Testinstallation handelt, dann lass dir von jemanden helfen, der zumindest ein Handbuch lesen kann oder schon mal irgendwas von Active Directory gehört hat.

Du sprichst von einem "DC Admin". Anscheinend weißt du von Active Directory und zentraler Benutzerverwaltung so rein gar nichts.
Es gibt keinen DC Admin in der Standardkonfiguration eines MS Active Directory.

Das was du meinst ist ein Domänen-Administrator. Von diesem sollte es mindestens mal 2 geben. Du weißt ja jetzt auch schon einen Grund, warum.
Ein Domänenadministrator ist auch nicht nur am DC Admin, sondern an jedem Domänen-PC/Server.

Die Benutzer (auch die Kennwörter) kannst du im Snap-In "Active Directory Benutzer und Computer" verwalten und ändern. Das geht auch auf einem Domänen-Clinet, wenn die RSAT-Tools installiert sind.
christian295
christian295 14.12.2022 um 10:17:12 Uhr
Goto Top
Moin,

wenn ich wüsste wie hätte ich kaum gefragt und wir haben jemand, der hat auch im Notfall Zugriff (ist somit der zweite Domänenadministrator und nicht ein DC Admin; sorry mein Wording ist falsch bin halt Laie). Nur musste es schnell gehen, die sind auch nicht 24h sofort erreichbar natürlich - daher meine Frage wie ich im Notfall das selbst lösen kann.
Sonst mache ich eh nichts - nur User hinzufügen, deaktivieren oder halt PW ändern wenn nötig.
Alles andere machen Fachleute, also keine Sorge face-smile

Das Snap-In kenne ich, nur habe ich das natürlich nicht auf dem lokalen Server - aber danke für den Hinweis mit den RSAT Tools; schaue ich mir an. Damit kann ich sicherlich auch neue Benutzer hinzufügen oder mal ein Kennwort zurücksetzten ohne mich auf dem Server anzumelden.

Danke für die schnellen Antworten.

Alles gute
Celiko
Celiko 14.12.2022 aktualisiert um 10:26:01 Uhr
Goto Top
Moin,

du authentifizierst dich bei der AD mit einem Benutzer, der in der AD bekannt ist.

Sobald du versuchst mit deinem lokalen Server und seinen LOKALEN Benutzern auf die AD zuzugreifen, um ggfs. Passwörter o.Ä. zu ändern wirst du immer auf einen Fehler laufen. Denn die AD kennt ja deinen LOKALEN Benutzer nicht.

Das ist als wenn irgendeine zufällige Person die du nicht kennst zu dir, einem IT-Admin geht, und fragt: könntest du mal bitte dein Passwort für mich ändern und mir das Passwort geben.

Macht man nicht, weil dieser Person nicht vertraut wird.

VG C.
goscho
goscho 14.12.2022 aktualisiert um 11:06:48 Uhr
Goto Top
Zitat von @christian295:
wenn ich wüsste wie hätte ich kaum gefragt und wir haben jemand, der hat auch im Notfall Zugriff (ist somit der zweite Domänenadministrator und nicht ein DC Admin; sorry mein Wording ist falsch bin halt Laie).
Warum fragst du eigentlich nicht zuerst mal euren externen Dienstleister?
Nur musste es schnell gehen, die sind auch nicht 24h sofort erreichbar natürlich - daher meine Frage wie ich im Notfall das selbst lösen kann.
Mir wird gerade ganz anders. face-sad
Bist du die ABM (Arbeitsbeschaffungsmaßnahme) für den externen Dienstleister? face-big-smile face-big-smile
Sonst mache ich eh nichts - nur User hinzufügen, deaktivieren oder halt PW ändern wenn nötig.
Alles andere machen Fachleute, also keine Sorge face-smile
Hinterher müssen Fachleute es eh wieder richten, was Laien wie du "angepasst" haben. face-wink
Das Snap-In kenne ich, nur habe ich das natürlich nicht auf dem lokalen Server - aber danke für den Hinweis mit den RSAT Tools; schaue ich mir an. Damit kann ich sicherlich auch neue Benutzer hinzufügen oder mal ein Kennwort zurücksetzten ohne mich auf dem Server anzumelden.
Das wird nicht klappen, wenn du es von einem Nicht-AD-Member aus versuchst.

Es gibt folgende Varianten, Benutzer und Computer in AD zu verwalten:

  • An einem DC anmelden und dort AD Benutzer und Computer starten. Wer Domänenadmin ist, sollte sich auch an einem DC anmelden können.
  • An einem administrativen Client (Domänenmitglied) mit den RSAT-Tools AD Benutzer und Computer starten
  • Active Directory Verwaltungscenter (auf dem DC)
  • AD Modul für Windows Powershell
erikro
erikro 15.12.2022 um 15:50:49 Uhr
Goto Top
Moin,

warum sind eigentlich die Kollegen immer gleich so unfreundlich? Aber das nur nebenbei.

Zitat von @christian295:
wir haben einen Server auf dem 2 VM's laufen; die eine ist DC und da ist auch das AD drauf.

Das wäre ja auch komisch, wenn es anders wäre. face-wink


Gibt es eine Möglichkeit, dass ich am lokalen Server mit dem lokalen Adminaccount das Passwort
der User - insbesondere auch das vom Domäne Admin - ändere?

Nein, da es auf einem DC kein lokales Adminkonto gibt.

Ich finde dazu nichts und hab

Und deshalb findest Du dazu auch nichts.

auch nur Basiswissen face-smile Hintergrund ist, dass ich das Kennwort vom DC Admin ändern musste,
dies aber schiefgelaufen ist und dann das Konto gesperrt wurde...

Das Konto administrator@domain.tld? Wie hast Du das denn geschafft?

zu machen irgendwie. Wenn mal mein User und der DC Admin gesperrt sind, habe ich sonst
gar keinen Zugriff mehr - zumindest wüsste ich dann nicht mehr weiter...

Zu dem Zweck, sofern man nicht sowieso mehrere Kollegen mit den entsprechenden Rechten hat, hat man einen Backup-Admin mit einem sehr, sehr langen PW, das im Firmentresor liegt.

hth

Erik