9
Deaktivierter DomänenAdmin
In einer 2016 Domäne ist folgender Fall aufgetreten. Das lokale Administratorkonto sollte per GPO mittels
ComputerRL/Windowseinstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen/Konten:Administratorkontostatus deaktiviert werden.
Soweit so gut, hat es für den lokalen Administrator eines Computers in der Domäne auch funktioniert. Allerdings war auch der DomänenAdministrator deaktiviert
(SID: S-1-5-21Domäne-500)!!!!
Was ist hier los, gibt es ähnliche Probleme?
ComputerRL/Windowseinstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen/Konten:Administratorkontostatus deaktiviert werden.
Soweit so gut, hat es für den lokalen Administrator eines Computers in der Domäne auch funktioniert. Allerdings war auch der DomänenAdministrator deaktiviert
(SID: S-1-5-21Domäne-500)!!!!
Was ist hier los, gibt es ähnliche Probleme?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 387546
Url: https://administrator.de/contentid/387546
Printed on: April 26, 2024 at 21:04 o'clock
9 Comments
Latest comment
Was ist hier los, gibt es ähnliche Probleme?
Nö, du hast die GPO sehr wahrscheinlich auf die falsche OU angewendet, und somit wäre dann auch der DC betroffen und auch dessen "Administrator" 
.Gruß speedlink
Hallo Franky,
Beruf verfehlt? Auf dem AD ist der lokale Admin der Domänenadmin, ist der deaktiviert...
Probleme gibt es natürlich immer wieder, wenn der Admin nicht weiss, was er tut...
Beruf verfehlt? Auf dem AD ist der lokale Admin der Domänenadmin, ist der deaktiviert...
Probleme gibt es natürlich immer wieder, wenn der Admin nicht weiss, was er tut...
Nö, nö ist schon die richtige, nur das, was er wollte war Bullshit.
Hi
Tja da hilft nur als System anmelden und die GPOs reseten bzw. löschen per CMD.
1. Log on as a System to a DC.
2. Start a command session.
3. To reset the Domain GPO, type
dcgpofix /target:Domain
To reset the Default DC GPO, type
dcgpofix /target:DC
To reset both the Domain and Default DC GPOs, type
dcgpofix /target:both
4.After you enter the appropriate command in Step 3, enter Y to both prompts.
5. Close the command window.
Use the command-line tool dcgpofix:
http://www.windowsitpro.com/Articles/ArticleID/41878/41878.html
When using Exchange, you should also read the following:
http://support.microsoft.com/kb/833783/en-us
Wenn du den Server hackst kannst du dir ein CMD Fenster öffnen das als System ausgeführt wird. Hier kannst du dann den Administrator per CMD wieder aktivieren und schnell die GPO an den richtigen platz geben oder lsöchen.
net user Administrator /active:yes
Du kannst mittels Windows 2016 Server CD eine Command Line starten und auf Laufwerk C:\Windows\System32
die datei Utilman.exe in Utilman.exe.old umbennen dann kopierst du die datei CMD.exe und nennst diese Utilman.exe
Wenn du den Server startest und auf das Rollstuhl Symbol drückst startet sich dann eine CMD als System hier kannst du dann wie beschrieben deinen Administrator wieder Aktivieren und die GPO abändern.
PS: Natürlich das umbennen danach wieder rückgängig machen.
PPS: Lass besser das rumspielen am DC da sollte man schon wissen was man tut bzw. hol dir hilfe oder frag vorher im Forum.Solltest du kein Admin sein such dir einen Systemadmin.
LG Andy
Tja da hilft nur als System anmelden und die GPOs reseten bzw. löschen per CMD.
1. Log on as a System to a DC.
2. Start a command session.
3. To reset the Domain GPO, type
dcgpofix /target:Domain
To reset the Default DC GPO, type
dcgpofix /target:DC
To reset both the Domain and Default DC GPOs, type
dcgpofix /target:both
4.After you enter the appropriate command in Step 3, enter Y to both prompts.
5. Close the command window.
Use the command-line tool dcgpofix:
http://www.windowsitpro.com/Articles/ArticleID/41878/41878.html
When using Exchange, you should also read the following:
http://support.microsoft.com/kb/833783/en-us
Wenn du den Server hackst kannst du dir ein CMD Fenster öffnen das als System ausgeführt wird. Hier kannst du dann den Administrator per CMD wieder aktivieren und schnell die GPO an den richtigen platz geben oder lsöchen.
net user Administrator /active:yes
Du kannst mittels Windows 2016 Server CD eine Command Line starten und auf Laufwerk C:\Windows\System32
die datei Utilman.exe in Utilman.exe.old umbennen dann kopierst du die datei CMD.exe und nennst diese Utilman.exe
Wenn du den Server startest und auf das Rollstuhl Symbol drückst startet sich dann eine CMD als System hier kannst du dann wie beschrieben deinen Administrator wieder Aktivieren und die GPO abändern.
PS: Natürlich das umbennen danach wieder rückgängig machen.
PPS: Lass besser das rumspielen am DC da sollte man schon wissen was man tut bzw. hol dir hilfe oder frag vorher im Forum.Solltest du kein Admin sein such dir einen Systemadmin.
LG Andy
Der Domänenadmin "Administrator" sollte sogar deaktiviert werden, aus einem ganz einfachen Grund: dieses Konto kann nicht in den Status locked out gehen, ergo könnte jeder Hans bruteforce-Attacken darauf fahren, bis es letztlich gelingt. Das ist eine exklusive Eigenschaft des eingebauten Administratorkontos und ebenso des Domänenadminkontos "Administrator".
Man sollte aber davor einen alternativen Anlegen
Und wo bleibt da der Nervenkitzel 
Bei geplanten Aktionen brauch ich die nicht, es reicht, wenn es in ganz Deutschland stürmt und blitzt
Danke, so war es. Habe mich hiervon leiten lassen:
"Mit dieser Sicherheitseinstellung wird festgelegt, ob das l o k a l e Administratorkonto aktiviert oder deaktiviert ist."
In der richtigen OU klappt es.
"Mit dieser Sicherheitseinstellung wird festgelegt, ob das l o k a l e Administratorkonto aktiviert oder deaktiviert ist."
In der richtigen OU klappt es.