franky201
Goto Top

Deaktivierter DomänenAdmin

In einer 2016 Domäne ist folgender Fall aufgetreten. Das lokale Administratorkonto sollte per GPO mittels
ComputerRL/Windowseinstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen/Konten:Administratorkontostatus deaktiviert werden.

Soweit so gut, hat es für den lokalen Administrator eines Computers in der Domäne auch funktioniert. Allerdings war auch der DomänenAdministrator deaktiviert
(SID: S-1-5-21Domäne-500)!!!!

Was ist hier los, gibt es ähnliche Probleme?

Content-ID: 387546

Url: https://administrator.de/forum/deaktivierter-domaenenadmin-387546.html

Ausgedruckt am: 19.03.2025 um 09:03 Uhr

137289
137289 25.09.2018 aktualisiert um 13:36:19 Uhr
Goto Top
Was ist hier los, gibt es ähnliche Probleme?
Nö, du hast die GPO sehr wahrscheinlich auf die falsche OU angewendet, und somit wäre dann auch der DC betroffen und auch dessen "Administrator" face-smile.

Gruß speedlink
certifiedit.net
certifiedit.net 25.09.2018 um 13:32:58 Uhr
Goto Top
Hallo Franky,

Beruf verfehlt? Auf dem AD ist der lokale Admin der Domänenadmin, ist der deaktiviert...

Probleme gibt es natürlich immer wieder, wenn der Admin nicht weiss, was er tut...
certifiedit.net
certifiedit.net 25.09.2018 um 13:33:28 Uhr
Goto Top
Nö, nö ist schon die richtige, nur das, was er wollte war Bullshit.
Ausserwoeger
Ausserwoeger 25.09.2018 aktualisiert um 13:59:36 Uhr
Goto Top
Hi

Tja da hilft nur als System anmelden und die GPOs reseten bzw. löschen per CMD.

1. Log on as a System to a DC.
2. Start a command session.
3. To reset the Domain GPO, type
dcgpofix /target:Domain
To reset the Default DC GPO, type
dcgpofix /target:DC
To reset both the Domain and Default DC GPOs, type
dcgpofix /target:both

4.After you enter the appropriate command in Step 3, enter Y to both prompts.
5. Close the command window.

Use the command-line tool dcgpofix:
http://www.windowsitpro.com/Articles/ArticleID/41878/41878.html

When using Exchange, you should also read the following:
http://support.microsoft.com/kb/833783/en-us

Wenn du den Server hackst kannst du dir ein CMD Fenster öffnen das als System ausgeführt wird. Hier kannst du dann den Administrator per CMD wieder aktivieren und schnell die GPO an den richtigen platz geben oder lsöchen.

net user Administrator /active:yes

Du kannst mittels Windows 2016 Server CD eine Command Line starten und auf Laufwerk C:\Windows\System32
die datei Utilman.exe in Utilman.exe.old umbennen dann kopierst du die datei CMD.exe und nennst diese Utilman.exe

Wenn du den Server startest und auf das Rollstuhl Symbol drückst startet sich dann eine CMD als System hier kannst du dann wie beschrieben deinen Administrator wieder Aktivieren und die GPO abändern.

PS: Natürlich das umbennen danach wieder rückgängig machen.
PPS: Lass besser das rumspielen am DC da sollte man schon wissen was man tut bzw. hol dir hilfe oder frag vorher im Forum.Solltest du kein Admin sein such dir einen Systemadmin.

LG Andy
DerWoWusste
DerWoWusste 25.09.2018 um 14:21:09 Uhr
Goto Top
Der Domänenadmin "Administrator" sollte sogar deaktiviert werden, aus einem ganz einfachen Grund: dieses Konto kann nicht in den Status locked out gehen, ergo könnte jeder Hans bruteforce-Attacken darauf fahren, bis es letztlich gelingt. Das ist eine exklusive Eigenschaft des eingebauten Administratorkontos und ebenso des Domänenadminkontos "Administrator".
certifiedit.net
certifiedit.net 25.09.2018 um 14:29:32 Uhr
Goto Top
Man sollte aber davor einen alternativen Anlegen face-smile
goscho
goscho 25.09.2018 um 14:39:12 Uhr
Goto Top
Zitat von @certifiedit.net:

Man sollte aber davor einen alternativen Anlegen face-smile
Und wo bleibt da der Nervenkitzel face-big-smile
certifiedit.net
certifiedit.net 25.09.2018 um 14:42:43 Uhr
Goto Top
Zitat von @goscho:

Zitat von @certifiedit.net:

Man sollte aber davor einen alternativen Anlegen face-smile
Und wo bleibt da der Nervenkitzel face-big-smile

Bei geplanten Aktionen brauch ich die nicht, es reicht, wenn es in ganz Deutschland stürmt und blitzt face-wink
franky201
franky201 25.09.2018 um 15:10:28 Uhr
Goto Top
Danke, so war es. Habe mich hiervon leiten lassen:
"Mit dieser Sicherheitseinstellung wird festgelegt, ob das l o k a l e Administratorkonto aktiviert oder deaktiviert ist."
In der richtigen OU klappt es.