Deaktivierter DomänenAdmin
In einer 2016 Domäne ist folgender Fall aufgetreten. Das lokale Administratorkonto sollte per GPO mittels
ComputerRL/Windowseinstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen/Konten:Administratorkontostatus deaktiviert werden.
Soweit so gut, hat es für den lokalen Administrator eines Computers in der Domäne auch funktioniert. Allerdings war auch der DomänenAdministrator deaktiviert
(SID: S-1-5-21Domäne-500)!!!!
Was ist hier los, gibt es ähnliche Probleme?
ComputerRL/Windowseinstellungen/Sicherheitseinstellungen/lokale Richtlinien/Sicherheitsoptionen/Konten:Administratorkontostatus deaktiviert werden.
Soweit so gut, hat es für den lokalen Administrator eines Computers in der Domäne auch funktioniert. Allerdings war auch der DomänenAdministrator deaktiviert
(SID: S-1-5-21Domäne-500)!!!!
Was ist hier los, gibt es ähnliche Probleme?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387546
Url: https://administrator.de/forum/deaktivierter-domaenenadmin-387546.html
Ausgedruckt am: 19.03.2025 um 09:03 Uhr
9 Kommentare
Neuester Kommentar

Was ist hier los, gibt es ähnliche Probleme?
Nö, du hast die GPO sehr wahrscheinlich auf die falsche OU angewendet, und somit wäre dann auch der DC betroffen und auch dessen "Administrator" Gruß speedlink
Hi
Tja da hilft nur als System anmelden und die GPOs reseten bzw. löschen per CMD.
1. Log on as a System to a DC.
2. Start a command session.
3. To reset the Domain GPO, type
dcgpofix /target:Domain
To reset the Default DC GPO, type
dcgpofix /target:DC
To reset both the Domain and Default DC GPOs, type
dcgpofix /target:both
4.After you enter the appropriate command in Step 3, enter Y to both prompts.
5. Close the command window.
Use the command-line tool dcgpofix:
http://www.windowsitpro.com/Articles/ArticleID/41878/41878.html
When using Exchange, you should also read the following:
http://support.microsoft.com/kb/833783/en-us
Wenn du den Server hackst kannst du dir ein CMD Fenster öffnen das als System ausgeführt wird. Hier kannst du dann den Administrator per CMD wieder aktivieren und schnell die GPO an den richtigen platz geben oder lsöchen.
net user Administrator /active:yes
Du kannst mittels Windows 2016 Server CD eine Command Line starten und auf Laufwerk C:\Windows\System32
die datei Utilman.exe in Utilman.exe.old umbennen dann kopierst du die datei CMD.exe und nennst diese Utilman.exe
Wenn du den Server startest und auf das Rollstuhl Symbol drückst startet sich dann eine CMD als System hier kannst du dann wie beschrieben deinen Administrator wieder Aktivieren und die GPO abändern.
PS: Natürlich das umbennen danach wieder rückgängig machen.
PPS: Lass besser das rumspielen am DC da sollte man schon wissen was man tut bzw. hol dir hilfe oder frag vorher im Forum.Solltest du kein Admin sein such dir einen Systemadmin.
LG Andy
Tja da hilft nur als System anmelden und die GPOs reseten bzw. löschen per CMD.
1. Log on as a System to a DC.
2. Start a command session.
3. To reset the Domain GPO, type
dcgpofix /target:Domain
To reset the Default DC GPO, type
dcgpofix /target:DC
To reset both the Domain and Default DC GPOs, type
dcgpofix /target:both
4.After you enter the appropriate command in Step 3, enter Y to both prompts.
5. Close the command window.
Use the command-line tool dcgpofix:
http://www.windowsitpro.com/Articles/ArticleID/41878/41878.html
When using Exchange, you should also read the following:
http://support.microsoft.com/kb/833783/en-us
Wenn du den Server hackst kannst du dir ein CMD Fenster öffnen das als System ausgeführt wird. Hier kannst du dann den Administrator per CMD wieder aktivieren und schnell die GPO an den richtigen platz geben oder lsöchen.
net user Administrator /active:yes
Du kannst mittels Windows 2016 Server CD eine Command Line starten und auf Laufwerk C:\Windows\System32
die datei Utilman.exe in Utilman.exe.old umbennen dann kopierst du die datei CMD.exe und nennst diese Utilman.exe
Wenn du den Server startest und auf das Rollstuhl Symbol drückst startet sich dann eine CMD als System hier kannst du dann wie beschrieben deinen Administrator wieder Aktivieren und die GPO abändern.
PS: Natürlich das umbennen danach wieder rückgängig machen.
PPS: Lass besser das rumspielen am DC da sollte man schon wissen was man tut bzw. hol dir hilfe oder frag vorher im Forum.Solltest du kein Admin sein such dir einen Systemadmin.
LG Andy
Der Domänenadmin "Administrator" sollte sogar deaktiviert werden, aus einem ganz einfachen Grund: dieses Konto kann nicht in den Status locked out gehen, ergo könnte jeder Hans bruteforce-Attacken darauf fahren, bis es letztlich gelingt. Das ist eine exklusive Eigenschaft des eingebauten Administratorkontos und ebenso des Domänenadminkontos "Administrator".
Und wo bleibt da der Nervenkitzel 
Bei geplanten Aktionen brauch ich die nicht, es reicht, wenn es in ganz Deutschland stürmt und blitzt