christian25
Goto Top

Domänencontroller 2003 wieder zurückverwandeln ohne reinstall

Situation: Windows Server 2003 Standard mit Terminaldiensten und als primärer Domänencontroller eingesetzt.
Möchte den Domänencontroller nun wieder herabstufen zu einem normalen Terminalserver....

Hallo


Musste auf einem Server AD installieren um per Gruppenrichtlinien den Terminalserver den feinschliff zu geben...

Nun wird das nicht mehr gebraucht.

So wie ich das gelesen habe werden dann die Benutzerkonten gelöscht..?

stimmt das ?

bzw. was passiert genau dabei wenn ich die Serverrole entferne ?

lg

Content-ID: 162975

Url: https://administrator.de/contentid/162975

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

filippg
filippg 18.03.2011 um 23:39:32 Uhr
Goto Top
Hallo,

einen DC kann wieder zu einem normalen Memberserver machen, siehe http://technet.microsoft.com/en-us/library/cc740017%28WS.10%29.aspx (okay, ganz so einfach wie da beschrieben ist es vielleicht nicht immer...).

So wie ich dich verstehe, ist das aber dein einziger DC(?). Dann geht das laut o.g. Artikel grundsätzlich auch ("If this domain controller is the last domain controller in the domain, demoting this domain controller will remove this domain from the forest. If this is the last domain in the forest, demoting this domain controller will also delete the forest. For information about removing domains and forests, see Related Topics.").
Aber wenn du keine Domain mehr hast, hast du sowieso keine GPOs mehr, dann war die ganze Aktion sinnfrei.

Das mit den Nutzerkonten ist eine interessante Frage: Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht, auf einem DC gibt es keine lokalen Konten. Aber ob dann beim Demoten lokale Nutzer & Gruppen angelegt werden... eher unwahrscheinlich. Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr, weil es keine AD-Accounts mehr gibt.

Gruß

Filipp

Edit: Unter http://technet.microsoft.com/en-us/library/cc771835%28WS.10%29.aspx findet sich ein Artikel zum entfernen des letzten DCs im Forest - allerdings bezogen auf Win2008. Aber da steht dabei, dass man beim dcpromo nach einem neuen Kennwort für den neuen lokalen Admin-Account gefragt wird. So wird's wohl auch bei 2k3 sein.
GuentherH
GuentherH 18.03.2011 um 23:55:47 Uhr
Goto Top
Hallo.

Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht

Nicht wenn man den 1. Server zum DC hochstuft. Da bleiben die Accounts erhalten

Aber ob dann beim Demoten lokale Nutzer & Gruppen angelegt werden... eher unwahrscheinlich

Richtig, die sind samt dem AD weg

Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr

Würde es da nicht den lokalen Administrator geben, den gibt es nach wie vor. Das PW ist das, das man beim promoten zum DC eingegeben hat. Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange der Rechner noch DC ist.

Allerdings frage ich mich, was dieser Satz bedeuten soll?

Musste auf einem Server AD installieren um per Gruppenrichtlinien den Terminalserver den feinschliff zu geben...

Gibt es da eine Schleifmethode, die nur der TO ganz alleine weiß, oder was wurde da herumgeschliffen?

LG Günther
filippg
filippg 19.03.2011 um 00:05:39 Uhr
Goto Top
Hallo,

> Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht
Nicht wenn man den 1. Server zum DC hochstuft. Da bleiben die Accounts erhalten
Jaaaa... da geht es jetzt glaube ich nur um die Formulierung: die Accounts werden in AD-Accounts umgewandelt, also auch auf dem 1. DC gibt es keine lokalen Accounts.

> Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr
Würde es da nicht den lokalen Administrator geben, den gibt es nach wie vor. Das PW ist das, das man beim promoten zum DC
eingegeben hat. Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange
der Rechner noch DC ist.
Danke, das ist der entscheidende Hinweis!

Gruß

Filipp
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 19.03.2011 um 09:34:40 Uhr
Goto Top
Servus,

Das PW ist das, das man beim promoten zum DC eingegeben hat.

ne nee..., wenn ein DC heruntergestuft wird, wird man an einer Stelle vom DCPROMO-Assistenten aufgefordert,
dem lokalen Administrator ein neues Kennwort zu vergeben.


Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange der Rechner noch DC ist.

Das stimmt auch nicht. Mit NTDSUTIL kann man das Kennwort für das --> DSRM-Konto <-- ändern. Das ist quasi das einzige *lokale* Benutzerkonto auf einem *DC*.
Aber das DSRM-Konto kann mit dem lokalen Administrator, den man nach dem herunterstufen eines DCs benötigt, nichts zu tun.
Es ist so wie ich es im ersten Absatz beschrieben habe.


Viele Grüße

/ > Yusuf Dikmenoglu
Christian25
Christian25 20.03.2011 um 19:21:45 Uhr
Goto Top
hi

dann wird das AD wohl noch ne Zeit bleiben müssen...


Danke