Domänencontroller 2003 wieder zurückverwandeln ohne reinstall
Situation: Windows Server 2003 Standard mit Terminaldiensten und als primärer Domänencontroller eingesetzt.
Möchte den Domänencontroller nun wieder herabstufen zu einem normalen Terminalserver....
Hallo
Musste auf einem Server AD installieren um per Gruppenrichtlinien den Terminalserver den feinschliff zu geben...
Nun wird das nicht mehr gebraucht.
So wie ich das gelesen habe werden dann die Benutzerkonten gelöscht..?
stimmt das ?
bzw. was passiert genau dabei wenn ich die Serverrole entferne ?
lg
Möchte den Domänencontroller nun wieder herabstufen zu einem normalen Terminalserver....
Hallo
Musste auf einem Server AD installieren um per Gruppenrichtlinien den Terminalserver den feinschliff zu geben...
Nun wird das nicht mehr gebraucht.
So wie ich das gelesen habe werden dann die Benutzerkonten gelöscht..?
stimmt das ?
bzw. was passiert genau dabei wenn ich die Serverrole entferne ?
lg
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 162975
Url: https://administrator.de/contentid/162975
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
einen DC kann wieder zu einem normalen Memberserver machen, siehe http://technet.microsoft.com/en-us/library/cc740017%28WS.10%29.aspx (okay, ganz so einfach wie da beschrieben ist es vielleicht nicht immer...).
So wie ich dich verstehe, ist das aber dein einziger DC(?). Dann geht das laut o.g. Artikel grundsätzlich auch ("If this domain controller is the last domain controller in the domain, demoting this domain controller will remove this domain from the forest. If this is the last domain in the forest, demoting this domain controller will also delete the forest. For information about removing domains and forests, see Related Topics.").
Aber wenn du keine Domain mehr hast, hast du sowieso keine GPOs mehr, dann war die ganze Aktion sinnfrei.
Das mit den Nutzerkonten ist eine interessante Frage: Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht, auf einem DC gibt es keine lokalen Konten. Aber ob dann beim Demoten lokale Nutzer & Gruppen angelegt werden... eher unwahrscheinlich. Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr, weil es keine AD-Accounts mehr gibt.
Gruß
Filipp
Edit: Unter http://technet.microsoft.com/en-us/library/cc771835%28WS.10%29.aspx findet sich ein Artikel zum entfernen des letzten DCs im Forest - allerdings bezogen auf Win2008. Aber da steht dabei, dass man beim dcpromo nach einem neuen Kennwort für den neuen lokalen Admin-Account gefragt wird. So wird's wohl auch bei 2k3 sein.
einen DC kann wieder zu einem normalen Memberserver machen, siehe http://technet.microsoft.com/en-us/library/cc740017%28WS.10%29.aspx (okay, ganz so einfach wie da beschrieben ist es vielleicht nicht immer...).
So wie ich dich verstehe, ist das aber dein einziger DC(?). Dann geht das laut o.g. Artikel grundsätzlich auch ("If this domain controller is the last domain controller in the domain, demoting this domain controller will remove this domain from the forest. If this is the last domain in the forest, demoting this domain controller will also delete the forest. For information about removing domains and forests, see Related Topics.").
Aber wenn du keine Domain mehr hast, hast du sowieso keine GPOs mehr, dann war die ganze Aktion sinnfrei.
Das mit den Nutzerkonten ist eine interessante Frage: Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht, auf einem DC gibt es keine lokalen Konten. Aber ob dann beim Demoten lokale Nutzer & Gruppen angelegt werden... eher unwahrscheinlich. Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr, weil es keine AD-Accounts mehr gibt.
Gruß
Filipp
Edit: Unter http://technet.microsoft.com/en-us/library/cc771835%28WS.10%29.aspx findet sich ein Artikel zum entfernen des letzten DCs im Forest - allerdings bezogen auf Win2008. Aber da steht dabei, dass man beim dcpromo nach einem neuen Kennwort für den neuen lokalen Admin-Account gefragt wird. So wird's wohl auch bei 2k3 sein.
Hallo.
Nicht wenn man den 1. Server zum DC hochstuft. Da bleiben die Accounts erhalten
Richtig, die sind samt dem AD weg
Würde es da nicht den lokalen Administrator geben, den gibt es nach wie vor. Das PW ist das, das man beim promoten zum DC eingegeben hat. Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange der Rechner noch DC ist.
Allerdings frage ich mich, was dieser Satz bedeuten soll?
Gibt es da eine Schleifmethode, die nur der TO ganz alleine weiß, oder was wurde da herumgeschliffen?
LG Günther
Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht
Nicht wenn man den 1. Server zum DC hochstuft. Da bleiben die Accounts erhalten
Aber ob dann beim Demoten lokale Nutzer & Gruppen angelegt werden... eher unwahrscheinlich
Richtig, die sind samt dem AD weg
Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr
Würde es da nicht den lokalen Administrator geben, den gibt es nach wie vor. Das PW ist das, das man beim promoten zum DC eingegeben hat. Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange der Rechner noch DC ist.
Allerdings frage ich mich, was dieser Satz bedeuten soll?
Musste auf einem Server AD installieren um per Gruppenrichtlinien den Terminalserver den feinschliff zu geben...
Gibt es da eine Schleifmethode, die nur der TO ganz alleine weiß, oder was wurde da herumgeschliffen?
LG Günther
Hallo,
Gruß
Filipp
> Wenn mich meine Erinnerung nicht ganz trügt, werden beim Promoten alle lokalen Konten gelöscht
Nicht wenn man den 1. Server zum DC hochstuft. Da bleiben die Accounts erhalten
Jaaaa... da geht es jetzt glaube ich nur um die Formulierung: die Accounts werden in AD-Accounts umgewandelt, also auch auf dem 1. DC gibt es keine lokalen Accounts.Nicht wenn man den 1. Server zum DC hochstuft. Da bleiben die Accounts erhalten
> Würde aber auch heißen: wenn den letzten DC demoted, hat man danach darauf überhaupt keinen Zugriff mehr
Würde es da nicht den lokalen Administrator geben, den gibt es nach wie vor. Das PW ist das, das man beim promoten zum DC
eingegeben hat. Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange
der Rechner noch DC ist.
Danke, das ist der entscheidende Hinweis!Würde es da nicht den lokalen Administrator geben, den gibt es nach wie vor. Das PW ist das, das man beim promoten zum DC
eingegeben hat. Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange
der Rechner noch DC ist.
Gruß
Filipp
Servus,
ne nee..., wenn ein DC heruntergestuft wird, wird man an einer Stelle vom DCPROMO-Assistenten aufgefordert,
dem lokalen Administrator ein neues Kennwort zu vergeben.
Das stimmt auch nicht. Mit NTDSUTIL kann man das Kennwort für das --> DSRM-Konto <-- ändern. Das ist quasi das einzige *lokale* Benutzerkonto auf einem *DC*.
Aber das DSRM-Konto kann mit dem lokalen Administrator, den man nach dem herunterstufen eines DCs benötigt, nichts zu tun.
Es ist so wie ich es im ersten Absatz beschrieben habe.
Viele Grüße
/ > Yusuf Dikmenoglu
Das PW ist das, das man beim promoten zum DC eingegeben hat.
ne nee..., wenn ein DC heruntergestuft wird, wird man an einer Stelle vom DCPROMO-Assistenten aufgefordert,
dem lokalen Administrator ein neues Kennwort zu vergeben.
Wenn man es nicht mehr weiß, dann kann man es mit ntdsutil und set dsrm password zurücksetzen, solange der Rechner noch DC ist.
Das stimmt auch nicht. Mit NTDSUTIL kann man das Kennwort für das --> DSRM-Konto <-- ändern. Das ist quasi das einzige *lokale* Benutzerkonto auf einem *DC*.
Aber das DSRM-Konto kann mit dem lokalen Administrator, den man nach dem herunterstufen eines DCs benötigt, nichts zu tun.
Es ist so wie ich es im ersten Absatz beschrieben habe.
Viele Grüße
/ > Yusuf Dikmenoglu