3
Domain-Admin hat keine Berechtigungen DCs herauf oder herabzustufen
Domänen-Admin hat keine Berechtigung DCs herauf oder herabzustufen.
Hallo Community,
seit ein paar Tagen habe ich das Problem, daß mein Domain-Admin-Konto offenbar keine Berechtgungen mehr für die Promovierung von DCs in meiner Domäne hat.
Beim Herauf- oder Herabstufen wird mir das Vorgang immer mit folgender FM quittiert:
Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER$ auf dem Server server1.domain.tld zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert ".
Da will er dann ein anderes Admin-Konto haben.
hat jemand eine Idee?
mfg
Doc
Hallo Community,
seit ein paar Tagen habe ich das Problem, daß mein Domain-Admin-Konto offenbar keine Berechtgungen mehr für die Promovierung von DCs in meiner Domäne hat.
Beim Herauf- oder Herabstufen wird mir das Vorgang immer mit folgender FM quittiert:
Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER$ auf dem Server server1.domain.tld zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert ".
Da will er dann ein anderes Admin-Konto haben.
hat jemand eine Idee?
mfg
Doc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 60844
Url: https://administrator.de/forum/domain-admin-hat-keine-berechtigungen-dcs-herauf-oder-herabzustufen-60844.html
Ausgedruckt am: 22.01.2025 um 15:01 Uhr
3 Kommentare
Neuester Kommentar
Hallo!
Funktioniert es denn dann mit einem anderen Konto?
Hast Du die Policies geprüft?
Was sagt das Event-Log?
Gruss
Udo
Funktioniert es denn dann mit einem anderen Konto?
Hast Du die Policies geprüft?
Was sagt das Event-Log?
Gruss
Udo
Hallo jeutix,
Die Policies sind alle stimmig, habe ich eben nochmals überprüft. Leider funktioniert es nicht mal mit meinem 2. Admin-Account.
Im Event-Log am zu hochstufenden Server ist lediglich zu lesen, daß der Server versucht hat, DC zu werden, und daß es wegen "Zugriff verweigert" nicht geklappt hat..
am DC erscheint komischerweise garnix... weder in Anwendungs-, Sicherheits- oder Replikationslogs.
auf dem Hochzustufenden habe ich eben etwas gefunden:
Ereignistyp: Erfolgsberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 08.06.2007
Zeit: 11:18:51
Benutzer: SERVER5\IUSR_SERVER5
Computer: SERVER5
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: IUSR_SERVER5
Arbeitsstation: SERVER5
Fehlercode: 0x0
Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kommt ungefähr hin mit der Zeit, wo ich die Umstellung machen wollte
Gruß
Doc
Die Policies sind alle stimmig, habe ich eben nochmals überprüft. Leider funktioniert es nicht mal mit meinem 2. Admin-Account.
Im Event-Log am zu hochstufenden Server ist lediglich zu lesen, daß der Server versucht hat, DC zu werden, und daß es wegen "Zugriff verweigert" nicht geklappt hat..
am DC erscheint komischerweise garnix... weder in Anwendungs-, Sicherheits- oder Replikationslogs.
auf dem Hochzustufenden habe ich eben etwas gefunden:
Ereignistyp: Erfolgsberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 08.06.2007
Zeit: 11:18:51
Benutzer: SERVER5\IUSR_SERVER5
Computer: SERVER5
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: IUSR_SERVER5
Arbeitsstation: SERVER5
Fehlercode: 0x0
Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kommt ungefähr hin mit der Zeit, wo ich die Umstellung machen wollte
Gruß
Doc
Ich glaube ich habs hinbekommen..
Dem Domänen-Admin fehlte ein Recht.. "Enable computers and users accounts to be trusted for delegation" musste auf dem DC und dem "Noch-DC" aktiviert und die Domänenadmins hinzugefügt werden..
danach auch beiden DCs "secedit /refreshpolicy machine_policy" durchführen.. und es lief..
Dem Domänen-Admin fehlte ein Recht.. "Enable computers and users accounts to be trusted for delegation" musste auf dem DC und dem "Noch-DC" aktiviert und die Domänenadmins hinzugefügt werden..
danach auch beiden DCs "secedit /refreshpolicy machine_policy" durchführen.. und es lief..
