3
Domain-Admin hat keine Berechtigungen DCs herauf oder herabzustufen
Domänen-Admin hat keine Berechtigung DCs herauf oder herabzustufen.
Hallo Community,
seit ein paar Tagen habe ich das Problem, daß mein Domain-Admin-Konto offenbar keine Berechtgungen mehr für die Promovierung von DCs in meiner Domäne hat.
Beim Herauf- oder Herabstufen wird mir das Vorgang immer mit folgender FM quittiert:
Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER$ auf dem Server server1.domain.tld zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert ".
Da will er dann ein anderes Admin-Konto haben.
hat jemand eine Idee?
mfg
Doc
seit ein paar Tagen habe ich das Problem, daß mein Domain-Admin-Konto offenbar keine Berechtgungen mehr für die Promovierung von DCs in meiner Domäne hat.
Beim Herauf- oder Herabstufen wird mir das Vorgang immer mit folgender FM quittiert:
Vorgang fehlgeschlagen. Grund: Der Versuch, das Computerkonto SERVER$ auf dem Server server1.domain.tld zu konfigurieren, ist fehlgeschlagen. "Zugriff verweigert ".
Da will er dann ein anderes Admin-Konto haben.
hat jemand eine Idee?
mfg
Doc
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 60844
Url: https://administrator.de/contentid/60844
Printed on: April 19, 2024 at 19:04 o'clock
3 Comments
Latest comment
Hallo!
Funktioniert es denn dann mit einem anderen Konto?
Hast Du die Policies geprüft?
Was sagt das Event-Log?
Gruss
Udo
Funktioniert es denn dann mit einem anderen Konto?
Hast Du die Policies geprüft?
Was sagt das Event-Log?
Gruss
Udo
Hallo jeutix,
Die Policies sind alle stimmig, habe ich eben nochmals überprüft. Leider funktioniert es nicht mal mit meinem 2. Admin-Account.
Im Event-Log am zu hochstufenden Server ist lediglich zu lesen, daß der Server versucht hat, DC zu werden, und daß es wegen "Zugriff verweigert" nicht geklappt hat..
am DC erscheint komischerweise garnix... weder in Anwendungs-, Sicherheits- oder Replikationslogs.
auf dem Hochzustufenden habe ich eben etwas gefunden:
Ereignistyp: Erfolgsberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 08.06.2007
Zeit: 11:18:51
Benutzer: SERVER5\IUSR_SERVER5
Computer: SERVER5
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: IUSR_SERVER5
Arbeitsstation: SERVER5
Fehlercode: 0x0
Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kommt ungefähr hin mit der Zeit, wo ich die Umstellung machen wollte
Gruß
Doc
Die Policies sind alle stimmig, habe ich eben nochmals überprüft. Leider funktioniert es nicht mal mit meinem 2. Admin-Account.
Im Event-Log am zu hochstufenden Server ist lediglich zu lesen, daß der Server versucht hat, DC zu werden, und daß es wegen "Zugriff verweigert" nicht geklappt hat..
am DC erscheint komischerweise garnix... weder in Anwendungs-, Sicherheits- oder Replikationslogs.
auf dem Hochzustufenden habe ich eben etwas gefunden:
Ereignistyp: Erfolgsberw.
Ereignisquelle: Security
Ereigniskategorie: Kontoanmeldung
Ereigniskennung: 680
Datum: 08.06.2007
Zeit: 11:18:51
Benutzer: SERVER5\IUSR_SERVER5
Computer: SERVER5
Beschreibung:
Anmeldversuch von: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Anmeldekonto: IUSR_SERVER5
Arbeitsstation: SERVER5
Fehlercode: 0x0
Weitere Informationen ber die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Kommt ungefähr hin mit der Zeit, wo ich die Umstellung machen wollte
Gruß
Doc
Ich glaube ich habs hinbekommen..
Dem Domänen-Admin fehlte ein Recht.. "Enable computers and users accounts to be trusted for delegation" musste auf dem DC und dem "Noch-DC" aktiviert und die Domänenadmins hinzugefügt werden..
danach auch beiden DCs "secedit /refreshpolicy machine_policy" durchführen.. und es lief..
Dem Domänen-Admin fehlte ein Recht.. "Enable computers and users accounts to be trusted for delegation" musste auf dem DC und dem "Noch-DC" aktiviert und die Domänenadmins hinzugefügt werden..
danach auch beiden DCs "secedit /refreshpolicy machine_policy" durchführen.. und es lief..
