nachtfuchs
Goto Top

Domainadmin ist kein lokaler Admin

Hallo,
ich habe hier einen Client, bei dem als lokaler Admin nur der Administrator auf dem lokalen Computer angelegt ist. Das Kennwort kennt aber keiner face-smile
Als Domain-Administrator kann ich mich anmelden, bin jedoch kein lokaler Admin und darf nichts machen.
Könnt ihr mir helfen?

Content-ID: 107771

Url: https://administrator.de/forum/domainadmin-ist-kein-lokaler-admin-107771.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

ITwissen
ITwissen 02.02.2009 um 10:01:37 Uhr
Goto Top
Soweit ich weiss, lassen es die Richtlinien des Forums nicht zu, dass wir beim Hacken (mag es auch in guter Absicht sein) helfen.
nachtfuchs
nachtfuchs 02.02.2009 um 10:03:44 Uhr
Goto Top
Mein Arbeitsvertrag auch nicht, danke für die Unterstellung.
Ich dachte an eine reguläre Lösung.
steward
steward 02.02.2009 um 10:05:20 Uhr
Goto Top
Hallo, hab ich Dich richtig verstanden das du das Domain-Admin Kennwort kennst? Stetz dann doch das lokale Admin-Konto in der lokalen Computerverwaltung zurück - das ist nicht gehackt.
nachtfuchs
nachtfuchs 02.02.2009 um 10:06:40 Uhr
Goto Top
Ja, dass kenne ich.
Wie geht das denn? Wenn ich dort Änderungen vornehme sagt er mir, dass ich als \DOMAIN\ADMIN keine Berechtigung habe, nur der \COMPUTERNAME\ADMIN
ITwissen
ITwissen 02.02.2009 um 10:10:00 Uhr
Goto Top
Ich hab nochmal nachgedacht und mir ist eine "nicht-Hack" Möglichkeit eingefallen.

Du kannst via GPO mittels "Restricted Groups" die Mitglieder einer Gruppe erzwingen. Das geht nur, wenn du Domänen Admin bist und der Rechner reguläres Mitglied einer Domäne ist.
16-Bit
16-Bit 02.02.2009 um 10:26:07 Uhr
Goto Top
Hallo,

das geht eigentlich nur, wenn man die User als lokaler Admin arbeiten läßt. Nur dann haben sie die Möglichkeit die Dom-Admins aus der Gruppe der Administratoren heraus zu nehmen. Es gibt diverse Tools, die auf einer Linux-CD basieren und mit denen man das lokale!!! Passwort zurücksetzen kann. Haben wir auch schon gebraucht face-sad Rechner aus versehen aus der Domäne entfernt und lokal gab es nur den Admin, bei dessen Kennwort sich wohl jemand nicht an die Regeln gehalten hat.
Logan000
Logan000 02.02.2009 um 11:16:56 Uhr
Goto Top
Moin Moin

Lösung 1: siehe ITwissen (setzt aber ein AD vorraus) Hat zusätzlich den Vorteil das alle anderen lokalen Admin entfernt werden.
Lösung 2: PC Plattmachen (Image zurückspielen oder Neuinstallation)
Lösung 3: PC aus der Domäne entferen und erneut hinzufügen (bin mir aber nicht sicher ob das ohne lokale Admin Rechte klappt).

Gruß L.
DerStivi
DerStivi 02.02.2009 um 11:27:48 Uhr
Goto Top
hmm... die Domain-Admins haben aber in der Domain grundsätzlich keine beschnittenen Rechte bekommen, oder?

Nächste Frage wäre ob es da irgendwelche GPOs gibt, die es auf der Kiste verbieten als "nicht lokaler Admin" irgendwas zu veranstalten.

Habt ihr vielleicht einen gesonderten Orga Admin? Mindestens die dürfen doch eigenlich alles.
ITwissen
ITwissen 02.02.2009 um 11:38:50 Uhr
Goto Top
Nach Lösung 3 bleibt nur Lösung 2 oder Lösung 4. Lösung 4 ist aber gegen die Forumsrichtlinien face-smile
nachtfuchs
nachtfuchs 02.02.2009 um 13:47:23 Uhr
Goto Top
Lösung1 hat prima geklappt, danke!

"Du kannst via GPO mittels "Restricted Groups" die Mitglieder einer Gruppe erzwingen. Das geht nur, wenn du Domänen Admin bist und der Rechner reguläres Mitglied einer Domäne ist."