17
Im AD ausgesperrt
Ich betreue eine kleine Firma und habe nun beim einzigen Domain Admin das Passwort geändert. Lief auch alles problemlos. Kurze Zeit später wollte ich mich einloggen und Windows sagt nun das Konto ist gesperrt??? Mit einem normalen Benutzer geht es leider nicht. Wie komme ich wieder auf die AD?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3173850059
Url: https://administrator.de/contentid/3173850059
Printed on: April 26, 2024 at 05:04 o'clock
17 Comments
Latest comment
Hi, versuche dich mit dem lokalen Administrator-Konto auf dem DC anzumelden. Damit solltest du auch in die AD-Verwaltung kommen.
Auch keinen Guten Morgen.
Es widerspricht den Forenregeln Kennwörter oder ähnliches zu knacken oder sonst wie sich Zugriff auf Systeme zu schaffen, da kein Forenteilnehmer weiß, ob du wirklich der Eigner bist.
Man kann dir nur raten ein Backup einzuspielen.
EDIT:
Und das was @anteNope sagt.
Es wird wahrscheinlich irgendwo ein Dienst laufen, der das alte Kennwort hardcoded verwendet und damit immer wieder eine Sperre verursacht. Das kann auch ein popliges, skript-basiertes Netzlaufwerk-Mapping sein.
Auch keinen Gruß
Marc
Es widerspricht den Forenregeln Kennwörter oder ähnliches zu knacken oder sonst wie sich Zugriff auf Systeme zu schaffen, da kein Forenteilnehmer weiß, ob du wirklich der Eigner bist.
Man kann dir nur raten ein Backup einzuspielen.
EDIT:
Zitat von @anteNope:
Hi, versuche dich mit dem lokalen Administrator-Konto auf dem DC anzumelden. Damit solltest du auch in die AD-Verwaltung kommen.
Hi, versuche dich mit dem lokalen Administrator-Konto auf dem DC anzumelden. Damit solltest du auch in die AD-Verwaltung kommen.
Und das was @anteNope sagt.
Es wird wahrscheinlich irgendwo ein Dienst laufen, der das alte Kennwort hardcoded verwendet und damit immer wieder eine Sperre verursacht. Das kann auch ein popliges, skript-basiertes Netzlaufwerk-Mapping sein.
Auch keinen Gruß
Marc
1
1
Ok werde ich versuchen! danke
Auf welchem DC gibt es lokale Admin Konten?
Der DSRM Modus (falls das Kennwort hierfür bekannt ist) kann noch helfen.
Der DSRM Modus (falls das Kennwort hierfür bekannt ist) kann noch helfen.
2
Hi @geraldxx,
benutzt du einen personalisierten Administrator-Account oder den Builtin Account "Administrator" (RID 500)?
Du sagst, dass du beim einzigen Administrator-Account das Kennwort geändert hast. Das spricht für den Builtin-Account. Dieses Konto wird bei falscher Passworteingabe zwar auch gesperrt, allerdings wird es bei der Eingabe des richtigen Kennworts sofort wieder entsperrt – eben um zu verhindern, dass man sich als Domänen-Admin restlos aussperrt. Das scheint bei dir ja nicht zu passieren. Entweder kennst du das richtige Kennwort nicht, oder du nutzt doch ein weiteres, personalisiertes Konto.
In diesem Fall solltest du das Kennwort des Builtin-Kontos in Erfahrung bringen. Dieser Account sollte immer als Break-Glass Account vorgehalten werden und samt Kennwort im Tresor (und nur da) liegen.
Ansonsten bleibt dir nur der Weg, in deine eigene Infrastruktur einzubrechen. Viel Erfolg.
Viele Grüße
benutzt du einen personalisierten Administrator-Account oder den Builtin Account "Administrator" (RID 500)?
Du sagst, dass du beim einzigen Administrator-Account das Kennwort geändert hast. Das spricht für den Builtin-Account. Dieses Konto wird bei falscher Passworteingabe zwar auch gesperrt, allerdings wird es bei der Eingabe des richtigen Kennworts sofort wieder entsperrt – eben um zu verhindern, dass man sich als Domänen-Admin restlos aussperrt. Das scheint bei dir ja nicht zu passieren. Entweder kennst du das richtige Kennwort nicht, oder du nutzt doch ein weiteres, personalisiertes Konto.
In diesem Fall solltest du das Kennwort des Builtin-Kontos in Erfahrung bringen. Dieser Account sollte immer als Break-Glass Account vorgehalten werden und samt Kennwort im Tresor (und nur da) liegen.
Ansonsten bleibt dir nur der Weg, in deine eigene Infrastruktur einzubrechen. Viel Erfolg.
Viele Grüße
Nein, das wird nicht nötig sein. Backup ist vorhanden.
1Bei der Installation des OS wird erstmal das lokale Konto "Administrator" angelegt. Wenn die DC-Rolle aktiviert und konfiguriert ist, wird draus "Domäne\Administrator".
Den meinte ich mit "lokalen" Administrator. Normalerweise nutzt man das Konto ja eher weniger 😉
Bei allen "non-DC-Systemen" bleibt der lokale Administrator, welcher bei der Installation angelegt wurde, übrigens erhalten, auch wenn einer Domäne beigetreten wird.
Da war jemand schneller als ich 😋
Zitat von @anteNope:
Bei der Installation des OS wird erstmal das lokale Konto "Administrator" angelegt. Wenn die DC-Rolle aktiviert und konfiguriert ist, wird draus "Domäne\Administrator".
Den meinte ich mit "lokalen" Administrator. Normalerweise nutzt man das Konto ja eher weniger 😉
Bei der Installation des OS wird erstmal das lokale Konto "Administrator" angelegt. Wenn die DC-Rolle aktiviert und konfiguriert ist, wird draus "Domäne\Administrator".
Den meinte ich mit "lokalen" Administrator. Normalerweise nutzt man das Konto ja eher weniger 😉
Das ist aber dann der Domänen Admin :D
Klar, der würde auch gehen, wenn man das Kennwort hat.
Boote von einer CD und setze das Passwort zurück, fertig.
Dobby
Dobby
Zitat von @108012:
Boote von einer CD und setze das Passwort zurück, fertig.
Dobby
Boote von einer CD und setze das Passwort zurück, fertig.
Dobby
Den Domainadministrator per CD zurücksetzen? Die CD hätte ich auch gerne.
2Den Domainadministrator per CD zurücksetzen? Die CD hätte ich auch gerne.
Ok, ok, ok, das Passwort zurücksetzen!Dobby
Zitat von @108012:
Dobby
Den Domainadministrator per CD zurücksetzen? Die CD hätte ich auch gerne.
Ok, ok, ok, das Passwort zurücksetzen!Dobby
Dennoch nicht möglich.
Backup einspielen und fertig.
Servus.
Domain Controller haben keine "lokalen" Konten, entsprechend scheidet das aus. Ausnahme: Im DSRM-Modus kann man sich mit dem entsprechenden Passwort ohne AD-Auth anmelden.
Ich vermute auch, dass da ein Dienst o.ä. fix mit dem alten Kennwort unterwegs ist und dadurch die Account-Sperre verursacht.
Cheers,
jsysde
Zitat von @anteNope:
Hi, versuche dich mit dem lokalen Administrator-Konto auf dem DC anzumelden. Damit solltest du auch in die AD-Verwaltung kommen.
Hi, versuche dich mit dem lokalen Administrator-Konto auf dem DC anzumelden. Damit solltest du auch in die AD-Verwaltung kommen.
Domain Controller haben keine "lokalen" Konten, entsprechend scheidet das aus. Ausnahme: Im DSRM-Modus kann man sich mit dem entsprechenden Passwort ohne AD-Auth anmelden.
Ich vermute auch, dass da ein Dienst o.ä. fix mit dem alten Kennwort unterwegs ist und dadurch die Account-Sperre verursacht.
Cheers,
jsysde
Zitat von @anteNope:
Bei der Installation des OS wird erstmal das lokale Konto "Administrator" angelegt. Wenn die DC-Rolle aktiviert und konfiguriert ist, wird draus "Domäne\Administrator".
Das gilt aber auch nur beim ersten DC einer neuen Domäne.Bei der Installation des OS wird erstmal das lokale Konto "Administrator" angelegt. Wenn die DC-Rolle aktiviert und konfiguriert ist, wird draus "Domäne\Administrator".
Naja, wenns der einzige DC ist, hoffe ich mal das der Virtualisiert ist?
Bei Änderungen oder Arbeiten am DC mache ich einfach vorher immer einen Snapshot.
Dann kann man im Zweifelsfall immer den Zustand zurücksetzen falls mal wirklich was Schief geht.
Und wenn er nicht replizieren muss sollte ein zurücksetzen auch keine Probleme mit dem Tombstone-Zeiten mit sich bringen. Aber vielleicht können das andere besser erklären! XD
Bei Änderungen oder Arbeiten am DC mache ich einfach vorher immer einen Snapshot.
Dann kann man im Zweifelsfall immer den Zustand zurücksetzen falls mal wirklich was Schief geht.
Und wenn er nicht replizieren muss sollte ein zurücksetzen auch keine Probleme mit dem Tombstone-Zeiten mit sich bringen. Aber vielleicht können das andere besser erklären! XD
Zitat von @tech-flare:
Dennoch nicht möglich.
Zitat von @108012:
Dobby
Den Domainadministrator per CD zurücksetzen? Die CD hätte ich auch gerne.
Ok, ok, ok, das Passwort zurücksetzen!Dobby
Dennoch nicht möglich.
Es ist simpel, das Kennwort des Domainadmins zurückzusetzen. Eine Aktion, die nur wenige Minuten erfordert. Solange man natürlich die Platten nicht verschlüsselt hat...
Aus naheliegenden Gründen, darf ich hier aber natürlich nicht schreiben, wie das geht.
