geo-id
Goto Top

SBS 2011 einziger aktiver Administrator Account weg

Halli Hallo alle miteinander,

folgendes ist passiert:

Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
Hierdrin befand sich auch der einzige aktive Admin (nennen wir ihn Hans). Auch den habe ich aus dem Adressbuch gelöscht (irgendwo bei Eigenschaften von dem Adressbuch und dann Mitglieder).

Danach war ich auch noch ein wenig auf dem Server unterwegs (als besagter Admin (Hans) angemeldet).
Ich konnte auch alles machen und tun -wie gehabt.

Am Tag dadrauf gab es folgende Fehlermeldung im Bericht:

MSExchange RBAC Event-ID 23 13.01.2015 16:06:22 2
Ereignisdetails:
(Prozess w3wp.exe, PID 1352) "RBAC-Autorisierung ist wegen der Anwendungsausnahme System.Security.Principal.IdentityNotMappedException: Manche oder alle Identitätsverweise konnten nicht übersetzt werden. bei System.Security.Principal.SecurityIdentifier.Translate(IdentityReferenceCollection sourceSids, Type targetType, Boolean forceSuccess) bei System.Security.Principal.SecurityIdentifier.Translate(Type targetType) bei System.Security.Principal.WindowsIdentity.GetName() bei System.Security.Principal.WindowsIdentity.get_Name() bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.TryFindUserByWsManSenderDetails(WsManSenderDetails wsManSenderDetails, ADRawEntry& userEntry) bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.AuthorizeUser(IntPtr senderDetails, String& redirectURL) nicht verfügbar."

Leider kann ich diesen Fehler nicht so wirklich einer von mir gemachten Aktion zuweisen. Aber die Zeit müsste ungefähr mit meinem Aufräumen des GlobalenAdressbuches übereinstimmen.

Egal, auf jeden Fall wollte ich mich dann via Remote auf den Server einloggen.
Darauf hin meinte dieser, dass es den Benutzer Hans (also der Admin) nicht vorhanden sei. Da rutschte mir erst einmal das Herz in die Hose, aber gut, nichts bei gedacht und in den Serverraum. Hier wieder der Versuch ... aber auch hier kam die Meldung, dass es den Benutzer nicht geben würde.

Erst einmal war ich ratlos und habe ein wenig gegooglet. Bin dann auf die Remoteserver-Verwaltungstools aufmerksam geworden und habe die mal installiert.
Hier habe ich dann auch die Liste aller Benutzer unserer Domäne aufrufen können und besagter Hans (Admin) taucht dort nicht mehr auf.

Der Adminaccount is also weg.

Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??
Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?

Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!


Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.

Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind).


Schon einmal vielen lieben Dank für die Hilfe!!!!


\\edit:
Ich weiß inzwischen, dass Accounts nicht direkt gelöscht werden, sondern das vielmehr nen Tombstone angelegt wird, in dem viele Infos erhalten bleiben.
Jedoch habe ich das so verstanden, sollte ich nen Benutzer aus einem Tombstone wieder herstellen, ist der erst einmal deaktiviert.
Also, falls ich es schaffen sollte Hans wieder herzustellen (wobei ich nicht weiß wie, weil ich dafür wahrscheinlich Adminrechte brauch, um im ActiveDirectory was zu machen), wird er deaktiviert sein -oder?

Content-ID: 259930

Url: https://administrator.de/contentid/259930

Ausgedruckt am: 26.11.2024 um 11:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 15.01.2015 um 12:02:16 Uhr
Goto Top
Zitat von @geo-id:

Der Adminaccount is also weg.

Moin,

mein Beileid.


Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus
quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??

Ja und nein.

Du bist Admin, also kannst Du (fast) alles. Und da Du noch gültige credentials hast, wirst Du auch nciht gleich rausgeworfen. es kann aber zu problemen kommen, wenn die credentials wieder geprüft werden müssen udn der Admin dann nciht mehr gefunden wird.


Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste
gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??

Offensichtlich ja.

Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?

Würde ich bei so einem Weichei-OS wie Windows eigentlich erwarten, aber ich habe nie das Experiment gewagt, alle Admins zu löschen. face-smile


Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch
beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und
Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven
Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!

Also war Hans doch nicht der letzte Admin auf dem System. Aber MS hat das Standard-Administratorenkonto aus gutem Grund deaktiviert. zu reaktivierun gbrauch tman leider Adminrechte.


Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.

Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine
Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle
Daten seit Dienstag dann weg sind).


Das Wiederherstellen wird das einzig sinnvolle sein.

Allerdigns würde ich Dir raten, vorher die Kiste von einem live-System zu starten udn alle daten da drauf zu sichern. (ggf image-kopie). Damit kannst Du zumindest die dateien, die neuer sind, retten udn nach der Wiederherstellugn zurückspielen.

lks
geo-id
geo-id 15.01.2015 um 12:05:27 Uhr
Goto Top
Danke schon einmal für ne schnelle Antwort ...

Ja, so etwas war meine Befürchtung -also, dass es nur über die Wiederherstellung geht.

Meine Hoffnung:
Ich kann bei der Wiederherstellung sagen, was ich genau wieder herstellen möchte und da werde ich dann erst einmal nur das ActiveDirectory (AD) auswählen...
Lochkartenstanzer
Lochkartenstanzer 15.01.2015 um 12:06:10 Uhr
Goto Top
Zitat von @geo-id:

Danke schon einmal für ne schnelle Antwort ...

Ja, so etwas war meine Befürchtung -also, dass es nur über die Wiederherstellung geht.

Meine Hoffnung:
Ich kann bei der Wiederherstellung sagen, was ich genau wieder herstellen möchte und da werde ich dann erst einmal nur das
ActiveDirectory (AD) auswählen...

Mach aber trotzdem ein Vollbackup vorher.

lks
keine-ahnung
keine-ahnung 15.01.2015 um 12:09:43 Uhr
Goto Top
Moin,
Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
offensichtlich! Was zum Geier fummelst Du beim SBS in den Einzelkonsolen rum, wenn Du von nix eine Ahnung hast??
Ich konnte auch alles machen und tun -wie gehabt.
Das ist die Schadensursache ...
Der Adminaccount is also weg.
Jupp.
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?
Das ist ein rechtliches Problem. Präventiv nur mit der Verhängung und Durchsetzung eines Hausverbotes für SBS-Spezialisten zu verhindern ....
und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 ....
Jupp. IMHO der einzig machbare Weg ... Prinzipiell kannst in Windows 2008R2 einen neuen admin-account in der Konsole anlegen, aber eben nur für Windows. Der SBS-admin hat aber noch deutlich mehr Rechte für die vorhandenen Komponenten, das wirst Du Spezialist vermutlich nicht nachgebastelt bekommen.
Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind
Das ist wie mit der Blondine und der Bananenschale auf dem Fussweg ... DANN SICHERE DIE DATEN UND SPIEL SIE NACH DEM RESTORE WIEDER EIN!!

LG, Thomas

mein Beileid
Hält sich bei mir in Grenzen face-wink!
geo-id
geo-id 15.01.2015 um 12:15:44 Uhr
Goto Top
Wenn auch recht ruppig geschrieben, trotzdem Danke.
Lochkartenstanzer
Lochkartenstanzer 15.01.2015 um 12:16:08 Uhr
Goto Top
Zitat von @keine-ahnung:

> mein Beileid
Hält sich bei mir in Grenzen face-wink!

Galt dem SBS. face-smile

lks
sk-it83
sk-it83 15.01.2015 um 12:18:12 Uhr
Goto Top
Moin

wenn du das nächste mal willst das der Admin nicht in der globalen Adressliste auftaucht, geh in die AD und bearbeite im Attribut Editor "showInAdressBook"

Viel Erfolg beim Backup zurückspielen.

VG
geo-id
geo-id 15.01.2015 aktualisiert um 12:40:50 Uhr
Goto Top
Also halte ich mal fest:

- Eurer Meinung nach ist es möglich den User zu löschen, mit dem man gerade angemeldet ist (auch, wenn es sich dabei um den einzig aktiven Admin handelt).
- Man wird dann nicht automatisch abgemeldet sondern kann weiter auf dem System bleiben (obwohl es den User nicht mehr gibt).
- Obwohl es den Admin nicht mehr gibt kann ich Aktionen durchführen, die Adminrechte brauchen.


Einzige Möglichkeit um an den gelöschten Admin zu kommen:

- Sicherung wiederherstellen


Was mich noch stutzig macht:

- Ich habe neben dem Admin weitere Accounts aus der GlobalenAdressliste gelöscht -diese Accounts gibt es alle noch.
- Was hat es mit dieser besagten Fehlermeldung auf sich?


Also bleibt die Frage offen, WANN und WIE habe ich (?) mich selbst gelöscht?
keine-ahnung
keine-ahnung 15.01.2015 um 12:48:36 Uhr
Goto Top
Also bleibt die Frage offen, WANN und WIE habe ich (?) mich selbst gelöscht?
Woher sollen wir das wissen?? Der Einzige, der dabei war bist Du ...
Man wird dann nicht automatisch abgemeldet sondern kann weiter auf dem System bleiben (obwohl es den User nicht mehr gibt).
Das AD wird jetzt nicht sekündlich synchronisiert ...

Mach das restore, alles andere wird beim SBS in die Hose gehen - und lerne daraus! Wenn man wenig Ahnung hat, fast man beim SBS, wenn überhaupt, nur die SBS-Konsole an.

LG, Thomas
certifiedit.net
certifiedit.net 15.01.2015 um 12:53:29 Uhr
Goto Top
Hallo Geo,

das müsstest du entweder ergründen oder jemanden ( mit Adminrechten) an das System lassen um es nachzuvollziehen face-smile
colinardo
colinardo 15.01.2015 aktualisiert um 13:00:49 Uhr
Goto Top
Deaktivierte lokale Admin-Accounts lassen sich Offline in der Registry wiederbeleben:
Windows 8 keine Adminrechte trotz nur einem Benutzerkonto

Ob das auf dem SBS geht kann ich aber gerade nicht sagen.

Grüße Uwe
broecker
broecker 15.01.2015 um 13:35:02 Uhr
Goto Top
@colinardo: kurz: ja, das geht auch beim SBS

- offline über Linux-Live-CDs bootend läßt sich aber auch unproblematisch ein neuer echter Admin wieder anlegen (googlen), dann müssen GPOs nicht angepaßt werden.

Solche Verfahren lassen sich in Testinstallationen in VMs mit virtuellen ISOs schön üben.

Aber, und so würde ich auch die Restore-Empfehlungen unterstützen, daß hinterher ggf. Dienste umgestellt werden müssen, daher könnte der Gesamt-Aufwand gleich bleiben.

Restore sollte man erst einmal auf einem anderen System austesten, damit's nicht noch schlimmer wird?!

HG
Mark