SBS 2011 einziger aktiver Administrator Account weg
Halli Hallo alle miteinander,
folgendes ist passiert:
Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
Hierdrin befand sich auch der einzige aktive Admin (nennen wir ihn Hans). Auch den habe ich aus dem Adressbuch gelöscht (irgendwo bei Eigenschaften von dem Adressbuch und dann Mitglieder).
Danach war ich auch noch ein wenig auf dem Server unterwegs (als besagter Admin (Hans) angemeldet).
Ich konnte auch alles machen und tun -wie gehabt.
Am Tag dadrauf gab es folgende Fehlermeldung im Bericht:
MSExchange RBAC Event-ID 23 13.01.2015 16:06:22 2
Ereignisdetails:
(Prozess w3wp.exe, PID 1352) "RBAC-Autorisierung ist wegen der Anwendungsausnahme System.Security.Principal.IdentityNotMappedException: Manche oder alle Identitätsverweise konnten nicht übersetzt werden. bei System.Security.Principal.SecurityIdentifier.Translate(IdentityReferenceCollection sourceSids, Type targetType, Boolean forceSuccess) bei System.Security.Principal.SecurityIdentifier.Translate(Type targetType) bei System.Security.Principal.WindowsIdentity.GetName() bei System.Security.Principal.WindowsIdentity.get_Name() bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.TryFindUserByWsManSenderDetails(WsManSenderDetails wsManSenderDetails, ADRawEntry& userEntry) bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.AuthorizeUser(IntPtr senderDetails, String& redirectURL) nicht verfügbar."
Leider kann ich diesen Fehler nicht so wirklich einer von mir gemachten Aktion zuweisen. Aber die Zeit müsste ungefähr mit meinem Aufräumen des GlobalenAdressbuches übereinstimmen.
Egal, auf jeden Fall wollte ich mich dann via Remote auf den Server einloggen.
Darauf hin meinte dieser, dass es den Benutzer Hans (also der Admin) nicht vorhanden sei. Da rutschte mir erst einmal das Herz in die Hose, aber gut, nichts bei gedacht und in den Serverraum. Hier wieder der Versuch ... aber auch hier kam die Meldung, dass es den Benutzer nicht geben würde.
Erst einmal war ich ratlos und habe ein wenig gegooglet. Bin dann auf die Remoteserver-Verwaltungstools aufmerksam geworden und habe die mal installiert.
Hier habe ich dann auch die Liste aller Benutzer unserer Domäne aufrufen können und besagter Hans (Admin) taucht dort nicht mehr auf.
Der Adminaccount is also weg.
Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??
Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?
Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!
Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.
Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind).
Schon einmal vielen lieben Dank für die Hilfe!!!!
\\edit:
Ich weiß inzwischen, dass Accounts nicht direkt gelöscht werden, sondern das vielmehr nen Tombstone angelegt wird, in dem viele Infos erhalten bleiben.
Jedoch habe ich das so verstanden, sollte ich nen Benutzer aus einem Tombstone wieder herstellen, ist der erst einmal deaktiviert.
Also, falls ich es schaffen sollte Hans wieder herzustellen (wobei ich nicht weiß wie, weil ich dafür wahrscheinlich Adminrechte brauch, um im ActiveDirectory was zu machen), wird er deaktiviert sein -oder?
folgendes ist passiert:
Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
Hierdrin befand sich auch der einzige aktive Admin (nennen wir ihn Hans). Auch den habe ich aus dem Adressbuch gelöscht (irgendwo bei Eigenschaften von dem Adressbuch und dann Mitglieder).
Danach war ich auch noch ein wenig auf dem Server unterwegs (als besagter Admin (Hans) angemeldet).
Ich konnte auch alles machen und tun -wie gehabt.
Am Tag dadrauf gab es folgende Fehlermeldung im Bericht:
MSExchange RBAC Event-ID 23 13.01.2015 16:06:22 2
Ereignisdetails:
(Prozess w3wp.exe, PID 1352) "RBAC-Autorisierung ist wegen der Anwendungsausnahme System.Security.Principal.IdentityNotMappedException: Manche oder alle Identitätsverweise konnten nicht übersetzt werden. bei System.Security.Principal.SecurityIdentifier.Translate(IdentityReferenceCollection sourceSids, Type targetType, Boolean forceSuccess) bei System.Security.Principal.SecurityIdentifier.Translate(Type targetType) bei System.Security.Principal.WindowsIdentity.GetName() bei System.Security.Principal.WindowsIdentity.get_Name() bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.TryFindUserByWsManSenderDetails(WsManSenderDetails wsManSenderDetails, ADRawEntry& userEntry) bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.AuthorizeUser(IntPtr senderDetails, String& redirectURL) nicht verfügbar."
Leider kann ich diesen Fehler nicht so wirklich einer von mir gemachten Aktion zuweisen. Aber die Zeit müsste ungefähr mit meinem Aufräumen des GlobalenAdressbuches übereinstimmen.
Egal, auf jeden Fall wollte ich mich dann via Remote auf den Server einloggen.
Darauf hin meinte dieser, dass es den Benutzer Hans (also der Admin) nicht vorhanden sei. Da rutschte mir erst einmal das Herz in die Hose, aber gut, nichts bei gedacht und in den Serverraum. Hier wieder der Versuch ... aber auch hier kam die Meldung, dass es den Benutzer nicht geben würde.
Erst einmal war ich ratlos und habe ein wenig gegooglet. Bin dann auf die Remoteserver-Verwaltungstools aufmerksam geworden und habe die mal installiert.
Hier habe ich dann auch die Liste aller Benutzer unserer Domäne aufrufen können und besagter Hans (Admin) taucht dort nicht mehr auf.
Der Adminaccount is also weg.
Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??
Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?
Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!
Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.
Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind).
Schon einmal vielen lieben Dank für die Hilfe!!!!
\\edit:
Ich weiß inzwischen, dass Accounts nicht direkt gelöscht werden, sondern das vielmehr nen Tombstone angelegt wird, in dem viele Infos erhalten bleiben.
Jedoch habe ich das so verstanden, sollte ich nen Benutzer aus einem Tombstone wieder herstellen, ist der erst einmal deaktiviert.
Also, falls ich es schaffen sollte Hans wieder herzustellen (wobei ich nicht weiß wie, weil ich dafür wahrscheinlich Adminrechte brauch, um im ActiveDirectory was zu machen), wird er deaktiviert sein -oder?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259930
Url: https://administrator.de/contentid/259930
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
mein Beileid.
Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus
quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??
Ja und nein.
Du bist Admin, also kannst Du (fast) alles. Und da Du noch gültige credentials hast, wirst Du auch nciht gleich rausgeworfen. es kann aber zu problemen kommen, wenn die credentials wieder geprüft werden müssen udn der Admin dann nciht mehr gefunden wird.
Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste
gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??
gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??
Offensichtlich ja.
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?
Würde ich bei so einem Weichei-OS wie Windows eigentlich erwarten, aber ich habe nie das Experiment gewagt, alle Admins zu löschen.
Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch
beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und
Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven
Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!
beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und
Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven
Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!
Also war Hans doch nicht der letzte Admin auf dem System. Aber MS hat das Standard-Administratorenkonto aus gutem Grund deaktiviert. zu reaktivierun gbrauch tman leider Adminrechte.
Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.
Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine
Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle
Daten seit Dienstag dann weg sind).
Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine
Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle
Daten seit Dienstag dann weg sind).
Das Wiederherstellen wird das einzig sinnvolle sein.
Allerdigns würde ich Dir raten, vorher die Kiste von einem live-System zu starten udn alle daten da drauf zu sichern. (ggf image-kopie). Damit kannst Du zumindest die dateien, die neuer sind, retten udn nach der Wiederherstellugn zurückspielen.
lks
Zitat von @geo-id:
Danke schon einmal für ne schnelle Antwort ...
Ja, so etwas war meine Befürchtung -also, dass es nur über die Wiederherstellung geht.
Meine Hoffnung:
Ich kann bei der Wiederherstellung sagen, was ich genau wieder herstellen möchte und da werde ich dann erst einmal nur das
ActiveDirectory (AD) auswählen...
Danke schon einmal für ne schnelle Antwort ...
Ja, so etwas war meine Befürchtung -also, dass es nur über die Wiederherstellung geht.
Meine Hoffnung:
Ich kann bei der Wiederherstellung sagen, was ich genau wieder herstellen möchte und da werde ich dann erst einmal nur das
ActiveDirectory (AD) auswählen...
Mach aber trotzdem ein Vollbackup vorher.
lks
Moin,
LG, Thomas
Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
offensichtlich! Was zum Geier fummelst Du beim SBS in den Einzelkonsolen rum, wenn Du von nix eine Ahnung hast??Ich konnte auch alles machen und tun -wie gehabt.
Das ist die Schadensursache ...Der Adminaccount is also weg.
Jupp.Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?
Das ist ein rechtliches Problem. Präventiv nur mit der Verhängung und Durchsetzung eines Hausverbotes für SBS-Spezialisten zu verhindern .... und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 ....
Jupp. IMHO der einzig machbare Weg ... Prinzipiell kannst in Windows 2008R2 einen neuen admin-account in der Konsole anlegen, aber eben nur für Windows. Der SBS-admin hat aber noch deutlich mehr Rechte für die vorhandenen Komponenten, das wirst Du Spezialist vermutlich nicht nachgebastelt bekommen.Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind
Das ist wie mit der Blondine und der Bananenschale auf dem Fussweg ... DANN SICHERE DIE DATEN UND SPIEL SIE NACH DEM RESTORE WIEDER EIN!!LG, Thomas
mein Beileid
Hält sich bei mir in Grenzen !Also bleibt die Frage offen, WANN und WIE habe ich (?) mich selbst gelöscht?
Woher sollen wir das wissen?? Der Einzige, der dabei war bist Du ...Man wird dann nicht automatisch abgemeldet sondern kann weiter auf dem System bleiben (obwohl es den User nicht mehr gibt).
Das AD wird jetzt nicht sekündlich synchronisiert ...Mach das restore, alles andere wird beim SBS in die Hose gehen - und lerne daraus! Wenn man wenig Ahnung hat, fast man beim SBS, wenn überhaupt, nur die SBS-Konsole an.
LG, Thomas
Deaktivierte lokale Admin-Accounts lassen sich Offline in der Registry wiederbeleben:
Windows 8 keine Adminrechte trotz nur einem Benutzerkonto
Ob das auf dem SBS geht kann ich aber gerade nicht sagen.
Grüße Uwe
Windows 8 keine Adminrechte trotz nur einem Benutzerkonto
Ob das auf dem SBS geht kann ich aber gerade nicht sagen.
Grüße Uwe
@colinardo: kurz: ja, das geht auch beim SBS
- offline über Linux-Live-CDs bootend läßt sich aber auch unproblematisch ein neuer echter Admin wieder anlegen (googlen), dann müssen GPOs nicht angepaßt werden.
Solche Verfahren lassen sich in Testinstallationen in VMs mit virtuellen ISOs schön üben.
Aber, und so würde ich auch die Restore-Empfehlungen unterstützen, daß hinterher ggf. Dienste umgestellt werden müssen, daher könnte der Gesamt-Aufwand gleich bleiben.
Restore sollte man erst einmal auf einem anderen System austesten, damit's nicht noch schlimmer wird?!
HG
Mark
- offline über Linux-Live-CDs bootend läßt sich aber auch unproblematisch ein neuer echter Admin wieder anlegen (googlen), dann müssen GPOs nicht angepaßt werden.
Solche Verfahren lassen sich in Testinstallationen in VMs mit virtuellen ISOs schön üben.
Aber, und so würde ich auch die Restore-Empfehlungen unterstützen, daß hinterher ggf. Dienste umgestellt werden müssen, daher könnte der Gesamt-Aufwand gleich bleiben.
Restore sollte man erst einmal auf einem anderen System austesten, damit's nicht noch schlimmer wird?!
HG
Mark