Server 2012, Domänencontroller - Admin Konto ausgesperrt

Mitglied: ejaybass

ejaybass (Level 1) - Jetzt verbinden

13.08.2019 um 18:58 Uhr, 3038 Aufrufe, 22 Kommentare, 1 Danke

Hallo,

ich habe ein großes Problem, ich komme nicht mehr als Admin auf meinen Win Server 2012.

Der Server 2012 ist auch ein Domänencontroller. Ich habe in den Gruppenrichtlinien eingestellt, dass man bei falscher Anmeldung gesperrt wird und sich dies nach 10 Minuten wieder aufhebt.

Ich habe zusätzlich im Active Directory einen "test" User angelegt. Bei den Einstellungen des Users, bin ich auf den Reiter "Mitglied von.." gegangen und habe ihm die RemoteAccess Mitgliedschaft entzogen.

Komischerweise komme ich nun mit allen anderen Accounts und natürlich dem Admin auch nicht mehr auf den Server.

Leider hebt sich auch die Sperre des Adminkontos nicht auf! Nun erhalte ich jedes Mal die Fehlermeldung, dass das "angesprochene Konto momentan gesperrt ist und für die Anmeldung nicht verwendet werden kann"


Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...


Ich bin am verzweifeln!


LG
Mario
Mitglied: Vision2015
13.08.2019, aktualisiert um 19:05 Uhr
moin..

also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!

oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!

Frank
Bitte warten ..
Mitglied: ejaybass
13.08.2019 um 19:14 Uhr
Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt. Und aktuell ist auch einiges live im Einsatz.

Wenn du mir den Trick nicht verraten kannst, kannst du mir durch die Blume nennen, wie ich den 5 Minuten kniff googlen soll? Nach was ich genau suchen müsste?

Lg
Bitte warten ..
Mitglied: Andrew01
13.08.2019 um 19:18 Uhr
Hallo

Utilman (Jehova, Jehova :-) face-smile!)
und dann mal auf Englisch googeln.

Gruss Andreas
Bitte warten ..
Mitglied: altmetaller
13.08.2019 um 19:36 Uhr
Hallo,

das geht auch mit Konten in der Domäne?

Oder kann der lokale Admin (vom DC) tatsächlich auch im AD herumkrakeln?

Gruß,
Jörg
Bitte warten ..
Mitglied: ejaybass
13.08.2019 um 19:42 Uhr
Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.

Ich verstehe es nicht...

Den "Administrator" Account habe ich von vorne herein deaktiviert.

Lässt sich dieser aktivieren? Ggf auch ohne Neustart?

Lg
Bitte warten ..
Mitglied: Spirit-of-Eli
13.08.2019 um 19:44 Uhr
Zitat von Vision2015:

moin..

also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!

oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!

Frank

Das Funktioniert beim einem DC nicht. dort existiert auch schlicht kein local admin mehr.
Der DC ist der einzige Server wo es keine localen Konten mehr gibt.

Wenn hier tatsächlich kein Zugriff auf das Admin Konto mehr möglich ist, dann sieht die Sache schwarz aus.
Bitte warten ..
Mitglied: Spirit-of-Eli
13.08.2019, aktualisiert um 19:48 Uhr
Zitat von ejaybass:

Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.

Ich verstehe es nicht...

Den "Administrator" Account habe ich von vorne herein deaktiviert.

Lässt sich dieser aktivieren? Ggf auch ohne Neustart?

Lg

Löblich für die Sicherheit. Das Problem hieran ist aber, das der Dom-Admin das einzige Konto ist, welches von der Sperre nicht betroffen wäre.
Daher hätte vor Konfiguration eben jenes wieder aktiviert werden müssen.
Händisch hinzugefügte Dom Admins fallen unter die automatische Sperre.

Ist nicht irgend wo noch eine RDP Session mit Admin Account offen?
Das wäre hier noch eine Lösung!
Bitte warten ..
Mitglied: Andrew01
13.08.2019 um 19:50 Uhr
Du hast den Domain Admin Account gesperrt? Aber einen anderen angelegt oder?
Ja Sicherheit hin oder her.
Die Diskussion hatte ich schon bei diversen Audits.
Wenn du dort bei den Passwort Richtlinien den Domain Admin rein tust lass ich dir in Millisekunden den Account sperren durch ein simples Batch Script das ich als User laufen lassen kann.
Und in ca. 5 Sekunden so alle AD Konten durch ein falsches Passwort gesperrt.
Ich denke das ist der falsche Ansatz für Sicherheit.

Gruss Andreas
Bitte warten ..
Mitglied: Andrew01
13.08.2019 um 19:56 Uhr
@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.
Bitte warten ..
Mitglied: Vision2015
13.08.2019 um 20:06 Uhr
Zitat von Andrew01:

@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.
Ja... das ist wohl wahr...

@ejaybass
Lässt sich dieser aktivieren? Ggf auch ohne Neustart?
nö.... also neustarten muss schon drin sein.... :-) face-smile
Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt.
och, bis morgen früh bist du fertig.... erstelle aber vorher ein offline image von deiner kiste....
Und aktuell ist auch einiges live im Einsatz.
das solltet ihr besser ab jetzt lassen...
Frank
Bitte warten ..
Mitglied: ejaybass
13.08.2019 um 20:10 Uhr
Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.

Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....

Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....

LG
Bitte warten ..
Mitglied: Vision2015
13.08.2019 um 20:25 Uhr
moin...
Zitat von ejaybass:

Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.

Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....
wir wissen nicht was du gemachst hast.....möglich ist alles

Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....
ist möglich.... cmd

LG
frank
Bitte warten ..
Mitglied: Spirit-of-Eli
13.08.2019 um 20:44 Uhr
Zitat von Andrew01:

@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.

Mir wurde immer gesagt, das würde nicht bei Domainaccounts anwendbar sein.

Aber gut, wieder was gelernt.
Bitte warten ..
Mitglied: Lochkartenstanzer
14.08.2019, aktualisiert um 05:45 Uhr
Zitat von ejaybass:


Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...


Solange Du physikalischen Zugriff hast und die Platten nicht verschlüsselt sind und bootet man die Kiste mit dem passenden live-linux, stellt die Paßwörter zurück.

Ich bin am verzweifeln!

Hoffentlich lernst Du was draus.

lks

PS: Sowas is immer eine gute Möglichkeit die Restore-Prozesse nach einer Havarie zu prüfen.
Bitte warten ..
Mitglied: emeriks
14.08.2019 um 10:56 Uhr
Hi
Zitat von ejaybass:
Das kaufe ich Dir so einfach nicht ab.
Erstmal kann man Mitglieder der "Domänen-Admins" oder "Administatoren" einer Domäne nicht so einfach aussperren. Da gibt es Schutzmechanismen.
Zweitens was ist
die RemoteAccess Mitgliedschaft
und was soll das damit zu tun haben?
Meinst Du etwa "Remote Desktop Users" oder "Remote Management Users"?

Kann es sein, dass Du gleichzeitig das PW das Administrators geändert hast? Und dass das Konto jetzt laufend gesperrt ist? Falls ja, dann wird das höchstwahrscheinlich daran liegen, dass irgendwo ein wiederholter Task mit diesem Konto läuft und dabei das alte Passwort benutzt. Falls auch ja,
dann trenne einfach alle DC vom übrigen Netz und warte die Sperrdauer ab. Dann kannst Du Dich an der Konsole des Servers anmelden. Es sei denn, dieser Task läuft direkt auf den DC's selbst .... Aber dafür hat man ja noch Reserve-Adminkonten. Hast Du doch?

E.
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
14.08.2019, aktualisiert um 15:46 Uhr
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert und der neue User hat "Kioskmodusrechte". Den Zustand kann man je nach Windows-Stand noch mit einer Hacker-CD richten oder auch nicht.

Aber in der Domäne sollte das eigentlich unmöglich sein. Ferner sollte sich der Domain Admin an allen Richtlinien vorbei nach 60 oder 90 Minuten nach wiederholten fehlerhaften Logins wieder entsperren, und früher war nach 9 erfolglosen Loginversuchen eine Sperre von 24 Stunden vorgesehen.
Bitte warten ..
Mitglied: emeriks
14.08.2019 um 15:46 Uhr
Zitat von GrueneSosseMitSpeck:
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert
Nein, ist es nicht. Es ist gesperrt. Das ist ein großer Unterschied!
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
14.08.2019 um 16:02 Uhr
der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...
Bitte warten ..
Mitglied: Spirit-of-Eli
14.08.2019 um 16:18 Uhr
Zitat von GrueneSosseMitSpeck:

der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...

Der normale "Administrator" der Domäne fällt bei der Regelung komplett unten durch. Deswegen gibt es ja die Option den Admin zu deaktivieren und neue Domadmin Accounts zu erstellen da der Standard Account eben gerne bei bruteforce Angriffen genutzt wird.
Bitte warten ..
Mitglied: ejaybass
15.08.2019 um 22:59 Uhr
Naja wieso kaufst du mir das nicht ab ? :) face-smile

Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.

Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr. Mittlerweile habe ich das Backup am Laufen auf der Livekiste. Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
Bitte warten ..
Mitglied: emeriks
16.08.2019 um 08:01 Uhr
Zitat von ejaybass:
Naja wieso kaufst du mir das nicht ab ? :) face-smile
Weil ich dafür diesen Job schon viel zu lange mache.
Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.
Du meinst sicherlich Mitgliedschaften.
Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr.
Das meine ich. Du wärst nicht der Erste, der das eine denkt wo doch das andere ist. ;-) face-wink
Manchmal erinnert man sich bloß nicht mehr, oder hat es gar nicht mitbekommen, oder ein anderer Admin war parallel aktiv. Oder oder ...
Mittlerweile habe ich das Backup am Laufen auf der Livekiste.
Womit das Ziel erreicht wäre, oder?
Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
Lehrreich könnte es schon sein, es mit diesem weiterhin in einer Test-Umgebung zu probieren und die Ursache zu finden.
Bitte warten ..
Mitglied: ejaybass
18.08.2019 um 20:23 Uhr
Ja, vielleicht teste ich dann auf dem vermurksten System weiter, um ggf. zu prüfen, "wie" ich den Fehler korrigieren könnte...

Naja. Dennoch vielen Dank für die vielen Antworten und Nachrichten!

VG
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
DSGVO-konforme Löschsoftware für Festplatten
alwayshungryVor 1 TagFrageDatenschutz38 Kommentare

Hallo zusammen, welche Software gibt es, damit man DSGVO-konform Festplatten löschen kann? Ich kenne zwar Blancco, aber gibt es denn da keine gesetzeskonforme Alternativen? ...

Windows Netzwerk
Wie VPN in Zeiten von HomeOffice einfach gestalten
VizKyneticVor 1 TagFrageWindows Netzwerk15 Kommentare

Moin! Vermehrt kommen die Anfragen zu HomeOffice Arbeitsplätzen und der Möglichkeit Remote zu arbeiten. Wir haben verschiedene Lösungen im Einsatz, da diese Struktur über ...

TK-Netze & Geräte
Panasonic NS700 an S0 von Fritzbox
jensgebkenVor 1 TagFrageTK-Netze & Geräte43 Kommentare

Hallo Gemeinschaft, gibt es eine Möglichkeit meine gebrauchte NS700 mit einer Fritzbox zu verbinden, so dass ich auch raustelefonieren kann - hinter der NS ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 109 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 5 StundenIMHOWünsch Dir was18 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...