Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Server 2012, Domänencontroller - Admin Konto ausgesperrt

Mitglied: ejaybass

ejaybass (Level 1) - Jetzt verbinden

13.08.2019 um 18:58 Uhr, 768 Aufrufe, 22 Kommentare, 1 Danke

Hallo,

ich habe ein großes Problem, ich komme nicht mehr als Admin auf meinen Win Server 2012.

Der Server 2012 ist auch ein Domänencontroller. Ich habe in den Gruppenrichtlinien eingestellt, dass man bei falscher Anmeldung gesperrt wird und sich dies nach 10 Minuten wieder aufhebt.

Ich habe zusätzlich im Active Directory einen "test" User angelegt. Bei den Einstellungen des Users, bin ich auf den Reiter "Mitglied von.." gegangen und habe ihm die RemoteAccess Mitgliedschaft entzogen.

Komischerweise komme ich nun mit allen anderen Accounts und natürlich dem Admin auch nicht mehr auf den Server.

Leider hebt sich auch die Sperre des Adminkontos nicht auf! Nun erhalte ich jedes Mal die Fehlermeldung, dass das "angesprochene Konto momentan gesperrt ist und für die Anmeldung nicht verwendet werden kann"


Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...


Ich bin am verzweifeln!


LG
Mario
Mitglied: Vision2015
13.08.2019, aktualisiert um 19:05 Uhr
moin..

also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!

oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!

Frank
Bitte warten ..
Mitglied: ejaybass
13.08.2019 um 19:14 Uhr
Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt. Und aktuell ist auch einiges live im Einsatz.

Wenn du mir den Trick nicht verraten kannst, kannst du mir durch die Blume nennen, wie ich den 5 Minuten kniff googlen soll? Nach was ich genau suchen müsste?

Lg
Bitte warten ..
Mitglied: Andrew01
13.08.2019 um 19:18 Uhr
Hallo

Utilman (Jehova, Jehova !)
und dann mal auf Englisch googeln.

Gruss Andreas
Bitte warten ..
Mitglied: FA-jka
13.08.2019 um 19:36 Uhr
Hallo,

das geht auch mit Konten in der Domäne?

Oder kann der lokale Admin (vom DC) tatsächlich auch im AD herumkrakeln?

Gruß,
Jörg
Bitte warten ..
Mitglied: ejaybass
13.08.2019 um 19:42 Uhr
Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.

Ich verstehe es nicht...

Den "Administrator" Account habe ich von vorne herein deaktiviert.

Lässt sich dieser aktivieren? Ggf auch ohne Neustart?

Lg
Bitte warten ..
Mitglied: Spirit-of-Eli
13.08.2019 um 19:44 Uhr
Zitat von Vision2015:

moin..

also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!

oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!

Frank

Das Funktioniert beim einem DC nicht. dort existiert auch schlicht kein local admin mehr.
Der DC ist der einzige Server wo es keine localen Konten mehr gibt.

Wenn hier tatsächlich kein Zugriff auf das Admin Konto mehr möglich ist, dann sieht die Sache schwarz aus.
Bitte warten ..
Mitglied: Spirit-of-Eli
13.08.2019, aktualisiert um 19:48 Uhr
Zitat von ejaybass:

Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.

Ich verstehe es nicht...

Den "Administrator" Account habe ich von vorne herein deaktiviert.

Lässt sich dieser aktivieren? Ggf auch ohne Neustart?

Lg

Löblich für die Sicherheit. Das Problem hieran ist aber, das der Dom-Admin das einzige Konto ist, welches von der Sperre nicht betroffen wäre.
Daher hätte vor Konfiguration eben jenes wieder aktiviert werden müssen.
Händisch hinzugefügte Dom Admins fallen unter die automatische Sperre.

Ist nicht irgend wo noch eine RDP Session mit Admin Account offen?
Das wäre hier noch eine Lösung!
Bitte warten ..
Mitglied: Andrew01
13.08.2019 um 19:50 Uhr
Du hast den Domain Admin Account gesperrt? Aber einen anderen angelegt oder?
Ja Sicherheit hin oder her.
Die Diskussion hatte ich schon bei diversen Audits.
Wenn du dort bei den Passwort Richtlinien den Domain Admin rein tust lass ich dir in Millisekunden den Account sperren durch ein simples Batch Script das ich als User laufen lassen kann.
Und in ca. 5 Sekunden so alle AD Konten durch ein falsches Passwort gesperrt.
Ich denke das ist der falsche Ansatz für Sicherheit.

Gruss Andreas
Bitte warten ..
Mitglied: Andrew01
13.08.2019 um 19:56 Uhr
@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.
Bitte warten ..
Mitglied: Vision2015
13.08.2019 um 20:06 Uhr
Zitat von Andrew01:

@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.
Ja... das ist wohl wahr...

@ejaybass
Lässt sich dieser aktivieren? Ggf auch ohne Neustart?
nö.... also neustarten muss schon drin sein....
Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt.
och, bis morgen früh bist du fertig.... erstelle aber vorher ein offline image von deiner kiste....
Und aktuell ist auch einiges live im Einsatz.
das solltet ihr besser ab jetzt lassen...
Frank
Bitte warten ..
Mitglied: ejaybass
13.08.2019 um 20:10 Uhr
Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.

Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....

Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....

LG
Bitte warten ..
Mitglied: Vision2015
13.08.2019 um 20:25 Uhr
moin...
Zitat von ejaybass:

Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.

Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....
wir wissen nicht was du gemachst hast.....möglich ist alles

Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....
ist möglich.... cmd

LG
frank
Bitte warten ..
Mitglied: Spirit-of-Eli
13.08.2019 um 20:44 Uhr
Zitat von Andrew01:

@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.

Mir wurde immer gesagt, das würde nicht bei Domainaccounts anwendbar sein.

Aber gut, wieder was gelernt.
Bitte warten ..
Mitglied: Lochkartenstanzer
14.08.2019, aktualisiert um 05:45 Uhr
Zitat von ejaybass:


Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...


Solange Du physikalischen Zugriff hast und die Platten nicht verschlüsselt sind und bootet man die Kiste mit dem passenden live-linux, stellt die Paßwörter zurück.

Ich bin am verzweifeln!

Hoffentlich lernst Du was draus.

lks

PS: Sowas is immer eine gute Möglichkeit die Restore-Prozesse nach einer Havarie zu prüfen.
Bitte warten ..
Mitglied: emeriks
14.08.2019 um 10:56 Uhr
Hi
Zitat von ejaybass:
Das kaufe ich Dir so einfach nicht ab.
Erstmal kann man Mitglieder der "Domänen-Admins" oder "Administatoren" einer Domäne nicht so einfach aussperren. Da gibt es Schutzmechanismen.
Zweitens was ist
die RemoteAccess Mitgliedschaft
und was soll das damit zu tun haben?
Meinst Du etwa "Remote Desktop Users" oder "Remote Management Users"?

Kann es sein, dass Du gleichzeitig das PW das Administrators geändert hast? Und dass das Konto jetzt laufend gesperrt ist? Falls ja, dann wird das höchstwahrscheinlich daran liegen, dass irgendwo ein wiederholter Task mit diesem Konto läuft und dabei das alte Passwort benutzt. Falls auch ja,
dann trenne einfach alle DC vom übrigen Netz und warte die Sperrdauer ab. Dann kannst Du Dich an der Konsole des Servers anmelden. Es sei denn, dieser Task läuft direkt auf den DC's selbst .... Aber dafür hat man ja noch Reserve-Adminkonten. Hast Du doch?

E.
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
14.08.2019, aktualisiert um 15:46 Uhr
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert und der neue User hat "Kioskmodusrechte". Den Zustand kann man je nach Windows-Stand noch mit einer Hacker-CD richten oder auch nicht.

Aber in der Domäne sollte das eigentlich unmöglich sein. Ferner sollte sich der Domain Admin an allen Richtlinien vorbei nach 60 oder 90 Minuten nach wiederholten fehlerhaften Logins wieder entsperren, und früher war nach 9 erfolglosen Loginversuchen eine Sperre von 24 Stunden vorgesehen.
Bitte warten ..
Mitglied: emeriks
14.08.2019 um 15:46 Uhr
Zitat von GrueneSosseMitSpeck:
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert
Nein, ist es nicht. Es ist gesperrt. Das ist ein großer Unterschied!
Bitte warten ..
Mitglied: GrueneSosseMitSpeck
14.08.2019 um 16:02 Uhr
der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...
Bitte warten ..
Mitglied: Spirit-of-Eli
14.08.2019 um 16:18 Uhr
Zitat von GrueneSosseMitSpeck:

der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...

Der normale "Administrator" der Domäne fällt bei der Regelung komplett unten durch. Deswegen gibt es ja die Option den Admin zu deaktivieren und neue Domadmin Accounts zu erstellen da der Standard Account eben gerne bei bruteforce Angriffen genutzt wird.
Bitte warten ..
Mitglied: ejaybass
15.08.2019 um 22:59 Uhr
Naja wieso kaufst du mir das nicht ab ?

Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.

Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr. Mittlerweile habe ich das Backup am Laufen auf der Livekiste. Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
Bitte warten ..
Mitglied: emeriks
16.08.2019 um 08:01 Uhr
Zitat von ejaybass:
Naja wieso kaufst du mir das nicht ab ?
Weil ich dafür diesen Job schon viel zu lange mache.
Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.
Du meinst sicherlich Mitgliedschaften.
Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr.
Das meine ich. Du wärst nicht der Erste, der das eine denkt wo doch das andere ist.
Manchmal erinnert man sich bloß nicht mehr, oder hat es gar nicht mitbekommen, oder ein anderer Admin war parallel aktiv. Oder oder ...
Mittlerweile habe ich das Backup am Laufen auf der Livekiste.
Womit das Ziel erreicht wäre, oder?
Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
Lehrreich könnte es schon sein, es mit diesem weiterhin in einer Test-Umgebung zu probieren und die Ursache zu finden.
Bitte warten ..
Mitglied: ejaybass
18.08.2019 um 20:23 Uhr
Ja, vielleicht teste ich dann auf dem vermurksten System weiter, um ggf. zu prüfen, "wie" ich den Fehler korrigieren könnte...

Naja. Dennoch vielen Dank für die vielen Antworten und Nachrichten!

VG
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows 2012 R2 ausgesperrt
gelöst Frage von momaiWindows Server2 Kommentare

Hallo, ich habe mich heute wohl von einem Windows Server ausgesperrt bzw. ich komme nicht mehr via RDP drauf. ...

Windows 8
Admin-Konto in Standard-Konto umwandeln
gelöst Frage von mw1972Windows 85 Kommentare

Wie kann man unter Win 8.1 4bit einen Administrator-Nutzer zum Standardnutzer (am besten ohne Microsoft-Verknüpfung) machen und einen neuen ...

Windows 10
Windows 10 Admin Konto
gelöst Frage von rocco61Windows 101 Kommentar

Hallo zusammen, habe seit heute eine Erscheinung im win 10 , die ich nicht lösen kann. Wenn ich die ...

Windows 10

Umwandlung in lokales Konto vom Admin-Konto aus

Frage von achkleinWindows 107 Kommentare

Hallo, ein Bekannter kann sich nicht mehr mit seinem Kennwort unter Windows 10 1709 an seinem Microsoft-Konto anmelden. Ich ...

Neue Wissensbeiträge
Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 4 StundenHumor (lol)8 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 7 StundenWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 1 TagViren und Trojaner3 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 2 TagenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Heiß diskutierte Inhalte
Switche und Hubs
Glasfaser-Anschluss Telekom muss verteilt werden
Frage von cansoniSwitche und Hubs33 Kommentare

Vorweg: Bin nur Anwender und kein Experte Die Situation: Der Vermieter stellt einen Glasfaseranschluss in der Wohnung bereit. Wir ...

Hyper-V
Bei Neuaufbau auf Core-Server setzen?
gelöst Frage von dertowaHyper-V32 Kommentare

Hallo zusammen, ich habe vor einigen Monaten die Verantwortung für eine EDV-Landschaft übernommen die seit Jahren von einem Dienstleister ...

Hyper-V
VMs von Hyper-V auf externer Festplatte
gelöst Frage von SnowbirdHyper-V18 Kommentare

Hallo, ich möchte gerne von VirtualBox auf Hyper-V umsteigen und würde auch gerne weiterhin meine VMs auf der externen ...

Festplatten, SSD, Raid
SSDs durch Lagerung ohne Strom nach 6 Monaten defekt?!?
gelöst Frage von GlobetrotterFestplatten, SSD, Raid17 Kommentare

Moin Gemeinde Ich hatte gerade nen Trauerspiel Habe hier etliche NAS-Geräte herumfahren welche ich mal auf die Seite gelegt ...