ejaybass
Goto Top

Server 2012, Domänencontroller - Admin Konto ausgesperrt

Hallo,

ich habe ein großes Problem, ich komme nicht mehr als Admin auf meinen Win Server 2012.

Der Server 2012 ist auch ein Domänencontroller. Ich habe in den Gruppenrichtlinien eingestellt, dass man bei falscher Anmeldung gesperrt wird und sich dies nach 10 Minuten wieder aufhebt.

Ich habe zusätzlich im Active Directory einen "test" User angelegt. Bei den Einstellungen des Users, bin ich auf den Reiter "Mitglied von.." gegangen und habe ihm die RemoteAccess Mitgliedschaft entzogen.

Komischerweise komme ich nun mit allen anderen Accounts und natürlich dem Admin auch nicht mehr auf den Server.

Leider hebt sich auch die Sperre des Adminkontos nicht auf! Nun erhalte ich jedes Mal die Fehlermeldung, dass das "angesprochene Konto momentan gesperrt ist und für die Anmeldung nicht verwendet werden kann"


Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...


Ich bin am verzweifeln!


LG
Mario

Content-ID: 484558

Url: https://administrator.de/contentid/484558

Ausgedruckt am: 08.11.2024 um 13:11 Uhr

Vision2015
Vision2015 13.08.2019 aktualisiert um 19:05:36 Uhr
Goto Top
moin..

also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!

oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!

Frank
ejaybass
ejaybass 13.08.2019 um 19:14:26 Uhr
Goto Top
Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt. Und aktuell ist auch einiges live im Einsatz.

Wenn du mir den Trick nicht verraten kannst, kannst du mir durch die Blume nennen, wie ich den 5 Minuten kniff googlen soll? Nach was ich genau suchen müsste?

Lg
Andrew01
Andrew01 13.08.2019 um 19:18:16 Uhr
Goto Top
Hallo

Utilman (Jehova, Jehova face-smile!)
und dann mal auf Englisch googeln.

Gruss Andreas
117471
117471 13.08.2019 um 19:36:52 Uhr
Goto Top
Hallo,

das geht auch mit Konten in der Domäne?

Oder kann der lokale Admin (vom DC) tatsächlich auch im AD herumkrakeln?

Gruß,
Jörg
ejaybass
ejaybass 13.08.2019 um 19:42:17 Uhr
Goto Top
Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.

Ich verstehe es nicht...

Den "Administrator" Account habe ich von vorne herein deaktiviert.

Lässt sich dieser aktivieren? Ggf auch ohne Neustart?

Lg
Spirit-of-Eli
Spirit-of-Eli 13.08.2019 um 19:44:54 Uhr
Goto Top
Zitat von @Vision2015:

moin..

also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!

oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!

Frank

Das Funktioniert beim einem DC nicht. dort existiert auch schlicht kein local admin mehr.
Der DC ist der einzige Server wo es keine localen Konten mehr gibt.

Wenn hier tatsächlich kein Zugriff auf das Admin Konto mehr möglich ist, dann sieht die Sache schwarz aus.
Spirit-of-Eli
Spirit-of-Eli 13.08.2019 aktualisiert um 19:48:29 Uhr
Goto Top
Zitat von @ejaybass:

Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.

Ich verstehe es nicht...

Den "Administrator" Account habe ich von vorne herein deaktiviert.

Lässt sich dieser aktivieren? Ggf auch ohne Neustart?

Lg

Löblich für die Sicherheit. Das Problem hieran ist aber, das der Dom-Admin das einzige Konto ist, welches von der Sperre nicht betroffen wäre.
Daher hätte vor Konfiguration eben jenes wieder aktiviert werden müssen.
Händisch hinzugefügte Dom Admins fallen unter die automatische Sperre.

Ist nicht irgend wo noch eine RDP Session mit Admin Account offen?
Das wäre hier noch eine Lösung!
Andrew01
Andrew01 13.08.2019 um 19:50:45 Uhr
Goto Top
Du hast den Domain Admin Account gesperrt? Aber einen anderen angelegt oder?
Ja Sicherheit hin oder her.
Die Diskussion hatte ich schon bei diversen Audits.
Wenn du dort bei den Passwort Richtlinien den Domain Admin rein tust lass ich dir in Millisekunden den Account sperren durch ein simples Batch Script das ich als User laufen lassen kann.
Und in ca. 5 Sekunden so alle AD Konten durch ein falsches Passwort gesperrt.
Ich denke das ist der falsche Ansatz für Sicherheit.

Gruss Andreas
Andrew01
Andrew01 13.08.2019 um 19:56:53 Uhr
Goto Top
@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.
Vision2015
Vision2015 13.08.2019 um 20:06:24 Uhr
Goto Top
Zitat von @Andrew01:

@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.
Ja... das ist wohl wahr...

@ejaybass
Lässt sich dieser aktivieren? Ggf auch ohne Neustart?
nö.... also neustarten muss schon drin sein.... face-smile
Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt.
och, bis morgen früh bist du fertig.... erstelle aber vorher ein offline image von deiner kiste....
Und aktuell ist auch einiges live im Einsatz.
das solltet ihr besser ab jetzt lassen...
Frank
ejaybass
ejaybass 13.08.2019 um 20:10:29 Uhr
Goto Top
Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.

Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....

Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....

LG
Vision2015
Vision2015 13.08.2019 um 20:25:32 Uhr
Goto Top
moin...
Zitat von @ejaybass:

Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.

Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....
wir wissen nicht was du gemachst hast.....möglich ist alles

Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....
ist möglich.... cmd

LG
frank
Spirit-of-Eli
Spirit-of-Eli 13.08.2019 um 20:44:19 Uhr
Goto Top
Zitat von @Andrew01:

@ Eli Das Utilman funktioniert auch bei einem DC und einem Domain Admin.

Mir wurde immer gesagt, das würde nicht bei Domainaccounts anwendbar sein.

Aber gut, wieder was gelernt.
Lochkartenstanzer
Lochkartenstanzer 14.08.2019 aktualisiert um 05:45:48 Uhr
Goto Top
Zitat von @ejaybass:


Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...


Solange Du physikalischen Zugriff hast und die Platten nicht verschlüsselt sind und bootet man die Kiste mit dem passenden live-linux, stellt die Paßwörter zurück.

Ich bin am verzweifeln!

Hoffentlich lernst Du was draus.

lks

PS: Sowas is immer eine gute Möglichkeit die Restore-Prozesse nach einer Havarie zu prüfen.
emeriks
emeriks 14.08.2019 um 10:56:47 Uhr
Goto Top
Hi
Zitat von @ejaybass:
Das kaufe ich Dir so einfach nicht ab.
Erstmal kann man Mitglieder der "Domänen-Admins" oder "Administatoren" einer Domäne nicht so einfach aussperren. Da gibt es Schutzmechanismen.
Zweitens was ist
die RemoteAccess Mitgliedschaft
und was soll das damit zu tun haben?
Meinst Du etwa "Remote Desktop Users" oder "Remote Management Users"?

Kann es sein, dass Du gleichzeitig das PW das Administrators geändert hast? Und dass das Konto jetzt laufend gesperrt ist? Falls ja, dann wird das höchstwahrscheinlich daran liegen, dass irgendwo ein wiederholter Task mit diesem Konto läuft und dabei das alte Passwort benutzt. Falls auch ja,
dann trenne einfach alle DC vom übrigen Netz und warte die Sperrdauer ab. Dann kannst Du Dich an der Konsole des Servers anmelden. Es sei denn, dieser Task läuft direkt auf den DC's selbst .... Aber dafür hat man ja noch Reserve-Adminkonten. Hast Du doch?

E.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 14.08.2019 aktualisiert um 15:46:44 Uhr
Goto Top
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert und der neue User hat "Kioskmodusrechte". Den Zustand kann man je nach Windows-Stand noch mit einer Hacker-CD richten oder auch nicht.

Aber in der Domäne sollte das eigentlich unmöglich sein. Ferner sollte sich der Domain Admin an allen Richtlinien vorbei nach 60 oder 90 Minuten nach wiederholten fehlerhaften Logins wieder entsperren, und früher war nach 9 erfolglosen Loginversuchen eine Sperre von 24 Stunden vorgesehen.
emeriks
emeriks 14.08.2019 um 15:46:08 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert
Nein, ist es nicht. Es ist gesperrt. Das ist ein großer Unterschied!
GrueneSosseMitSpeck
GrueneSosseMitSpeck 14.08.2019 um 16:02:07 Uhr
Goto Top
der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...
Spirit-of-Eli
Spirit-of-Eli 14.08.2019 um 16:18:44 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:

der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...

Der normale "Administrator" der Domäne fällt bei der Regelung komplett unten durch. Deswegen gibt es ja die Option den Admin zu deaktivieren und neue Domadmin Accounts zu erstellen da der Standard Account eben gerne bei bruteforce Angriffen genutzt wird.
ejaybass
ejaybass 15.08.2019 um 22:59:37 Uhr
Goto Top
Naja wieso kaufst du mir das nicht ab ? face-smile

Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.

Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr. Mittlerweile habe ich das Backup am Laufen auf der Livekiste. Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
emeriks
emeriks 16.08.2019 um 08:01:16 Uhr
Goto Top
Zitat von @ejaybass:
Naja wieso kaufst du mir das nicht ab ? face-smile
Weil ich dafür diesen Job schon viel zu lange mache.
Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.
Du meinst sicherlich Mitgliedschaften.
Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr.
Das meine ich. Du wärst nicht der Erste, der das eine denkt wo doch das andere ist. face-wink
Manchmal erinnert man sich bloß nicht mehr, oder hat es gar nicht mitbekommen, oder ein anderer Admin war parallel aktiv. Oder oder ...
Mittlerweile habe ich das Backup am Laufen auf der Livekiste.
Womit das Ziel erreicht wäre, oder?
Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
Lehrreich könnte es schon sein, es mit diesem weiterhin in einer Test-Umgebung zu probieren und die Ursache zu finden.
ejaybass
ejaybass 18.08.2019 um 20:23:09 Uhr
Goto Top
Ja, vielleicht teste ich dann auf dem vermurksten System weiter, um ggf. zu prüfen, "wie" ich den Fehler korrigieren könnte...

Naja. Dennoch vielen Dank für die vielen Antworten und Nachrichten!

VG