Server 2012, Domänencontroller - Admin Konto ausgesperrt
Hallo,
ich habe ein großes Problem, ich komme nicht mehr als Admin auf meinen Win Server 2012.
Der Server 2012 ist auch ein Domänencontroller. Ich habe in den Gruppenrichtlinien eingestellt, dass man bei falscher Anmeldung gesperrt wird und sich dies nach 10 Minuten wieder aufhebt.
Ich habe zusätzlich im Active Directory einen "test" User angelegt. Bei den Einstellungen des Users, bin ich auf den Reiter "Mitglied von.." gegangen und habe ihm die RemoteAccess Mitgliedschaft entzogen.
Komischerweise komme ich nun mit allen anderen Accounts und natürlich dem Admin auch nicht mehr auf den Server.
Leider hebt sich auch die Sperre des Adminkontos nicht auf! Nun erhalte ich jedes Mal die Fehlermeldung, dass das "angesprochene Konto momentan gesperrt ist und für die Anmeldung nicht verwendet werden kann"
Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...
Ich bin am verzweifeln!
LG
Mario
ich habe ein großes Problem, ich komme nicht mehr als Admin auf meinen Win Server 2012.
Der Server 2012 ist auch ein Domänencontroller. Ich habe in den Gruppenrichtlinien eingestellt, dass man bei falscher Anmeldung gesperrt wird und sich dies nach 10 Minuten wieder aufhebt.
Ich habe zusätzlich im Active Directory einen "test" User angelegt. Bei den Einstellungen des Users, bin ich auf den Reiter "Mitglied von.." gegangen und habe ihm die RemoteAccess Mitgliedschaft entzogen.
Komischerweise komme ich nun mit allen anderen Accounts und natürlich dem Admin auch nicht mehr auf den Server.
Leider hebt sich auch die Sperre des Adminkontos nicht auf! Nun erhalte ich jedes Mal die Fehlermeldung, dass das "angesprochene Konto momentan gesperrt ist und für die Anmeldung nicht verwendet werden kann"
Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...
Ich bin am verzweifeln!
LG
Mario
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 484558
Url: https://administrator.de/contentid/484558
Ausgedruckt am: 08.11.2024 um 13:11 Uhr
22 Kommentare
Neuester Kommentar
moin..
also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!
oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!
Frank
also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!
oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!
Frank
Hallo,
das geht auch mit Konten in der Domäne?
Oder kann der lokale Admin (vom DC) tatsächlich auch im AD herumkrakeln?
Gruß,
Jörg
das geht auch mit Konten in der Domäne?
Oder kann der lokale Admin (vom DC) tatsächlich auch im AD herumkrakeln?
Gruß,
Jörg
Zitat von @Vision2015:
moin..
also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!
oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!
Frank
moin..
also eigentlich ist das in 5 minuten erledigt.... leider darf ich hier nicht schreiben wie.
google ist aber dein freund!
oder geh mit dem blech in den nächsten PC laden... die machen das auch!
Alternativ.... vor deinem gefummel hast du ja ein Backup gemacht... mit einem Restore bist du auch schnell fertig!
Frank
Das Funktioniert beim einem DC nicht. dort existiert auch schlicht kein local admin mehr.
Der DC ist der einzige Server wo es keine localen Konten mehr gibt.
Wenn hier tatsächlich kein Zugriff auf das Admin Konto mehr möglich ist, dann sieht die Sache schwarz aus.
Zitat von @ejaybass:
Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.
Ich verstehe es nicht...
Den "Administrator" Account habe ich von vorne herein deaktiviert.
Lässt sich dieser aktivieren? Ggf auch ohne Neustart?
Lg
Ja ich verstehe es nicht so richtig. Ich habe im AD kein bisschen am Admin Account gespielt. Lediglich eine Kontosperre aktiviert, wenn 5x falsche zugangsdaten eingegeben werden. Und eben am Account "test", dass dieser kein Mitglied diverser Berechtigungsgruppen ist.
Ich verstehe es nicht...
Den "Administrator" Account habe ich von vorne herein deaktiviert.
Lässt sich dieser aktivieren? Ggf auch ohne Neustart?
Lg
Löblich für die Sicherheit. Das Problem hieran ist aber, das der Dom-Admin das einzige Konto ist, welches von der Sperre nicht betroffen wäre.
Daher hätte vor Konfiguration eben jenes wieder aktiviert werden müssen.
Händisch hinzugefügte Dom Admins fallen unter die automatische Sperre.
Ist nicht irgend wo noch eine RDP Session mit Admin Account offen?
Das wäre hier noch eine Lösung!
Du hast den Domain Admin Account gesperrt? Aber einen anderen angelegt oder?
Ja Sicherheit hin oder her.
Die Diskussion hatte ich schon bei diversen Audits.
Wenn du dort bei den Passwort Richtlinien den Domain Admin rein tust lass ich dir in Millisekunden den Account sperren durch ein simples Batch Script das ich als User laufen lassen kann.
Und in ca. 5 Sekunden so alle AD Konten durch ein falsches Passwort gesperrt.
Ich denke das ist der falsche Ansatz für Sicherheit.
Gruss Andreas
Ja Sicherheit hin oder her.
Die Diskussion hatte ich schon bei diversen Audits.
Wenn du dort bei den Passwort Richtlinien den Domain Admin rein tust lass ich dir in Millisekunden den Account sperren durch ein simples Batch Script das ich als User laufen lassen kann.
Und in ca. 5 Sekunden so alle AD Konten durch ein falsches Passwort gesperrt.
Ich denke das ist der falsche Ansatz für Sicherheit.
Gruss Andreas
Ja... das ist wohl wahr...
@ejaybass
Frank
@ejaybass
Lässt sich dieser aktivieren? Ggf auch ohne Neustart?
nö.... also neustarten muss schon drin sein.... Ja ein restore habe ich, aber das ist leider nicht sonderlich schnell erledigt.
och, bis morgen früh bist du fertig.... erstelle aber vorher ein offline image von deiner kiste....Und aktuell ist auch einiges live im Einsatz.
das solltet ihr besser ab jetzt lassen...Frank
moin...
Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....
ist möglich.... cmd
LG
frank
Zitat von @ejaybass:
Es ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.
Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....
wir wissen nicht was du gemachst hast.....möglich ist allesEs ist zwar zum "Glück" eine virtuelle Kiste, die schon geklont auf einer neuen liegt, jedoch ist auch das immer unnötige Arbeit und Zeit, diese vor Ort umzuziehen und die Daten auch auf dem Klon zu aktualisieren.
Aber dennoch, habt ihr eine Idee, Warum denn so etwas passiert?? Ich habe ja weder Passwörter geändert, noch im AD den admin Account angefasst....
Ggf. mit Utilman dann tatsächlich den Administrator aktivieren....
LG
Mir wurde immer gesagt, das würde nicht bei Domainaccounts anwendbar sein.
Aber gut, wieder was gelernt.
Zitat von @ejaybass:
Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...
Habt ihr eine Idee, wie ich das zurücksetzen kann?!?!?! Ich komme ja nicht einmal mehr auf den Server um es wieder zurückzustellen...
Solange Du physikalischen Zugriff hast und die Platten nicht verschlüsselt sind und bootet man die Kiste mit dem passenden live-linux, stellt die Paßwörter zurück.
Ich bin am verzweifeln!
Hoffentlich lernst Du was draus.
lks
PS: Sowas is immer eine gute Möglichkeit die Restore-Prozesse nach einer Havarie zu prüfen.
Hi
Das kaufe ich Dir so einfach nicht ab.
Erstmal kann man Mitglieder der "Domänen-Admins" oder "Administatoren" einer Domäne nicht so einfach aussperren. Da gibt es Schutzmechanismen.
Zweitens was ist
Meinst Du etwa "Remote Desktop Users" oder "Remote Management Users"?
Kann es sein, dass Du gleichzeitig das PW das Administrators geändert hast? Und dass das Konto jetzt laufend gesperrt ist? Falls ja, dann wird das höchstwahrscheinlich daran liegen, dass irgendwo ein wiederholter Task mit diesem Konto läuft und dabei das alte Passwort benutzt. Falls auch ja,
dann trenne einfach alle DC vom übrigen Netz und warte die Sperrdauer ab. Dann kannst Du Dich an der Konsole des Servers anmelden. Es sei denn, dieser Task läuft direkt auf den DC's selbst .... Aber dafür hat man ja noch Reserve-Adminkonten. Hast Du doch?
E.
Das kaufe ich Dir so einfach nicht ab.
Erstmal kann man Mitglieder der "Domänen-Admins" oder "Administatoren" einer Domäne nicht so einfach aussperren. Da gibt es Schutzmechanismen.
Zweitens was ist
die RemoteAccess Mitgliedschaft
und was soll das damit zu tun haben?Meinst Du etwa "Remote Desktop Users" oder "Remote Management Users"?
Kann es sein, dass Du gleichzeitig das PW das Administrators geändert hast? Und dass das Konto jetzt laufend gesperrt ist? Falls ja, dann wird das höchstwahrscheinlich daran liegen, dass irgendwo ein wiederholter Task mit diesem Konto läuft und dabei das alte Passwort benutzt. Falls auch ja,
dann trenne einfach alle DC vom übrigen Netz und warte die Sperrdauer ab. Dann kannst Du Dich an der Konsole des Servers anmelden. Es sei denn, dieser Task läuft direkt auf den DC's selbst .... Aber dafür hat man ja noch Reserve-Adminkonten. Hast Du doch?
E.
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert und der neue User hat "Kioskmodusrechte". Den Zustand kann man je nach Windows-Stand noch mit einer Hacker-CD richten oder auch nicht.
Aber in der Domäne sollte das eigentlich unmöglich sein. Ferner sollte sich der Domain Admin an allen Richtlinien vorbei nach 60 oder 90 Minuten nach wiederholten fehlerhaften Logins wieder entsperren, und früher war nach 9 erfolglosen Loginversuchen eine Sperre von 24 Stunden vorgesehen.
Aber in der Domäne sollte das eigentlich unmöglich sein. Ferner sollte sich der Domain Admin an allen Richtlinien vorbei nach 60 oder 90 Minuten nach wiederholten fehlerhaften Logins wieder entsperren, und früher war nach 9 erfolglosen Loginversuchen eine Sperre von 24 Stunden vorgesehen.
Zitat von @GrueneSosseMitSpeck:
das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert
Nein, ist es nicht. Es ist gesperrt. Das ist ein großer Unterschied!das Deaktivieren des Kontos "Administrator" hat Microsoft schon seit Ewigkeiten unterbunden... allerdings kann man das lokal trotzdem hinkriegen, z.B: wenn man ein automatisches Login einrichtet dann ist hinterher das Administratorkonto deaktivert
Zitat von @GrueneSosseMitSpeck:
der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...
der Domänenadmin müßte sich aber nach 24 Stunden wieder entsperren...
Der normale "Administrator" der Domäne fällt bei der Regelung komplett unten durch. Deswegen gibt es ja die Option den Admin zu deaktivieren und neue Domadmin Accounts zu erstellen da der Standard Account eben gerne bei bruteforce Angriffen genutzt wird.
Weil ich dafür diesen Job schon viel zu lange mache.
Manchmal erinnert man sich bloß nicht mehr, oder hat es gar nicht mitbekommen, oder ein anderer Admin war parallel aktiv. Oder oder ...
Ich verstehe es ja selbst nicht wirklich. Ich wollte gewissen Nutzern (in meinem Fall einem frischen "TEST" User) die Remote Desktop Users und Remote Management Users Rechte entziehen. Alles eben was mit "Remote...." anfängt in den Berechtigungen.
Du meinst sicherlich Mitgliedschaften.Mehr habe ich nicht getan. Und zack, schon ging mein Adminaccount nicht mehr.
Das meine ich. Du wärst nicht der Erste, der das eine denkt wo doch das andere ist. Manchmal erinnert man sich bloß nicht mehr, oder hat es gar nicht mitbekommen, oder ein anderer Admin war parallel aktiv. Oder oder ...
Mittlerweile habe ich das Backup am Laufen auf der Livekiste.
Womit das Ziel erreicht wäre, oder?Ich kann das virtuelle Image nun theoretisch löschen. Aber unverständlich ist es mir dennoch..
Lehrreich könnte es schon sein, es mit diesem weiterhin in einer Test-Umgebung zu probieren und die Ursache zu finden.