Administrator aus AD ausgesperrt

[Deadlock 10]

Hallo Leute,

 

ich hab im Augenblick eine RIESENproblem. Ich habe eine sehr restriktive Benutzer- und Computerpolicy direkt auf meine Win2k3-Active Directory-Domäne gelegt - die gilt für alle authentifizierten Benutzer.

 

Da ich wohl das ein oder andere richtig falsch gemacht habe, habe ich jetzt auch den Administrator ausgesperrt. Ich habe noch _eine_ offene Sitzung mit den alten Rechten offen, kann von dort aber logischerweise schon nicht mehr am AD arbeiten.

 

Backup existiert selbstverständlich nicht.

 

Hat einer von euch ne Idee, wie ich wieder reinkommen kann?

[Gulp 252]

Neu installieren ..... nicht zum Spass, sondern zum Üben, wie Dr.Melzer's Grossmutter schon sagte.

 

Grüsse

 

Gulp

[Theweber 10]

Was genau heist bei dir Sitzung offen??

 

Kannst mit der Sitzung die offen ist, nicht die Berechtigungen wieder umschreiben??

 

Sonst sieht das schlecht aus

[Deadlock 10]

Nein, die Berechtigungen lassen sich nicht umschreiben. Wobei, momentan krebse ich noch daran herum, den gpmc wieder zu starten, das darf ich aber nicht weil ich's mir selber verboten haben.

 

Ob das AD mich noch an sich ranlässt wenn ich gpmc je gestartet bekomme weiss ich nicht.

[marin 10]

Was wäre wenn du abegsichert startest und dann den Ordner mit den GPO umbenennst im Sysvol Ordner? Oder wenn du die ID des GPO weiss nur diese veränderst? Könnte es nicht sein das er dann startet und du dich anmelden kannst?

 

Im übrigen: Backup exisiert natürlich nicht:cry:, ist das eine produktive Umgebung?

[IThome 10]

Ähm, was genau hast Du denn eingestellt ?

[grizzly999 11]

Neu installieren ..... nicht zum Spass, sondern zum Üben, wie Dr.Melzer's Grossmutter schon sagte.

 

Grüsse

 

Gulp

... und der alte Bär immer schult: Lasse keine ungetetsten Policies auf die Produktivumgebung los.

 

Aber, es ist nun wirklich die Frage, was wurde alles eingestellt?

[Deadlock 10]

*uff*

 

Alarm abgeblasen - ich habe per DameWare in dem Userteil meiner Registry die Schlüssel RestrictAuthorMode und RestrictToPermittedSnapins von 1 auf 0 gesetzt und schon konnte ich wieder ans AD ran... Hatte mir nur den Zugang zur MMC deaktiviert.

 

Vielen Dank für eure schnellen Tips bzw. Anregungen :)

[marin 10]

@grizzly und ITHome

 

Wenn schon so Kompetenz vorhanden ist meine Frage an euch: Könnte meine Idee aus dem Betrag nicht funktionieren?

[grizzly999 11]

@grizzly und ITHome

 

Wenn schon so Kompetenz vorhanden ist meine Frage an euch: Könnte meine Idee aus dem Betrag nicht funktionieren?

Das wäre jetzt darauf angekommen, welche Optionen im einzelnen gesetzt sind. Wenn hier Sachen in den Sicherheitseinstellungen in der Computerricihtlinie drin gewesen wären, hätte der DC sie schon fest übernommen und auch bei Entfernen der Richtinie aktiv (Daher auch immer die Anfrage "Ich habe die Komplexitätsanforderungen bei 2003 auf nicht konfiguriert gesetzt und er will immer noch komplexe Kennwörter ==> Richtline ist schon im System und muss explizit über eine RL deaktiviert werden). Bei registrybasierten Richtlinien würde das gehen.

 

grizzly999

[Dr.Melzer 191]

Neu installieren ..... nicht zum Spass, sondern zum Üben, wie Dr.Melzer's Grossmutter schon sagte.

 

Mein Oma wird sich geehrt fühlen, aber sie sagte immer:

 

"Nicht zur Strafe, sondern nur zur Übung." ;)

[grizzly999 11]

Mein Oma wird sich geehrt fühlen, aber sie sagte immer:

 

"Nicht zur Strafe, sondern nur zur Übung." ;)

Ich dachte, die sagt immer "Nicht zur Übung, nur zur Strafe" :D :D

[Zearom 10]

Ich dachte, die sagt immer "Nicht zur Übung, nur zur Strafe" :D :D

 

Off-Topic:

ich glaub, das kommt ganz auf den fall an grizzly999 :D