Freek 10 Geschrieben 26. November 2012 Melden Geschrieben 26. November 2012 Hi, mir ist da ein kleines Missgeschick passiert... Ich habe ausversehen ein Computerkonto gelöscht, das aber benötigt wird. Leider steht der Rechner 400km entfernt. Dummerweise hat der lokale Admin kein Kennwort, sodass ich mich auch per RDP nicht anmelden kann. Domänenfunktionsebene 2003 mit 2008R2 also kein AD-Papierkorb :( Versucht habe ich jetzt mit Sysinternal adrestore das Konto wieder herzustellen. Zumindest sehe ich den Computer jetzt wieder, aber ein Anmelden ist trotzdem nicht möglich... "Die Sicherheitsdatenbank auf dem Server enthällt kein..." Jemand noch ne kreative Idee? Client-OS ist Win7. Meinde Idee wäre sonst nur per Telefon in Verbindung mit dem User... würde ich aber gerne vermeiden. Gruß Thomas Zitieren
nawas 32 Geschrieben 26. November 2012 Melden Geschrieben 26. November 2012 Kannst du noch einen alten Wiederherstellungspunkt aufrufen und somit den PC zurücksetzen? Zitieren
Freek 10 Geschrieben 26. November 2012 Autor Melden Geschrieben 26. November 2012 (bearbeitet) naja... was heißt Wiederherstellungspunkt? Vom Client? Ich habe das Konto ja im AD gelöscht. Jetzt könnte ich noch vom Backup restoren... aber dazu muss ich mich auch ins Auto setzten und lohnt den Aufwand auch nicht ;) bearbeitet 26. November 2012 von Freek Zitieren
Freek 10 Geschrieben 27. November 2012 Autor Melden Geschrieben 27. November 2012 so gerade eine kleine Teamviewer Session hinter mir... Es kommt noch besser. Der lokale Admin, der bei der Installation angelegt wurde, hat keine Adminrechte mehr. So geht mein Plan mit einmal aus der Domäne raus und wieder rein auch nicht mehr auf. Jetzt würde mir nur noch der Abgesicherte Modus einfallen, in der Hoffnung das der lokale "Administrator" noch irgendwie funktioniert. Ich werde berichten... Zitieren
NeMiX 76 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 Tipp um Kennwörter zu umgehen von Dr.Melzer gelöscht. Zitieren
Robi-Wan 10 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 Hallo, hast Du ein Backup des DCs? Daraus könnte das entsprechende AD-Konto wiederherstellen. Grüße, Robert Zitieren
Freek 10 Geschrieben 27. November 2012 Autor Melden Geschrieben 27. November 2012 hast Du ein Backup des DCs? Daraus könnte das entsprechende AD-Konto wiederherstellen. Ja, habe ich. Das werde ich jetzt wohl auch tun müssen. Denn der Administrator auf dem Client ist auch im Abgesicherten Modus nicht aktiv - schade eigentlich. Da habe ich mir echt ein Eigentor geschossen ;) Zitieren
samsam 14 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 Moin, wenn du Computer account restore machst, by default die computer password speichert nicht in tombstoned object (also tombstoned object enthält nicht das Password). Bitte lies diese links (für deine probleme erste link, zweite link additonal info): How to Restore Deleted Machine accounts\Active Directory ADRESTORE\Unicode-pwd\searchFlag How to save additional Active Directory attributes and the user password in tombstone objects MFG Zitieren
Sunny61 816 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 Denn der Administrator auf dem Client ist auch im Abgesicherten Modus nicht aktiv - schade eigentlich. Da habe ich mir echt ein Eigentor geschossen ;) Dann erstell dir gleich ein passendes GPO. Damit setzt Du den lokalen Admin bei W7 aktiv und vergibst auch regelmässig ein neues Passwort. ;) Und diese Vorgehensweise kann bestimmt auch nicht schaden: faq-o-matic.net » “Objekt vor zufälligem Löschen schützen” per Skript setzen Zitieren
Freek 10 Geschrieben 27. November 2012 Autor Melden Geschrieben 27. November 2012 Vielen Dank für die Antworten. Ich werde mal heute Abend ein bisschen mit adrestore probieren und Feedback geben. Jetzt arbeitet der User erst einmal mit dem lokalen Benutzer und verbindet sich mit einem WTS... Zitieren
NilsK 2.978 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 Moin, adrestore wird nicht klappen, weil im Tombstone das Kennwort fehlt. Es müsste schon ein Authoritative Restore sein. Gruß, Nils Zitieren
Stephan Betken 43 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 Ohne Verbindung zur Domäne sollte an dem Computer eine Anmeldung mit zwischengespeicherten Anmeldeinformationen möglich sein! Wie ist der Computer denn mit der Domäne verbunden? Zitieren
Freek 10 Geschrieben 27. November 2012 Autor Melden Geschrieben 27. November 2012 Wie ist der Computer denn mit der Domäne verbunden? Per VPN... wenn ich den Tunnel deaktiviere komme ich aber auch per rdp nicht mehr drauf :( Aber ich könnte die IPs der DCs Firewalltechnisch für den Rechner blocken... vielleicht funzt das ja. Zitieren
Stephan Betken 43 Geschrieben 27. November 2012 Melden Geschrieben 27. November 2012 VPN über Site-to-Site oder Client-Einwahl? Split-Tunnel? Deine Lösung sollte eigentlich funktionieren! Ein anderer möglicher Ansatz: Wenn du Teamviewer o. Ä. temporär nutzen kannst, dann könntest du eine Teamviewer-Verbindung mit dem Benutzer herstellen und bei deaktiviertem VPN-Tunnel über Benutzer wechseln einen zuletzt angemeldeten Administrator anmelden (wenn die Anmeldeinformationen noch zwischengespeichert sind) und anschließend mit aktiviertem VPN-Tunnel den Client erneut der Domäne hinzufügen. Funktioniert aber nur, wenn nicht alles über den VPN-Tunnel läuft. Zitieren
Freek 10 Geschrieben 27. November 2012 Autor Melden Geschrieben 27. November 2012 VPN über Site-to-Site oder Client-Einwahl? Split-Tunnel? Site-to-Site und Split-Tunnel. Gute Idee... dann sollte das per Teamviewer auch funzen. Ich probiere das mal aus... in der Hoffnung, dass die Anmeldung funzt. Oh man... so viel Aufwand für einen Rechner :D Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.