Jump to content

Deaktivierter Domänenadministrator weiter nutzbar (teilweise)


Direkt zur Lösung Gelöst von Daniel -MSFT-,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

mir ist eine kleine Merkwürdigkeit in meinem System aufgefallen. Ich hatte gestern ein Benutzerkonto, das bisher für die Administration des Firmennetzwerks genutzt wurde, deaktiviert.

 

Den weiteren Zugriff über andere (neue) Konten habe ich vorher natürlich sichergestellt und Abhängigkeiten im Voraus beseitigt. Das Konto hing überall mit drin. In Druckern, in Freigabezugriffen, etc. Die neuen Konten sind unabhängig von solchen Dingen und lassen sich in Zukunft leicht austauschen. (danke für den Tipp lefg)

Das alte Konto sollte auch sterben, weil die halbe Firma die Zugangsdaten des Domänenadministrators wusste und teils auch für tägliche Arbeiten genutzt hat. Wirklich klar ist in so einem Fall ja nun nicht, wer evtl. Änderungen vorgenommen hat.

 

Den Namen des alten Kontos wollte ich auch nicht mehr nutzen, weil es zu offensichtlich ein Administratoraccount war.

So viel zum Hintergrund, warum ich das alte Konto weg haben wollte. Nun zur Merkwürdigkeit.

 

Das Konto ist seit gestern deaktiviert. Dennoch kann ich es teilweise nutzen, um mich weiterhin an Rechnern anzumelden oder z.B. aus dem Kontext eines Standardnutzer die Rechte zu erhöhen. (Ausführen als...)

Es gibt Rechner, die korrekt reagieren und bei jeglichem Anmeldeversuch melden, dass das Konto deaktiviert ist.

An anderen Rechnern funktioniert das Konto weiterhin wie vorher. Oder zumindest teilweise. Ist teils verschieden gewesen. Eine direkte Anmeldung ist vielleicht nicht mehr möglich, aber eine Erhöhung der Rechte.

 

Die Rechner sind in einem Active Directory miteinander vernetzt.

 

Ist das irgendeine Besonderheit im Active Directory oder ist da evtl. etwas anderes faul?

 

 

Grüße

bearbeitet von willy-goergen
Link zu diesem Kommentar

Hmpf... das ist jetzt wieder mal sehr unschön!  :(

 

Ihr könntet beide recht haben und zahni hat gleich noch ein bisschen weiter gedacht.

Es ist wohl nicht ganz unwahrscheinlich, dass im Firmennetz ein Fehler unterwegs ist. Allerdings, das muss ich dazu schreiben, ist er dann wohl eher unscheinbar.

 

Muss ich mir mal ansehen. Jetzt ist erst mal Wochenende.

Danke für eure Tipps!

bearbeitet von willy-goergen
Link zu diesem Kommentar
 

RunAs ignoriert (leider) deaktivierte und gesperrte Accounts, wenn der Account in den Cached Credentials gespeichert ist. Da hilft nur "Credential Cache leeren"...

Wir sind deswegen auch grad mit dem MS-Support am Diskutieren, daß das so nicht sein dürfte - bisher ergebnislos  :D

 

Ach so? Das ist wieder mal eine sehr gute Info. Danke! Meine Laune wurde gerade wieder etwas besser.  :)

Mir hatte das gestern Abend so ein bisschen die Laune vermiest, weil mir selbst ein Jahr später in der Firma immer wieder teils massive Fehler auffallen, die mein Vorgänger irgendwann eingebaut hat. Laut den verlinkten Artikeln war ich auch der Meinung, dass das Verhalten nur Auftritt, wenn ein Client wegen einem Verbindungsproblem einen der DCs für die Authentifizierung nicht erreichen kann.

 

Mit dem Leeren des Caches hätte ich mir dann in dem Fall keinen getan.

Schaden wird's aber wohl trotzdem nicht, wenn ich mir das Netzwerk mal genauer anschaue, bevor ich den Zwischenspeicher reduziere.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Wieso hättest du dir keinen getan? Was überhaupt für keinen?

 

Ups... da fehlt das Wort "Gefallen". Ich hätte mir da vielleicht keinen Gefallen getan, meinte ich.

Meine Vermutung war gewesen, dass die Probleme bei der Anmeldung erst so richtig zu Tage treten, wenn ich den Anmeldecache lösche / verkleinere und tatsächlich ein Netzwerkproblem existiert. Ich werde mir erst mal nur eine Maschine hernehmen und das mit der ein bisschen testen, bevor ich das für alle umsetze.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Aber dann kannst Du endlich mal Deine Probleme lösen. Es gibt auch Firmen, die das können. Man muss nicht alles selber machen.

 

 

Der Willy ist aber so einer, der lieber alles selber macht. Mit allen Konsequenzen für sich und seine Umgebung.  ;)

 

 

Wäre wohl zu überlegen, die Sache fremd zu vergeben. Lernen tu ich dabei wahrscheinlich auch was. Ist ein guter Punkt. Wenn ich es mir recht überlege, sogar (wieder mal) sehr gut. ;)

Ich weiß zwar nicht, ob das jetzt eure Absicht war, aber es gibt gewisse Dinge, die mich in meinem Betrieb richtig stören. In dem Fall werde ich dann weiter an die GF verweisen. Außerdem muss ich nichts machen, was mir eigentlich verboten wurde.

 

Find ich immer wieder toll, was hier im Forum so herum kommt. Danke!  :D

bearbeitet von willy-goergen
Link zu diesem Kommentar

Ach so? Das ist wieder mal eine sehr gute Info. Danke! Meine Laune wurde gerade wieder etwas besser.  :)

Mir hatte das gestern Abend so ein bisschen die Laune vermiest, weil mir selbst ein Jahr später in der Firma immer wieder teils massive Fehler auffallen, die mein Vorgänger irgendwann eingebaut hat. Laut den verlinkten Artikeln war ich auch der Meinung, dass das Verhalten nur Auftritt, wenn ein Client wegen einem Verbindungsproblem einen der DCs für die Authentifizierung nicht erreichen kann.

 

Mit dem Leeren des Caches hätte ich mir dann in dem Fall keinen getan.

Schaden wird's aber wohl trotzdem nicht, wenn ich mir das Netzwerk mal genauer anschaue, bevor ich den Zwischenspeicher reduziere.

 

 

Dann kanst Du auch gleich einrichten, dass man sich mit einem Domänenadministrator nicht an Clients oder Memberservern anmelden kann. Die sind nur zur Administration von Domain Controllern da.

 

Have fun!

Daniel

Link zu diesem Kommentar

Dann kanst Du auch gleich einrichten, dass man sich mit einem Domänenadministrator nicht an Clients oder Memberservern anmelden kann. Die sind nur zur Administration von Domain Controllern da.

 

 

Ich persönlich würde gerade eher den umgekehrten Weg bevorzugen. Bzw. habe ich ihn im Moment ein Stück weit eingeschlagen.

Der Domänenadmin sollte meine ich nach Möglichkeit fast alles können. Deswegen sollte der Zugang dazu möglichst nur mir bekannt sein.

 

Aktuell habe ich ein zweites Administratorkonto eingerichtet, das zwar alle Workstations, aber keine Server verwalten kann. Mit dem würde ich dann ggf. vor "Publikum" arbeiten, falls nötig. Die Verteilung der Rechte habe ich dabei über GPOs realisiert. Im Prinzip entscheidet dabei die Zugehörigkeit des Nutzers zu einer bestimmten Gruppe im AD. Siehe:

 

http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/

 

Ich habe mich nicht ganz daran gehalten, weil es bei mir z.B. für externe Dienstleister ziemlich schlecht wäre, wenn sie ihr lokales Konto, das ggf. noch Vollzugriff auf eine SQL-Datenbank hat, nicht mehr nutzen könnten.

 

Aus irgendeinem Grund kannte er damals auch schon "Willi" und "Dieter". Das fand ich ganz lustig. Es näher zu Erläutern wäre aber jetzt schon zuviel des Guten :D

bearbeitet von willy-goergen
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...