NullDevice 10 Geschrieben 24. Februar 2017 Melden Teilen Geschrieben 24. Februar 2017 Hallo, Unser MS consultant hat uns gesagt, dass der "erste" angelegte Domain-admin, der damals in der Urgeschichte unseres AD bei der Installation angelegt wurde, normalerweise ein "spezieller" Domainadmin ist. Dieser kann umbenannt werden etc. Er soll aber nicht gelöscht werden. Auch sein Exchange postfach soll bestehen bleiben, obwohl es nicht verwendet wird. Wir haben zwar nicht vor ihn zu löschen. Aber ich fand es interessant und versuchte herauszukriegen warum das so ist. - Ich hab aber keine besonderen Infos dazu gefunden. Ist dieser Erst-Admin der bei der Installation angelegt wird, tatsächlich ein spezieller user account, der sich von anderen Domainadmins irgendwie abhebt? Und nicht entfernt werden soll... Oder ist das nur ein Mythos? Lg, ND Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 24. Februar 2017 Melden Teilen Geschrieben 24. Februar 2017 Moin, naja, komisch erläutert, aber nicht ganz falsch. Der "erste" Dom-Admin ist (ursprünglich) der lokale Administrator des ersten Domänencontrollers. Der hat den RID 500 (der SID endet also auf 500) und man kann ihn, wenn ich nicht ganz falsch liege, gar nicht löschen. (Wäre leicht in einem Lab zu testen.) Ebenso ist er vor Account-Sperrung geschützt, wobei das aber seit Windows 2003 konfigurierbar ist. Und schließlich ist er der vordefinierte Recovery Agent für EFS: [Was muss ich tun, um den ersten DC zu deinstallieren? | faq-o-matic.net]http://www.faq-o-matic.net/2003/08/18/was-muss-ich-tun-um-den-ersten-dc-zu-deinstallieren/ Das mit der Mailbox ist aber nicht richtig. Richtig ist eher, dass "der" Administrator keine Mailbox haben sollte. Wenn er eine hat, dann ist die manuell erzeugt, und natürlich kann man sie dann auch wieder löschen. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 24. Februar 2017 Melden Teilen Geschrieben 24. Februar 2017 Hi, hier gibt es auch noch was zum Lesen: https://technet.microsoft.com/en-us/library/cc700835.aspx Unter anderem wird da auch bestägtig, dass Nils natürlich richtig liegt ;) Every installation of Active Directory has an account named Administrator in each domain. This account cannot be deleted or locked out. In Windows Server 2003, the Administrator account can be disabled, but it is automatically re-enabled when you start the computer in Safe Mode. Gruß Jan Zitieren Link zu diesem Kommentar
Beste Lösung Nobbyaushb 1.475 Geschrieben 24. Februar 2017 Beste Lösung Melden Teilen Geschrieben 24. Februar 2017 Ergänzend: mit der Mailbox ist das seit Exchange 2016 anders, die PG empfiehlt mittlerweile sogar, dem Dom-Admin eine Mailbox zu geben. Weiß nicht, ob es public dazu Informationen gibt, ich guck mal ob ich was finde, das ich auch schreiben darf. ;) Zitieren Link zu diesem Kommentar
NullDevice 10 Geschrieben 27. Februar 2017 Autor Melden Teilen Geschrieben 27. Februar 2017 Ok, Danke für die aufschlussreichen Antworten ! lG, ND. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.