Domain-Admin Rechte zu niedrig auf Client

[Joetempes 0]

Hallo liebe Community,

 

ich habe eine Windows Server 2012 R2 Domaine umbenannt, der Grund war eine Umfirmierung.

Nach diesem Tutorial bin ich vorgegangen:

 

https://blog.doenselmann.com/windows-domain-unter-server-2012-r2-umbenennen/

 

Hat auch alles soweit funktioniert, alles läuft, alle Clients befinden sich in der Domaine und auf dem DC wird der neue Name auch korrekt angezeigt.

 

Eine Sache ist schief gelaufen, der Domain-Administrator hat jetzt auf den Clients keine Admin-Rechte mehr.

D.h. als normalter Benutzer "Ausführen als Administrator..." kommt zwar die Abfrage nach User + Passwort, wenn ich dann aber hier die Zugangsdaten des Domain-Administrators eingeben und bestätige, meldet Windows die Rechte seien nicht hoch genug. Ein Alptraum...

 

Meine Vermutung:

 

Zwischendurch sind mir die bestehenden Gruppenrichtlinien verloren gegangen, warum auch immer.

Also habe ich per default neue Gruppenrichtlinien erstellt. Hat nichts gebracht. Irgendwie wird die Information, wer denn Admin ist, nicht mehr an die Clients publiziert.

 

Habt Ihr ein paar Ideen / Tips für mich?

 

Mir ist mittlerweile klar, das, ein generelles paralleles Aufsetzen, eines neuen DCs vielleicht besser gewesen wäre, aber die Arbeit würde ich mir gerne sparen.

 

Danke & Grüße

J.

 

[testperson 1.728]

Hi,

 

erstelle einen neuen User (z.B. ClientAdmin), eine neue Gruppe (z.B. Client-Admins) und erstelle ein GPO welches die Gruppe Client-Admins zu den lokalen Administratoren an den Client-Computern hinzufügt. Theoretisch kannst du das natürlich auch mit der Gruppe Domänen Administratoren machen.

 

Gruß

Jan

[zahni 558]

Eventuell hätte man darauf auch verzichten können. Wen interessiert es, wie die Domain intern heißt...

[Sunny61 809]

Es gibt nur einen DC? Ab 5 Usern solltest Du IMO einen zweiten DC dazu stellen. Muss ja keine große Maschine sein, reicht ein Client PC, aber Du hast einen zweiten DC.

 

Bezüglich Gruppenrichtlinien hilft das Lesen und umsetzen dieser Artikel:

https://www.gruppenrichtlinien.de/de/artikel/zentrale-vergabe-lokaler-berechtigungen/

https://www.gruppenrichtlinien.de/de/artikel/verwaltung-der-lokalen-administratoren/

[lefg 276]

Moin

 

Ich vermisse in diesem Thread das Wort Ereignisprotokoll.

[mba 133]

Ereignisprotokoll

 

Besser so? 

[NilsK 2.968]

Moin,

 

vor 4 Stunden schrieb zahni:

Eventuell hätte man darauf auch verzichten können. Wen interessiert es, wie die Domain intern heißt...

 

oh, ich kenne Kunden, die geben sechsstellige Beträge aus, nur um den internen Domänennamen zu ändern. Daher wundert mich auf dem Gebiet nichts mehr. Ist ja auch nicht so, dass man als Dienstleister was dagegen hätte.

 

Gruß, Nils

[MurdocX 957]

Ein neues Domain-Suffix hätte es vermutlich auch getan  

[NorbertFe 2.089]

Das möchten manche Kunden trotzdem nicht. Ich kenne die Diskussion ähnlich wie nils. ;)

[Tektronix 21]

Moin, Moin,

irre ich mich, oder solltest Du an dieser Stelle nicht das Passwort des lokalen Administrators eingeben?

[NilsK 2.968]

vor 23 Stunden schrieb Tektronix:

Moin, Moin,

irre ich mich, oder solltest Du an dieser Stelle nicht das Passwort des lokalen Administrators eingeben?

Moin,

 

bei der UAC-Abfrage im OTS-Modus kann man "irgendeinen" User angeben, der über lokale Adminrechte verfügt. Das kann natürlich auch ein Dom-Admin sein - wenn das auch schlechtes Design der Umgebung wäre.

 

Der TO sollte jedenfalls der Ursache auf den Grund gehen. Dazu wäre es hilfreich, stichprobenartig auf einer Reihe von Clients auszuwerten, welche Mitglieder die lokale Gruppe "Administratoren" denn hat. Es klingt fast so, als wären die Domänen-Admins dort nicht Mitglied. (BTW, war es nicht so, dass man beim rendom die Clients mehrfach neu starten muss? Ist das hier geschehen?)

 

Gruß, Nils

 

[Tektronix 21]

Hallo,

ich würde auch bei der lokalen Gruppe anfangen.

Nachsehen ob die Namen in der Gruppe richtig aufgelöst werden.

Was hast Du für einen Namen verwendet? Domainname\Administrator auf einem Client ist nicht DomänenAdmin, sondern lokaler Admin. Auf dem DC selbst in der Regel schon.

[MurdocX 957]

vor 49 Minuten schrieb Tektronix:

Was hast Du für einen Namen verwendet? Domainname\Administrator auf einem Client ist nicht DomänenAdmin, sondern lokaler Admin. 

Das stimmt so nicht.

 

Anmeldung:

• Domäne\Administrator -> Domänen-Admin ( Falls nicht umbenannt )
• ".\Administrator" oder "Computername\Administrator" -> Lokalen Admin ( Falls nicht umbenannt )

[Tektronix 21]

Stimmt.

 

[NilsK 2.968]

Moin,

 

Am 20.2.2018 um 14:19 schrieb MurdocX:

Das stimmt so nicht.

 

Anmeldung:

• Domäne\Administrator -> Domänen-Admin ( Falls nicht umbenannt )
• ".\Administrator" oder "Computername\Administrator" -> Lokalen Admin ( Falls nicht umbenannt )

 

korrekt - was Tektronix vermutlich meinte: Wenn man nur "Administrator" ohne Präfix angibt, dann versucht Windows, das lokale Konto dieses Namens aus der Domäne anzumelden. Meint man also den lokalen Domänen-Administrator, dann muss man den lokalen Computer oder den Punkt Domänennamen als Präfix davorsetzen.

 

Das ist erst relevant, seit der Windows-Anmeldedialog kein Dropdown mehr für die Domäne hat. Vorher hat man genauer gesehen, wo man unterwegs ist.

 

Gruß, Nils

bearbeitet 22. Februar 2018 von NilsK
verwechselt, danke an NorbertFe für den Hinweis. Nun korrigiert. :)