Domain-Admin keine Rechte mehr auf dem DC

[screamager 2]

Moin zusammen!

 

Ich habe ein fieses Problem auf einem 2019-DC. Dieser ist auf Grund der Größe leider nicht Stand-Alone, sondern gleichzeitig auch Fileserver.

 

Kurz zur Situation:

- als wir irgendwann für den Kunden etwas ändern sollten, ist aufgefallen, dass der Domänen-Admin keinerlei Rechte mehr auf dem DC hat. Es funktioniert bsp. in der CMD noch nicht einmal ein "whoami" oder "ipconfig". Ein neu angelegter Domänen-Admin unterliegt auf dem DC den gleichen Problemen. Das Eventlog unter Sicherheit gibt leider nichts her

 

Auf dem parallel laufenden Exchange-Server ist alles wunderbar. Dort sind bisher keine Probleme dieser Art aufgetreten.

 

Hat jemand von Euch schon einmal so etwas gesehen und eventuelle einen Hinweis wo man suchen könnte? Oder gar eine Lösung

 

Grüße,

Rüdiger

[testperson 1.674]

Hi,

 

du kannst dich noch am DC / an den DCs anmelden und auch dort noch das AD administrieren? "Nur" in der Kommandozeile gibt es Probleme oder sind auch andere Verwaltungsprogramme / MMCs / Etc. betroffen?

Falls ein Domänen-Administrator sich bei euch an Clients / anderen Server anmelden kann, tritt da das gleiche Problem auf oder nur auf dem / den DCs?

 

Falls du noch in die "gpmc.msc" kommst, solltest du einmal prüfen, was da alles an GPOs auf dem / den DC(s) und den "Administrator" angewendet werden.

Gibt es ansonsten auf dem DC eine Anti-Virus-Irgendwas-Security, die ggfs. sowas verursachen kann?

 

Gruß

Jan

[screamager 2]

Ja, eine Anmeldung ist möglich.

 

Ich habe auch die Vermutung dass es irgendwie mit der cmd.exe zu tun hat.

Powershell geht - wenn das aber Funktionien wie sfc /scannow aufgerufen werden soll, bekomme ich wieder "Zugriff verweigert".

 

Die GPO's hatte ich mir auch schon angesehen - dort aber nichts gefunden was auf so ein Verhalten hindeuten würde.

 

Grüße,

Rüdiger

 

[Nobbyaushb 1.464]

Lokaler Administrator mit gleichem Kennwort?

[NorbertFe 2.027]

Auf dem dc?

[Nobbyaushb 1.464]

vor 39 Minuten schrieb NorbertFe:

Auf dem dc?

Oh, überlesen, sorry.

Dann fällt mir ein, lokales Profil kaputt...

[screamager 2]

vor einer Stunde schrieb Nobbyaushb:

Dann fällt mir ein, lokales Profil kaputt...

Dann hätte ich das Problem bei dem neu angelegten Domänen-Admin aber nicht.

 

Die Idee mit dem defekten Profil hatte ich auch schon

[daabm 1.348]

Hm - worauf wird denn da der Zugriff verweigert? Und ist UAC aktiviert oder nicht? Klingt jetzt sehr obskur, das Problem - aber ist vermutlich nur eine ganz obskure Kleinigkeit

[screamager 2]

Das in dem Screenshot oben beschreibt es leider recht gut

- die Kommandozeile bekomme ich auf - whoami oder gar ein ipconfig sind verboten

- öffne ich die Powershell darf ich kein ipconfig aber ein get-netipaddress ausführen

- ein sfc /scannow geht online natürlich auch nicht - offline mit einer 2019er DVD ohne Ergebnis

 

Ich bin da langsam etwas ratlos...

[tesso 375]

Könnte das von einem falsch konfiguriertem SRP oder Applocker kommen?

[screamager 2]

vor 11 Minuten schrieb tesso:

Könnte das von einem falsch konfiguriertem SRP oder Applocker kommen?

Nein, beides nicht konfiguriert - ist ja auch kein RDSH.

[tesso 375]

Hast du es kontrolliert? Was hat der RDSH damit zu tun?

 

Eine falsch verlinkte GPO würde da schon reichen.

[screamager 2]

vor 4 Minuten schrieb tesso:

Hast du es kontrolliert? Was hat der RDSH damit zu tun?

 

Eine falsch verlinkte GPO würde da schon reichen.

Habe ich ja bereits geschrieben - weder SRP noch Applocker sind konfiguriert. Und ja, ich habe es geprüft - zwischenzeitlich sogar mehrfach.

bearbeitet 24. September 2019 von screamager

[magheinz 110]

Ist das der einzige DC im Netz?

[screamager 2]

Gerade eben schrieb magheinz:

Ist das der einzige DC im Netz?

Ja.