5232joe 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 ich habe ein recht grosses problem, verursacht durch eigene dummheit in unserer w2k domain habe ich in der "sicherheitsrichtlinie für domänencontroller" dummerweise folgendes definiert: "lokale anmeldung verweigern": jeder nun kann ich mich nicht mehr am domänencontroller anmelden, und ich finde keine möglichkeit, wie ich diese einstellung von einer workstation aus wieder verändern kann. hier nun meine frage im klartext: wie kann ich die "sicherheitsrichtilinie für domänencontroller" von einer workstation aus bearbeiten. hilfe wird sehr freundlich erbeten (und möglichst rasch erhofft) lg Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Ich hoffe schwer, es existiert ein Backup!! Eine Möglichkeit wäre, in den Verzeichnisdienst-Wiederherstellungsmodus (F8) zu booten. Dann müsstes du im Prinzip den Systemstaus wiederherstellen. Gruss Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 schluck. sag bitte nicht, dass das die einzige möglichkeit ist! es muss doch möglich sein, diese einstellung von aussen zu verändern. ich hab ja immer noch administrator-recht. also ich darf die einstellung ja ändern. die frage ist nur wie ich das von aussen anstelle. bitte-bitte. hat irgendjemand eine idee? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Wieso musst du dich eigentlich anmelden können? Du kannst auch über MMC den Server administrieren :shock: ;) ...kleiner Scherz!! Was anderes fällt mir jetzt nicht ein, ausser, du schnappst dir einen alten PC (oder Server, falls vorhanden), und richtest einen zweiten DC ein. Anschliessend transferierst du alle Rolen (wenn nötig), und nimmst den anderen offline zum späteren Neuinstallieren/Promoten. Ist zwar etwas arbeit, würde aber klappen. P.S.: Beim offline Nehmen, musst du noch mit ntdsutil.exe ein "metadata cleanup" machen, da sonst der Dc im AD hängen bleibt. Einfach im Board suchen.... :wink2: Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 schluck, ist ja fast noch schlimmer! ausserdem würde ja die richtlinie auf einem anderen domaincontroller genauso wirken, oder nicht? gibt es nicht irgend ein werkzeug mit dem man diese richtlinie von aussen bearbeiten kann? ein mmc-snapin z.b. mit dem zeug aus der adminpak.msi kann man gott und die welt manipolieren, aber eben genau diese richtlinie nicht. gibt es vielleicht irgend ein 3rd party tool? HHIILLFFEE!!! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Hoppla, stimmt, das ist ja die Selbe!! Ohne Backup, das wirt tuff!! Geh 'mal in den Verzeichnisdienst...irgedwas, und versuche das hier, weis aber nicht, ob das in diesem Modus auch anwendbar ist. http://www.mcseboard.de/showthread.php?postid=165311#post165311 Gruss P.S.: Du musst das tool von blubs letztem post nehemen; ist auch remote, von einem W2K Pro Rchner anwendbar!!! Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 nönö, die tools sind für die gruppenrichtlinien, nicht für die sicherheitsrichtlinien. das hilft mir leider auch nichts. aber mir ist jetzt noch eine andere idee gekommen. ich hab remote den telnet-server dienst gestartet und hab mich auch schon angemeldet. somit bin ich ja sozusagen "lokal" auf dem rechner unterwegs. gibts vielleicht irgendeine möglichkeit das problem von der kommandozeile aus aus der welt zu schaffen? wo wird denn die information eigentlich gespeichert? registry? oder gar eine datei? mir wärs egal die gesammte "sicherheitsrichtlinie für domänencontroller" mit einer blanko-version zu überschreiben, weil ich vorher eh noch nie was geändert. nur einmal, dafür aber mit deutlich sichtbarem resultat! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Lokale Sicherheitsrichtlinien sind ein Bestandtteil von GPO's, aber der Punkt hat was. Es könnte sein (habe es noch nie nachgestellt), dass die "default domain controller Policy" sich zwar auf die lokale Sicherheitsrichtlinie eines jeden Controllers auswirkt, umgekehrt aber nicht. In diesem Fall musst wirklich nur einen 2. DC raufstufen!! P.S.: Wieso Telnet? Vergiss Telnet, das hilft dir auch nicht weiter... Zitieren Link zu diesem Kommentar
Holgi T 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Installiere die VerwaltungsTools (adminpack.msi) auf einer anderen W2k-Kiste. Die liegt auf dem Server unter system32 oder auf der Server CD. Damit müsste es eigentlich gehen. Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 ich befürchte fast nicht. ich hab schon in anderen domänen "domänen-controller-übergreifende" änderungen gemacht. das ist (in diesem falle leider" der unterschied zwischen "lokaler sicherheitsrichtlinie" und "sicherheitsrichtlinie für domänencontroller" leider. schade. noch irgendwelche anderen ideen? ich hab schon über terminal-dienste nachgedacht, aber das hätte auch keinen sinn, weil ist ja sozusagen auch eine "lokale" anmeldung... und telnet-server hat schon einen sinn, weil das recreateDefPol.exe-tool muss man nämlich lokal ausführen. und das kann ich momentan nur über das telnet-fenster. bringt aber nix, weil es sich da eben um eine andere policy handelt. Zitieren Link zu diesem Kommentar
jvogler 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Zustimm! Du kannst Dich zwar nicht mehr am DC lokal anmelden, aber von jedem Domainmember mit Domämen Admin Rechten. Jetzt nur noch die Admi Tools drauf und dann kannst Du doch in aller Ruhe die Domain Controllers Policy bearbeiten?!? Jochen Zitieren Link zu diesem Kommentar
5232joe 10 Geschrieben 18. August 2004 Autor Melden Teilen Geschrieben 18. August 2004 @holgi t: die idee hatten wir schon. da ist leider nirgens ein werkzeug zu finden mitdem man die "sicherheitsrichtlinie für domänencontroller" verändern kann. *heul* Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 @jvogler Geht leider nicht, denn Admin Pack bringt kein Snap-In für die "lokale Sicherheits ...controller". @5232joe Hast du das schon an einem anderen Controller versucht (anzumelden)?? P.S.: Ich hab' das 'mal bei mir gecheckt. Die "default domain controllers policy" hat unter Sicherheit exact die selben Einträge (welche nicht "default" sind), wie wenn ich unter "Domain Controller Security Policy" Snap-in die Sache anschaue!! Die Frage ist nur, wirt das auf alle Controller übertragen? Zitieren Link zu diesem Kommentar
Holgi T 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 In der ADS-Verwaltung recht Maus auf OU der DCs und Eigenschaften. So ist es bei mir. Allerdings W2K3. Kann sein, dass es wegen den schon genannten fehlenden Snap in bei 2K nicht geht. Zitieren Link zu diesem Kommentar
jvogler 10 Geschrieben 18. August 2004 Melden Teilen Geschrieben 18. August 2004 Und was ist mit "Default Domain Controllers Policy - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Lokale Anmeldung verweigern" (von meinem XP Admin PC aufgerufen) ??? Hier wurden doch auch die Einstellungen vorgenommen worden, oder bin ich jetzt ganz auf´m Holzdampfer? Jochen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.