it-chris 10 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Einen wunderschönen guten Abend. Mein Problem ist, dass ich einen Benutzer aus dem AD gelöscht habe und dieser sich trotzdem noch in der Domäne anmelden kann. Bei manchen Clients funktioniert es und bei anderen wiederum nicht. Für mich wäre da logisch, das es noch ein lokales Profil auf den einzelnen Rechner geben musste. Bei manchen war es auch so, also habe ich diese gelöscht und nocheinmal probiert mich anzumelden, und was war, konnte mich wieder anmelden. Bei anderen PC´s lag von vornherein kein lokales Profil vor und ich konnte mich auch mit diesem User anmelden. Ich habe aber mitbekommen, dass dieser hartnäckige User nur noch lokale Rechte und keine Domänenrechte mehr hat! Also ich bin komplett ratlos, weil ich mir denke, dass kann nicht gehen! Ich hoffe Ihr habt einen Rat. Danke schonmal im vorraus. Server: Windows 2003 Server Clients: Windows XP + SP2 Mit freundlichen Grüßen Der verzweifelte IT-Chris Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 6. April 2006 Melden Teilen Geschrieben 6. April 2006 Hallo und Willkommen im Board Hast du mehrere DCs oder gar Standorte? grizzly999 Zitieren Link zu diesem Kommentar
it-chris 10 Geschrieben 7. April 2006 Autor Melden Teilen Geschrieben 7. April 2006 Hallo und Willkommen im Board Hast du mehrere DCs oder gar Standorte? grizzly999 Hallo grizzly999 danke für die schnelle Antwort. Zu deiner Frage muss ich sagen ja und nein, habe 2 DC im Netzwerk laufen, aber jeder hat einen anderen VLan und diese sehen sich nicht untereinander. Also könnte man sagen er ist alleine im Netz. Deswegen finde ich es ja so komisch. Aber da der User ja keine Domänenrechte mehr hat, nur noch lokale, kann ich mir nur vorstellen, dass sie noch irgendwo lokal gespeichert sind. Aber wie oben, schon besprochen IT-Chris Zitieren Link zu diesem Kommentar
Gulp 263 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Stellt sich jetzt die Frage: An welchem DC meldet sich der gelöschte User an? .. noch viel wichtiger aber: Wie zur Hölle sollen sich die DC's replizieren? Grüsse Gulp Zitieren Link zu diesem Kommentar
it-chris 10 Geschrieben 7. April 2006 Autor Melden Teilen Geschrieben 7. April 2006 Stellt sich jetzt die Frage: An welchem DC meldet sich der gelöschte User an? .. noch viel wichtiger aber: Wie zur Hölle sollen sich die DC's replizieren? Grüsse Gulp Moin Gulp, dieser User kann sich nicht an einem DC anmelden, da ich ihn ja gelöscht habe. Aber irgendwo muss er sich ja anmelden, da es ja noch geht. Ich glaube aber auch nicht, dass er sich an eine Domäne anmeldet, da er ja keine Domänenrechte hat. Die DC´s sind unabhängig voneinander und sollen sich nicht replizieren, diese sind zwar in einem Netzwerk aber durch VLan getrennt. Also hat es auch nichts, mit dem anderen DC zu tuen. Mit freundlichen Grüßem IT-Chris Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Moin Gulp, dieser User kann sich nicht an einem DC anmelden, da ich ihn ja gelöscht habe. Aber irgendwo muss er sich ja anmelden, da es ja noch geht. Ich glaube aber auch nicht, dass er sich an eine Domäne anmeldet, da er ja keine Domänenrechte hat. Die DC´s sind unabhängig voneinander und sollen sich nicht replizieren, diese sind zwar in einem Netzwerk aber durch VLan getrennt. Also hat es auch nichts, mit dem anderen DC zu tuen. Mit freundlichen Grüßem IT-Chris Domänen-User melden sich immer über einen DC an... Handelt es sich um eine oder 2 Domains? Wenn 2, in einem oder 2 Forests? Gibts Vertrauensstellungen`? Vielleicht könntest Du mal ein paar mehr Infos geben... Christoph Zitieren Link zu diesem Kommentar
Gulp 263 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Moin Gulp, dieser User kann sich nicht an einem DC anmelden, da ich ihn ja gelöscht habe. Aber irgendwo muss er sich ja anmelden, da es ja noch geht. Ich glaube aber auch nicht, dass er sich an eine Domäne anmeldet, da er ja keine Domänenrechte hat. .... snip Mit freundlichen Grüßem IT-Chris Du "glaubst", dass er sich nicht an einem DC anmeldet, weisst es aber nicht, deswegen frage ich ja nach, an welchem DC er sich anmeldet (das liesse sich ja checken). Nach Deinen Infos handelt es sich um eine Domäne mit 2 sich nicht replizierenden DC's. Somit besteht die Möglichkeit, dass der User zwar im AD auf DC1 gelöscht, aber noch auf dem DC2 existiert. Dies wäre eine mögliche Erklärung für Dein Problem. Ebenso besteht die Möglichkeit, dass es den User auch lokal auf der Workstation gibt. Schon geprüft in der lokalen Benutzerverwaltung? Grüsse Gulp Zitieren Link zu diesem Kommentar
Thanquol 10 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Windows speichert doch die Anmeldung zwischen! So dass es auch ohne Verbindung zu einem DC das Kennwort als richtig verifiziert! Und erst nach 3-4 Versuchen (gibt eine Gruppenrichtlinie dazu) lässt XP keine Anmeldung mehr zu bis es eine Verbindung zum DC hat? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Mein Problem ist, dass ich einen Benutzer aus dem AD gelöscht habe ... Für mich wäre da logisch, das es noch ein lokales Profil auf den einzelnen Rechner geben musste. Hallo Chris von mir ein Willkommen an Board :) Du solltest mal unterscheiden zwischen Benutzerkonto und benutzerprofil. Im AD werden unter anderem die Benutzerkonten der User in der Domäne geführt. Ein Benutzerprofil ist ein satz von Verzeichnissen und Dateien. Eine sehr wichtige Datei für die Existenz und Funktionsfähigkeit des Benutzerprofils ist dei NTUser.dat. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Die DC´s sind unabhängig voneinander und sollen sich nicht replizieren, Handelt es sich tatsächlich um verschiedene Domänen? Sie, die DCs wurden getrennt voneinander angelegt, installiert, konfiguriert? Sie haben verschiedene Domänennamen hinsichtlich NetBIOS und FQDN? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Die DC´s sind unabhängig voneinander und sollen sich nicht replizieren, diese sind zwar in einem Netzwerk aber durch VLan getrennt. Also hat es auch nichts, mit dem anderen DC zu tuen.Wie wurde denn dieses VLAN realisiert? Zitieren Link zu diesem Kommentar
wirtnix 10 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 es gibt doch diesen trick, dass man das netzwerkkabel zeiht, sich mit dem altbekannten passwort anmeldet und windows einen erstmal mangels netzwerkverbindung "zulässt" danach steckt man das netzwerkkabel wieder und hat den angemeldetstatus, obwohl der user evtl. am DC gelöscht ist oder das passwort geändert wurde. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 es gibt doch diesen trick, dass man das netzwerkkabel zeiht, sich mit dem altbekannten passwort anmeldet und windows einen erstmal mangels netzwerkverbindung "zulässt" danach steckt man das netzwerkkabel wieder und hat den angemeldetstatus, obwohl der user evtl. am DC gelöscht ist oder das passwort geändert wurde. Dann habe ich eine lokale Anmeldung mithilfe der cached credentials geschafft, aber keinerlei authorisierten Zugriff auf Netzwerkresourcen. Und das Anmelden mit den cached credentials lässt sich einfach abschalten, entweder per GPO oder indem man das lokale Profil weglöscht. Aber das alles ist ja hier nicht der Fall. Es wird so sein, wie schon angesprochen, wenn die DCs sich nicht replizieren, dass das Konto nur auf einem DC gelöscht ist. Allerdings bleibt die Frage, wenn die sich nicht replizieren, weil sie nicht können (und der Himmel und der Admin allein wissen, wieso das so konfiguriert ist :rolleyes: ), welchen DC und warum erhält der Client zur Anmeldebestätigung grizzly999 grizzly999 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. April 2006 Melden Teilen Geschrieben 7. April 2006 Für eine Replikatiom müsste es sich ja um zwei Dcs einer Domäne handeln. Kann es sein, es handelte sich um zwei ehemalige DCs einer Domäne, diese Domäne sollte durch ein VLAN aufgetrennt sein in zwei Domänen, und dieses ist misslungen? Zitieren Link zu diesem Kommentar
it-chris 10 Geschrieben 10. April 2006 Autor Melden Teilen Geschrieben 10. April 2006 So, da bin ich auch mal wieder!!! Viel im Stress ist, nicht mein einzigstes Problem!!! :D Habe noch mehr Netzwerke zu betreuen, aber in anderen Firmen. Also, so viele Fragen auf einmal, na da will ich mal loslegen. Danke erst einmal für die rege Anteilnahme! Nocheinmal: - Habe Konto aus dem AD und das Profil vom Server gelöscht. - Habe Konto + Profil von den Clients gelöscht (Wo das Konto + Profil nur bei manchen hinterlegt war). - Der Benutzer wurde vor 5 Wochen erstellt und vor 2 Wochen gelöscht. - Habe zwei DC´s, die aber durch VLan getrennt sind. Sie können sich nicht sehen, wurden neu installiert, nach dem VLan eingerichtet war. Diese beiden Server sollen und können nicht miteinander kommunizieren, da sie in verschiedenen VLan sind, in verschieden IP-Adressen liegen und verschiedene Funktionen mit jeweils anderen Clients erfüllen sollen ! Es ist gewollt das sie sich nicht sehen, da es ja um zwei verschiedene Netze geht, die ihre eigenen Clients haben!! Es hat nichts mit dem zweiten DC zu tuen. Sie sind im gleichen Physikalischen Netzwerk, aber halt durch VLan so getrennt, als ob sie in zwei unabhängigen physikalischen Netzwerken liegen. Vergesst einfach den zweiten DC, es kann nichts mit ihm zu tuen haben. @lefg: - wegen den Benutzerkonten und Profil, das weiß ich, habe auch beides gelöscht auch den ntuser.dat - es sind, wie oben beschrieben, zwei unabhängige, verschiedene auch getrennt voneinander installierte und konfigurierte DC´s. Haben verschiedene Domänennamen. Aber auch wenn sie die gleichen hätten, würde es egal sein, da sie ja durch VLan getrennt sind. - VLan wurde durch 30 x 3 Com 4400 Switchen mit LWL Modulen und zwei 3 Com 4070 LWL Switche verbunden und konfiguriert @grizzly999: - In dem Netz (VLan), um das es geht, läuft nur der eine DC. Der andere hat mit dem Netz nichts zu tuen, er hat ein eigenes Netz und hat andere eigene Clients. Sie sind nicht ohysikalisch getrennt aber durch VLan und das ist theoretisch das gleiche. Ich hoffe Ihr habt mein Problem verstanden, ansonsten versuche ich es nocheinmal, und ann direkt auf eure Fragen einzeln. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.