Zum Inhalt wechseln


Foto

Der "erste" Domain-admin: ist das ein spezieller account?


  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1 NullDevice

NullDevice

    Junior Member

  • 84 Beiträge

 

Geschrieben 24. Februar 2017 - 16:10

Hallo,

 

Unser MS consultant hat uns gesagt, dass der "erste" angelegte Domain-admin, der damals in der Urgeschichte unseres AD bei der Installation angelegt wurde, normalerweise ein "spezieller" Domainadmin ist.

Dieser kann umbenannt werden etc. Er soll aber nicht gelöscht werden.

Auch sein Exchange postfach soll bestehen bleiben, obwohl es nicht verwendet wird.

 

Wir haben zwar nicht vor ihn zu löschen. Aber ich fand es interessant und versuchte herauszukriegen warum das so ist. - Ich hab aber keine besonderen Infos dazu gefunden.

 

Ist dieser Erst-Admin der bei der Installation angelegt wird, tatsächlich ein spezieller user account, der sich von anderen Domainadmins irgendwie abhebt? Und nicht entfernt werden soll...  Oder ist das nur ein Mythos?

 

Lg, ND



#2 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 24. Februar 2017 - 17:35

Moin,

 

naja, komisch erläutert, aber nicht ganz falsch.

 

Der "erste" Dom-Admin ist (ursprünglich) der lokale Administrator des ersten Domänencontrollers. Der hat den RID 500 (der SID endet also auf 500) und man kann ihn, wenn ich nicht ganz falsch liege, gar nicht löschen. (Wäre leicht in einem Lab zu testen.)

Ebenso ist er vor Account-Sperrung geschützt, wobei das aber seit Windows 2003 konfigurierbar ist.

Und schließlich ist er der vordefinierte Recovery Agent für EFS:

 

[Was muss ich tun, um den ersten DC zu deinstallieren? | faq-o-matic.net]
http://www.faq-o-mat...deinstallieren/

 

Das mit der Mailbox ist aber nicht richtig. Richtig ist eher, dass "der" Administrator keine Mailbox haben sollte. Wenn er eine hat, dann ist die manuell erzeugt, und natürlich kann man sie dann auch wieder löschen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 testperson

testperson

    Board Veteran

  • 4.512 Beiträge

 

Geschrieben 24. Februar 2017 - 18:25

Hi,

 

hier gibt es auch noch was zum Lesen: https://technet.micr...y/cc700835.aspx

Unter anderem wird da auch bestägtig, dass Nils natürlich richtig liegt ;)

 

 

Every installation of Active Directory has an account named Administrator in each domain. This account cannot be deleted or locked out. In Windows Server 2003, the Administrator account can be disabled, but it is automatically re-enabled when you start the computer in Safe Mode.

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#4 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 24. Februar 2017 - 21:24   Lösung

Ergänzend: mit der Mailbox ist das seit Exchange 2016 anders, die PG empfiehlt mittlerweile sogar, dem Dom-Admin eine Mailbox zu geben.

 

Weiß nicht, ob es public dazu Informationen gibt, ich guck mal ob ich was finde, das ich auch schreiben darf.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#5 NullDevice

NullDevice

    Junior Member

  • 84 Beiträge

 

Geschrieben 27. Februar 2017 - 21:27

Ok, Danke für die aufschlussreichen Antworten !

 

lG, ND.