falsches Computerkonto gelöscht

[Freek 10]

Hi,

mir ist da ein kleines Missgeschick passiert... Ich habe ausversehen ein Computerkonto gelöscht, das aber benötigt wird. Leider steht der Rechner 400km entfernt.

Dummerweise hat der lokale Admin kein Kennwort, sodass ich mich auch per RDP nicht anmelden kann.

Domänenfunktionsebene 2003 mit 2008R2 also kein AD-Papierkorb :(

Versucht habe ich jetzt mit Sysinternal adrestore das Konto wieder herzustellen. Zumindest sehe ich den Computer jetzt wieder, aber ein Anmelden ist trotzdem nicht möglich... "Die Sicherheitsdatenbank auf dem Server enthällt kein..."

Jemand noch ne kreative Idee? Client-OS ist Win7. Meinde Idee wäre sonst nur per Telefon in Verbindung mit dem User... würde ich aber gerne vermeiden.

Gruß

Thomas

[nawas 32]

Kannst du noch einen alten Wiederherstellungspunkt aufrufen und somit den PC zurücksetzen?

[Freek 10]

naja... was heißt Wiederherstellungspunkt? Vom Client? Ich habe das Konto ja im AD gelöscht. Jetzt könnte ich noch vom Backup restoren... aber dazu muss ich mich auch ins Auto setzten und lohnt den Aufwand auch nicht ;)

bearbeitet 26. November 2012 von Freek

[Freek 10]

so gerade eine kleine Teamviewer Session hinter mir... Es kommt noch besser. Der lokale Admin, der bei der Installation angelegt wurde, hat keine Adminrechte mehr. So geht mein Plan mit einmal aus der Domäne raus und wieder rein auch nicht mehr auf.

Jetzt würde mir nur noch der Abgesicherte Modus einfallen, in der Hoffnung das der lokale "Administrator" noch irgendwie funktioniert. Ich werde berichten...

[NeMiX 76]

Tipp um Kennwörter zu umgehen von Dr.Melzer gelöscht.

[Robi-Wan 10]

Hallo,

 

hast Du ein Backup des DCs? Daraus könnte das entsprechende AD-Konto wiederherstellen.

 

Grüße,

Robert

[Freek 10]

hast Du ein Backup des DCs? Daraus könnte das entsprechende AD-Konto wiederherstellen.

Ja, habe ich. Das werde ich jetzt wohl auch tun müssen. Denn der Administrator auf dem Client ist auch im Abgesicherten Modus nicht aktiv - schade eigentlich.

Da habe ich mir echt ein Eigentor geschossen ;)

[samsam 14]

Moin,

 

wenn du Computer account restore machst, by default die computer password speichert nicht in tombstoned object (also tombstoned object enthält nicht das Password).

 

Bitte lies diese links (für deine probleme erste link, zweite link additonal info):

 

How to Restore Deleted Machine accounts\Active Directory ADRESTORE\Unicode-pwd\searchFlag

 

How to save additional Active Directory attributes and the user password in tombstone objects

 

MFG

[Sunny61 772]

Denn der Administrator auf dem Client ist auch im Abgesicherten Modus nicht aktiv - schade eigentlich.

Da habe ich mir echt ein Eigentor geschossen ;)

 

Dann erstell dir gleich ein passendes GPO. Damit setzt Du den lokalen Admin bei W7 aktiv und vergibst auch regelmässig ein neues Passwort. ;)

 

Und diese Vorgehensweise kann bestimmt auch nicht schaden: faq-o-matic.net » “Objekt vor zufälligem Löschen schützen” per Skript setzen

[Freek 10]

Vielen Dank für die Antworten. Ich werde mal heute Abend ein bisschen mit adrestore probieren und Feedback geben. Jetzt arbeitet der User erst einmal mit dem lokalen Benutzer und verbindet sich mit einem WTS...

[NilsK 2.778]

Moin,

 

adrestore wird nicht klappen, weil im Tombstone das Kennwort fehlt. Es müsste schon ein Authoritative Restore sein.

 

Gruß, Nils

[Stephan Betken 43]

Ohne Verbindung zur Domäne sollte an dem Computer eine Anmeldung mit zwischengespeicherten Anmeldeinformationen möglich sein! Wie ist der Computer denn mit der Domäne verbunden?

[Freek 10]

Wie ist der Computer denn mit der Domäne verbunden?

Per VPN... wenn ich den Tunnel deaktiviere komme ich aber auch per rdp nicht mehr drauf :( Aber ich könnte die IPs der DCs Firewalltechnisch für den Rechner blocken... vielleicht funzt das ja.

[Stephan Betken 43]

VPN über Site-to-Site oder Client-Einwahl? Split-Tunnel?

 

Deine Lösung sollte eigentlich funktionieren!

 

Ein anderer möglicher Ansatz: Wenn du Teamviewer o. Ä. temporär nutzen kannst, dann könntest du eine Teamviewer-Verbindung mit dem Benutzer herstellen und bei deaktiviertem VPN-Tunnel über Benutzer wechseln einen zuletzt angemeldeten Administrator anmelden (wenn die Anmeldeinformationen noch zwischengespeichert sind) und anschließend mit aktiviertem VPN-Tunnel den Client erneut der Domäne hinzufügen. Funktioniert aber nur, wenn nicht alles über den VPN-Tunnel läuft.

[Freek 10]

VPN über Site-to-Site oder Client-Einwahl? Split-Tunnel?

Site-to-Site und Split-Tunnel.

Gute Idee... dann sollte das per Teamviewer auch funzen. Ich probiere das mal aus... in der Hoffnung, dass die Anmeldung funzt.

Oh man... so viel Aufwand für einen Rechner :D