Jump to content

Der "erste" Domain-admin: ist das ein spezieller account?

NullDevice

Von NullDevice
in Active Directory Forum

Direkt zur Lösung Gelöst von Nobbyaushb,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

NullDevice Fellow

NullDevice   10

Geschrieben
Geschrieben

Hallo,

 

Unser MS consultant hat uns gesagt, dass der "erste" angelegte Domain-admin, der damals in der Urgeschichte unseres AD bei der Installation angelegt wurde, normalerweise ein "spezieller" Domainadmin ist.

Dieser kann umbenannt werden etc. Er soll aber nicht gelöscht werden.

Auch sein Exchange postfach soll bestehen bleiben, obwohl es nicht verwendet wird.

 

Wir haben zwar nicht vor ihn zu löschen. Aber ich fand es interessant und versuchte herauszukriegen warum das so ist. - Ich hab aber keine besonderen Infos dazu gefunden.

 

Ist dieser Erst-Admin der bei der Installation angelegt wird, tatsächlich ein spezieller user account, der sich von anderen Domainadmins irgendwie abhebt? Und nicht entfernt werden soll...  Oder ist das nur ein Mythos?

 

Lg, ND

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

naja, komisch erläutert, aber nicht ganz falsch.

 

Der "erste" Dom-Admin ist (ursprünglich) der lokale Administrator des ersten Domänencontrollers. Der hat den RID 500 (der SID endet also auf 500) und man kann ihn, wenn ich nicht ganz falsch liege, gar nicht löschen. (Wäre leicht in einem Lab zu testen.)

Ebenso ist er vor Account-Sperrung geschützt, wobei das aber seit Windows 2003 konfigurierbar ist.

Und schließlich ist er der vordefinierte Recovery Agent für EFS:

 

[Was muss ich tun, um den ersten DC zu deinstallieren? | faq-o-matic.net]
http://www.faq-o-matic.net/2003/08/18/was-muss-ich-tun-um-den-ersten-dc-zu-deinstallieren/

 

Das mit der Mailbox ist aber nicht richtig. Richtig ist eher, dass "der" Administrator keine Mailbox haben sollte. Wenn er eine hat, dann ist die manuell erzeugt, und natürlich kann man sie dann auch wieder löschen.

 

Gruß, Nils

testperson Grand Master

testperson   1.860

Geschrieben
Geschrieben

Hi,

 

hier gibt es auch noch was zum Lesen: https://technet.microsoft.com/en-us/library/cc700835.aspx

Unter anderem wird da auch bestägtig, dass Nils natürlich richtig liegt ;)

 

 

Every installation of Active Directory has an account named Administrator in each domain. This account cannot be deleted or locked out. In Windows Server 2003, the Administrator account can be disabled, but it is automatically re-enabled when you start the computer in Safe Mode.

 

Gruß

Jan

  • Beste Lösung
Nobbyaushb Grand Master

Nobbyaushb   1.581

Geschrieben
  • Beste Lösung
Geschrieben

Ergänzend: mit der Mailbox ist das seit Exchange 2016 anders, die PG empfiehlt mittlerweile sogar, dem Dom-Admin eine Mailbox zu geben.

 

Weiß nicht, ob es public dazu Informationen gibt, ich guck mal ob ich was finde, das ich auch schreiben darf.

 

;)

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...