Jump to content

Domain-Admin Rechte zu niedrig auf Client


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Community,

 

ich habe eine Windows Server 2012 R2 Domaine umbenannt, der Grund war eine Umfirmierung.

Nach diesem Tutorial bin ich vorgegangen:

 

https://blog.doenselmann.com/windows-domain-unter-server-2012-r2-umbenennen/

 

Hat auch alles soweit funktioniert, alles läuft, alle Clients befinden sich in der Domaine und auf dem DC wird der neue Name auch korrekt angezeigt.

 

Eine Sache ist schief gelaufen, der Domain-Administrator hat jetzt auf den Clients keine Admin-Rechte mehr.

D.h. als normalter Benutzer "Ausführen als Administrator..." kommt zwar die Abfrage nach User + Passwort, wenn ich dann aber hier die Zugangsdaten des Domain-Administrators eingeben und bestätige, meldet Windows die Rechte seien nicht hoch genug. Ein Alptraum...

 

Meine Vermutung:

 

Zwischendurch sind mir die bestehenden Gruppenrichtlinien verloren gegangen, warum auch immer.

Also habe ich per default neue Gruppenrichtlinien erstellt. Hat nichts gebracht. Irgendwie wird die Information, wer denn Admin ist, nicht mehr an die Clients publiziert.

 

Habt Ihr ein paar Ideen / Tips für mich?

 

Mir ist mittlerweile klar, das, ein generelles paralleles Aufsetzen, eines neuen DCs vielleicht besser gewesen wäre, aber die Arbeit würde ich mir gerne sparen.

 

Danke & Grüße

J.

 

Link zu diesem Kommentar

Es gibt nur einen DC? Ab 5 Usern solltest Du IMO einen zweiten DC dazu stellen. Muss ja keine große Maschine sein, reicht ein Client PC, aber Du hast einen zweiten DC.

 

Bezüglich Gruppenrichtlinien hilft das Lesen und umsetzen dieser Artikel:

https://www.gruppenrichtlinien.de/de/artikel/zentrale-vergabe-lokaler-berechtigungen/

https://www.gruppenrichtlinien.de/de/artikel/verwaltung-der-lokalen-administratoren/

Link zu diesem Kommentar

Moin,

 

vor 4 Stunden schrieb zahni:

Eventuell hätte man darauf auch verzichten können. Wen interessiert es, wie die Domain intern heißt...

 

oh, ich kenne Kunden, die geben sechsstellige Beträge aus, nur um den internen Domänennamen zu ändern. Daher wundert mich auf dem Gebiet nichts mehr. Ist ja auch nicht so, dass man als Dienstleister was dagegen hätte. :D

 

Gruß, Nils

Link zu diesem Kommentar
vor 23 Stunden schrieb Tektronix:

Moin, Moin,

irre ich mich, oder solltest Du an dieser Stelle nicht das Passwort des lokalen Administrators eingeben?

Moin,

 

bei der UAC-Abfrage im OTS-Modus kann man "irgendeinen" User angeben, der über lokale Adminrechte verfügt. Das kann natürlich auch ein Dom-Admin sein - wenn das auch schlechtes Design der Umgebung wäre.

 

Der TO sollte jedenfalls der Ursache auf den Grund gehen. Dazu wäre es hilfreich, stichprobenartig auf einer Reihe von Clients auszuwerten, welche Mitglieder die lokale Gruppe "Administratoren" denn hat. Es klingt fast so, als wären die Domänen-Admins dort nicht Mitglied. (BTW, war es nicht so, dass man beim rendom die Clients mehrfach neu starten muss? Ist das hier geschehen?)

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 49 Minuten schrieb Tektronix:

Was hast Du für einen Namen verwendet? Domainname\Administrator auf einem Client ist nicht DomänenAdmin, sondern lokaler Admin. 

Das stimmt so nicht.

 

Anmeldung:

  • Domäne\Administrator -> Domänen-Admin ( Falls nicht umbenannt )
  • ".\Administrator" oder "Computername\Administrator" -> Lokalen Admin ( Falls nicht umbenannt )
Link zu diesem Kommentar

Moin,

 

Am 20.2.2018 um 14:19 schrieb MurdocX:

Das stimmt so nicht.

 

Anmeldung:

  • Domäne\Administrator -> Domänen-Admin ( Falls nicht umbenannt )
  • ".\Administrator" oder "Computername\Administrator" -> Lokalen Admin ( Falls nicht umbenannt )

 

korrekt - was Tektronix vermutlich meinte: Wenn man nur "Administrator" ohne Präfix angibt, dann versucht Windows, das lokale Konto dieses Namens aus der Domäne anzumelden. Meint man also den lokalen Domänen-Administrator, dann muss man den lokalen Computer oder den Punkt Domänennamen als Präfix davorsetzen.

 

Das ist erst relevant, seit der Windows-Anmeldedialog kein Dropdown mehr für die Domäne hat. Vorher hat man genauer gesehen, wo man unterwegs ist.

 

Gruß, Nils

bearbeitet von NilsK
verwechselt, danke an NorbertFe für den Hinweis. Nun korrigiert. :)
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...