Jump to content

Verknüpften Account von Domänenadmin-Konto (On-Premise) löschen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Vielleicht kann mir jemand einen entscheidenden Tipp geben.

 

Wegen eines Fehlers bei der Einrichtung von Veeam Backup for Office 365 auf einem Windows Server 2022 hatte ich testhalber die Synchronisierung in Edge für ein Microsoft Konto aktiviert. Die Software-Einrichtung konnte ich inzwischen abschliessen, jetzt bekomme ich aber den Account nicht mehr weg.

Er erscheint sowohl im Edge als auch in den Windows Einstellungen unter Datenschutz > Aktivitätsverlauf (siehe Screenshots).

 

Diverse Hinweise aus dem Internet - fast ausschliesslich auf PCs bezogen - halfen nicht weiter:

  • Im Online-Portal des Accounts erscheint der Server nicht unter Geräte.
  • Die Edge-Einstellungen hatte ich gelöscht. Anschliessend war der Account immer noch (oder wieder) sichtbar
  • Das Profil im Edge hatte ich auch schon gelöscht. Danach wurde der Account im neu erstellten Profil gleich wieder zur Synchronisierung angeboten.
  • Zurücksetzen von Edge via Windows Einstellungen > Apps steht nicht zur Auswahl.
  • Die zuvor unter Anmeldeinformationsverwaltung gespeicherten Einträge sind gelöscht.
  • Den Inhalt von "%localappdata%\Microsoft\Edge\User Data" hatte ich bereits gelöscht, ebenso die Dateien unter "%localappdata%\Microsoft\Windows\Safety\edge\remote", welche mit einer Nummer versehen sind.
  • Ein Tipp, die vom Gerät in Azure (oder Intune) gespeicherten Daten zu löschen, half auch nicht. Die diesbezügliche Seite von Microsoft finde nicht mehr, es war u.a. auf OneDrive bezogen (ist auf dem Server nicht installiert).

 

Via Registry konnte ich einstellen, dass gar keine Accounts für die Synchronisation in Edge angezeigt werden sollen bzw. immer ein unpersönliches Profil genutzt wird. Nachdem ich den Registry-Eintrag wieder gelöscht hatte, erschien der Account erneut. Das war somit nur ein Workaround war und hatte keinen bleibenden Einfluss auf den hintergründig verlinkten Account.

 

In der folgenden Diskussion geht es im Prinzip genau um diese Problematik. In meinem Fall erscheint der Account zwar nicht als "Connected to Windows", indirekt kommt es aber vielleicht aufs Gleiche heraus.

https://techcommunity.microsoft.com/t5/discussions/allow-removal-of-quot-connected-to-windows-quot-accounts-from/m-p/1534251

 

Account-Edge.png

Account-Windows.png

Link zu diesem Kommentar
vor 16 Stunden schrieb testperson:

spricht etwas dagegen, dass komplette lokale Profil des Users auf diesem System zu löschen?

 

Theoretisch würde nichts dagegen sprechen. Obschon ich dies als Lösungsmöglichkeit fand, hatte ich Zweifel, ob dies möglich/sinnvoll ist. Mit dem erwähnten Befehl habe ich es nun doch versucht, da mir dieser nicht bekannt war.

 

Leider kann das Profil so nicht gelöscht werden. Grund: Die Datei(en) werden von anderen Prozess verwendet. Ein Server-Neustart unmittelbar zuvor hatte keinen Einfluss darauf, obschon ich danach mit dem lokalen Administrator-Konto anmeldete und das Domänenadmin-Konto in Ruhe liess.

 

Ich will nicht versuchen herauszufinden, welcher Prozess die Löschung blockiert, da vielleicht genau dieser in einen Fehler liefe, falls das Profil doch gelöscht / neu erstellt würde.

bearbeitet von hacori
Link zu diesem Kommentar

Nein, natürlich nicht.

Das zu löschende Profil ist dasjenige des Domänenadministrators (domain\administrator). Das Konto, mit dem ich angemeldet war, um es zu löschen, ist dasjenige des Servers selbst (.\administrator). Es betrifft selbstverständlich nicht den Domänencontroller, sondern einen normalen Mitgliedsserver. Darum hätte das theoretisch funktionieren müssen. Aber wenn irgendwas die Löschung blockiert, lasse ich es eben lieber bleiben.

bearbeitet von hacori
Link zu diesem Kommentar

Das Feature zum automatisch anmelden ist beim Server grundsätzlich nicht vorgesehen und kann nicht über den Gruppenrichtlinieneditor abgeschaltet werden. Den im Heise-Artikel erwähnten Registry-Key habe ich geändert, den Server neu gestartet, als .\administrator angemeldet und nochmals versucht, das Profil von domain\administrator zu löschen.

Zuerst erstellte ich eine Kopie des Profils. Wie schon beim ersten Versuch gab es dabei mehrere Fehler, weil einige Dateien (unter anderem die ntuser.dat) geöffnet seien. Das Administrator-Konto wird also durchaus von irgendeinem Dienst automatisch gestartet/verwendet, im Task Manager ist davon aber nichts sichtbar.

 

Die versuchte Profil-Löschung gab wieder folgenden Fehler zurück:

Remove-CimInstance : Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

 

Die Synchronisation des Microsoft Accounts hatte ich vorübergehend nochmals aktiviert in der Hoffnung, dass ich ihn deses Mal korrekt/vollständig trennen bzw. abmelden könnte.

In der Anmeldeinformationsverwaltung war er danach zweifach unter Windows-Anmeldeinformationen erwähnt, einmal mit 'MicrosoftAccount:user=' und einmal mit 'SSO_POP_User:user='. Beide Einträge habe ich gelöscht und den Server neu gestartet. Leider brachte das nichts. Er wird weiterhin zur erneuten Synchronisierung vorgeschlagen und ist somit noch mit dem Server verknüpft.

 

 

Etwas Zusätzliches, was mich irritiert:

Seit ich am 6. Juni versuchte, das Benutzerprofil zu löschen, ist der Desktophintergrund meistens schwarz, wie wenn jemand zuvor eine Fernwartung zum Server via Teamviewer aufgebaut hätte. Zwar kann ich den Standard-Hintergrund über die Einstellungen auswählen, es bewirkt aber nichts.

Gemäss folgendem Thread habe ich die Datei C:\WINDOWS\web\wallpaper\Windows\img0.jpg mit der eines anderen Servers ersetzt. Das hatte kurzfristig gewirkt. Beim nächsten Zugriff war der Desktophintergrund aber wieder schwarz.

https://www.mcseboard.de/topic/212356-windows-10-hintergrundbild-wird-nicht-mehr-angezeigt-schwarzer-desktop/

 

Link zu diesem Kommentar

Danke an alle für die bisherigen Tipps.

 

@testperson@Weingeist

Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, schliesslich ist es der (Haupt-)Administrator. Darüber läuft so ziemlich alles. Deswegen verwundert es mich überhaupt nicht, dass ich dessen lokales Profil nicht löschen kann - auch wenn er nicht angemeldet ist und nicht im Task Manager erscheint.

 

@daabm

Die zwei Sysinternal Tools testete ich auf meinem privaten Laptop, bei dem die Edge-Synchronisierung zu zwei Microsoft Accounts aktiviert ist. Einer davon (persönliches Konto) ist ebenfalls im Aktivitätsverlauf erwähnt, der andere nicht.

- Mit "handle.exe" kam ich gar nicht klar.

- ProcMon wäre dank der Filteroptionen zwar besser, ist aber auch nicht wirklich hilfreich. Dass OneDrive aktiv ist, weiss ich auch ohne das Tool. Ansonsten sah ich nichts, was weiterhelfen könnte - in Bezug auf den persönlichen Microsoft Account. Eine Suche nach dem vorderen Teil der E-Mail-Adresse stoppte ich.

 

 

Die einzige Aufgabe, welche auf dem Server wissentlich mit der Mailadresse des verknüpften Microsoft Kontos in Verbindung steht, ist der Versand von Statusreports (per SMTP) aus Veeam Backup and Replication (Community Edition). Der Versand erfolgt zweimal pro Tag. Falls nur deswegen der Microsoft Account permanent 'verwendet' wird und nicht mehr vollständig aus Edge bzw. den Windows Einstellungen getrennt werden kann, finde ich das etwas sonderbar. In Betracht gezogen hatte ich es natürlich schon. Aber ich verzichtete darauf, einen (oder mehrere) Veeam Dienst(e) zu deaktivieren, da mir dies als wenig aussichtsreich erschien.

 

Weil nach wie vor keine Lösung in Sicht ist, werde ich im Veeam vorübergehend eine andere Mailadresse hinterlegen und nach einem Serverneustart nochmals schauen ob ich etwas ändern kann. Falls nein, werde ich das Ganze wohl auf sich bewenden lassen.

Die Lust an weiterem Troubleshooting ist mir vergangen.

bearbeitet von hacori
Link zu diesem Kommentar
vor 3 Stunden schrieb hacori:

Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, schliesslich ist es der (Haupt-)Administrator. Darüber läuft so ziemlich alles. Deswegen verwundert es mich überhaupt nicht, dass ich dessen lokales Profil nicht löschen kann - auch wenn er nicht angemeldet ist und nicht im Task Manager erscheint.

An dieser Stelle solltest du ansetzen.

 

In kurz: Der Domänen-Administrator verwaltet die Domain Controller und sonst eigentlich nichts. Alles andere wird mit Accounts erledigt, die nur die erforderlichen Rechte delegiert bekommen haben.

Link zu diesem Kommentar
vor 7 Stunden schrieb hacori:

Natürlich wird der Domänenadministrator-Account für manche Dienste verwendet, schliesslich ist es der (Haupt-)Administrator.

Der Dom Admin gehört mit einem starken PW versehen und anschließend nicht mehr benutzt. Für jeden Dienst legt man einen eigenen Account an. So wie Du es derzeit machst, darfst Du das PW vom Dom Admin nie mehr ändern, tust Du es trotzdem, funktioniert zu viel nicht mehr.

Link zu diesem Kommentar
vor 10 Stunden schrieb NorbertFe:

Ich find das eher unnatürlich. ;)

Ja, der Begriff 'natürlich' war schlecht gewählt.

 

Dass der Domain-Administrator nur die Domänencontroller verwaltet, wäre logischerweise besser. Dass dieser allgemein verwendet wird, ist/war halt seit Jahren so.

 

vor 8 Stunden schrieb Sunny61:

Für jeden Dienst legt man einen eigenen Account an.

Diesen Punkt erachte ich zwar für kleine IT-Umgebungen als nicht zwingend nötig. Dass zumindest eine teilweise Abgrenzung mit Dienstaccounts besser ist, leuchtet mir aus sicherheitstechnischen Gründen jedoch ein.

 

Es wird wohl Zeit, das bestehende Konzept betreffend Accunts zu überdenken / zu ändern. Leider habe ich da wenig mitzureden. Aber ich werde bei Gelegenheit den Chef darauf ansprechen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...