Jump to content
Sign in to follow this  
5232joe

Hilfe! hab mich aus der domäne ausgesperrt!

Recommended Posts

ich habe ein recht grosses problem, verursacht durch eigene dummheit

in unserer w2k domain habe ich in der "sicherheitsrichtlinie für domänencontroller" dummerweise folgendes definiert:

"lokale anmeldung verweigern": jeder

nun kann ich mich nicht mehr am domänencontroller anmelden, und ich finde keine möglichkeit, wie ich diese einstellung von einer workstation aus wieder verändern kann.

hier nun meine frage im klartext: wie kann ich die "sicherheitsrichtilinie für domänencontroller" von einer workstation aus bearbeiten.

hilfe wird sehr freundlich erbeten (und möglichst rasch erhofft)

lg

Share this post


Link to post

Ich hoffe schwer, es existiert ein Backup!!

 

Eine Möglichkeit wäre, in den Verzeichnisdienst-Wiederherstellungsmodus (F8) zu booten. Dann müsstes du im Prinzip den Systemstaus wiederherstellen.

 

Gruss

Share this post


Link to post

schluck.

sag bitte nicht, dass das die einzige möglichkeit ist!

es muss doch möglich sein, diese einstellung von aussen zu verändern. ich hab ja immer noch administrator-recht. also ich darf die einstellung ja ändern. die frage ist nur wie ich das von aussen anstelle.

bitte-bitte. hat irgendjemand eine idee?

Share this post


Link to post

Wieso musst du dich eigentlich anmelden können? Du kannst auch über MMC den Server administrieren :shock: ;) ...kleiner Scherz!!

 

Was anderes fällt mir jetzt nicht ein, ausser, du schnappst dir einen alten PC (oder Server, falls vorhanden), und richtest einen zweiten DC ein. Anschliessend transferierst du alle Rolen (wenn nötig), und nimmst den anderen offline zum späteren Neuinstallieren/Promoten. Ist zwar etwas arbeit, würde aber klappen.

 

 

P.S.: Beim offline Nehmen, musst du noch mit ntdsutil.exe ein "metadata cleanup" machen, da sonst der Dc im AD hängen bleibt. Einfach im Board suchen.... :wink2:

Share this post


Link to post

schluck, ist ja fast noch schlimmer!

ausserdem würde ja die richtlinie auf einem anderen domaincontroller genauso wirken, oder nicht?

gibt es nicht irgend ein werkzeug mit dem man diese richtlinie von aussen bearbeiten kann? ein mmc-snapin z.b.

mit dem zeug aus der adminpak.msi kann man gott und die welt manipolieren, aber eben genau diese richtlinie nicht.

gibt es vielleicht irgend ein 3rd party tool?

HHIILLFFEE!!!

Share this post


Link to post

Hoppla, stimmt, das ist ja die Selbe!!

 

Ohne Backup, das wirt tuff!!

Geh 'mal in den Verzeichnisdienst...irgedwas, und versuche das hier, weis aber nicht, ob das in diesem Modus auch anwendbar ist.

 

http://www.mcseboard.de/showthread.php?postid=165311#post165311

 

Gruss

 

 

P.S.: Du musst das tool von blubs letztem post nehemen; ist auch remote, von einem W2K Pro Rchner anwendbar!!!

Share this post


Link to post

nönö, die tools sind für die gruppenrichtlinien, nicht für die sicherheitsrichtlinien. das hilft mir leider auch nichts. aber mir ist jetzt noch eine andere idee gekommen.

ich hab remote den telnet-server dienst gestartet und hab mich auch schon angemeldet.

somit bin ich ja sozusagen "lokal" auf dem rechner unterwegs. gibts vielleicht irgendeine möglichkeit das problem von der kommandozeile aus aus der welt zu schaffen?

wo wird denn die information eigentlich gespeichert? registry? oder gar eine datei? mir wärs egal die gesammte "sicherheitsrichtlinie für domänencontroller" mit einer blanko-version zu überschreiben, weil ich vorher eh noch nie was geändert. nur einmal, dafür aber mit deutlich sichtbarem resultat!

Share this post


Link to post

Lokale Sicherheitsrichtlinien sind ein Bestandtteil von GPO's, aber der Punkt hat was. Es könnte sein (habe es noch nie nachgestellt), dass die "default domain controller Policy" sich zwar auf die lokale Sicherheitsrichtlinie eines jeden Controllers auswirkt, umgekehrt aber nicht.

 

In diesem Fall musst wirklich nur einen 2. DC raufstufen!!

 

P.S.: Wieso Telnet? Vergiss Telnet, das hilft dir auch nicht weiter...

Share this post


Link to post

Installiere die VerwaltungsTools (adminpack.msi) auf einer anderen W2k-Kiste. Die liegt auf dem Server unter system32 oder auf der Server CD. Damit müsste es eigentlich gehen.

Share this post


Link to post

ich befürchte fast nicht. ich hab schon in anderen domänen "domänen-controller-übergreifende" änderungen gemacht. das ist (in diesem falle leider" der unterschied zwischen "lokaler sicherheitsrichtlinie" und "sicherheitsrichtlinie für domänencontroller"

leider. schade.

noch irgendwelche anderen ideen?

ich hab schon über terminal-dienste nachgedacht, aber das hätte auch keinen sinn, weil ist ja sozusagen auch eine "lokale" anmeldung...

und telnet-server hat schon einen sinn, weil das recreateDefPol.exe-tool muss man nämlich lokal ausführen. und das kann ich momentan nur über das telnet-fenster. bringt aber nix, weil es sich da eben um eine andere policy handelt.

Share this post


Link to post

Zustimm! Du kannst Dich zwar nicht mehr am DC lokal anmelden, aber von jedem Domainmember mit Domämen Admin Rechten. Jetzt nur noch die Admi Tools drauf und dann kannst Du doch in aller Ruhe die Domain Controllers Policy bearbeiten?!?

 

Jochen

Share this post


Link to post

@holgi t: die idee hatten wir schon. da ist leider nirgens ein werkzeug zu finden mitdem man die "sicherheitsrichtlinie für domänencontroller" verändern kann. *heul*

Share this post


Link to post

@jvogler

 

Geht leider nicht, denn Admin Pack bringt kein Snap-In für die "lokale Sicherheits ...controller".

 

@5232joe

 

Hast du das schon an einem anderen Controller versucht (anzumelden)??

 

 

P.S.: Ich hab' das 'mal bei mir gecheckt. Die "default domain controllers policy" hat unter Sicherheit exact die selben Einträge (welche nicht "default" sind), wie wenn ich unter "Domain Controller Security Policy" Snap-in die Sache anschaue!! Die Frage ist nur, wirt das auf alle Controller übertragen?

Share this post


Link to post

In der ADS-Verwaltung recht Maus auf OU der DCs und Eigenschaften. So ist es bei mir. Allerdings W2K3. Kann sein, dass es wegen den schon genannten fehlenden Snap in bei 2K nicht geht.

Share this post


Link to post

Und was ist mit "Default Domain Controllers Policy - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Lokale Anmeldung verweigern" (von meinem XP Admin PC aufgerufen) ???

Hier wurden doch auch die Einstellungen vorgenommen worden, oder bin ich jetzt ganz auf´m Holzdampfer? :confused:

 

Jochen

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...