Jump to content

Hilfe! hab mich aus der domäne ausgesperrt!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ich habe ein recht grosses problem, verursacht durch eigene dummheit

in unserer w2k domain habe ich in der "sicherheitsrichtlinie für domänencontroller" dummerweise folgendes definiert:

"lokale anmeldung verweigern": jeder

nun kann ich mich nicht mehr am domänencontroller anmelden, und ich finde keine möglichkeit, wie ich diese einstellung von einer workstation aus wieder verändern kann.

hier nun meine frage im klartext: wie kann ich die "sicherheitsrichtilinie für domänencontroller" von einer workstation aus bearbeiten.

hilfe wird sehr freundlich erbeten (und möglichst rasch erhofft)

lg

Link zu diesem Kommentar

Wieso musst du dich eigentlich anmelden können? Du kannst auch über MMC den Server administrieren :shock: ;) ...kleiner Scherz!!

 

Was anderes fällt mir jetzt nicht ein, ausser, du schnappst dir einen alten PC (oder Server, falls vorhanden), und richtest einen zweiten DC ein. Anschliessend transferierst du alle Rolen (wenn nötig), und nimmst den anderen offline zum späteren Neuinstallieren/Promoten. Ist zwar etwas arbeit, würde aber klappen.

 

 

P.S.: Beim offline Nehmen, musst du noch mit ntdsutil.exe ein "metadata cleanup" machen, da sonst der Dc im AD hängen bleibt. Einfach im Board suchen.... :wink2:

Link zu diesem Kommentar

schluck, ist ja fast noch schlimmer!

ausserdem würde ja die richtlinie auf einem anderen domaincontroller genauso wirken, oder nicht?

gibt es nicht irgend ein werkzeug mit dem man diese richtlinie von aussen bearbeiten kann? ein mmc-snapin z.b.

mit dem zeug aus der adminpak.msi kann man gott und die welt manipolieren, aber eben genau diese richtlinie nicht.

gibt es vielleicht irgend ein 3rd party tool?

HHIILLFFEE!!!

Link zu diesem Kommentar

Hoppla, stimmt, das ist ja die Selbe!!

 

Ohne Backup, das wirt tuff!!

Geh 'mal in den Verzeichnisdienst...irgedwas, und versuche das hier, weis aber nicht, ob das in diesem Modus auch anwendbar ist.

 

http://www.mcseboard.de/showthread.php?postid=165311#post165311

 

Gruss

 

 

P.S.: Du musst das tool von blubs letztem post nehemen; ist auch remote, von einem W2K Pro Rchner anwendbar!!!

Link zu diesem Kommentar

nönö, die tools sind für die gruppenrichtlinien, nicht für die sicherheitsrichtlinien. das hilft mir leider auch nichts. aber mir ist jetzt noch eine andere idee gekommen.

ich hab remote den telnet-server dienst gestartet und hab mich auch schon angemeldet.

somit bin ich ja sozusagen "lokal" auf dem rechner unterwegs. gibts vielleicht irgendeine möglichkeit das problem von der kommandozeile aus aus der welt zu schaffen?

wo wird denn die information eigentlich gespeichert? registry? oder gar eine datei? mir wärs egal die gesammte "sicherheitsrichtlinie für domänencontroller" mit einer blanko-version zu überschreiben, weil ich vorher eh noch nie was geändert. nur einmal, dafür aber mit deutlich sichtbarem resultat!

Link zu diesem Kommentar

Lokale Sicherheitsrichtlinien sind ein Bestandtteil von GPO's, aber der Punkt hat was. Es könnte sein (habe es noch nie nachgestellt), dass die "default domain controller Policy" sich zwar auf die lokale Sicherheitsrichtlinie eines jeden Controllers auswirkt, umgekehrt aber nicht.

 

In diesem Fall musst wirklich nur einen 2. DC raufstufen!!

 

P.S.: Wieso Telnet? Vergiss Telnet, das hilft dir auch nicht weiter...

Link zu diesem Kommentar

ich befürchte fast nicht. ich hab schon in anderen domänen "domänen-controller-übergreifende" änderungen gemacht. das ist (in diesem falle leider" der unterschied zwischen "lokaler sicherheitsrichtlinie" und "sicherheitsrichtlinie für domänencontroller"

leider. schade.

noch irgendwelche anderen ideen?

ich hab schon über terminal-dienste nachgedacht, aber das hätte auch keinen sinn, weil ist ja sozusagen auch eine "lokale" anmeldung...

und telnet-server hat schon einen sinn, weil das recreateDefPol.exe-tool muss man nämlich lokal ausführen. und das kann ich momentan nur über das telnet-fenster. bringt aber nix, weil es sich da eben um eine andere policy handelt.

Link zu diesem Kommentar

@jvogler

 

Geht leider nicht, denn Admin Pack bringt kein Snap-In für die "lokale Sicherheits ...controller".

 

@5232joe

 

Hast du das schon an einem anderen Controller versucht (anzumelden)??

 

 

P.S.: Ich hab' das 'mal bei mir gecheckt. Die "default domain controllers policy" hat unter Sicherheit exact die selben Einträge (welche nicht "default" sind), wie wenn ich unter "Domain Controller Security Policy" Snap-in die Sache anschaue!! Die Frage ist nur, wirt das auf alle Controller übertragen?

Link zu diesem Kommentar

Und was ist mit "Default Domain Controllers Policy - Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Zuweisen von Benutzerrechten - Lokale Anmeldung verweigern" (von meinem XP Admin PC aufgerufen) ???

Hier wurden doch auch die Einstellungen vorgenommen worden, oder bin ich jetzt ganz auf´m Holzdampfer? :confused:

 

Jochen

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...