admin rechte verloren

[kevin1806 10]

Hallo. Ein Bekannter von mir hat in seiner Firma eine Win2000 Domäne und mehreren Clients. Auf dem Domänencontroller läuft Ad, DNS usw. Jetzt hat er einen Fehler begangen da er eigentlich keine Erfahrung mit Computern hat. Ich betreue eigentlich sein System aber da ich nicht da war und er das Admin Passwort hatte hat er den Administrator in alle gruppe genommen, dh. er ist jetzt

Benutzer, Domänenbenutzer usw. Wieso weiß ich bis jetzt noch nicht. Es gibt leider keinen weiteren User im System der Adminrechte hat und eine Statussicherung ist nicht vorhanden da ich diese erst durchführen wollte. System läuft erst seit 2 Wochen. Der Admin selber hat jetzt kaum noch Rechte wie zu erwarten war. Kennt jemand einen Weg diese wieder herzustellen oder muß ich das System wieder neu aufsetzen? :mad:

[Gadget 37]

Hi kevin1806 u. willkommen an Board,

 

Kennt jemand einen Weg diese wieder herzustellen oder muß ich das System wieder neu aufsetzen? :mad:

 

in welcher Gruppen is er denn, Mitglied ... am einfachsten mit folgendem Tool prüfen und ergebnis posten:

 

http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/whoami-o.asp

Windows-Taste + R => cmd

whoami /groups

 

BTW: Nächstes mal wäre ein bisserl mehr Sicherheit schon angebracht... drei absolut Elementare Punkte sind hier übergangen worden:

 

1. Backup wird sofort und täglich gemacht. SYSTEMSTATUS!

2. Die Administratorenrechte bzw Kennungen werden nicht an Dritte weitergegeben!

3. Es wird immer sofort mindestens ein weiterer Admin-Account erstellt (Notfalladmin)

 

Die Punkte sind absolut zu verteidigen, da wenn man sich daran nicht hält und irgendwas passiert entweder die dicke Schadensersatzforderung oder noch besser "schwedische Gardinen" auf einen warten.

 

Deswegen daran halten:

http://www.bsi.de/gshb/index.htm

 

LG Gadget

[PAT 10]

dh. er ist jetzt Benutzer, Domänenbenutzer usw.

Und? Solange er immer noch zusätzlich in der Admingruppe ist, hat er auch Admin-Rechte. Es sei denn, er hat gezielt Rechte verweigert.

 

Nichts für ungut, aber vielleicht solltet ihr Euch beide mal intensiver mit der Materie beschäftigen.

 

Schau Dir mal den Link von Gadget an, ist schon mal ein guter Anfang.

[kevin1806 10]

Danke für die Antworten. Ich habe nochmal alles überprüft. Also der Admin hat noch Adminrechte und ich kann auch über die CMD User erstellen und in die Domänen-Admins Gruppe hängen. Das das System nicht mehr geht ist auch nicht so schlimm da es für mich das erste Projekt war was ich betreue. Ich bin noch in der Ausbildung als FISI und aus solchen Fehlern kann ich ja nur lernen. Ein zweites mal passiert mir das nicht mehr. Ich mache das für meinen Bekannten unentgeldlich und als freundschaftlichen Dienst und außerdem ist er ja selber Schuld wenn er irgendwas einstellt wovon er keine Ahnung hat. Auf jedenfall muß er was in den Policies oder so eingestellt haben da ich als Admin keine Rechte mehr habe auf AD

usw zuzugreifen. Ein normaler Benutzer kann sich die AD noch anschauen aber nichts ändern.

Als Admin kommt immer der Fehler

Hat jemand ne Ahnung was man da machen kann?

[carnivore 10]

Hi,

Hier liegt der Hund: "hat er den Administrator in alle gruppe genommen" und damit wahrscheinlich die Tokensize gesprengt. Eine der Möglichkeiten, ein System unbrauchbar zu machen.

http://support.microsoft.com/default.aspx?scid=kb;en-us;280830

 

Musst mal versuchen mit BartPE etc. irgendwie auf die Registry des DCs zuzugreifen und wie im Artikel beschrieben die maxtokensize z.B. auf 25000 hochzusetzen

 

Gruss

carnivore