W2k3 - Administrator ausgesperrt

[CarstenATS 10]

Hallo liebe MCSE-Gemeinde ;)

 

Habe hier ein ziemlich grosses Problem mit meinem Netzwerk.

Habe ein PDC und einen BDC (w2k3). Das Netzwerk lief immer vernünftig.

 

Einer unserer Praktikanten hat sich in den Kopf gesetzt einen neuen Server aufzusetzen und damit eventuell später die vorhandenen Server abzulösen. Dabei replizierte er die Richtlinien und Benutzereinstellungen auf den neuen Server. Ich nehme an, das er dabei etwas falsch gemacht hat und nun kann ich mich nicht mehr auf dem aslten PDC bzw. BDC anmelden. Weder lokal noch am AD :(

 

Die Fehlermeldung lautet :

 

Die lokale Sicherheitsrichtlinie erlaubt es Ihnen nicht, sich interaktiv anzumelden.

 

Habe schon sämtliche Artikel bzw. Posts hier durch und bin auch schon die fast gesammt KnowledgeBase von MS durchgegangen. Konnte nur nirgends eine Lösung zu meinem Problem finden. Das grösste Prob ist ja, das diese Server Produktivserver sind und ich sie nun nicht mehr warten kann.

 

Was kann ich tun ? Gibt es eine Möglichkeit sich wieder anzumelden und die Sache in Ordnung zu bringen ?

 

Über eine Antwort oder gern auch mehrere würde ich mich freuen.

 

mfg CarstenATS

[weg5st0 10]

Hallo Carsten ATS,

 

wenn du dich an einer WS als Domainadmin anmelden kannst, sollte das halb so wild sein.

Starte auf der WS das AD U&C mmc.

 

Dann bewegst du dich zur OU/Container in dem sich die DCs befinden (Standardmässig ist das der Container "Domain Controllers").

 

Hier machst du einen Rechtsklickd drauf und schaust dir die Gruppenrichtlkinien auf deisem Objekt an. Vermutlich wurde hier das Recht zur lokalen Anmeldung entzogen.

[CarstenATS 10]

Hi und danke erstmal ;)

 

Also an einer WS kann ich mich noch als Domainadmin anmelden, aber komme danach mit Deiner Erklärung nicht klar :(

 

Starte auf der WS das AD U&C mmc.

 

Dann bewegst du dich zur OU/Container ...

 

AD ist klar, aber was ist U&C mmc ? Was ist OU ?

 

Für eine Antwort bedanke ich mich schonmal im vorraus.

Wird langsam dringend, da der Exchange nun nach und nach alle Postfächer sperrt ...

 

mfg CarstenATS

[weg5st0 10]

Active Directory Benutzer und Computer

starten und hier auf den Ordner (Eigentlich OU= Organisational Unit) navigieren.

 

Rechtsklick, Gruppenrichtlinien.

 

Hier die entsprechende Richtlinie mit bearbeiten öffnen und den Ordner "Zuweisen von Benutzerrechten" suchen. Darin gibt es die Option: Lokale Anmeldung verweigern.

[CarstenATS 10]

Okay, habe nun unter gpedit.msc die Active Directory-Benutzer und -Computer aktiviert.

 

Habe allerdings keinen Ordner mit Organisational Unit :(

 

Mit der rechten Maustaste auf Gruppenrichtlinien geht nur Hilfedatei ... ich glaube ich bin momentan **** oder blind ...

 

Kannste mir das mal genauer sagen bitte ? Die WS is ne 2000er WS ;)

 

mfg CarstenATS

[weg5st0 10]

Falscher Weg.

 

Starte das Tool "Active Directory Benutzer & Computer" (wenn auf der WS nicht installiert, dann adminpak.msi von der Windows-Server CD installieren).

 

Dann klickst du dich durch die Baumstruktur auf der linken Seite zu der Stelle "Domain Controllers" (oder halt "Domänen Controller").

 

Dann machst du auf diesen "Ordner" einen Rechtsklick und wählst "Eigenschaften".

 

Hier erscheint ein Dialog mit einem Reiter "Gruppenrichtlinien".

 

Wenn keiner ein dazu gemacht hat sollte in der Liste nur die "Default Domain Controllers Policy" auftauchen.

 

Diese Markieren und auf bearbeiten klicken.

 

Dann suchst dui die oben Beschriebene Richtlinie und prüfst die eingetragenen Benutzer/Gruppen.

 

Wenn mehr als eine Richtlinie aktiv ist, dann suchst du in der anderen Richtlinie denselben Wert.

[woiza 10]

OU heißen die lustigen gelben Ordner in AD Benutzer und Computer (die du am einfachsten mit ausführen/dsa.msc aufrufst). Du suchst nicht nach nem Ordner, der so heißt sondern nach einer OU, die Domain Controller heißt.

Auf diesem Ordner rechte Maustaste, dann kommst du in die Eigenschaften, dort gibt es Gruppenrichtlinien. Dann gehst du auf die Default Domain Controllers Policy und dann auf bearbeiten.

 

Dort gibt es dann unter Conputerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Zuweisen von Benutzerrechten.

 

Dort gibt es lokal anmelden verweigern. Die sollte entweder leer sein oder nur was mit Support_xyz2334 enthalten.

 

Zusätzlich gibt es die Richtlinie Lokal anmelden zulassen. Hier sollte die Gruppe der Administratoren aufgeführt sein.

 

Übrigens hast du keinen PDC/BDC mehr im AD.

 

Gruß

 

woiza

[CarstenATS 10]

Okay, hab das nun alles eingestellt und der Admin, der sich anmelden sollte, stand auch nicht mehr mit drin ;)

 

Muss ich nochwas machen, ausser schliessen ? Vielleicht die Server neu starten ?

 

mfg und Danke CarstenATS

[weg5st0 10]

Nach einem Neustart sind die Änderungen in jedem Fall aktiv.

 

Ansonsten ist das Umsetzungsintervall glaube ich bei 30 Min.

 

Wenn dus morgen früh versuchst sollte die Anmeldung klappen.

[Squire 280]

dem Praktikanten eine vor den Latz geben und Dir auch gleich :D Praktikanten so an ein Produktivsystem gehen zu lassen bzw. Dom-Admin Rechte zu geben ... no go!

 

Also ... entweder Du wartest jetzt - die Richtlinie greift irgendwann automatisch oder Du startest die Kiste durch (wenn es nicht stört) dann greift die Richtline nach dem Starten

[CarstenATS 10]

@sqire

 

Da haste völlig recht und er hat auch eine vor den Latz bekommen.

Ich hätte mich auch selbst schlagen können ... Das Problem, war ja, das er repliziert hat und danach wahrscheinlich Mist gemacht hat, da der neue wie der Alte sein sollte ... Naja, aus Schaden wird man klug.

 

@alle aus diesem Thread

 

Vielen Dank an Euch alle ;) Ihr seid super ...

 

Hoffe es klappt morgen früh dann, hatte vorhin keine Zeit mehr ;)

 

mfg CarstenATS

[woiza 10]

Kleiner Tipp:

 

Pack in die Richtlinie nicht nur den einzelnen User, sondern die Gruppe Administratoren. Sollte sich dann mal der Admin aussperren oder aus Versehen (vom Praktikant :cool: ), kann sich ein anderer Admin immer noch anmelden.

 

Gruß

 

woiza

[CarstenATS 10]

Hallo Jungs und Mädels,

 

leider kann ich mich immernoch nicht anmelden. Was mich stutzig macht, ist das ich ja eigentlich nur die lokale Anmeldung geändert habe, aber ja nicht die interaktive ...

 

Kann mich ja nicht interaktiv anmelden :(

 

Gibt es vielleicht noch ne andere Sache, die ich einstellen muss ?

 

mfg CarstenATS

[woiza 10]

Hi,

 

erstens solltest du prüfen, ob es noch mehr Richtlinien gibt.

Das Recht muss reichen. Kommt ihr denn über RDP auf die Maschine?

Hier gibt es übrigens die Beschreibung des Rechts "Lokal anmelden zulassen".

Bei DCs sollten folgende Mitglieder vorhanden sein:

 

Konten-Operatoren, Administratoren, Sicherungs-Operatoren, Druck-Operatoren und Server-Operatoren

 

Alternativ können wir auch die gesamte Richtlinie zurücksetzen. Übrigens ist dies der Grund, weshalb man NIE die Default Policies ändern sollte. Hättet ihr die Änderung in einer zusätzlichen gemacht, würden wir die jetzt rauswerfen, bzw. die Verknüpfung aufheben und gut.

 

Aber prüf noch mal, ob es da mehr Policies auf dieser OU gibt, dann sehen wir weiter.

 

Gruß

 

woiza

[CarstenATS 10]

Hidihodi ... Also mehr Policies gibt es in dieser Richtung nicht und wie kann ich das ganze auf Default zurücksetzen ? Ist jetzt meine letzte Möglichkeit :( Funktioniert irgendwie alles nicht richtig ...

 

Danke schonmal, CarstenATS