7
Domänenadministrator erhält Meldung - Zugriff verweigert !
Hallo,
bei einer Routineüberprüfung unseres Domänencontrollers (WIN 2003 standard) stellte ich folgenden Fehler fest:
Beim Zugriff auf jegwelche Konsole ( Ereibgnisanzeige, Terminaldienste- oder Computerverwaltung) erhalte ich trotz Anmeldung als Domänenadministrator die Meldung "Zugriff verweigert".
Eine Verbindung von einem anderen Server aus der Ereignisanzeige heraus über "Aktion - Verbindung zu einem anderen Computer herstellen" funktioniert. Die Ereignisanzeige des DC gibt aber keine ungewöhnlichen Meldungen aus. Es scheint als hätte der Domänenadmin keine lokale Zugriffsberechtigung mehr. Wie kann ich nun aber die lokale Benutzerverwaltung auf dem DC öffnen um zu überprüfen ob der Domänenadmin auch in der lokalen Administratorgruppe enthalten ist ??
Es liegen sonst keinerlei Störungen auf dem DC vor.
Grüße Thomas
bei einer Routineüberprüfung unseres Domänencontrollers (WIN 2003 standard) stellte ich folgenden Fehler fest:
Beim Zugriff auf jegwelche Konsole ( Ereibgnisanzeige, Terminaldienste- oder Computerverwaltung) erhalte ich trotz Anmeldung als Domänenadministrator die Meldung "Zugriff verweigert".
Eine Verbindung von einem anderen Server aus der Ereignisanzeige heraus über "Aktion - Verbindung zu einem anderen Computer herstellen" funktioniert. Die Ereignisanzeige des DC gibt aber keine ungewöhnlichen Meldungen aus. Es scheint als hätte der Domänenadmin keine lokale Zugriffsberechtigung mehr. Wie kann ich nun aber die lokale Benutzerverwaltung auf dem DC öffnen um zu überprüfen ob der Domänenadmin auch in der lokalen Administratorgruppe enthalten ist ??
Es liegen sonst keinerlei Störungen auf dem DC vor.
Grüße Thomas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 101382
Url: https://administrator.de/contentid/101382
Printed on: April 16, 2024 at 21:04 o'clock
7 Comments
Latest comment
Hallo,
über den selben Weg den Du gerade gegangen bist. Aktion - Verbindung zu einem anderen Computer herstellen dann unter Lokale Benutzer und Gruppen, und dann kannste mit entsprechenden Rechten hier Objekte hinzufügen.
Grß,
roberth
über den selben Weg den Du gerade gegangen bist. Aktion - Verbindung zu einem anderen Computer herstellen dann unter Lokale Benutzer und Gruppen, und dann kannste mit entsprechenden Rechten hier Objekte hinzufügen.
Grß,
roberth
Hallo Roberth,
genau das geht nicht da mir der Punkt Lokale Benutzer und Gruppen nicht angezeigt wird wenn ich die Verbindung zum DC über Aktion ausführen herstelle.
Zu jedem anderen Server aber eben halt nicht zum DC.
Noch eine Idee?
Thomas
genau das geht nicht da mir der Punkt Lokale Benutzer und Gruppen nicht angezeigt wird wenn ich die Verbindung zum DC über Aktion ausführen herstelle.
Zu jedem anderen Server aber eben halt nicht zum DC.
Noch eine Idee?
Thomas
es gibt nur einen domänenadmin account ? hast du noch ein lokales Administratorkonto ?
nein - es gibt drei accounts mit der Berechtigung Domänenadmin - bei allen tritt dieses Problem aber auf.
Das lokale Administratorkennwort liegt im Safe - da komme ich erst morgen dran.
Ich werde mich dann mal versuchen als lokaler Admin anzumelden und prüfen ob dann ein Zugriff möglich ist.
Ich melde mich wieder - erst mal herzlichen Dank für die prompten Antworten.
Gruß Thomas
Das lokale Administratorkennwort liegt im Safe - da komme ich erst morgen dran.
Ich werde mich dann mal versuchen als lokaler Admin anzumelden und prüfen ob dann ein Zugriff möglich ist.
Ich melde mich wieder - erst mal herzlichen Dank für die prompten Antworten.
Gruß Thomas
Hi Tom,
auf einem Domaincontroller gib es keine Lokalen Benutzerkonten und Gruppen.
Kontrolier doch mal, ob din der Gruppe Domain\Administratoren die Gruppe Domain-Admins drin ist (über das Active Directory).
Ich hatte das auch mal, das versehentlich die Domain-Admin-Gruppe aus Administratoren rausgenommen wurde. Wenn das der fall ist, einfach wieder reinsetzen (geht ja, da die Gruppe Domain-Admin ja die Gruppen im AD bearbeiten darf).
mfg
andi
auf einem Domaincontroller gib es keine Lokalen Benutzerkonten und Gruppen.
Kontrolier doch mal, ob din der Gruppe Domain\Administratoren die Gruppe Domain-Admins drin ist (über das Active Directory).
Ich hatte das auch mal, das versehentlich die Domain-Admin-Gruppe aus Administratoren rausgenommen wurde. Wenn das der fall ist, einfach wieder reinsetzen (geht ja, da die Gruppe Domain-Admin ja die Gruppen im AD bearbeiten darf).
mfg
andi
Hallo Andi,
- Kontrolier doch mal, ob din der Gruppe Domain\Administratoren die Gruppe Domain-Admins drin ist (über das Active Directory).
im AD befindet sich bei mir eine globale Sicherheitsgruppe "Domänen-Admins". Eine weitere Gruppe "Administratoren" existiert nicht. In der Gruppe "Domänen-Admins" sind die drei accounts mit Zugriffsberechtigung eingetragen.
Mitglieder der Gruppe Domänen-Admins sollten doch aber Zugriff auf die Computerverwaltung des DC erhalten ????
Beim Aufruf der Computerverwaltung erscheint
C:\WINDOWS\system32\compmgmt.msc - Zugriff verweigert
Hat jemand noch eine Idee??
Grüße Thomas
- Kontrolier doch mal, ob din der Gruppe Domain\Administratoren die Gruppe Domain-Admins drin ist (über das Active Directory).
im AD befindet sich bei mir eine globale Sicherheitsgruppe "Domänen-Admins". Eine weitere Gruppe "Administratoren" existiert nicht. In der Gruppe "Domänen-Admins" sind die drei accounts mit Zugriffsberechtigung eingetragen.
Mitglieder der Gruppe Domänen-Admins sollten doch aber Zugriff auf die Computerverwaltung des DC erhalten ????
Beim Aufruf der Computerverwaltung erscheint
C:\WINDOWS\system32\compmgmt.msc - Zugriff verweigert
Hat jemand noch eine Idee??
Grüße Thomas
Hallo Tom,
Da liegst du falsch, bei den Domains mit denen ich arbeite (Windows 2000 & Windows 2003) gibt es eine Gruppe DOMAIN\Administratoren bzw. DOMAIN\Administrators. Diese ist im AD im Container Builtin zu finden.
ja, aber nur wenn diese Mitglied der Gruppe Administratoren ist. Standardmäßig hat die Gruppe Domänen-Admins nur berechtigungen aufs AD.
mfg
andi
Zitat von @PapaTom:
im AD befindet sich bei mir eine globale Sicherheitsgruppe
"Domänen-Admins". Eine weitere Gruppe
"Administratoren" existiert nicht.>
im AD befindet sich bei mir eine globale Sicherheitsgruppe
"Domänen-Admins". Eine weitere Gruppe
"Administratoren" existiert nicht.>
Da liegst du falsch, bei den Domains mit denen ich arbeite (Windows 2000 & Windows 2003) gibt es eine Gruppe DOMAIN\Administratoren bzw. DOMAIN\Administrators. Diese ist im AD im Container Builtin zu finden.
Zitat von @PapaTom:
Mitglieder der Gruppe Domänen-Admins sollten doch aber Zugriff
auf die Computerverwaltung des DC erhalten ????
Mitglieder der Gruppe Domänen-Admins sollten doch aber Zugriff
auf die Computerverwaltung des DC erhalten ????
ja, aber nur wenn diese Mitglied der Gruppe Administratoren ist. Standardmäßig hat die Gruppe Domänen-Admins nur berechtigungen aufs AD.
mfg
andi
