Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DC und AD durch GPO verhunzt - neues AD aufsetzen erforderlich?

Mitglied: Jeremiah

Jeremiah (Level 1) - Jetzt verbinden

14.06.2012, aktualisiert 11:53 Uhr, 3917 Aufrufe, 11 Kommentare

teils unbestätigte Infos vorab:
- Domäne existiert seit NT4 und wurde im Laufe der Zeit über w2k und w2k3 nun auf w2k8 r2 aufgestuft
- Default Domain Policy umfasste 200 Seiten, durch eine unbekannte Ursache wurden Ownership und Rechte auf unzählige Systemdateien gesetzt ala c:\windows\system32\mqsvc.exe

Hallo zusammen,

vorab entschuldige ich mich für die Wall-of-Text In dieser Domäne 'darf' ich nun administrieren und liste erstmal ein paar der auffälligsten Probleme bevor ich die oben genannte Frage aufgreife:

  • Wenn ich unter der alten Default Domain Policy Windows7 Rechner zur Domäne zufüge, können diese per DHCP keine IP übernehmen. Dies scheint ein Rechteproblem zu sein und führe ich auf den zweiten Punkt aus dem Vorwort - denn nach einiger Recherche brachte mir folgendes Abhilfe: auf dem betroffenen PC "NT-AUTORITÄT\LOKALER DIENST" und "NT-AUTORITÄT\NETZWERKDIENST" der Administratorengruppe zuzufügen. Nach einem Neustart kann der Client die ihm angebotene IP-Konfiguration per DHCP auch tatsächlich nutzen.

  • auf dem DC können diverse Eventlogs nicht genutzt werden (Anschauen Pfade, anpassen, reset, etc.) da der Zugriff verweigert wird. Betroffen sind unter anderem die Logs von: DNS Server, File Replication Service, Microsoft-Windows-DiskDiagnosticDataCollector/Operational.. Entsprechend sind die Einträge wie hier im technet behandelt. Ich werde das Gefühl nicht los, dass hier ebenfalls der zweite Punkt aus dem Vorwort greift, auch wenn das nur ein Bauchgefühl ist und bisher nicht bewiesen werden konnte.

  • Die Builtin Gruppe Remote Desktop Users heißt Remote Desktop Use~0 und verweigert den Mitgliedern leider ihre Funktion des Remote logon. Als Builtin Gruppe ist diese ja nicht änderbar, mögliche Ursachen sind wohl das Aufstufen der Domänenfunktionsebene und/oder das Vorhandensein der Gruppe vor dem dcpromo


Es gibt weitere Punkte, die mir gerade nicht detailliert genug in den Sinn kommen (Terminalserver-Lizenzserver funktioniert trotz funktionaler Konfiguration und Aktivierung der CALs nicht, unzählige Karteileichen, etc). Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..


Letztlich wäre mir eine Domäne ohne diese Vergangenheit am angenehmsten und damit zu den Fragen:
  • Nachdem die Migration nicht funktioniert: gibt es irgendeine Möglichkeit den neu angelegten Benutzern die Passwörter aus der alten Domäne zuzuweisen? Ich rede natürlich nicht von John etc. ich will die Passwörter ja nicht wissen, aber evtl. gibt es eine Datenbank ala /etc/shadow über die man eine Zuweisung machen könnte?

  • Es existiert ein Dateiserver mit ausgiebiger Rechtevergabe. Die Idee bestünde darin sich über icacls ein Script zu schreiben in dem man die alten SID der Benutzer mit den neuen austauscht um den Zugriff auch in der neuen Domäne wieder zu ermöglichen. Machbar? Sinnvoll? Oder gibt es da eine ganz andere Lösung für?


Danke vorab für Antworten, Anregungen, Anleitungen und dergleichen ;)
Mitglied: Coreknabe
14.06.2012, aktualisiert um 12:14 Uhr
Moin Jeremiah,

erst mal Glückwunsch zur neuen Aufgabe.

Da scheinbar einfachste Grundsätze (Default Domain Policy auch als Default belassen und dort NICHTS ändern) nicht eingehalten wurden und Du die Ursache für die Probleme nicht wirklich kennst, gibt es für mich nur eine logische Antwort auf Deine Fragen: Setze die Domäne komplett neu auf. Bei der Gelegenheit auch alles gleich sauber dokumentieren! Auf eine Migration würde ich verzichten, da Du möglicherweise Probleme gleich wieder mit ins neue System nimmst. Eine schrottige Datenbank, und nichts anderes liegt Dir ja scheinbar mit dem alten AD vor, wirst Du nicht ohne weiteres in ein tolles neues AD bekommen. Meiner bescheidenen Meinung nach, lasse mich gern eines Besseren belehren.

Alternativ kannst Du auch von einem Problem ins andere rennen und einige Dinge (zumindest meiner Erfahrung nach) sind Dir jetzt noch gar nicht aufgefallen und schlagen Dir in einigen Wochen erst ins Genick.
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012, aktualisiert um 13:06 Uhr
Hallo!
ganz kurz, weil ich im Stress bin:

mit LDIFDE.exe kannst Du Deine User exportieren
passwörter werden NICHT exportiert, Anleitung gibts im Netz massig...
[ich sollte aber dazusagen, dass ich das noch nie real durchgespielt habe, da ich es noch nicht gebraucht habe...]

Anschließend den Server neu aufsetzen und Domäne neu machen

mit LDIFDE die User wieder importieren

Zuletzt die Berechtigungen auf den Shares setzen
Wenn Du Glück hast, dann folgen Deine Usernamen einem Schema, sodass Du dies per Skript machen kannst...

Hier hätte ich ein Script, dass prüft, ob der Ordnername mit einem Usernamen aus dem AD übereinstimmt und anschließend bei Übereinstimmung den Besitzer des Ordners und aller Unterordner ändert.
http://www.schulnetz.info/besitzer-von-ordnern-per-skript-andern/

gutes Gelingen,
lg
Edi
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012 um 13:04 Uhr
Also ich würde die Domain auch neu machen wenn der Aufwand nicht zu gross ist. Bei 200+ Usern würde ich die alte Domain reparieren und eine Testmigration auf 2008 machen.

Um wieviel user bzw. Aufwand handelt es sich den ?

Wenn es mehr als 200 user sind würde ich die Default Domain Policy dokumentieren und zurücksetzen.
Dann schauen was ich wirklich von diesen einstellungen brauche und dafür neue Policys anlegen da man die Default Domain Policy nicht ändert.

Der Terminalserver lizenzserver sollte nicht das Problem sein der ist in ca. 15 min neu installiert und sollte dann funktionstüchtig sein.

Nach der Aktion würde ich eine Migration versuchen und schauen welche Fehler auftreten und ob die Migration so funktioniert das man ein ordentliches AD hat. Als erstes würde ich schauen wie die Remotedesktopuser gruppe heisst.
Sollte er den namen ~0 übernehmen würde ich das AD neu machen.

Bei neu machen würde ich mir überlegen ob ich nicht einen 2003 DC mache die Servicepacks einspiele die am alten Server installiert waren und die selbe Domain anlege. Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter kennen Gruppen und Verteiler neu machen usw.

Es gibt hierzu auch viele Artikel wie man die Daten Exportiert und importiert und auf was man achten muss.

LG
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 13:07 Uhr
Hallo Ausserwoeger!

Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du
ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter
kennen Gruppen und Verteiler neu machen usw.

womit würdest Du die Passwörter mitexportieren?

lg
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012, aktualisiert um 15:08 Uhr
Ich kann mich dunkel erinnern das es mit ADMT 3.1 mal gemacht wurde von meiner kollegen.Genaueres müsste ich erfragen.

hier die Anleitung des tools zum Download: http://www.microsoft.com/en-us/download/confirmation.aspx?id=19188

Seite 61

und hier das Tool selbst
http://www.microsoft.com/en-us/download/details.aspx?id=17918

Genauer gesagt macht das wird das mit einem zusatztool gemacht Microsoft Password Export Server version 3.1 (x86)
hier der link dazu:
http://www.microsoft.com/en-us/download/details.aspx?id=10370

LG
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 15:25 Uhr
Hallo und vielen Dank für die Tipps...
lg
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012 um 15:28 Uhr
Zitat von Edi.Pfisterer:
Hallo und vielen Dank für die Tipps...
lg

Falls du mich meinst bitte Gerne.
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 16:22 Uhr
Sorry, ja, ich meinte Dich, Ausserwoeger!
lg
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 16:53 Uhr
Oh, habe gerade gelesen:
Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..

Dann wird wohl wieder mein erster Tipp mit ldifde interessant...
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012 um 16:58 Uhr
Zitat von Edi.Pfisterer:
Oh, habe gerade gelesen:
> Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..

Dann wird wohl wieder mein erster Tipp mit ldifde interessant...

Schaut so aus oder man nimmt einfach einen User der Schema Admin rechte hat. bzw. volle Rechte auf das AD !

LG
Bitte warten ..
Mitglied: Jeremiah
15.06.2012 um 14:08 Uhr
Zitat von Coreknabe:
Zitat von Ausserwoeger:
Zitat von Edi.Pfisterer:


Dann danke auch nochmal von meiner Seite. Da durch Fluktuation einige Karteileichen existieren kann ich eben vorerst nur schätzen, es werden wohl so 80 bis 110 Benutzer sein.
Ich werde mir LDIFDE und Script mal anschauen und dementsprechend früher oder später Fragen bzw. Ergebnis mitteilen ;)

Ein schönes Wochenende
JJ
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Aufsetzen
gelöst Frage von WPFORGEWindows Server5 Kommentare

Ich habe mehrere Rechner bei Amazon (EC2). Diese laufen jeweils mit Windows Server 2016. Die IPs sind willkürlich. Nehmen ...

Microsoft
Start Skript GPO - AD - DC
gelöst Frage von SyncedMicrosoft2 Kommentare

Hallo, ich hab ein Skript erstellt das sieht so aus : echo off ::Erstellt eine OfficeKey.txt wo der Befehlt ...

Windows Server
Neuer DC, neue Domain - AD Replizieren
Frage von adrian138Windows Server8 Kommentare

Hallo zusammen, Ich habe einen 2012 r2 PDC welcher abgelöst wird. Neuer Server (2012 r2), neue Domain. Die alte ...

Exchange Server
Exchange migrieren oder neu aufsetzen?
Frage von Z006Exchange Server7 Kommentare

Hallo, da wir unsere Technik erneuern, wollen wir in diesem Zuge gleich mal die unmögliche DC/Exchange-Kombination auflösen. Der DC ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 2 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 22 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung25 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...