Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kein Login als Domain-Admin mehr möglich

Mitglied: jsysde

jsysde (Level 2) - Jetzt verbinden

25.07.2011 um 22:07 Uhr, 10260 Aufrufe, 11 Kommentare

Moin moin,

mich treibt gerade ein merkwürdiges Phänomen um: Mit einem Schlag kann ich mich auf einem Windows 7 Prof nicht mehr als Domain-Admin anmelden, als lokaler Administrator bzw. als Domain-User hingegen schon.

Unser Netz mal kurz umrissen:
Mehrere Standorte deutschlandweit, LAN-LAN-Kopplung via IPSEC, Full-Mesh-Szenario. Domain läuft im 2003er Modus, als DCs kommen 2003R2 bzw. 2008R2 zum Einsatz. An Kleinststandorten mit nur einem oder zwei Usern existiert kein DC, an allen anderen Standorten schon. Im AD sind die Standorte ohne DC dem nächstgelegenen Standort zugeordnet (Subnetz). DNS, WINS, DHCP etc. alles zentral über die DCs/Server im RZ. Funktioniert soweit alles prima.

Heute fiel mir auf, das ein Windwos 7 Pro an einem der Standorte ohne DC die Updates unserer Security-Suite verweigert, also wollte ich mich -nachdem die Kollegin Feierabend gemacht hat- mal via RDP als Domain-Admin anmelden. Wir haben mehrere Domain-Admin Accounts, wobei die alle eine Kopie des ursprünglichen "Administrator"-Accounts sind, quasi pro Standort ein Account. Es dürfen auch nur Domain-Admins Rechner in die Domäne heben.

Aber: Die Anmeldung wird mir mit "Benutzername oder Kennwort sind falsch" verweigert!
Einmal vertippt hätte sein können, zweimal vielleicht grad noch so, aber ich bin mir zu 1000% sicher, dass ich Benutzernamen und Kennwort korrekt eingegeben habe.Trotzdem gelingt die Anmeldung nicht, Eventid 4625 in Kombination mit 4673 wird geloggt.

Client aus der Domain genommen, Computerkonto zurückgesetzt - beim Re-Join selbe Fehlermeldung: Benutzername oder Kennwort falsch bzw. unbekannt.

Also Client umbenannt, neu gestartet, und voilá, ich konnte ihn mit den vorher nicht funktionierenden Credentials wieder der Domain hinzufügen. Kiste hat auch brav die via GPO verteilte Software installiert und zieht auch alle sonstigen GPOs einwandfrei und ohne Fehler. Und nun kommts: Zwei Neustarts später wieder der gleiche Fehler, kein Login als Domain-Admin möglich, als Domain-User (mit lokalen Adminrechten via GPO) und lokaler Administrator hingegen schon.

Der Client zieht auch seine Loginskripts einwandfrei, Drucker und Laufwerke werden verbunden bei Benutzeranmeldung. Ich warte nun mal bis morgen die Replikation vollständig durch ist, fürchte aber, dass das nicht das Problem ist - der Client war ja vorher schon ne Weile in der Domäne und sein Computerkonto wurde sauber repliziert.

Ich stehe echt vor nem Rätsel und bin für Denkanstösse wirklich dankbar.

Cheers,
jsysde
Mitglied: clSchak
25.07.2011 um 22:26 Uhr
hast du es mal mit dem globalen Administrator-Account probiert - evtl. wird der "zuständige" Admin-Account nicht repliziert (hatten ein ähnliches Problem mit einem User-Account in Italien)
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 07:03 Uhr
hast du es mal mit dem globalen Administrator-Account probiert
Na sicher dat. Ich bin mal alle Domain-Admin-Accounts durchgegangen, nicht einer funktioniert.

Cheers,
jsysde
Bitte warten ..
Mitglied: holli.zimmi
26.07.2011 um 08:29 Uhr
Hi jsysde,

Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten

Dann versuchen sich als Admin anzumelden.

PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.

Gruss

Holli
Bitte warten ..
Mitglied: DerWoWusste
26.07.2011 um 11:20 Uhr
Hi.

Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout bei der Anmeldemaske (und evtl. auch in Windows) auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 11:24 Uhr
Lösungsvorschlag:
1. den Client aus der Domain herausnehmen ( lokal am PC als lokaler Admin ) und danach booten
2. im AD das entsprechende Computerkonto löschen
3. den Client wieder in die Domain aufnehmen und booten

Dann versuchen sich als Admin anzumelden.
Genau das habe ich ja bereits gemacht.


PS: das mit dem Computer zurücksetzen hat noch nie so richtig funktioniert bei MS, das ging schon bei NT nicht.
Diese Weisheit teile ich nicht.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
26.07.2011 um 11:25 Uhr
Ich vermute eher etwas Simples: Evtl. hat sich nach ein paar Tagen wieso auch immer das Tastaturlayout (und evtl. auch in Windows)
bei der Anmeldemaske auf englisch gestellt und dies zerhaut nun bestimmte Kennwörter, aber nicht alle.
Die Idee hatte ich als erstes, dem ist nicht so, denn

Schreib mal Dein Kennwort in die Zeile, wo eigentlich der Name reingehört, so dass Du das prüfen kannst.
auf diese Weise wird das Kennwort korrekt angezeigt.

Cheers,
jsysde
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 20:29 Uhr
Ich bin mittlerweile echt ratlos - bis vorgestern habe ich behauptet, wenn man bei der Windows-Anmeldung Benutzername und Kennwort richtig einbgibt, kann man sich auch anmelden. Dieses Phänomen revidiert diese Aussage, denn trotz zu 1000% richtiger Anmeldedaten erhalte ich die Fehlermeldung, das Benutzername und/oder Kennwort unbekannt sind.

Da dies "nur" die Anmeldung eines Domain-Admins betrifft, stellt sich die Frage:
Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?

Wireshark hat mir nicht wirklich weitergeholfen, auch die Eventlogeinträge bringen mich nicht weiter, zumal die sowieso nicht immer zutreffen. Help, anyone?

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 20:51 Uhr
Ein paar Tests sind naheliegend:
-Nimm den User aus der Domänenadmingruppe raus
-Mach einen bestehenden, funktionierenden zum Dom-Admin
-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut

Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)

Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 21:52 Uhr
-Nimm den User aus der Domänenadmingruppe raus
Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),

-Mach einen bestehenden, funktionierenden zum Dom-Admin
Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.

-Ändere das Kennwort eines bestehenden Domadmins auf das einfachst mögliche ABCxyz123 oder sowas und teste erneut
Das könnte ich noch probieren - wobei das bisherige Kennwort keine Sonderzeichen erhält, nur ASCII-Zeichen.

> Was unterscheidet den Login-Vorgang eines Domain-Admins von dem eines Domain-Users?
Mit Sicherheit gar nichts... so offiziell zumindest ;)
Ja, zu dieser Aussage habe ich mich auch schon mehrfach durchgegoogled.


Wenn's nix hilft: hau weg die Gurke. Was defekte Rechner für Zicken machen muss man ja nicht immer verstehen.
Das hatte ich noch nicht auf dem Radar: Ein defekter Rechner und damit wg. defekter Hardware auftretende Zickereien. Eigenlich naheliegend, aber wie das so ist, der Wald, die Bäume...

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 21:57 Uhr
-Nimm den User aus der Domänenadmingruppe raus

Dann funktioniert die Anmeldung, das hatte ich bereits probiert (mit der Kopie eines DomAdm-Accounts),
-Mach einen bestehenden, funktionierenden zum Dom-Admin

Auch getestet (mit meinem User), kann mich dann nicht mehr anmelden.

Hammer. Dennoch ist es ein Einzelfall, zum Glück. Keinen Kopf machen um sowas.

... wg. defekter Hardware auftretende Zickereien
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Bitte warten ..
Mitglied: jsysde
05.09.2011 um 12:19 Uhr
So war das nicht gemeint - hier ist defekte (OS-) Software schuldig, mit einiger Sicherheit. Neu installieren.
Späte Rückmeldung, sorry. Neu-Installation war dann der letzte Ausweg, keine Probleme mehr mit der Büchse.

Cheers,
jsysde
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
Domain Admin in andere OU verschieben?
gelöst Frage von SirTobi27Windows Userverwaltung4 Kommentare

Hallo zusammen, macht man sich Probleme wenn man den Domain Admin im AD in eine andere OU verschiebt? Der ...

Windows Server
Domain Admin GPOs
Frage von winlinWindows Server4 Kommentare

Hallöchen Leute, wir haben eine GPO-Rule welche auf alle Server/Clients in unserer Domäne verteilt ist. Nun gehe ich gerade ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer
Frage von BlueShadow9Windows Userverwaltung3 Kommentare

Hallo allerseits, ein Kollege und ich sind dabei, unser AD aufzuräumen. Bisher ist es so, dass es keine Domain ...

Windows Server
Lokaler Admin auf Server in Domain
gelöst Frage von DirmhirnWindows Server3 Kommentare

Hi, Die lokalen Admin Konten sind auf unseren Servern etwas Stiefmütterlich behandelt worden. Jetzt wollte ich das mal auf ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail6 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...