Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DC und AD durch GPO verhunzt - neues AD aufsetzen erforderlich?

Frage Microsoft Windows Server

Mitglied: Jeremiah

Jeremiah (Level 1) - Jetzt verbinden

14.06.2012, aktualisiert 11:53 Uhr, 3794 Aufrufe, 11 Kommentare

teils unbestätigte Infos vorab:
- Domäne existiert seit NT4 und wurde im Laufe der Zeit über w2k und w2k3 nun auf w2k8 r2 aufgestuft
- Default Domain Policy umfasste 200 Seiten, durch eine unbekannte Ursache wurden Ownership und Rechte auf unzählige Systemdateien gesetzt ala c:\windows\system32\mqsvc.exe

Hallo zusammen,

vorab entschuldige ich mich für die Wall-of-Text In dieser Domäne 'darf' ich nun administrieren und liste erstmal ein paar der auffälligsten Probleme bevor ich die oben genannte Frage aufgreife:

  • Wenn ich unter der alten Default Domain Policy Windows7 Rechner zur Domäne zufüge, können diese per DHCP keine IP übernehmen. Dies scheint ein Rechteproblem zu sein und führe ich auf den zweiten Punkt aus dem Vorwort - denn nach einiger Recherche brachte mir folgendes Abhilfe: auf dem betroffenen PC "NT-AUTORITÄT\LOKALER DIENST" und "NT-AUTORITÄT\NETZWERKDIENST" der Administratorengruppe zuzufügen. Nach einem Neustart kann der Client die ihm angebotene IP-Konfiguration per DHCP auch tatsächlich nutzen.

  • auf dem DC können diverse Eventlogs nicht genutzt werden (Anschauen Pfade, anpassen, reset, etc.) da der Zugriff verweigert wird. Betroffen sind unter anderem die Logs von: DNS Server, File Replication Service, Microsoft-Windows-DiskDiagnosticDataCollector/Operational.. Entsprechend sind die Einträge wie hier im technet behandelt. Ich werde das Gefühl nicht los, dass hier ebenfalls der zweite Punkt aus dem Vorwort greift, auch wenn das nur ein Bauchgefühl ist und bisher nicht bewiesen werden konnte.

  • Die Builtin Gruppe Remote Desktop Users heißt Remote Desktop Use~0 und verweigert den Mitgliedern leider ihre Funktion des Remote logon. Als Builtin Gruppe ist diese ja nicht änderbar, mögliche Ursachen sind wohl das Aufstufen der Domänenfunktionsebene und/oder das Vorhandensein der Gruppe vor dem dcpromo


Es gibt weitere Punkte, die mir gerade nicht detailliert genug in den Sinn kommen (Terminalserver-Lizenzserver funktioniert trotz funktionaler Konfiguration und Aktivierung der CALs nicht, unzählige Karteileichen, etc). Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..


Letztlich wäre mir eine Domäne ohne diese Vergangenheit am angenehmsten und damit zu den Fragen:
  • Nachdem die Migration nicht funktioniert: gibt es irgendeine Möglichkeit den neu angelegten Benutzern die Passwörter aus der alten Domäne zuzuweisen? Ich rede natürlich nicht von John etc. ich will die Passwörter ja nicht wissen, aber evtl. gibt es eine Datenbank ala /etc/shadow über die man eine Zuweisung machen könnte?

  • Es existiert ein Dateiserver mit ausgiebiger Rechtevergabe. Die Idee bestünde darin sich über icacls ein Script zu schreiben in dem man die alten SID der Benutzer mit den neuen austauscht um den Zugriff auch in der neuen Domäne wieder zu ermöglichen. Machbar? Sinnvoll? Oder gibt es da eine ganz andere Lösung für?


Danke vorab für Antworten, Anregungen, Anleitungen und dergleichen ;)
Mitglied: Coreknabe
14.06.2012, aktualisiert um 12:14 Uhr
Moin Jeremiah,

erst mal Glückwunsch zur neuen Aufgabe.

Da scheinbar einfachste Grundsätze (Default Domain Policy auch als Default belassen und dort NICHTS ändern) nicht eingehalten wurden und Du die Ursache für die Probleme nicht wirklich kennst, gibt es für mich nur eine logische Antwort auf Deine Fragen: Setze die Domäne komplett neu auf. Bei der Gelegenheit auch alles gleich sauber dokumentieren! Auf eine Migration würde ich verzichten, da Du möglicherweise Probleme gleich wieder mit ins neue System nimmst. Eine schrottige Datenbank, und nichts anderes liegt Dir ja scheinbar mit dem alten AD vor, wirst Du nicht ohne weiteres in ein tolles neues AD bekommen. Meiner bescheidenen Meinung nach, lasse mich gern eines Besseren belehren.

Alternativ kannst Du auch von einem Problem ins andere rennen und einige Dinge (zumindest meiner Erfahrung nach) sind Dir jetzt noch gar nicht aufgefallen und schlagen Dir in einigen Wochen erst ins Genick.
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012, aktualisiert um 13:06 Uhr
Hallo!
ganz kurz, weil ich im Stress bin:

mit LDIFDE.exe kannst Du Deine User exportieren
passwörter werden NICHT exportiert, Anleitung gibts im Netz massig...
[ich sollte aber dazusagen, dass ich das noch nie real durchgespielt habe, da ich es noch nicht gebraucht habe...]

Anschließend den Server neu aufsetzen und Domäne neu machen

mit LDIFDE die User wieder importieren

Zuletzt die Berechtigungen auf den Shares setzen
Wenn Du Glück hast, dann folgen Deine Usernamen einem Schema, sodass Du dies per Skript machen kannst...

Hier hätte ich ein Script, dass prüft, ob der Ordnername mit einem Usernamen aus dem AD übereinstimmt und anschließend bei Übereinstimmung den Besitzer des Ordners und aller Unterordner ändert.
http://www.schulnetz.info/besitzer-von-ordnern-per-skript-andern/

gutes Gelingen,
lg
Edi
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012 um 13:04 Uhr
Also ich würde die Domain auch neu machen wenn der Aufwand nicht zu gross ist. Bei 200+ Usern würde ich die alte Domain reparieren und eine Testmigration auf 2008 machen.

Um wieviel user bzw. Aufwand handelt es sich den ?

Wenn es mehr als 200 user sind würde ich die Default Domain Policy dokumentieren und zurücksetzen.
Dann schauen was ich wirklich von diesen einstellungen brauche und dafür neue Policys anlegen da man die Default Domain Policy nicht ändert.

Der Terminalserver lizenzserver sollte nicht das Problem sein der ist in ca. 15 min neu installiert und sollte dann funktionstüchtig sein.

Nach der Aktion würde ich eine Migration versuchen und schauen welche Fehler auftreten und ob die Migration so funktioniert das man ein ordentliches AD hat. Als erstes würde ich schauen wie die Remotedesktopuser gruppe heisst.
Sollte er den namen ~0 übernehmen würde ich das AD neu machen.

Bei neu machen würde ich mir überlegen ob ich nicht einen 2003 DC mache die Servicepacks einspiele die am alten Server installiert waren und die selbe Domain anlege. Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter kennen Gruppen und Verteiler neu machen usw.

Es gibt hierzu auch viele Artikel wie man die Daten Exportiert und importiert und auf was man achten muss.

LG
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 13:07 Uhr
Hallo Ausserwoeger!

Die User dann aus dem alten AD exportiere und in das neue importiere. Wie gesagt nur wenn sich der Aufwand lohnt. Nachdem du
ein schönes 2003 AD hast würde ich dann die Migration auf 2008 machen. So musst du nicht alle User neu Anlegen passwörter
kennen Gruppen und Verteiler neu machen usw.

womit würdest Du die Passwörter mitexportieren?

lg
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012, aktualisiert um 15:08 Uhr
Ich kann mich dunkel erinnern das es mit ADMT 3.1 mal gemacht wurde von meiner kollegen.Genaueres müsste ich erfragen.

hier die Anleitung des tools zum Download: http://www.microsoft.com/en-us/download/confirmation.aspx?id=19188

Seite 61

und hier das Tool selbst
http://www.microsoft.com/en-us/download/details.aspx?id=17918

Genauer gesagt macht das wird das mit einem zusatztool gemacht Microsoft Password Export Server version 3.1 (x86)
hier der link dazu:
http://www.microsoft.com/en-us/download/details.aspx?id=10370

LG
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 15:25 Uhr
Hallo und vielen Dank für die Tipps...
lg
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012 um 15:28 Uhr
Zitat von Edi.Pfisterer:
Hallo und vielen Dank für die Tipps...
lg

Falls du mich meinst bitte Gerne.
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 16:22 Uhr
Sorry, ja, ich meinte Dich, Ausserwoeger!
lg
Bitte warten ..
Mitglied: Edi.Pfisterer
14.06.2012 um 16:53 Uhr
Oh, habe gerade gelesen:
Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..

Dann wird wohl wieder mein erster Tipp mit ldifde interessant...
Bitte warten ..
Mitglied: Ausserwoeger
14.06.2012 um 16:58 Uhr
Zitat von Edi.Pfisterer:
Oh, habe gerade gelesen:
> Unter anderem scheitert das ADMT (migration Tool) wegen mangelnder Rechte..

Dann wird wohl wieder mein erster Tipp mit ldifde interessant...

Schaut so aus oder man nimmt einfach einen User der Schema Admin rechte hat. bzw. volle Rechte auf das AD !

LG
Bitte warten ..
Mitglied: Jeremiah
15.06.2012 um 14:08 Uhr
Zitat von Coreknabe:
Zitat von Ausserwoeger:
Zitat von Edi.Pfisterer:


Dann danke auch nochmal von meiner Seite. Da durch Fluktuation einige Karteileichen existieren kann ich eben vorerst nur schätzen, es werden wohl so 80 bis 110 Benutzer sein.
Ich werde mir LDIFDE und Script mal anschauen und dementsprechend früher oder später Fragen bzw. Ergebnis mitteilen ;)

Ein schönes Wochenende
JJ
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...