Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS 2011 einziger aktiver Administrator Account weg

Frage Microsoft Exchange Server

Mitglied: geo-id

geo-id (Level 1) - Jetzt verbinden

15.01.2015, aktualisiert 11:58 Uhr, 1109 Aufrufe, 12 Kommentare

Halli Hallo alle miteinander,

folgendes ist passiert:

Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
Hierdrin befand sich auch der einzige aktive Admin (nennen wir ihn Hans). Auch den habe ich aus dem Adressbuch gelöscht (irgendwo bei Eigenschaften von dem Adressbuch und dann Mitglieder).

Danach war ich auch noch ein wenig auf dem Server unterwegs (als besagter Admin (Hans) angemeldet).
Ich konnte auch alles machen und tun -wie gehabt.

Am Tag dadrauf gab es folgende Fehlermeldung im Bericht:

MSExchange RBAC Event-ID 23 13.01.2015 16:06:22 2
Ereignisdetails:
(Prozess w3wp.exe, PID 1352) "RBAC-Autorisierung ist wegen der Anwendungsausnahme System.Security.Principal.IdentityNotMappedException: Manche oder alle Identitätsverweise konnten nicht übersetzt werden. bei System.Security.Principal.SecurityIdentifier.Translate(IdentityReferenceCollection sourceSids, Type targetType, Boolean forceSuccess) bei System.Security.Principal.SecurityIdentifier.Translate(Type targetType) bei System.Security.Principal.WindowsIdentity.GetName() bei System.Security.Principal.WindowsIdentity.get_Name() bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.TryFindUserByWsManSenderDetails(WsManSenderDetails wsManSenderDetails, ADRawEntry& userEntry) bei Microsoft.Exchange.Configuration.Authorization.ExchangeAuthorizationPlugin.AuthorizeUser(IntPtr senderDetails, String& redirectURL) nicht verfügbar."

Leider kann ich diesen Fehler nicht so wirklich einer von mir gemachten Aktion zuweisen. Aber die Zeit müsste ungefähr mit meinem Aufräumen des GlobalenAdressbuches übereinstimmen.

Egal, auf jeden Fall wollte ich mich dann via Remote auf den Server einloggen.
Darauf hin meinte dieser, dass es den Benutzer Hans (also der Admin) nicht vorhanden sei. Da rutschte mir erst einmal das Herz in die Hose, aber gut, nichts bei gedacht und in den Serverraum. Hier wieder der Versuch ... aber auch hier kam die Meldung, dass es den Benutzer nicht geben würde.

Erst einmal war ich ratlos und habe ein wenig gegooglet. Bin dann auf die Remoteserver-Verwaltungstools aufmerksam geworden und habe die mal installiert.
Hier habe ich dann auch die Liste aller Benutzer unserer Domäne aufrufen können und besagter Hans (Admin) taucht dort nicht mehr auf.

Der Adminaccount is also weg.

Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??
Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?

Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!


Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.

Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind).


Schon einmal vielen lieben Dank für die Hilfe!!!!




\\edit:
Ich weiß inzwischen, dass Accounts nicht direkt gelöscht werden, sondern das vielmehr nen Tombstone angelegt wird, in dem viele Infos erhalten bleiben.
Jedoch habe ich das so verstanden, sollte ich nen Benutzer aus einem Tombstone wieder herstellen, ist der erst einmal deaktiviert.
Also, falls ich es schaffen sollte Hans wieder herzustellen (wobei ich nicht weiß wie, weil ich dafür wahrscheinlich Adminrechte brauch, um im ActiveDirectory was zu machen), wird er deaktiviert sein -oder?
Mitglied: Lochkartenstanzer
15.01.2015 um 12:02 Uhr
Zitat von geo-id:

Der Adminaccount is also weg.

Moin,

mein Beileid.


Jetzt stelle ich mir die Frage, kann ich den Admin Account, mit dem ich angemeldet bin überhaupt (aus sich selbst heraus
quasi) löschen und wenn ja, müsste ich danach nicht sofort abgemeldet werden??

Ja und nein.

Du bist Admin, also kannst Du (fast) alles. Und da Du noch gültige credentials hast, wirst Du auch nciht gleich rausgeworfen. es kann aber zu problemen kommen, wenn die credentials wieder geprüft werden müssen udn der Admin dann nciht mehr gefunden wird.


Ich war aber noch recht lange auf dem Server unterwegs als besagter Hans (nachdem ich Ihn aus der GlobalenAdressliste
gelöscht habe).
Kann man überhaupt den einzigen aktiven Admin löschen??

Offensichtlich ja.

Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?

Würde ich bei so einem Weichei-OS wie Windows eigentlich erwarten, aber ich habe nie das Experiment gewagt, alle Admins zu löschen.


Auf unserem SBS gibt es noch zwei weitere Accounts die da heißen Administrator und Administrator Administrator -die jedoch
beide deaktiviert sind.
Möchte ich mich jetzt via Remote oder Server direkt über einen der beiden Accounts anmelden (ich kenne Benutzername und
Kennwort) heißt es, dass die deaktiviert sein und ich den Systemadmin fragen soll... also quasi die Rechte des aktiven
Admins brauche um die deaktivierten zu aktivieren (was ja nicht geht, da Hans weg ist)!!!

Also war Hans doch nicht der letzte Admin auf dem System. Aber MS hat das Standard-Administratorenkonto aus gutem Grund deaktiviert. zu reaktivierun gbrauch tman leider Adminrechte.


Ich hoffe, ihr habt nachvollziehen können, was das Problem ist UND könnt mir helfen.

Vorweg, wir haben Sicherungen angelegt und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 InstallationsCD eine
Wiederherstellung von dem Tag machen, an dem es den Hans definitiv noch gab. Aber davor habe ich ein wenig Angst (auch weil alle
Daten seit Dienstag dann weg sind).


Das Wiederherstellen wird das einzig sinnvolle sein.

Allerdigns würde ich Dir raten, vorher die Kiste von einem live-System zu starten udn alle daten da drauf zu sichern. (ggf image-kopie). Damit kannst Du zumindest die dateien, die neuer sind, retten udn nach der Wiederherstellugn zurückspielen.

lks
Bitte warten ..
Mitglied: geo-id
15.01.2015 um 12:05 Uhr
Danke schon einmal für ne schnelle Antwort ...

Ja, so etwas war meine Befürchtung -also, dass es nur über die Wiederherstellung geht.

Meine Hoffnung:
Ich kann bei der Wiederherstellung sagen, was ich genau wieder herstellen möchte und da werde ich dann erst einmal nur das ActiveDirectory (AD) auswählen...
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2015 um 12:06 Uhr
Zitat von geo-id:

Danke schon einmal für ne schnelle Antwort ...

Ja, so etwas war meine Befürchtung -also, dass es nur über die Wiederherstellung geht.

Meine Hoffnung:
Ich kann bei der Wiederherstellung sagen, was ich genau wieder herstellen möchte und da werde ich dann erst einmal nur das
ActiveDirectory (AD) auswählen...

Mach aber trotzdem ein Vollbackup vorher.

lks
Bitte warten ..
Mitglied: keine-ahnung
15.01.2015 um 12:09 Uhr
Moin,
Ich habe über die ExchangeConsole das GlobaleAdressbuch ein wenig aufgeräumt.
offensichtlich! Was zum Geier fummelst Du beim SBS in den Einzelkonsolen rum, wenn Du von nix eine Ahnung hast??
Ich konnte auch alles machen und tun -wie gehabt.
Das ist die Schadensursache ...
Der Adminaccount is also weg.
Jupp.
Sollte SBS da nicht so was wie "Biste dir sicher, dass du den EINZIGEN aktiven Admin löschen willst??" fragen?
Das ist ein rechtliches Problem. Präventiv nur mit der Verhängung und Durchsetzung eines Hausverbotes für SBS-Spezialisten zu verhindern ....
und wenn alle Stricke reißen werden wir am Freitag via SBS 2011 ....
Jupp. IMHO der einzig machbare Weg ... Prinzipiell kannst in Windows 2008R2 einen neuen admin-account in der Konsole anlegen, aber eben nur für Windows. Der SBS-admin hat aber noch deutlich mehr Rechte für die vorhandenen Komponenten, das wirst Du Spezialist vermutlich nicht nachgebastelt bekommen.
Aber davor habe ich ein wenig Angst (auch weil alle Daten seit Dienstag dann weg sind
Das ist wie mit der Blondine und der Bananenschale auf dem Fussweg ... DANN SICHERE DIE DATEN UND SPIEL SIE NACH DEM RESTORE WIEDER EIN!!

LG, Thomas

mein Beileid
Hält sich bei mir in Grenzen !
Bitte warten ..
Mitglied: geo-id
15.01.2015 um 12:15 Uhr
Wenn auch recht ruppig geschrieben, trotzdem Danke.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.01.2015 um 12:16 Uhr
Zitat von keine-ahnung:

> mein Beileid
Hält sich bei mir in Grenzen !

Galt dem SBS.

lks
Bitte warten ..
Mitglied: sk-it83
15.01.2015 um 12:18 Uhr
Moin

wenn du das nächste mal willst das der Admin nicht in der globalen Adressliste auftaucht, geh in die AD und bearbeite im Attribut Editor "showInAdressBook"

Viel Erfolg beim Backup zurückspielen.

VG
Bitte warten ..
Mitglied: geo-id
15.01.2015, aktualisiert um 12:40 Uhr
Also halte ich mal fest:

- Eurer Meinung nach ist es möglich den User zu löschen, mit dem man gerade angemeldet ist (auch, wenn es sich dabei um den einzig aktiven Admin handelt).
- Man wird dann nicht automatisch abgemeldet sondern kann weiter auf dem System bleiben (obwohl es den User nicht mehr gibt).
- Obwohl es den Admin nicht mehr gibt kann ich Aktionen durchführen, die Adminrechte brauchen.


Einzige Möglichkeit um an den gelöschten Admin zu kommen:

- Sicherung wiederherstellen



Was mich noch stutzig macht:

- Ich habe neben dem Admin weitere Accounts aus der GlobalenAdressliste gelöscht -diese Accounts gibt es alle noch.
- Was hat es mit dieser besagten Fehlermeldung auf sich?


Also bleibt die Frage offen, WANN und WIE habe ich (?) mich selbst gelöscht?
Bitte warten ..
Mitglied: keine-ahnung
15.01.2015 um 12:48 Uhr
Also bleibt die Frage offen, WANN und WIE habe ich (?) mich selbst gelöscht?
Woher sollen wir das wissen?? Der Einzige, der dabei war bist Du ...
Man wird dann nicht automatisch abgemeldet sondern kann weiter auf dem System bleiben (obwohl es den User nicht mehr gibt).
Das AD wird jetzt nicht sekündlich synchronisiert ...

Mach das restore, alles andere wird beim SBS in die Hose gehen - und lerne daraus! Wenn man wenig Ahnung hat, fast man beim SBS, wenn überhaupt, nur die SBS-Konsole an.

LG, Thomas
Bitte warten ..
Mitglied: certifiedit.net
15.01.2015 um 12:53 Uhr
Hallo Geo,

das müsstest du entweder ergründen oder jemanden ( mit Adminrechten) an das System lassen um es nachzuvollziehen
Bitte warten ..
Mitglied: colinardo
15.01.2015, aktualisiert um 13:00 Uhr
Deaktivierte lokale Admin-Accounts lassen sich Offline in der Registry wiederbeleben:
http://www.administrator.de/contentid/239685

Ob das auf dem SBS geht kann ich aber gerade nicht sagen.

Grüße Uwe
Bitte warten ..
Mitglied: broecker
15.01.2015 um 13:35 Uhr
@colinardo: kurz: ja, das geht auch beim SBS

- offline über Linux-Live-CDs bootend läßt sich aber auch unproblematisch ein neuer echter Admin wieder anlegen (googlen), dann müssen GPOs nicht angepaßt werden.

Solche Verfahren lassen sich in Testinstallationen in VMs mit virtuellen ISOs schön üben.

Aber, und so würde ich auch die Restore-Empfehlungen unterstützen, daß hinterher ggf. Dienste umgestellt werden müssen, daher könnte der Gesamt-Aufwand gleich bleiben.

Restore sollte man erst einmal auf einem anderen System austesten, damit's nicht noch schlimmer wird?!

HG
Mark
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
SBS 2011 Serversicherung ist weg (5)

Frage von MiSt zum Thema Windows Server ...

Windows Server
gelöst SBS 2011 - Domäne (7)

Frage von MiSt zum Thema Windows Server ...

Windows Server
gelöst Einrichten SBS 2011 mit Hybrid Router (12)

Frage von stolli zum Thema Windows Server ...

Exchange Server
SBS 2011 Exchange Multidomain kein senden über Outlook möglich (1)

Frage von pla112 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...