none
AD: Administrator deaktivieren RRS feed

  • Frage

  • Hallo,

    mir gelingt es nicht, das Adminstratorkonto in der AD eines ausgeschiedenen Kollegen zu deaktivieren. Ich erhalte immer die Meldung, dass mir die Rechte fehlen. Ich kann auch nicht die Remote-Einwahl-Einstellungen verändern. Die Domäne läuft unter Windows 2012.

    Ich habe selber Administratorrechte und mir ist nicht bewusst, dass ich sie eingeschränkt habe. Wie gehe ich vor?

    Danke!

    Karl


    • Bearbeitet mall3 Samstag, 2. November 2013 10:47
    Samstag, 2. November 2013 10:41

Antworten

  • Schau dir mal die Brechtigungen die ihr/ du auf das Konto habt unter dem Reiter Sicherheit an.

    Kann sein das dort die Domänen Admins nur mit Lesen drin stehen, und der Ex-Kollege mit Vollzugriff. Ist das so, dann müsst ihr euch die Rechte zum Vollzugriff geben, dann könnt ihr ihn auch löschen.

    Sollte das o.g. der Fall gewesen sein würde ich aber im AD auch auf die Suche nach weiteren ungereimtheiten/ Konten gehen. Die Schwäche dieser Sicherheitseinstellung ist nämlich die das auf diese Weise ganze Konten, Gruppen, OUs versteckt werrden können...

    Samstag, 2. November 2013 11:06
  • Wenn er an den Sicherheitsparametern rumgefummelt hat, und offensichtlich hat er das, kann er natürlich auch verhindern das das Konto deaktiviert wird, oder Änderungen daran vorgenommen werden.

    Du hättest jetz noch im ADSI Editor schauen können was mit dem Konto gemacht wurde. Evtl. kannst du das auch noch wenn du den AD Papierkorb anhast. Ich würde dir auf jeden Fall noch den 2. Absatz meiner 1. Antwort ans Herz legen.

    Markiere auch bitte für zukünftig suchende die beste Antwort als "Antwort", da kann man das zukünftig besser finden und muss nicht den ganzen Thread durchsuchen.

    Samstag, 2. November 2013 13:50

Alle Antworten

  • Schau dir mal die Brechtigungen die ihr/ du auf das Konto habt unter dem Reiter Sicherheit an.

    Kann sein das dort die Domänen Admins nur mit Lesen drin stehen, und der Ex-Kollege mit Vollzugriff. Ist das so, dann müsst ihr euch die Rechte zum Vollzugriff geben, dann könnt ihr ihn auch löschen.

    Sollte das o.g. der Fall gewesen sein würde ich aber im AD auch auf die Suche nach weiteren ungereimtheiten/ Konten gehen. Die Schwäche dieser Sicherheitseinstellung ist nämlich die das auf diese Weise ganze Konten, Gruppen, OUs versteckt werrden können...

    Samstag, 2. November 2013 11:06
  • Vielen Dank! Ich hatte tatsächlich keinen Vollzugriff. Aus der Gruppe der Domänenadministratoren ist das Konto nun entfernt, allerdings kann ich es weiterhin nicht deaktivieren. Meldung:

    "Die Zugriffsrechte reichen für diesen Vorgang nicht aus."


    • Bearbeitet mall3 Samstag, 2. November 2013 11:36
    Samstag, 2. November 2013 11:32
  • Dann musst du weiter in den Sicherheitseinstellungen suchen ob irgendein Eintrag fehlt, oder Zugriff verweigert wurde. Hast du schon versucht es zu löschen?
    Samstag, 2. November 2013 11:43
  • Löschen ging, war in dem Fall auch kein Problem. Aber warum funktioniert löschen und nicht das Deaktivieren?
    Samstag, 2. November 2013 11:48
  • Wenn er an den Sicherheitsparametern rumgefummelt hat, und offensichtlich hat er das, kann er natürlich auch verhindern das das Konto deaktiviert wird, oder Änderungen daran vorgenommen werden.

    Du hättest jetz noch im ADSI Editor schauen können was mit dem Konto gemacht wurde. Evtl. kannst du das auch noch wenn du den AD Papierkorb anhast. Ich würde dir auf jeden Fall noch den 2. Absatz meiner 1. Antwort ans Herz legen.

    Markiere auch bitte für zukünftig suchende die beste Antwort als "Antwort", da kann man das zukünftig besser finden und muss nicht den ganzen Thread durchsuchen.

    Samstag, 2. November 2013 13:50
  • Ist eventuell das Attribut "adminCount" auf 1 gesetzt bei dem dementsprechend ausgeschiedenen Kollegen?
    Sonntag, 3. November 2013 17:28
  • Das ist immer 1 wenn wenn er in der Gruppe der Domänen Admins war. Das erledigt der AdminSDHolder http://technet.microsoft.com/de-de/magazine/2009.09.sdadminholder.aspx#id0250006 .
    Sonntag, 3. November 2013 19:02
  • Auf das wollte ich auch anspielen, und von selbst wird ja der adminCount meines Wissens nicht wieder auf 0 gesetzt... Und daher kann es doch auch passieren dass man den Kollegen nicht bearbeiten / deaktivieren kann (?) Kann natürlich auch sein dass ich mich jetzt täusche.
    Sonntag, 3. November 2013 19:14
  • Ne, das hat damit nichts zu tun. Das ist am Ende nen normales Konto, eben mit dem "Flag" Admin gewesen/ zu sein. Spielt z.B. beim Exchange Active Sync eine Rolle (nur ein Beispiel, wo es häufig zu "Problemen" kommt.
    Sonntag, 3. November 2013 19:51