none
Default Domain Admin no rights to anything? /Default Admin hat keine Rechte? RRS feed

  • Frage

  • Hallo,

    Ich hab schon mehrfach das Problem gehabt das unter windows 10 1809 und Server 2016/2019 der Default Domänen Administrator nach dem anmelden an Clients und Servern keine Rechte hat. Der kann dann nicht mal die Desktopsymbole ändern

    "Dieser Account hat keine berechtigung ....rundll32 ..." <-- Nicht die exakte Meldung!

    Unter 2012 R2 und Windows 7 (ich meine auch Windows 10 vor 1809) konnte man mit dem Administrator noch alles machen?!

    Der Administrator wird einem bei der Grundinstallation angeboten (Passwort vergeben). Sobald man AD Rollen hinzufügt wird daraus ein Domänenadmin. Nach dem Neustart geht der Login (Domäne\Administrator) einwandfrei aber man hat keine Rechte auf nichts.... Die lokale Anmeldung an der Maschiene geht danach auch nicht mehr (lokalermaschinenname\Administrator)....

    Warum?

    Soll man sich einen zweiten Admin anlegen ?? und wie soll das gehen wenn der Adminsitrator keine Rechte mehr hat?

    Hi,

    i recently ran into the problem that the default domain adminstrator has no rights after login. It can't even change the ip address etc. I did encounter this on server 2016/19 and windows 10 1809.

    Why is that so?

    Am i supposed to create a seperate Admin and how do i do so since the defalt admin is promoted to a domain admin after applying AD Roles to the server. Login works but im unable to control the machine with the "domain\administrator" (local login to the machine is no longer possible)

    Danke Thank you

    Freitag, 1. März 2019 09:58

Antworten

  • Moin,

    ich glaube, Du vermischst hier einige Sachverhalte:

    • Auf einem Domain Controller gibt es grundsätzlich keine lokalen Benutzerkonten. Mitglieder von Domain Admins und Builitin\Administrators können einen DC verwalten.
    • Auf einer Maschine, die frisch dem AD beigetreten ist, gibt's *im Standard* weiterhin den lokalen Administrator, und der hat auf dieser Maschine weiterhin alle Rechte
    • Wenn Du durch Gruppenrichtlinien dem lokalen Administrator die Rechte entzogen hast, kannst Du sie ihm per Gruppenrichtlinien wieder geben
    • Domain-Admins kannst Du gar nicht "entrechten", Stichwort "Admin SD Holder"

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert BR0KK Montag, 7. Oktober 2019 07:22
    Donnerstag, 7. März 2019 20:10

Alle Antworten

  • Hallo,

    Es ist von Microsoft das empfohlene Vorgehen dem Domain Admin alle Rechte auf den Clients zu entfernen. Der Domain Admin hat anders als viele denken nicht die Aufgabe alles in der Domain zu administrieren sondern nur das AD auf oberster Ebene. Für alle anderen Arbeiten soll man Account verwenden welche dann nur genau dies notwendigen Berechtigungen haben.

    Hier mal die Dokumentation von Microsoft zu dem Thema

    https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material


    Benjamin Hoch
    MCSE: Data Platform & Data Management and Analytics
    MCSA: SQL Server 2012/2014 & 2016 DB Administration
    MCSA: Windows Server 2012

    Freitag, 1. März 2019 11:52
  • Das mag ja logisch sein aber warum wird der Administrator denn bei der Installation angeboten?

    Ich meine nach dem Setup und dem ersten Start wird man gefragt welches Passwort der Administrator (Das steht da ausgeschrieben) bekommen soll.

    Diesen Administrator (loaklemaschinenname\administrator) benutzt man ja um weitere Rollen und Features hinzuzufügen.

    Ich hab AD hinzugefügt und in der GUI steht nicht von einem Wechsel; bzw kein Hinweis; das der Administrator nachher keine Rechte mehr hat und auch nicht mehr lokal funktioniert.

    Wie soll man sich denn bitte einen seperaten "Admin" anlegen, wenn der einzige Zugang mit dem man das machen könnte nach dem Neustart des Servers keine Rechte mehr hat?

    Was ist denn best practice seitens MS?

    Donnerstag, 7. März 2019 11:01
  • Moin,

    ich glaube, Du vermischst hier einige Sachverhalte:

    • Auf einem Domain Controller gibt es grundsätzlich keine lokalen Benutzerkonten. Mitglieder von Domain Admins und Builitin\Administrators können einen DC verwalten.
    • Auf einer Maschine, die frisch dem AD beigetreten ist, gibt's *im Standard* weiterhin den lokalen Administrator, und der hat auf dieser Maschine weiterhin alle Rechte
    • Wenn Du durch Gruppenrichtlinien dem lokalen Administrator die Rechte entzogen hast, kannst Du sie ihm per Gruppenrichtlinien wieder geben
    • Domain-Admins kannst Du gar nicht "entrechten", Stichwort "Admin SD Holder"

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Als Antwort markiert BR0KK Montag, 7. Oktober 2019 07:22
    Donnerstag, 7. März 2019 20:10
  • Hallo

    Versuch mal in der Firewall die Dateifreigabe zu aktivieren. Ich hatte schon das Phänomen, dass ich als Admin keine Rechte hatte, auch die Systemsteuerung war nicht funktionsfähig. Der genaue Zusammenhang hatte sich mir damals auch nicht erschlossen, aber die Anpassung hatte Erfolg.

    Freitag, 8. März 2019 10:04
  • Ich habe die Installation gestern noch mal durchgespielt und siehe da nach den raise zum DC und den Neustart inkl. Anmeldung an Domäne  (contoso\administrator) bekomme ich wieder die Meldung das ich nicht genug Rechte besitze um z.B: die Eigenschaften der Netzwerkkarte zu verändern.

    Lokale Anmeldung (ich meine die Anmeldung an einem PC direkt ohne Domäne) also "windowspcname\administrator" wie vor dem DC raise geht nicht mehr.

    Mein Server heißt "srv19e"

    Meine Domäne heißt "contoso.local"

    Anmelden mit "srv19e\Administrator" (PW das ich bei der Installation vergeben habe). -> Kein Login möglich da nach Raise zum DC nicht mehr vorhanden!

    Anmelden mit "contoso\administrator" --> Kastriertes Profil

    Im AD einen neuen Benutzer anlegen und in die Admins aufnehmen

    Anmelden mit contoso\admin --> Volle Rechte?

    Vielleicht steh ich ja total auf dem Schlauch hier, aber ich verstehe nicht warum man das bei der Erstinstallation macht/ machen sollte?

    Ich installiere ja noch mehrere Dinge und stelle weitere Eigenschaften ein/um. Da kommt mir das kastrierte Profil in die quere ?!

    Ich bin ja auf dem DC und administriere diesen und nicht auf einem Client?

    Danke für deine Antwort :)



    • Bearbeitet BR0KK Freitag, 8. März 2019 16:28
    Freitag, 8. März 2019 16:20
  • Hab ich mal versucht aber das bring nichts. Die Einzige Möglichkeit die ich habe ist den Domänen Administrator über die Lokale Computerrichtlinie wieder freizuschalten.

    Danke trotzdem :)

    Freitag, 8. März 2019 16:22