Hallo,

auf ein Windows 2003 DomainController wurde der Hauptadmin deaktiviert und es gibt noch ein 2. Admin, aber hierfür ist das Passwort unekannt.

Gibt es eine Möglichkeit wieder auf die Maschine zu kommen?

oder hilft nur noch drüber-bügeln :frown:

Es wird doch wohl sonst noch einer Domain Admin sein oder nicht?
Dann sollte es auch möglich sein über die AD Users & Computers Konsole das Passwort zurück zu setzen.

ich habe es im AD noch nie ausprobiert, würde es in einer produktiven umgebung auch nie testen. aber zumindest unter NT war der Domänen-Admin gleich dem lokalen Administrator des DCs, oder anders ausgedrückt der DC hatte keine lokalen Benutzer sondern nur Domänen-Accounts im gegensatz zu anderen Member Servern.

Per Linux PW Reset Disk könnte man also auf einem DC das passwort zurücksetzen. Ich kann mir aber gut vorstellen, dass man damit die AD replikation aus dem tritt bringt und danach gar nichts mehr geht.

wenn du es also testen willst weil euch kein anderer weg offen bleibt, dann mach es erst auf einer test domäne. aber ich kann mir echt nicht vorstellen, dass es nicht noch einen dom-admin gibt.

Gibt es denn kein Backup? Das ist zwar ne menge Arbeit, aber immernoch besser als das AD komplett zu verlieren.

Was vielleicht klappen könnte, wäre das PW auslesen und zu hacken.
Dazu brauchst du aber einen Account, der das Adminpw lesen darf (z.B. evtl. ein Backup Account), Glück (es muss ein kurzes, unsicheres PW sein) und ne menge Rechenpower.

jorge42[/POST]']ich habe es im AD noch nie ausprobiert, würde es in einer produktiven umgebung auch nie testen. aber zumindest unter NT war der Domänen-Admin gleich dem lokalen Administrator des DCs, oder anders ausgedrückt der DC hatte keine lokalen Benutzer sondern nur Domänen-Accounts im gegensatz zu anderen Member Servern.

Selbst bei NT gibt es böses Blut, wenn du das PW einfach so "extern" änderst, ich habs mal in einer Testumgebung probiert wo ein BDC auf einmal mit nem anderen Domainadminkennwort konfrontiert wurde :D
Ein AD-DC hat auch keine lokalen Konten, allerdings bezweifle ich, dass man das PW einfach so ändern kann. Es liegt ja nicht so richtig lokal auf dem DC sondern in dem ADS-Gebilde.
jorge42[/POST]']
Per Linux PW Reset Disk könnte man also auf einem DC das passwort zurücksetzen. Ich kann mir aber gut vorstellen, dass man damit die AD replikation aus dem tritt bringt und danach gar nichts mehr geht.

Damit kann man höchstens den lokalen Admin zurücksetzen.
Auf Domainkonten hat das keinen Einfluss, nichtmal wenns vom DC aus gemacht wird (auch schon Probiert ;)).

Gruß

littlejam[/POST]']Gibt es denn kein Backup? Das ist zwar ne menge Arbeit, aber immernoch besser als das AD komplett zu verlieren.

Was vielleicht klappen könnte, wäre das PW auslesen und zu hacken.
Dazu brauchst du aber einen Account, der das Adminpw lesen darf (z.B. evtl. ein Backup Account), Glück (es muss ein kurzes, unsicheres PW sein) und ne menge Rechenpower.


Selbst bei NT gibt es böses Blut, wenn du das PW einfach so "extern" änderst, ich habs mal in einer Testumgebung probiert wo ein BDC auf einmal mit nem anderen Domainadminkennwort konfrontiert wurde :D
Ein AD-DC hat auch keine lokalen Konten, allerdings bezweifle ich, dass man das PW einfach so ändern kann. Es liegt ja nicht so richtig lokal auf dem DC sondern in dem ADS-Gebilde.

Damit kann man höchstens den lokalen Admin zurücksetzen.
Auf Domainkonten hat das keinen Einfluss, nichtmal wenns vom DC aus gemacht wird (auch schon Probiert ;)).

Gruß
habs noch nicht probiert, war mir deshalb auch nicht sicher ob es wirklich klappt. aber davon abgeraten habe ich auf jeden fall:smile:

Wie schon ichtig beschrieben wird das bei einem DC nix mit Offline NT Password Editor oder Konsorten.
Kannst ja mal die Beschreibung hier (http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm) ausprobieren. Ich gebe aber keine Garantien, dass es funktioniert, da ich es bisher glücklicherweise noch nicht machen musste.

Hr Hr, der letzte Link funktionierte bei einem Windows 2K Server einwandfrei. Aber leider nicht bei meinen 2K3 DC.... Ich bin der Meinung, sobald ein Windows System auf dem Markt kommt, eine Art von Wettrennen beginnt unter den Linux-Freaks (<- keine Beleidigung), wie man solche "Maschinen" hacken kann. Wo Sicherheitslücken sind usw. Ich habe jetzt auch schon diverse Live-On CD´s ausprobiert und leider noch nicht erfolgreich gewesen. Hätte noch irgendeiner eine Idee?

der disaster recovery admin ist unbekannt? ...

Du meinst den Vogel, welcher das PW vergessen hat bzw. den kleinen post-it weggeschmissen hat?

Ja der ist bekannt, aber er ist nur Firmenbeauftrager (DAU) und hat 0 Ahnung.

nein, ich meine das konto, daß man beim einrichten eines dc unter win2k03 anlegen muß, und das nicht im ad geführt wird (kann also nicht gelöscht oder deaktiviert werden). [edit: "Administratorkennwort für ,Verzeichnisdienste wiederherstellen'"]

mittels reparaturkonsole (f8 beim booten) und diesem konto kriegt man eigentlich alles wieder hin.