re: Schutz vor Account Lockouts auch für andere Konten als “Administrator”?

Fabian Müller [MSFT] — Wed, 27 Aug 2008 16:06:28 GMT

Hallo Tobias,

normalerweise lassen sich Objekte mit einer RID kleiner „1000“ nicht löschen. Von daher muß etwas „unschönes“ bei der Migration oder danach passiert sein, wenn der Account nicht mehr vorhanden ist.

Es gibt keine offiziell dokumentierte Möglichkeit den ersten Administrator Account neu anzulegen. Auf der sicheren Seite ist man also, wenn man eine Migration in eine neue Domäne / einen neuen Forest vornimmt.

Grundsätzlich ist das Konto jedoch nicht zwangsläufig notwendig. Wenn etwa in der Domäne keine Account Lockout Policies eingesetzt werden, können andere Accounts mit den gewünschten administrativen Rechten ausgestattet werden, so daß das Fehlen des ersten Administrator-Accounts der Domäne nicht weiter „auffällt“. Wenn jedoch Account Lockout Policies eingesetzt werden, macht dieser Account in jedem Fall Sinn, da ansonsten bei einem Angriff alle vorhandenen Accounts „stillgelegt“ werden können.

Viele Grüße, Fabian

re: Schutz vor Account Lockouts auch für andere Konten als “Administrator”?

Tobias — Wed, 27 Aug 2008 12:39:29 GMT

Hallo,

vielen dank für den guten Beitrag! Ich habe mal zum Administrator Account eine Frage.

Was macht man denn wenn bei der Umstellung der Domain von NT4 auf Windows 2000 der Administrator Account gelöscht wurde?

Es scheint so das damals aufgrund von vermeindlicher Sicherheit der Administrator in der Domain gelöscht wurde. Es gibt zwar ein paar Domain Administrator Accounts aber keinen Account mit der SID 500 am Ende.

Ist die einzige Möglichkeit eine den Account zu "restoren" eine Migration in eine "neue" Domain oder gibt es andere Weg?

gruß

Tobias