17
Anmeldung Win7 nicht möglich nach Join Workgroupe
Hallo zusammen,
ich habe folgendes Szenario. Der PC hat sich innerhalb der Domain nicht mehr Verifizieren können und ich habe immer eine Fehlermeldung bekommen das der PC
keine Vertrauensstellung mit dem DC hat. Also habe ich ihn aus der Domain genommen und in die Workgroup eingestellt.
Leider habe ich vergessen vorher ein Admin anzulegen.
Jetzt komme ich mit dem Domain-PW nicht mehr in den Rechner.
Meine Versuche:
Starten der CMD über Computerreparatur und mit net user /add Paul 1234Test den Nutzer angelegt und mit net localgroup Paul /add
in die Gruppe der Admin aufgenommen.
Wenn ich jetzt net user mache ist er vorhanden, aber nicht mehr da wenn ich neu starte. Und eine Anmeldung mit dem Nutzer ist auch nicht möglich.
Ist das weil ich cmd nicht mit Admin-Rechte gestartet habe, sondern über die CMD der Reparatur?
Hat mir jemand ein Vorschlag wie ich noch ein Admin Konto hinzufügen kann?
Bzw ein vorhandenes Adminkonto, welches über eine GPO in der Domain ausgerollt worden ist, das Passwort ändern kann?
Danke für das Brainstorming
Viele Grüße
Andy
ich habe folgendes Szenario. Der PC hat sich innerhalb der Domain nicht mehr Verifizieren können und ich habe immer eine Fehlermeldung bekommen das der PC
keine Vertrauensstellung mit dem DC hat. Also habe ich ihn aus der Domain genommen und in die Workgroup eingestellt.
Leider habe ich vergessen vorher ein Admin anzulegen.
Jetzt komme ich mit dem Domain-PW nicht mehr in den Rechner.
Meine Versuche:
Starten der CMD über Computerreparatur und mit net user /add Paul 1234Test den Nutzer angelegt und mit net localgroup Paul /add
in die Gruppe der Admin aufgenommen.
Wenn ich jetzt net user mache ist er vorhanden, aber nicht mehr da wenn ich neu starte. Und eine Anmeldung mit dem Nutzer ist auch nicht möglich.
Ist das weil ich cmd nicht mit Admin-Rechte gestartet habe, sondern über die CMD der Reparatur?
Hat mir jemand ein Vorschlag wie ich noch ein Admin Konto hinzufügen kann?
Bzw ein vorhandenes Adminkonto, welches über eine GPO in der Domain ausgerollt worden ist, das Passwort ändern kann?
Danke für das Brainstorming
Viele Grüße
Andy
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 599699
Url: https://administrator.de/contentid/599699
Printed on: April 16, 2024 at 15:04 o'clock
17 Comments
Latest comment
Hallo,
was ist mit dem integrierten Adminkonto? Das schonmal aktiviert?
Und sonst: gibt es definitv keine anderen, lokalen Konten mehr?
Grüße
tomolpi
was ist mit dem integrierten Adminkonto? Das schonmal aktiviert?
Und sonst: gibt es definitv keine anderen, lokalen Konten mehr?
Grüße
tomolpi
Logisch das kein Domänenaccount mehr funktionieren kann wenn du den Computer aus der Domäne nimmst. Es gibt wahrscheinlich ungefähr ne Million Videos bei YouTube die dir erklären wie du unter Windows ein Passwort knackst.
Moin Andy,
Es gibt Tools die du du vom USB-Stick aus booten kannst, die dann das Kennwort zurücksetzen können bzw. auch neue User erstellen können. Ich glaube von Sysinternals gab es das auch.
Habe damit gute Erfahrungen gemacht.
Habe grade selbst nen Rechner aus der Domäne genommen. Es gibt einen expliziten Hinweis. Wie kann man das vergessen?
Gruß
Doskias
Hat mir jemand ein Vorschlag wie ich noch ein Admin Konto hinzufügen kann?
Es gibt Tools die du du vom USB-Stick aus booten kannst, die dann das Kennwort zurücksetzen können bzw. auch neue User erstellen können. Ich glaube von Sysinternals gab es das auch.
Habe damit gute Erfahrungen gemacht.
Leider habe ich vergessen vorher ein Admin anzulegen.
Habe grade selbst nen Rechner aus der Domäne genommen. Es gibt einen expliziten Hinweis. Wie kann man das vergessen?
Gruß
Doskias
Wenn du über die Computerreparatur gehst landest du in der Win PE Umgebung. Alles was dort konfiguriert wird, ist hinfällig nach einem Neustart.
Empfehlung: starte den Rechner mit einer Linux-Live-CD und gehe in das system32 Verzeichnis. Mache ein backup der Utilman.exe (utilman.exe.bak), kopiere die cmd.exe und nenne sie Utilman.exe.
Starte den Rechner und wähle rechts unten die Erleichterte Bedienung. Das sich nun geöffnete CMD-Fenster läuft mit "SYSTEM"-Rechten und gilt für das korrekte Betriebsystem. Mache jetzt deine cmd-Befehle oder aktiviere das Administratorkonto und logge dich ein.
Danach bitte UNBEDINGT die Änderungen rückgängig machen, sprich wieder mit Linux Live-CD booten, die falsche Utilman.exe löschen und die vorher gesicherte Utilman.exe.bak wieder korrekt in Utilman.exe umbenennen.
Seit jeher ist bekannt, dass die Utilman.exe vor dem Boot immer mit System-Rechten gestartet wird, das machst du dir hiermit zu nutze.
Wichtig: Muss mit Linux bzw. nicht-Windows Live CD sein, da die Windows Live CD die NTFS-Rechte beachtet und du die dann nicht ohne weiteres ändern kannst (man kann bestimmt mit irgendwelchen Befehlen die Rechte und Besitzt ändern, der Einfachheit mach das einfach mit einem Linux).
MfG
Empfehlung: starte den Rechner mit einer Linux-Live-CD und gehe in das system32 Verzeichnis. Mache ein backup der Utilman.exe (utilman.exe.bak), kopiere die cmd.exe und nenne sie Utilman.exe.
Starte den Rechner und wähle rechts unten die Erleichterte Bedienung. Das sich nun geöffnete CMD-Fenster läuft mit "SYSTEM"-Rechten und gilt für das korrekte Betriebsystem. Mache jetzt deine cmd-Befehle oder aktiviere das Administratorkonto und logge dich ein.
Danach bitte UNBEDINGT die Änderungen rückgängig machen, sprich wieder mit Linux Live-CD booten, die falsche Utilman.exe löschen und die vorher gesicherte Utilman.exe.bak wieder korrekt in Utilman.exe umbenennen.
Seit jeher ist bekannt, dass die Utilman.exe vor dem Boot immer mit System-Rechten gestartet wird, das machst du dir hiermit zu nutze.
Wichtig: Muss mit Linux bzw. nicht-Windows Live CD sein, da die Windows Live CD die NTFS-Rechte beachtet und du die dann nicht ohne weiteres ändern kannst (man kann bestimmt mit irgendwelchen Befehlen die Rechte und Besitzt ändern, der Einfachheit mach das einfach mit einem Linux).
MfG
Gibt nen schöneren Weg:
http://kunaludapi.blogspot.com/2016/03/powershell-rocks-rejoin-computer ...
Better luck next time.
Henere
http://kunaludapi.blogspot.com/2016/03/powershell-rocks-rejoin-computer ...
Better luck next time.
Henere
Danke. Sowas kommt ja immer mal wieder vor.
Zitat von @Henere:
Gibt nen schöneren Weg:
http://kunaludapi.blogspot.com/2016/03/powershell-rocks-rejoin-computer ...
Better luck next time.
Henere
Hilft bloß nicht, wenn kein lokaler Admin Account aktiviert ist. Geht ja nur um die Wiederherstellung der Vertrauensstellung.Gibt nen schöneren Weg:
http://kunaludapi.blogspot.com/2016/03/powershell-rocks-rejoin-computer ...
Better luck next time.
Henere
🖖
Alle lokalen Konten werden bei der Installation gelöscht und durch Domain-Kontos ersetzt.
Ein Administrator gibt es nur noch als GPO und User werden der Rolle zugewiesen. Dadurch soll ja genau das geschlossen werden was ich jetzt machen möchte und zwar ein lokalen Admin anlegen und dann wieder in die Domäne aufnehmen.
Grüße
Andreas46
Ein Administrator gibt es nur noch als GPO und User werden der Rolle zugewiesen. Dadurch soll ja genau das geschlossen werden was ich jetzt machen möchte und zwar ein lokalen Admin anlegen und dann wieder in die Domäne aufnehmen.
Grüße
Andreas46
Hallo LeeX01,
um ein Passwort zu knacken muss erst ein Nutzer vorhanden sein bei dem ich das Passwort knacken kann
Bei mir geht es darum ein Nutzer anzulegen und Adminrechte zu vergeben und das ohne im System zu sein.
Grüße
Andreas46
um ein Passwort zu knacken muss erst ein Nutzer vorhanden sein bei dem ich das Passwort knacken kann
Bei mir geht es darum ein Nutzer anzulegen und Adminrechte zu vergeben und das ohne im System zu sein.
Grüße
Andreas46
Moin,
Wie Du siehst, ist das Unsinn. Gar keinen lokalen aktiven admin zu haben, ist einfach Unsinn, auch wenn man ihn fast nie braucht. Aber eben nur fast.
Wat?
Wenn Du da Bedenken hast wegen knackbarer PWs, dann guck dir mal LAPS an. Hier kriegen die lokalen Admins jeden Tag ein neues 20 Zeichen langes zufälliges Passwort. Das kann man dann mit entsprechenden Rechten im AD per PS nachgucken, wenn man es mal braucht. Das Teilchen hat auch eine kleine GUI, wenn man die Konsole nicht so mag.
hth
Erik
Zitat von @Andreas46:
Alle lokalen Konten werden bei der Installation gelöscht und durch Domain-Kontos ersetzt.
Alle lokalen Konten werden bei der Installation gelöscht und durch Domain-Kontos ersetzt.
Wie Du siehst, ist das Unsinn. Gar keinen lokalen aktiven admin zu haben, ist einfach Unsinn, auch wenn man ihn fast nie braucht. Aber eben nur fast.
Ein Administrator gibt es nur noch als GPO und User werden der Rolle zugewiesen.
Wat?
Wenn Du da Bedenken hast wegen knackbarer PWs, dann guck dir mal LAPS an. Hier kriegen die lokalen Admins jeden Tag ein neues 20 Zeichen langes zufälliges Passwort. Das kann man dann mit entsprechenden Rechten im AD per PS nachgucken, wenn man es mal braucht. Das Teilchen hat auch eine kleine GUI, wenn man die Konsole nicht so mag.
hth
Erik
Hallo Samrein,
danke der Artikel hat geholfen und funktioniert.
Viele Grüße
Andreas46
danke der Artikel hat geholfen und funktioniert.
Viele Grüße
Andreas46
Support-IT
das werde ich auf jeden Fall auch noch ausprobieren.
Vielen Dank
Viele Grüße
Anreas46
das werde ich auf jeden Fall auch noch ausprobieren.
Vielen Dank
Viele Grüße
Anreas46
Keine Lokalen benutzer ist vollkommener Blödsinn. man sieht ja jetzt, was dabei rauskommen kann. Den lokalen Admin immer bestehen lassen und gerne auch mit einem Paswort versehen. Der muß ja nicht aktiviert sein. Aktivieren kann man ihn dann ja zur Not über ein Rettungsmedium, wenn es denn mal soweit sein sollte. Also: schnellstmöglich auf allen Rechnern einen lokalen Admin nachinstallieren.
🖖
🖖
Guten Morgen Eriko,
danke für den Tipp ich werde mir LAPS gleich mal anschauen.
Viele Grüße
Andreas46
danke für den Tipp ich werde mir LAPS gleich mal anschauen.
Viele Grüße
Andreas46
Ich möchte mich bei allen bedanken die mir hier ihr Wissen zur Verfügung gestellt haben
und freue mich auf weiteres Brainstorming mit euch
Vielen Dank
Andreas46
und freue mich auf weiteres Brainstorming mit euch
Vielen Dank
Andreas46
Zitat von @Andreas46:
Hallo LeeX01,
um ein Passwort zu knacken muss erst ein Nutzer vorhanden sein bei dem ich das Passwort knacken kann
Bei mir geht es darum ein Nutzer anzulegen und Adminrechte zu vergeben und das ohne im System zu sein.
Grüße
Andreas46
Hallo LeeX01,
um ein Passwort zu knacken muss erst ein Nutzer vorhanden sein bei dem ich das Passwort knacken kann
Bei mir geht es darum ein Nutzer anzulegen und Adminrechte zu vergeben und das ohne im System zu sein.
Grüße
Andreas46
Hi Andreas,
Zumindest der lokale Administrator sollte noch da sein (wenn auch deaktiviert), der lässt sich nämlich als Built-in Account nicht löschen und vielleicht der erste User wenn du da nicht blind gelöscht hast. Über diese Tools kannst du nicht nur die Accountpasswörter zurück setzen sondern auch die Accounts aktivieren. LAPS würde ich dir auch sehr ans Herz legen (nicht unbedingt mit täglichem Passwortwechsel), das hat viele Vorteile, vor allem weil man an Clients gar nicht mit Domänenadmins arbeiten sollte!!
Grüße und viel Glück