Active Directory - Wie kann man Comp.-Konto komplett löschen?

[barakuda]

Hallo FI's,

ich habe einen Riesenblödsinn gemacht.

In unserer Win2000 Domäne gibt es u.a. einen Proxy-Server mit Win2000 Pro Installation, ausserdem läuft auch noch ein Mailserver darauf. Dieser PC heisst "MAIL" und war Mitglied in der Domäne.

Zuhause habe ich auch einen Proxyserver und dieser heisst (weil er ebenfalls für mich die Mails abholt, ebenfalls "MAIL".

Ich bin zur Zeit am rumprobieren, wie man eine Verbindung über DFÜ an eine Windowsdomäne zustande bringt und da habe ich eben zu hause probiert, ob ich vielleicht meinen Proxyserver über eine DFÜ-Verbindung an die Firmen-Domäne anbinden kann (der Domänen-Controller in der Firma ist mit einem ISDN-Router verbunden, dieser hat eine feste ISDN-Rufnummer).

Dies hat auch geklappt, aber in dem Moment, als mich die Domäne als neues Mitglied begrüßt, bleibt mir fasst das Herz stehen, ich habe mit meinem Rechner zuhause das Computerkonto unsereres Mailservers überschrieben.

Nun habe ich heute morgen zwar das Konto wieder gelöscht, den Mail-Server aus der Domäne entfernt und wollte ihn neu einbinden und nun kommt die Meldung "Die Anmeldeinformationen stehen mit vorhandenen Informationen in Konflikt"

Hat jemand eine Ahnung, wie ich den Mail-Server wieder in die Domäne bekommme. Zur Zeit ist der Mail-Server nur in der Arbeitsgruppe vorhanden, was heisst, dass auch die ganzen Gruppen- und Benutzerberechtigungen, sowie Freigaben z.Zt. nicht greifen und unsere User können auf div. Ordner nicht zugreifen. Mail und Proxy funktioneren (wird mit IP-Adresse angesprochen)

Bin für jeden Hinweis dankbar

[Madlj]

Hi,

habe ähnliches Problem auch mit Rechnern bei uns gehabt. Also im Active Directory for Users and Computers gibt es ja den Punkt Computers. DA hast du das Konto gelöscht? Wenn nicht dann da löschen

Dann meldest du dich lokal an dem Server an. Der ist ja in der Arbeitsgruppe.

Dann auf Arbeitsplatz usw. Den Rechner in die Domäne aufnehmen. Der sollte jetzt nach dem Dom. Admin Passwort fragen. Wenn das alles passiert ist, sollte es auch wieder ein neues Computerkonto geben.

Habt Ihr 2 DCs?

MadLJ

[barakuda]

Vorab, wir haben nur einen DC.

Diese Schritte habe ich gemacht, Computerkonto gelöscht, lokal angemeldet, versucht mich wieder an der Domäne anzumelden und dann kommt dieser Dialog:

Computer konnte in der Domäne nicht angemeldet werden, da die Anmeldeinformationen mit vorhandenen Anmeldeinformationen in Konflikt liegen

Ich denke, da müßten noch wo anders Hinweise auf diesen Computer liegen, ich weiss aber nicht wo.

Vielleicht kennt von euch einer eine Stelle wo man nich Informationen (GUID etc.) entfernen kann.

Danke mal

Barakuda

[Madlj]

Hmmm,

ich habe da noch ne Idee. Ich habe das eben bei mir noch mal durchgespielt. Ich habe allerdings auch alle Benutzerprofile gelöscht auf dem Server, nicht auf dem DC, weiss nicht ob das daran liegen kann.

MadLJ

[barakuda]

@Madlj

Meinst du servergespeicherte Benutzerprofile oder die lokalen.

Falls Lokal, da gab es nur "Administrator"

[Madlj]

Ich hab alle auf dem Server zu sehenden Profile gelöscht bis auf das vom lokalen Admin. Das kann man so oder so nicht löschen.

Ob lokal oder servergespeichert da hab ich nicht drauf geachtet.

Es gab nachher aber nur noch das vom lokalen Admin.

MadLJ

[sekundus]

Hallo,

hast du keine Sicherung der AD vor der Aufnahme deines PC in die Domäne?

Dann könntest du einfach eine "autorisierte Wiederherstellung der AD" vornehmen und alles ist (theoretisch) wieder beim alten.

Grüße;

sekundus

[barakuda]

@ sekundus

Deine Idee ist gut, unser System wird jeden Tag gesichert inkl. Systemstat - reicht dies oder muss die AD separat gesichert worden sein?

Was ist eine "autorisierte Wiederherstellung der AD" wo/wie nehme ich die vor, habe davon noch nichts gehört

Danke dir

Barakuda

[masteryoda1047]

boote den DC von der Win2000CD, drücke F8 für erweiterte Bootoptionen nach dem POST-Screen, wähle "Active Directory wiederherstellen" aus. Dann brauchst du das Active-Directory Adminkennwort (das wird bei der Installation der AD eingerichtet), und kannst dann die AD wiederherstellen.

ALternativ solltest du dir mal das AD-Commandlinetool NTDSUTIL.EXE genauer anschauen, bin mir etz nicht sicher aber ich glaube das du hiermit auch AD-Sachen manuell bearbeien bzw. wiederherstellen kannst.

viel erfolg!

jörg

[sekundus]

Hallo,

der Vorgang ist mit Vorsicht zu genießen;

z.B. ist zu berücksichtigen, wieviele DCs in der Domäne vorhanden sind, ob der wiederherzustellende PC in einer OU eingerichtet wurde usw.

Grundsätzlich musst du so vorgehen, wie masteryoda das bereits beschrieben hat:

F8

Verzeichnisdienstwiederherstellung

ntdsutil/authoritative Restore (die AD wird auf den Zeitpunkt der Sicherung zurückgesetzt, alle nachher gemachten Änderungen gehen verloren! Du kannst die Änderungen ggf auf eine OU begrenzen).

Falls du einen anderen DC im Netz hast, werden die Änderungen bei der Replikation wiederhergestellt (wenn nicht...)

entweder restore Database oder restore subtree

Für dein weiteres Vorgehen würde ich die knowledgebase oder Technet zu Rate ziehen (wer lesen kann ist klar im Vorteil!).

Grüße;

sekundus

[wax108]

nur ein kleiner hinweis, am rande ich habe auch nciht alle artikel gelesen. die meldung mit dem in konflikt stehen ist auf jedenfall auch immer dann, wenn du netzlaufwerke hats, auf denen du unter anderem namen verbunden bist.