PC aus Domäne verschwunden? - iB-InformatikBoard.ch

DarkLordSilver · Registriert seit: 24.11.2005

Ein seltsames Phänomen ist am Mittwoch bei einem Kunden aufgetreten. Es ist eine kleine Domäne, Win2k3, mit ca. 8 Usern, am Vortag wurde noch ein PDF-Drucker installiert, tags darauf funktionierten alle Stationen normal bis auf ein Laptop, dass nicht mehr in der Domäne war. Die User reklamierten, mein Chef hat dann gesehen, das der Laptop nicht mehr in der Domäne ist und im AD auch das Computerkonto weg war. Jedoch ist dort niemand, oder sollte zumindest niemand sein, der das Computerkonto löschen kann. Den PC hätte jeder User aus der Domäne nehmen können, da die alle lokale Admins sind, jedoch hat das ja nicht zur Folge, dass auch das Computerkonto weg ist. Wie und unter welchen Umständen kann so ein Node noch spurlos aus der Domäne verschwinden? Mir ist's ein Rätsel, wie das passieren kann, ausser jemand hat das mutwillig und von Hand gemacht.

Gree DLS

**swizz** · 09.06.2006, 13:14

Hm, was mir an Automatiken in den Sinn kommt ist lediglich die Tombstone-Funktion (http://www.microsoft.com/technet/pro...4cf081ff7.mspx).
Auch mit lokalen Adminrechten kann man einen PC nicht aus der Domäne nehmen, da ist das Domain-Admin-Konto gefragt (oder in Konto welches PC in und aus der Domäne nehmen kann).

DarkLordSilver · 09.06.2006, 14:01

Ja, aber als lokaler Admin kannst du den PC einfach in eine Workgroup verschieben, dass kommt ja damit gleich, dass man nicht mehr an der Domäne anmelden kann.

Und die Tombstone Funktion kann es auch nicht sein, denn so wie ich das verstanden habe, bezieht sich das auf gelöschte Objekte bei Replikationen.

**gscht** · 09.06.2006, 14:17

Selbst wenn der PC aus einer Domäne genommen wird, verschwindet dieser nicht einfach so aus dem AD. Ist aber schon wunderlich....

DarkLordSilver · 09.06.2006, 14:25

Das finde ich eben auch ... ev. gehe ich heute nochmals vorbei und schaue die Sache nochmals an. Gibt es irgendwelche Spuren die man hinterlässt, wenn man solche Änderungen vornimmt? Ich kann mir schon vorstellen, das dort was gebastelt wurde.

**gscht** · 09.06.2006, 14:39

Zitat:

Original geschrieben von DarkLordSilver
Das finde ich eben auch ... ev. gehe ich heute nochmals vorbei und schaue die Sache nochmals an. Gibt es irgendwelche Spuren die man hinterlässt, wenn man solche Änderungen vornimmt? Ich kann mir schon vorstellen, das dort was gebastelt wurde.

Kann ich dir so nicht sagen. Ich würde jedoch sicher mal im AD nach diesem PC suche, damit du sicher bist das dieser auch gelöscht wurde. Evtl. siehst du im Ereignisprotokoll etwas. Viel Erfolg und halt uns auf dem laufenden....

**swizz** · 09.06.2006, 14:41

Zitat:

Original geschrieben von DarkLordSilver
Ja, aber als lokaler Admin kannst du den PC einfach in eine Workgroup verschieben, dass kommt ja damit gleich, dass man nicht mehr an der Domäne anmelden kann.

Dennoch brauchst Du Domain-Adminrechte (resp. eben Rechte um Computerkonten zu erstellen und zu löschen) um den PC einer Arbeitsgruppe beizufügen, denn damit muss er zuerst aus der Domäne (siehe Anhang). Und sonst haben eure Benutzer zuviele Rechte...

Zitat:

Original geschrieben von DarkLordSilver
Und die Tombstone Funktion kann es auch nicht sein, denn so wie ich das verstanden habe, bezieht sich das auf gelöschte Objekte bei Replikationen.

Hab das auch mehr als Beispiel verstanden für automatische Änderungen.

**swizz** · 09.06.2006, 14:42

Anhang...

Maverick · 09.06.2006, 14:44

Drück da mal Enter und schau was passiert.... zu 95% wird dann dein Computer in die Workgroup verschoben.

**zer00** · 09.06.2006, 15:25

Schau mal im Eventlog des DC's ob da Kontenverwaltungs Einträge vorhanden sind.

grz zer00

DarkLordSilver · 09.06.2006, 17:06

Zitat:

Original geschrieben von Maverick
Drück da mal Enter und schau was passiert.... zu 95% wird dann dein Computer in die Workgroup verschoben.

Hatte das auch so in Erinnerung ... ^^

Ich probier's dann mal

Das eventlog werd ich anschauen...

Danke vielmals für die Inputs