Windows Server 2012 | Active Directory Konto mit Namen vorhanden, Sicherheitsrichtlinie blockiert

[KoTm]

Hallo liebe Leute,

ich stehe vor folgendem Problem, bei dem ich im Netz leider nichts finde:

Wir haben einen Windows Server 2012 als DC im Einsatz, ich bin außerhalb des Netzwerks mit VPN verbunden und habe Zugriff auf den Server. Der PC war als Zweitrechner (Laptop) mit einem vorhanden Nutzer bereits in der Domäne beigetreten.
Jetzt habe ich zu Testzwecken die Domäne mit diesem Laptop verlassen und wollte eben wieder beitreten, da kommt die Meldung:

"In Active Directory ist ein Konto mit diesem Namen vorhanden. Die erneute Verwendung des Kontos wurde durch eine Sicherheitsrichtlinie blockiert. "

Mit einem neuen Benutzer komme ich rein. Liegt es also wahrscheinlich an der bestehenden Verknüpfung zwischen Benutzer und Computer?

Kann ma die "Sicherheitsrichtlinie", die eine doppelte Nutzung an zwei Geräten verhindert, identifizeren und ggf. abschalten?
Vorher waren ja auch beide Rechner mit dem gleichen Benutzer beigetreten.

Danke für jede Hilfe!

 

[DocWindows]

@KoTm Du musst doch lediglich das Computerkonto im ActiveDirectory mit dem MMC Snapin suchen und löschen. Dann kannst du mit dem Laptop wieder beitreten. Oder du trittst mit einem anderen Computernamen bei.

 

[Masamune2]

Lösch das Computerkonto raus dann kannst du den Rechner auch wieder hinzufügen (alternativ umbenennen)

 

[redjack1000]

Das könnte die Lösung sein

https://support.microsoft.com/de-de... Verwendung des Kontos,log protokolliert wird.

CU
redjack

 

[KoTm]

Danke für die superschnellen Antworten! Gesagt, getan! Hat auch geklappt;
Jetzt kommt was Neues: "Das Konto existiert bereits."

Das Konto unter C:\Users habe ich bereits umgenannt, Meldung kommt weiterhin.

Ziel ist es übrigens, das ich die installierten Programme auf dem Laptop mit den individuellen Usereinstellungen etc. mit dem richtigen User wieder öffnen kann. Daher reicht es leider nicht mit einem anderen User der Domäne beizutreten.

 

[Sebbi]

Das Konto unter C:\User

mit Konto ist das Computerkonto in der Domäne gemeint, nicht das Benutzerkonto auf dem Rechner / Domänenuser

 

[redjack1000]

Ich verstehe etwas nicht, was hat das ändern des Computernamen mit "c:\users" zu tun?

Cu
redjack

 

[Masamune2]

Das Benutzerkonto hat mit dem Dom join erst mal nichts zu tun. Der Computername und das entsprechende Objekt im AD sind relevant.

 

[KoTm]

okay, aber was soll ich mit dem Benutzerkonto auf der Domäne machen? Wenn ich es lösche komme ich doch erstrecht nicht mehr rein?

 

[Sebbi]

Wenn ich es lösche komme ich doch erstrecht nicht mehr rein?

du löschst das Computerkonto deines Testrechners in der Domäne und machst erneut den Domänenjoin mit einen Lokalen Admin auf dem Testrechner und deinen Domänenadmin Credentials . Der Domänenjoin erzeugt dann automatisch ein neuen Computerkonto.

Denn scheinbar hat der Admin eurer Domäne festgelegt, so wie es auch in der Fehlermeldung steht, das ein Rechner nicht mit einen Rechnernamen der Domäne beitreten darf, wenn der Rechnername schon existiert. Das dient der Härtung und verhindert das Ausnutzen der SID des Computerkontos.

Edit:

wenn du nicht weiß, was du tust, spich dich lieber mit den Admins ab zum Testen, alleine schon der Leave sollte ja mit denen abgesprochen worden sein oder?

 

[redjack1000]

Bevor du irgendetwas kaputt machst, was genau hast Du vor? Beschreibe es vollständig.

Cu
redjack

 

[KoTm]

ich möchte wieder der Domäne beitreten, mit meinen alten Nutzerdaten. Ziel ist es wieder die Programme öffnen zu können, welche ich vorher auf dem Laptop installiert habe mit diesem Domänebenutzer.

Admin gibts leider nicht. Alles mehr oder weniger Eigeninitiative.

 

[redjack1000]

Dann folge #2 oder #3 oder #4 oder #10

Beachte, in allen Beiträgen war nicht einmal die Rede von "Benutzerkonto" sondern immer von "Computerkonto".

Diese arbeiten werden "ausnahmslos" auf dem DC ausgeführt.

Cu
redjack

 

[KoTm]

Denn scheinbar hat der Admin eurer Domäne festgelegt, so wie es auch in der Fehlermeldung steht, das ein Rechner nicht mit einen Rechnernamen der Domäne beitreten darf, wenn der Rechnername schon existiert. Das dient der Härtung und verhindert das Ausnutzen der SID des Computerkontos.

Kann man das ausschalten? Wäre das einfachste, wir haben hier insgesamt 5 Rechner. Alles kein großes Netzwerk.

 

[Sebbi]

Kann man das ausschalten?

Wende dich an den Admin bzw an den, der das aufgesetzt und konfiguriert hat

 

[KoTm]

Der Tipp mit dem Computer in der Domäne löschen hat geklappt! Danke! Ich hatte es erst nur deaktiviert, das hatte nicht gereicht!

Sorry für die wenige Kompetenz in dieser Thematik unsererseits! Mir ist bewusst, dass wir zu wenig Domäne bzw. Server Erfahrungen haben, brauchen aber für einige Anwendungen leider dennoch diesen Netzwerkaufbau. Bei einem 3 Mann/Frau-Betrieb ist leider auch kein "Admin" vorhanden und wir können nicht unbegrenzt auf Externe Partner zugreifen. Trotzdem vollkommen richtig, dass ihr darauf hinweißt, bevor etwas kaputt geht!

Danke nochmals und einen schönen Abend noch! Ihr habt mir sehr geholfen!

 

[Sebbi]

Sorry für die wenige Kompetenz in dieser Thematik unsererseits! Mir ist bewusst, dass wir zu wenig Domäne bzw. Server Erfahrungen haben, brauchen aber für einige Anwendungen leider dennoch diesen Netzwerkaufbau.

Dann bitte einlesen in die Thematik, wenn ihr das professionell benötigt und nicht auf die entsprechdenden Personen zugreifen könnt.

Am besten aus meiner Sicht dafür wäre:

Microsoft Windows Server 2003 Active Directory-Infrastruktur - 70-294

Auch wenn Server 2003 veraltet ist, die Gundstruktur ist gleichgeblieben und man kann gut Parallelen ziehen um Grundkenntnisse zu erwerben.
Außerdem ist das alles recht günstig zu erhalten