Чи можна відновити права адміністратора на випадково знижений обліковий запис домену без доступу до контролера домену?

0

У мене є старий XP Pro машина, яка належала до давно мертвого домену. Я мав обліковий запис адміністратора на машині, що дозволило мені ефективно використовувати його, якщо це нечасто, у роумінг-профілі.

У мене також є облікові записи місцевих адміністраторів.

Помилково, мені вдалося знизити обліковий запис домену до звичайного користувача (я знаю ...), і тепер я заблокований з файлів, які були збережені в папках користувача (додаткові модулі Office, настройки програм тощо).

Схоже, що зниження рейтингу позначило їх як недоступні (або навіть зняли деякі, що викликає занепокоєння), і тому я більше не можу їх одержати. Крім того, GPO (?) Вимагає, щоб деякі програми працювали з правами адміністратора, тому я не можу отримати до них доступ і конфіг, який був прив'язаний до старого облікового запису адміністратора (SSMS і т.д.).

Що я спробував

  • Якщо я ввійду в систему як місцевий адміністратор, я не можу оновити стандартний обліковий запис домену від звичайного адміністратора XP Pro, оскільки він показує лише локальні облікові записи та групи.

  • Якщо я ввійду в систему як стандартний користувач домену, я не можу отримати доступ до будь-якого адміністратора облікового запису домену, як я хотів це зробити, а підвищення привілеїв дозволяє мені переглядати місцеві облікові записи ще раз.

  • Якщо я намагаюся використовувати будь-які інструменти AD (dsa.msc), то я отримую кілька помилок, пов'язаних з відсутнім контролером домену.

Я можу використовувати живий компакт-диск для доступу до "заблокованих" файлів і витягувати їх, але є чимало файлів і багато додатків, які я хотів би знову правильно використовувати.

Ніщо не має критичного значення, але було б добре відновити попередній доступ і функціональність.

windows-xp  user-accounts  administrator  windows-domain 
Lunatik
джерело
2
щось не складається. Якщо у вас є локальний доступ адміністратора, ви повинні побачити все, навіть якщо ви не маєте доступу. Вам просто потрібно взяти на себе власність
Keltari
Я не є експертом у цих питаннях (як це очевидно!), Що я можу робити неправильно, щоб не бачити облікових записів домену, з яких існує принаймні три?
Lunatik
1
Я не впевнений, що це допоможе, але ви пробували Kon-Boot ? У відповіді на запитання йдеться, що "Kon-Boot не буде обходити аутентифікацію контролерів домену. Хоча існують випадки, коли клієнтський комп'ютер локально кешуватиме вхід домену, і Kon-Boot може працювати в цьому випадку".
Vinayak
Я не розумію, як ви могли видалити права адміністратора домену від користувача? AFAIK навіть якщо у вас є вхід до кешу домену, ви повинні мати доступ до AD, щоб внести будь-які зміни.
EliadTech
На аплеті панелі керування обліковими записами користувачів є можливість змінити членство в групі облікових записів. Це було раніше "Адміністратор", але я випадково, здається, прокрутив список до іншого типу облікового запису домену, перш ніж закрити форму. Це видаляє обліковий запис з групи адміністраторів повністю!
Lunatik

Відповіді:

1

Просто думайте голосно, але є 2 можливості, які приходять на розум.

  1. Перезавантажте в безпечний режим на вашому DC і подивитися, якщо ви можете переглянути файли. Я не пам'ятаю, якщо безпечний режим буде працювати на DC (я припускаю, що ваші файли знаходяться на DC, а не ваш ж / с), але якщо ви можете, то це зробить доступною файлову систему. Потім ви можете скопіювати його на зовнішній диск і мати змогу бачити ваші файли
  2. Якщо файли НЕ знаходяться на DC ("long dead ..."), то вам просто потрібно взяти на себе право власності на файли. Це можна зробити з будь-яким місцевим обліковим записом адміністратора, де б вони не знаходилися. Ви можете зробити це за допомогою Провідника (правою кнопкою миші, Властивості, вкладки Безпека, Додатково, Власник) або за допомогою командлета Set-Acl.

Найгіршим випадком є ​​завантаження з деяких інших носіїв (WinPE або BartPE ) і захопіть файли таким чином. Переконайтеся, що ви скористаєтеся власністю після їх копіювання.

SaxDaddy
джерело
Контролер домену, дійсно компанія, яка керувала нею, на жаль, пройшла шлях додо.
Lunatik
Доступ до документів і т.д. не є цілковитою проблемою (я знімав критичні з використанням живого компакт-диска Linux). обліковий запис домену, яким я не можу керувати.
Lunatik
Ви пробували інструмент USMT від Microsoft? Можливо, це може призвести до налаштувань програми. Я використовував його в минулому на "робочих" комп'ютерах без проблем. Ви можете завантажити його з https://www.microsoft.com/en-us/download/details.aspx?id=10837
SaxDaddy
Проблема в тому, що налаштування Windows є лише частиною історії, це дійсно програми, які більше не працюють належним чином, що є найбільшою справою зараз, коли я схопив більшість документів, про які я знаю.
Lunatik
Останні версії USMT можуть захоплювати налаштування програми так само як дані. Можливо, вам доведеться переінсталювати додаток, але він працює з багатьма програмами і має гідну підтримку спадщини. Я сподіваюся, що це працює для вас. Оновіть публікацію, коли це можливо.
SaxDaddy
0

Можливо, він працює, коли ви створюєте новий обліковий запис з правами адміністратора, а потім надаєте свої права адміністратора облікового запису, використовуючи тільки що створений обліковий запис адміністратора.

Правка - 31-3-14

Можливо, це спрацює. - & gt; http://www.tomshardware.co.uk/forum/18480-63-make-domain-user-local-computer-admin

Auke1001
джерело
Я можу зробити це для локальних облікових записів, але не для облікових записів домену.
Lunatik
До цих пір не буде працювати для цього користувача, навіть після редагування
Canadian Luke
Дякуємо, але це не працює, тому що користувачі домену не можуть бути вибрані або знайдені у формі керування Користувачем.
Lunatik
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.