Posso ripristinare i privilegi di amministratore su un account di dominio declassato accidentalmente senza accesso al controller di dominio?

Ho una vecchia macchina XP Pro che apparteneva a un dominio morto da tempo. Avevo un account amministratore sulla macchina che mi permetteva di usarlo in modo efficace, se non di rado, su un profilo di roaming.

Ho anche account amministratore locale.

Per errore sono riuscito a eseguire il downgrade dell'account di dominio a un utente standard (lo so ...) e ora sono bloccato dai file contenuti nelle cartelle dell'utente (componenti aggiuntivi di Office personalizzati, impostazioni dell'applicazione ecc.).

Sembra che il downgrade li abbia contrassegnati come inaccessibili (o addirittura rimossi del tutto, il che è preoccupante) e quindi non posso più ottenerli. Inoltre, l'oggetto Criteri di gruppo sembra (?) Richiedere che alcune applicazioni vengano eseguite con i privilegi di amministratore, quindi non posso accedervi e la configurazione che era legata al vecchio account amministratore (SSMS ecc.).

Quello che ho provato

Se eseguo l'accesso come amministratore locale, non riesco ad aggiornare l'account di dominio standard dal normale amministratore di utenti di XP Pro in quanto mostra solo account e gruppi locali.
Se eseguo l'accesso come utente di dominio standard, non riesco ad accedere ad alcun amministratore di account di dominio come avrei potuto fare e l'elevazione dei privilegi mi consente di vedere nuovamente gli account locali.
Se provo a utilizzare qualsiasi strumento AD (dsa.msc), visualizzo più errori relativi al controller di dominio mancante.

Posso usare un CD live per accedere ai file "bloccati" ed estrarli, ma ci sono parecchi file e molte applicazioni che vorrei poter riutilizzare correttamente.

Nulla è di fondamentale importanza, ma sarebbe bene ripristinare l'accesso e le funzionalità precedenti.

— Lunatik
fonte

qualcosa non si sta sommando. Se hai accesso come amministratore locale dovresti vedere tutto, anche se non hai accesso. Avresti solo bisogno di prendere la proprietà

— Keltari

Non sono un esperto in queste materie (come può essere evidente!), Cosa potrei fare di sbagliato per non vedere gli account di dominio, di cui ce ne sono almeno tre?

— Lunatik,

Non sono sicuro che questo possa aiutare, ma hai provato Kon-Boot ? La FAQ afferma che "Kon-Boot non ignorerà l'autenticazione dei controller di dominio. Anche se ci sono casi in cui un computer client memorizzerà nella cache localmente un accesso al dominio, e Kon-Boot potrebbe funzionare in questo caso".

— Vinayak,

Non capisco, come mai sei riuscito a rimuovere i diritti di amministratore di dominio da un utente? AFAIK anche se si dispone di un accesso al dominio memorizzato nella cache, è necessario avere accesso all'AD per apportare eventuali modifiche.

— EliadTech

Nell'applet del pannello di controllo Account utente è disponibile un'opzione per modificare l'appartenenza al gruppo di account. In precedenza si trattava di "Amministratore", ma inavvertitamente mi è sembrato di scorrere l'elenco verso un altro tipo di account di dominio prima di chiudere il modulo. Questo sembra aver rimosso completamente l'account dal gruppo Amministratore!

— Lunatik,

Risposte:

Basta pensare ad alta voce ma ci sono 2 possibilità che mi vengono in mente.

Riavviare in modalità provvisoria sul controller di dominio e vedere se è possibile visualizzare i file. Non riesco a ricordare se la Modalità provvisoria funzionerà su un controller di dominio (suppongo che i tuoi file siano sul controller di dominio, non i tuoi w / s) ma se puoi, ciò renderebbe accessibile il file system. È quindi possibile copiare su un'unità esterna e dovrebbe essere in grado di vedere i file
Se i file NON si trovano sul controller di dominio ("long dead ..."), devi solo prendere la proprietà dei file. Puoi farlo con qualsiasi account di amministratore locale ovunque risiedano i file. È possibile farlo con Explorer (tasto destro, Proprietà, scheda Sicurezza, Avanzate, Proprietario) o con il commandlet Set-Acl di PowerShell.

Il caso peggiore è l'avvio da altri supporti (WinPE o BartPE ) e prendere i file in questo modo. Assicurati di assumere la proprietà dopo averli copiati.

— SaxDaddy
fonte

Il controller di dominio, in effetti la società che lo ha eseguito, sfortunatamente ha seguito la strada del dodo.

— Lunatik,

L'accesso ai documenti, ecc. Non è l'intero problema (ho risolto quelli critici usando un CD live di Linux), riguarda tanto le applicazioni e le impostazioni alle quali non posso accedere quanto le "connessioni" ai castrati account di dominio che non riesco a gestire.

— Lunatik,

Hai provato lo strumento USMT di Microsoft? Forse questo può afferrare le impostazioni dell'app per te. L'ho usato in passato su computer "funzionanti" senza problemi. Puoi scaricarlo da https://www.microsoft.com/en-us/download/details.aspx?id=10837

— SaxDaddy

Il problema è che le impostazioni di Windows sono solo una parte della storia, in realtà sono le applicazioni che non funzionano più correttamente che sono la cosa più importante ora che ho preso la maggior parte dei documenti che conosco.

— Lunatik,

Le ultime versioni di USMT possono acquisire sia le impostazioni dell'applicazione che i dati. Potrebbe essere necessario reinstallare l'app ma funziona con molte app e ha un supporto legacy decente. Spero che funzioni per te. Si prega di aggiornare il post quando è possibile.

— SaxDaddy,

Forse funziona quando crei un nuovo account con i privilegi di amministratore e poi dai i privilegi di amministratore del tuo account, usando l'account amministratore appena creato.

Modifica - 31-3-14

Forse questo funzionerà. -> http://www.tomshardware.co.uk/forum/18480-63-make-domain-user-local-computer-admin

— Auke1001
fonte

Posso farlo per gli account locali, ma non per gli account di dominio.

— Lunatik,

Non funzionerà ancora per questo utente, anche dopo la modifica

— Luke canadese

Grazie, ma ciò non funziona poiché gli utenti del dominio non possono essere selezionati o trovati all'interno del modulo Gestione utenti.

— Lunatik,