Logo faq-o-matic.net
Logo faq-o-matic.net

Ehemaliger DC lässt sich nicht löschen

1 Sep 2020
von veröffentlicht am1. September 2020, 06:27 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, AD: Daten bearbeiten   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Auch Domänencontroller segnen irgendwann das Zeitliche. Weiß man das vorher, dann kann (und sollte) man den DC geordnet aus dem Active Directory entfernen. Das geht recht einfach über eine ordentliche Deinstallation.

Nun kann ein DC aber auch einfach “versterben” – der Server ist kaputt und lässt sich nicht reparieren. Für den laufenden Betrieb ist das meist nur ein geringes Problem, weil man “einfach” einen neuen DC installieren kann und so die gewünschte Redundanz wieder herstellt. Nun hat man allerdings das verwaiste Objekt des ehemaligen Domänencontrollers noch im AD.

In den meisten Fällen ist auch dies unproblematisch. Schon seit vielen Jahren kann man das DC-Objekt einfach über das Dienstprogramm “Active-Directory-Benutzer und -Computer” löschen, das Tool kümmert sich dann um den Rest. Früher musste man umständlich mit ntdsutil arbeiten, das leider etwas krude in der Bedienung ist*.

Was aber, wenn sich Active Directory weigert mit dem Hinweis: Zugriff verweigert? In den meisten Fällen ist dafür das Häkchen “Objekt vor zufälligem Löschen schützen” zuständig. Ist es aktiv, dann kann man das Objekt nicht löschen. Man muss erst den Haken entfernen. Eine zusätzliche Hürde lauert dabei, denn das Häkchen kann an mindestens zwei stellen stehen.

Einmal könnte es in “Active-Directory-Benutzer und -Computer” stehen:

image

Auch in “Active-Directory-Standorte und –Dienste” kann es auftauchen:

image

Auf der Kommandozeile lässt sich das so prüfen. Falls das Häkchen gesetzt ist, wird ganz am Anfang der Liste mindestens ein Eintrag mit “Verweigern” (Deny) auftauchen:

dsacls "CN=DC-Name,OU=Domain Controllers,DC=domain,DC=tld"
dsacls "CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=tld"

An beiden Stellen muss das Häkchen leer sein, damit das Löschen funktioniert.

* Eine Anmerkung noch zu ntdsutil: Leider gibt es zu dem Tool eine ganze Reihe falscher Anleitungen. Auch die Anleitung auf einigen Microsoft-Seiten ist leider falsch. Die folgende Seite enthält eine korrekte Anleitung:

[Forced removal of a Domain Controller from Active Directory – Dimitris Tonias]
https://www.dtonias.com/forced-removal-domain-controller/

Verwandte Beiträge:

  1. “Objekt vor zufälligem Löschen schützen” per PowerShell
    Seit vielen Jahren bietet das Standard-AD-Tool “Active Directory-Benutzer und -Computer” eine Option, wichtige Container vor versehentlichem Löschen zu schützen: [“Objekt...
  2. dsacls in Extremsituation
    dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es...
  3. “Objekt vor zufälligem Löschen schützen” per Skript setzen
    Seit Windows Server 2008 gibt es eine neue Option beim Erzeugen von Organisationseinheiten (OU) in Active Directory: Sie nennt sich...
  4. dsacls-Ergebnis im Skript effizient prüfen
    dsacls ist das Kommandozeilenprogramm, mit dem man in Active Directory Zugriffsberechtigungen definieren kann. Neben seiner etwas kruden Syntax hat es...
  5. Carmen: Query Active Directory Using SQL Syntax
    My script-based query tool “Carmen” for Active Directory has been downloaded more than 10,000 times since its release. Now I...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=8579
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!