Active-Directory

Windows AD 單個 DC(降級)- 無法修改超過管理員限制

  • November 19, 2015

我的域中有 2 個 DC。其中一個死了,最後一個具有所有角色,dcdiag netdiag全部顯示為“好”-但我實際上無法修改我的“管理員”帳戶。

根據很多,Google搜尋,我必須重置我的本地機器使用者名/密碼。得到一些 ne kerberos 的東西。

如此處所述: https: //support.microsoft.com/en-us/kb/837513

實際上netdom失敗了,如果我打開ads.msc,“超出管理限制”,我會看到我所有的AD內容,並且可以添加/刪除/修改使用者,除了“管理員”-“管理限制”也總是失敗超過"

我不知道從這裡去哪裡,有什麼幫助嗎?

問候

k,在附近沒有睡覺的幾天后,一噸咖啡等等。他實際的問題是一個非常簡單的問題,所以我將其發布以供參考。:

tl;博士

使用者的 AD 對象,DC 機器超出和 LDAP 內部大小限制。

所以使用adsiedit.exe - 查找對象並刪除 unneded 屬性 - 修復它!

  1. 無法編輯管理員帳戶
  • 打開adsiedit或任何其他 AD 編輯器,找到管理員(或其他帳戶)的 OU,並嘗試刪除一些屬性,在我的情況下,我從userCertificate.

2)netdom resetpwd因“超出管理限制”而失敗 * 與上述相同 - 但找到 netdom 無法工作的 DC 電腦。

在 netdom resetpwd 之後,我的 DC 成功啟動並恢復到 GOOD 狀態。

引用自:https://serverfault.com/questions/736902