Active-Directory
Windows AD 單個 DC(降級)- 無法修改超過管理員限制
我的域中有 2 個 DC。其中一個死了,最後一個具有所有角色,
dcdiag
netdiag
全部顯示為“好”-但我實際上無法修改我的“管理員”帳戶。根據很多,Google搜尋,我必須重置我的本地機器使用者名/密碼。得到一些 ne kerberos 的東西。
如此處所述: https: //support.microsoft.com/en-us/kb/837513
實際上netdom失敗了,如果我打開ads.msc,“超出管理限制”,我會看到我所有的AD內容,並且可以添加/刪除/修改使用者,除了“管理員”-“管理限制”也總是失敗超過"
我不知道從這裡去哪裡,有什麼幫助嗎?
問候
k,在附近沒有睡覺的幾天后,一噸咖啡等等。他實際的問題是一個非常簡單的問題,所以我將其發布以供參考。:
tl;博士
使用者的 AD 對象,DC 機器超出和 LDAP 內部大小限制。
所以使用
adsiedit.exe
- 查找對象並刪除 unneded 屬性 - 修復它!
- 無法編輯管理員帳戶
- 打開
adsiedit
或任何其他 AD 編輯器,找到管理員(或其他帳戶)的 OU,並嘗試刪除一些屬性,在我的情況下,我從userCertificate
.2)
netdom resetpwd
因“超出管理限制”而失敗 * 與上述相同 - 但找到 netdom 無法工作的 DC 電腦。在 netdom resetpwd 之後,我的 DC 成功啟動並恢復到 GOOD 狀態。