Windows AD 單個 DC（降級）- 無法修改超過管理員限制

我的域中有 2 個 DC。其中一個死了，最後一個具有所有角色，dcdiag netdiag全部顯示為“好”-但我實際上無法修改我的“管理員”帳戶。

根據很多，Google搜尋，我必須重置我的本地機器使用者名/密碼。得到一些 ne kerberos 的東西。

如此處所述： https: //support.microsoft.com/en-us/kb/837513

實際上netdom失敗了，如果我打開ads.msc，“超出管理限制”，我會看到我所有的AD內容，並且可以添加/刪除/修改使用者，除了“管理員”-“管理限制”也總是失敗超過"

我不知道從這裡去哪裡，有什麼幫助嗎？

問候

k，在附近沒有睡覺的幾天后，一噸咖啡等等。他實際的問題是一個非常簡單的問題，所以我將其發布以供參考。：

tl;博士

使用者的 AD 對象，DC 機器超出和 LDAP 內部大小限制。

所以使用adsiedit.exe - 查找對象並刪除 unneded 屬性 - 修復它！

1. 無法編輯管理員帳戶

• 打開adsiedit或任何其他 AD 編輯器，找到管理員（或其他帳戶）的 OU，並嘗試刪除一些屬性，在我的情況下，我從userCertificate.

2)netdom resetpwd因“超出管理限制”而失敗 * 與上述相同 - 但找到 netdom 無法工作的 DC 電腦。

在 netdom resetpwd 之後，我的 DC 成功啟動並恢復到 GOOD 狀態。

引用自：https://serverfault.com/questions/736902