Sie erhalten Fehler vom Typ "Zugriff verweigert", nachdem Sie sich bei einem lokalen Administratordomänenkonto angemeldet haben.

  • Artikel

In diesem Artikel können Sie Fehler aufgrund von Zugriffsverweigerungen beheben, die auftreten, nachdem Sie sich bei einem lokalen Administratordomänenkonto angemeldet haben.

Gilt für: Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer: 2738746

Problembeschreibung

Stellen Sie sich folgendes Szenario vor:

  • Sie erstellen ein lokales Administratorkonto auf einem Computer, auf dem Windows Server 2003 oder höher ausgeführt wird.
  • Sie melden sich mit dem lokalen Administratorkonto anstelle des integrierten Administratorkontos an und konfigurieren den Server dann als erster Domänencontroller in einer neuen Domäne oder Gesamtstruktur. Wie erwartet wird dieses lokale Konto zu einem Domänenkonto.
  • Sie verwenden dieses Domänenkonto, um sich anzumelden.
  • Sie versuchen, verschiedene AD DS-Vorgänge (Active Directory Domain Services) auszuführen.

In diesem Szenario erhalten Sie Fehler vom Typ "Zugriff verweigert".

Ursache

Wenn Sie den ersten Domänencontroller in einer Gesamtstruktur oder einer neuen Domäne konfigurieren, wird das lokale Konto des Benutzers in einen Domänensicherheitsprinzipal konvertiert und den entsprechenden integrierten Domänengruppen hinzugefügt, z. B. Benutzer und Administratoren. Da es keine integrierten lokalen Schemaadministratoren, Domänenadministratoren oder Unternehmensadministratorgruppen gibt, werden diese Mitgliedschaften in den Domänengruppen nicht aktualisiert, und Sie werden der Gruppe Domänenadministratoren nicht hinzugefügt.

Problemumgehung

Um dieses Verhalten zu umgehen, verwenden Sie Dsa.msc, Dsac.exe oder das Active Directory-Windows PowerShell-Modul, um den Benutzer bei Bedarf den Gruppen Domänenadministratoren und Unternehmensadministratoren hinzuzufügen. Es wird nicht empfohlen, den Benutzer der Gruppe Schemaadministratoren hinzuzufügen, es sei denn, Sie führen derzeit ein Schemaupgrade oder eine Schemaänderung durch.

Nachdem Sie sich abgemeldet und dann wieder angemeldet haben, werden die Änderungen an der Gruppenmitgliedschaft wirksam.

Weitere Informationen

Dieses Verhalten wird erwartet und ist beabsichtigt.

Obwohl dieses Verhalten in AD DS schon immer vorhanden war, haben verbesserte Sicherheitsverfahren in Unternehmensnetzwerken das Verhalten für Kunden verfügbar gemacht, die bewährte Microsoft-Methoden für die Verwendung des integrierten Administratorkontos befolgen.

Das integrierte Administratorkonto stellt sicher, dass mindestens ein Benutzer über die vollständige Administratorgruppenmitgliedschaft in einer neuen Gesamtstruktur verfügt.