Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Fehler behoben, die nach der Anmeldung bei einem lokalen Administratordomänenkonto auftreten.
Gilt für: Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer: 2738746
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
- Sie erstellen ein lokales Administratorkonto auf einem Computer, auf dem Windows Server 2003 oder höher ausgeführt wird.
- Sie melden sich mit dem lokalen Administratorkonto anstelle des integrierten Administratorkontos an und konfigurieren dann den Server als ersten Domänencontroller in einer neuen Domäne oder Gesamtstruktur. Wie erwartet, wird dieses lokale Konto zu einem Domänenkonto.
- Sie verwenden dieses Domänenkonto, um sich anzumelden.
- Sie versuchen, verschiedene Active Directory-Domäne Services (AD DS)-Vorgänge auszuführen.
In diesem Szenario erhalten Sie Fehler beim Zugriff verweigert.
Ursache
Wenn Sie den ersten Domänencontroller in einer Gesamtstruktur oder einer neuen Domäne konfigurieren, wird das lokale Konto des Benutzers in einen Domänensicherheitsprinzipal konvertiert und zu übereinstimmenden integrierten Domänengruppen wie Benutzer und Administratoren hinzugefügt. Da es keine integrierten lokalen Schemaadministratoren, Domänenadministratoren oder Unternehmensadministratorgruppen gibt, werden diese Mitgliedschaften nicht in den Domänengruppen aktualisiert, und Sie werden der Gruppe "Domänenadministratoren" nicht hinzugefügt.
Problemumgehung
Um dieses Verhalten zu umgehen, verwenden Sie Dsa.msc, Dsac.exe oder das Active Directory-Windows PowerShell-Modul, um den Benutzer nach Bedarf den Gruppen "Domänenadministratoren" und "Unternehmensadministratoren" hinzuzufügen. Es wird nicht empfohlen, den Benutzer der Gruppe "Schemaadministratoren" hinzuzufügen, es sei denn, Sie führen derzeit ein Schemaupgrade oder eine Änderung durch.
Nachdem Sie sich abgemeldet und dann wieder angemeldet haben, werden die Änderungen an der Gruppenmitgliedschaft wirksam.
Weitere Informationen
Dieses Verhalten wird erwartet und ist beabsichtigt.
Obwohl dieses Verhalten immer in AD DS vorhanden war, haben verbesserte Sicherheitsverfahren in Geschäftsnetzwerken das Verhalten für Kunden verfügbar gemacht, die den bewährten Methoden von Microsoft für die Verwendung des integrierten Administratorkontos folgen.
Das integrierte Administratorkonto stellt sicher, dass mindestens ein Benutzer über eine vollständige Administratorgruppenmitgliedschaft in einer neuen Gesamtstruktur verfügt.