Kategorie: 
Translate ENWenn man in Active Directory ein vorhandenes Benutzerobjekt kopiert, dann wird eine Untermenge der verfügbaren Attribute in das neue Objekt übernommen. Wie kann man aber steuern, welche Attribute mit kopiert werden und welche nicht?
Die Antwort ist: Über das Schema. Im AD-Schema ist definiert, welche Attribute beim Kopieren von Objekten über die GUI-Tools mitopiert werden sollen. Ob sich ein Tool, das zur Administration eingesetzt wird, allerdings daran hält, ist Sache des Toolprogrammierers. Der Kopiervorgang wird hier nicht über Active Directory ausgeführt, sondern durch das Administrationsprogramm.
Wer die zu kopierenden Attribute also selbst beeinflussen will, muss das AD-Schema bearbeiten. Achtung: Dies ist ein hochsensibler Vorgang – man sollte wissen, was man tut, und vorher für eine ordentliche Datensicherung sorgen!
Manipulieren der zu kopierenden Attribute
Als Erstes muss man hierfür das Snapin für das "Active Directory Schema" registrieren. Dies kann man durch die Eingabe von "regsvr32 schmmgmt.dll" unter "Start" > "Ausführen" erreichen. Danach kann man das "Active Directory Schema Snapin" in einer MMC nutzen:
Ich möchte anhand des Attributes "logonHours" demonstrieren, wie das Kopieren eines Attributes verhindert werden kann. Dazu habe ich einen Testbenutzer angelegt, der sich nur zu bestimmten Uhrzeiten anmelden darf. Dieses Attribut wird standardmässig beim Kopiervorgang in das neue Benutzerobjekt übernommen. Durch eine Veränderung der Eigenschaften des Attributs kann man ein Kopieren verhindern.
Flashfilm: Kopieren abschalten
Verwandte Beiträge:
- Wie kann ich abfragen, welche Rechner welches Service Pack haben?
csvde-Methode von Nils Kaczenski Im AD wird eine Angabe über das Service Pack in den Computereigenschaften gespeichert. Um eine Abfrage... - Wie kann ich überprüfen, welche Benutzer gesperrt oder deaktiviert sind?
Das ist recht komplex. Es gibt zwar einen LDAP-Query, den du bei WS2003 in den Gespeicherten Abfragen verwenden kannst, der... - Wie kann ich den Besitzer eines Ordners/einer Datei ändern?
Die offizielle Lesart ist: Das Berechtigungssystem von Windows kennt für Ordner, Dateien und andere Objekte (z. B. ADS-Objekte) nur einen User... - Video: Active Directory als Datenspeicher?
Das Schema ist das Rückgrat des Active Directory: Es definiert die Datenfelder und Objekttypen, die das Verzeichnis kennt. Damit entscheidet... - Fallen und Auswege beim Recovery von Active Directory
Der Microsoft-Supportmitarbeiter Herbert Mauerer hat einen sehr lesenswerten Artikel zum Disaster Recovery für Active Directory geschrieben. Er bezieht sich insbesondere...
http://faq-o-matic.net/?p=605
