dsacls.exe ist das Kommandozeilenwerkzeug, mit dem man Berechtigungen auf Objekte in Active Directory manipulieren kann. Heute hatte ich Gelegenheit, es in einer Extremsituation zu nutzen.
In einem Testszenario sollten für 16.308 Benutzerkonten die AD-Zugriffsberechtigungen geändert werden. Für jedes einzelne Objekt gab es sieben Änderungen: Zwei vorhandene Berechtigungen wurden entfernt und fünf neue hinzugefügt. Das Ganze wurde [...]

Möchte man das Datum herausfinden, zu dem Active Directory zuletzt gesichert wurde, so gibt es eine recht einfache Methode: Ab Windows 2003 (SP1) beantwortet repadmin diese Frage.
repadmin /showbackup
Die Ausgabe sieht ungefähr so aus:

Da ich gerade an der neuen Version 3.0 meines AD-Dokumentationswerkzeugs José arbeite, wollte ich diese Daten aber per Skript herausfinden, ohne auf [...]

Windows Server 2008 hat als neue Funktion die so genannten “Fine-grained Password Policies” eingeführt. Damit ist es erstmals möglich, innerhalb einer Domäne mehrere unterschiedliche Kennwortrichtlinien zu definieren und z.B. für administrative Konten ein höheres Sicherheitsniveau einzufordern als für normale Benutzer. Neben dem Umstand, dass hierbei leider kein leistungsfähiger Kennwortfilter enthalten ist (und somit Trivialkennwörter wie [...]

Mit Windows Server 2008 R2 hat Microsoft den Active Directory Recycle Bin eingeführt. Dieses Feature verspricht eine vollständige Wiederherstellung von gelöschten AD Objekten mit allen Eigenschaften. Da freut sich der AD Administrator, denn bei der in früheren Versionen zur Verfügung stehenden Tombstone Reanimation geht die referenzielle Integrität der wiederhergestellten Objekte verloren (Gruppenmitgliedschaften und andere Link-Attribute).
So [...]

Seit Windows Server 2008 beherrscht die mitgelieferte‚Active Directory Benutzer und Computer‘-Konsole das vollständige Löschen von Domänencontrollern aus der „Domänencontroller“-OU. Wer den markierten Domänencontroller per Druck auf „ENTF“ oder mit dem Kontextmenü über „Löschen“ über den Jordan schickt, muss sich ab sofort nicht mehr selbstständig um das Aufräumen der DC-Reste im Verzeichnis kümmern. Die Konsole führt [...]

Eine Frage aus den englischsprachigen Microsoft Newsgroups (sinngemäß):
Gibt es eine Empfehlung, welchen Wert man der ‚Deleted Object Lifetime‘ zuweisen soll? Gibt es Pros und Contras zu größeren/kleineren Werten?

Seit Windows Server 2008 R2 besitzt Active Directory eine Papierkorb-Funktion. Der Papierkorb hilft, gelöschte Objekte ohne viel händische Arbeit wiederherzustellen. Der Mehrwert des Papierkorbs ist, dass beim Löschen [...]

Mit Windows Server 2008 hat Microsoft einige neue Attribute in Active Directory eingeführt, die für Benutzerkonten die Umgebungseinstellungen für Terminalserver speichern sollen. Dazu gehören vor allem der Terminalserver-Profilpfad und das Terminalserver-Basisverzeichnis (neue Attribute: msTSProfilePath, msTSHomeDirectory und msTSHomeDrive). Vorher hatte Windows diese Daten zwar auch im AD abgelegt, allerdings in einem großen Binärfeld namens “userParameters”. Dort [...]

[aus einem Original von http://www.frickelsoft.net/blog/?p=236]
Dies ist eine Anfrage aus den Microsoft-Newsgroups, die ein Communitymitglied stellte. Sinngemäß:
Ich habe versucht ‚adprep /rodcprep‘ auszuführen und habe ein paar Fehlermeldungen erhalten. Danach habe ich versucht, folgenden Befehl auszuführen:
ldifde -f Infra_DomainDNSZones.ldf -d “CN=Infrastructure,DC=DomainDnsZones,DC=xxx,DC=com” -l fSMORoleOwner.
Der Befehl hat mir den aktuellen Rolleninhaber server#1 angezeigt. Wenn ich das in ‚Active Directory [...]

Windows-Rechner lassen sich seit Windows NT in eine Domäne aufnehmen. Dies erfordert einen Neustart, damit die geänderten Sicherheits- und Anmeldeparameter wirksam werden. Etwas lästig ist es, einen Rechner, der bereits in einer Domäne ist, erneut aufzunehmen. Das ist manchmal nötig, wenn es Probleme mit dem Computerkonto gibt (z.B. nach dem Wiederherstellen eines Image). Der übliche [...]

Mit jeder Windows-Version wurde die Suche aufpoliert, das gilt auch für Windows 7. Dennoch gilt es Dinge, die man so nicht mehr findet, während das in Windows XP mehr oder minder problemlos möglich ist. So lassen sich innerhalb der Windows 7-Suche anscheinend keine Active Directory-Objekte wie Benutzer mehr suchen. Das ist insbesondere dann kontraproduktiv, wenn [...]